Blisko 355 tysięcy. Tyle podejrzanych SMS-ów Polacy zgłosili w 2024 roku do CERT Polska — o 60% więcej niż rok wcześniej. Smishing, czyli oszustwo przez SMS, nie wymaga przy tym żadnej zaawansowanej technologii. Wystarczy jeden niepozorny komunikat: „dopłać 1,80 zł, bo paczka wróci do nadawcy". To właśnie ta drobna kwota i presja czasu mają uśpić twoją czujność, zanim zdążysz pomyśleć.
Dobra wiadomość: fałszywy SMS prawie zawsze zdradza się kilkoma stałymi sygnałami. Gdy nauczysz się je rozpoznawać, rozszyfrujesz oszustwo w 30 sekund. Sprawdź najpierw, jak ci to idzie.
Czym jest smishing i jak działa?
Smishing (od SMS + phishing) to oszustwo, w którym przestępca podszywa się pod zaufany podmiot — firmę kurierską, bank, urząd czy dostawcę energii — i w treści SMS-a nakłania cię do konkretnego działania: kliknięcia linku, podania danych logowania lub karty, zatwierdzenia płatności, przekazania kodu BLIK albo zainstalowania aplikacji.
Według CERT Polska, krajowego zespołu reagowania na incydenty komputerowe, mechanizm jest zawsze ten sam. Najpierw przychodzi wiadomość, która wygląda wiarygodnie i wywołuje emocję — strach, że stracisz przesyłkę, albo niepokój, że ktoś włamał ci się na konto. Potem pojawia się link albo numer, pod który masz „pilnie" zareagować. Reszta dzieje się już na fałszywej stronie, łudząco podobnej do prawdziwej.
Co istotne, samo kliknięcie linku zwykle jeszcze nie infekuje telefonu. Szkoda powstaje dopiero w kolejnym kroku — gdy wpiszesz dane na podstawionej stronie, zatwierdzisz operację albo zainstalujesz wskazaną aplikację. Oszustwo celuje więc nie w lukę w telefonie, lecz w człowieka działającego pod wpływem pośpiechu.
„Żerowanie na naszych emocjach, stosowanie socjotechniki to wykorzystywanie tzw. nisko wiszących owoców. Do takich oszustw nie jest potrzebna żadna zaawansowana technologia."
— Iwona Prószyńska, Zespół ds. strategicznej komunikacji cyberbezpieczeństwa, NASK
Po czym poznać fałszywy SMS — sygnały ostrzegawcze
Fałszywy SMS zdradza kilka stałych sygnałów: presja czasu i groźba („konto zostanie zablokowane", „przesyłka wróci do nadawcy"), niewielka kwota dopłaty obliczona na uśpienie czujności, ogólny zwrot („Szanowny Kliencie") zamiast imienia, podejrzana domena w linku różniąca się od oficjalnej, błędy językowe oraz nietypowy numer lub nazwa nadawcy.
Najłatwiej zacząć od linku. Prawdziwy bank czy urząd nie poprosi cię SMS-em o zalogowanie przez podany odnośnik, a adres w fałszywej wiadomości prawie zawsze różni się od oficjalnego — choćby jedną literą albo dziwną końcówką. Druga czerwona lampka to kwota: oszuści celowo żądają drobnych sum, bo przy „1,80 zł dopłaty" mniej osób się zastanawia niż przy żądaniu 500 zł.
Zwróć też uwagę na formę. Masowo rozsyłany SMS rzadko zna twoje imię i nazwisko, więc zwraca się ogólnikowo. Często widać w nim błędy językowe albo dziwną składnię — efekt automatycznego tłumaczenia. Sama presja („masz 24 godziny", „ostatnie wezwanie") jest sygnałem najważniejszym: legalna instytucja daje czas i nie straszy odcięciem w ciągu godziny.
Najczęstsze scenariusze smishingu w Polsce
W Polsce powtarza się kilka schematów: dopłata do paczki (podszywanie pod InPost, DHL, DPD, Pocztę Polską), groźba odcięcia prądu z wezwaniem do zapłaty drobnej zaległości, blokada konta bankowego z powodu „podejrzanej aktywności", rzekomy zwrot podatku oraz prośba „dziecka z nowego numeru" o przelew lub kod BLIK.
Schematy zmieniają się sezonowo, ale szkielet pozostaje ten sam: zaufana marka, drobna kwota lub pilny problem i link do „rozwiązania". Poniższa tabela zbiera najczęstsze warianty, na które trafiają polscy odbiorcy.
| Scenariusz | Podszywany podmiot | Czego żąda oszust |
|---|---|---|
| Dopłata do paczki | InPost, DHL, DPD, Poczta Polska | Drobna opłata przez link do fałszywej bramki płatności lub dane karty |
| Odcięcie prądu | PGE, Tauron i inni dostawcy energii | Zapłata rzekomej zaległości (np. kilku złotych) pod groźbą odłączenia |
| Blokada konta bankowego | Bank ofiary | Logowanie na fałszywej stronie „w celu odblokowania konta" |
| Zwrot podatku / urząd | Urząd skarbowy, e-Urząd | Dane i logowanie pod pretekstem wypłaty zwrotu |
| Prośba o BLIK | Bliska osoba („dziecko z nowego numeru") | Przekazanie 6-cyfrowego kodu BLIK lub zatwierdzenie płatności |
Wariant „na BLIK" zasługuje na osobne słowo, bo jest wyjątkowo skuteczny. Twoją ochroną jest tu dwuetapowość płatności: sam 6-cyfrowy kod nie wystarcza — transakcję trzeba jeszcze zatwierdzić w aplikacji banku. Dlatego kodu BLIK nigdy nie podaje się na podstawie prośby z SMS-a, a generuje się go wyłącznie w aplikacji banku.
Jak zgłosić podejrzany SMS do CERT Polska
Podejrzany SMS zgłaszasz bezpłatnie do CERT Polska, przekazując („przekaż"/„udostępnij") całą wiadomość w oryginalnej formie — bez wycinania linku i treści — na numer 8080. Limit to 3 zgłoszenia z jednego numeru co 4 godziny. Działają też: infolinia 799 448 084, adres cert@cert.pl oraz formularz na incydent.cert.pl.
Kluczowe jest słowo „przekaż". Nie przepisuj treści ręcznie — w telefonie wybierz opcję przekazania (udostępnienia) wiadomości i wyślij ją w całości na 8080. Dzięki temu CSIRT NASK dostaje oryginalny link i nadawcę, na podstawie których tworzy wzorzec blokujący dla operatorów. To realnie chroni kolejne osoby: w 2024 roku zespół wytworzył 746 wzorców szkodliwych wiadomości, a operatorzy zablokowali na ich podstawie blisko 1,5 miliona SMS-ów.
Warto też skorzystać z Listy Ostrzeżeń (lista.cert.pl) — publicznego wykazu niebezpiecznych stron, aktualizowanego całodobowo. Ochronę z tej listy można włączyć w przeglądarce; w 2024 roku zablokowała ona ponad 70 milionów prób wejścia na niebezpieczne witryny.
Co zrobić po kliknięciu linku lub utracie pieniędzy
Jeśli kliknąłeś link lub straciłeś pieniądze, działaj natychmiast: odłącz telefon od sieci, skontaktuj się z bankiem i zablokuj dostęp do bankowości, kart i BLIK, zastrzeż numer PESEL, zmień hasła z innego urządzenia, zachowaj dowody i złóż w banku reklamację z żądaniem zwrotu środków, a sprawę zgłoś policji.
Kolejność ma znaczenie, dlatego najlepiej trzymać się jej krok po kroku.
- Włącz tryb samolotowy.
- Zablokuj w banku dostęp do konta, kart i BLIK.
- Zastrzeż numer PESEL.
- Zmień hasła z innego urządzenia.
- Zachowaj dowody i złóż reklamację z żądaniem zwrotu.
- Zgłoś sprawę policji.
Przy transakcji nieautoryzowanej masz po swojej stronie prawo. Zgodnie z ustawą o usługach płatniczych bank co do zasady zwraca środki do końca następnego dnia roboczego po zgłoszeniu (zasada D+1), chyba że uzasadnione podejrzenie oszustwa po twojej stronie pozwala mu wstrzymać zwrot do czasu wyjaśnienia. Dlatego tak ważne jest, by w reklamacji wprost zażądać zwrotu i zachować wszystkie dowody.
Jeśli podejrzewasz, że zainstalowałeś złośliwą aplikację, wykonaj kopię ważnych danych i przywróć telefon do ustawień fabrycznych. A jeśli tylko kliknąłeś link, ale nie podałeś żadnych danych — odłącz urządzenie od sieci, sprawdź konto bankowe z innego sprzętu i zmień hasła. To zwykle wystarczy.
Co mówi polskie prawo o smishingu
Smishing jest w Polsce zakazany wprost. Ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (obowiązuje od 25 września 2023 r.) wymienia go wśród zakazanych nadużyć, a przepisy karne przewidują za nie karę od 3 miesięcy do 5 lat pozbawienia wolności.
Artykuły 29–32 tej ustawy określają widełki kary: od 3 miesięcy do 5 lat pozbawienia wolności, a w wypadku mniejszej wagi — grzywnę, ograniczenie wolności albo pozbawienie wolności do roku. Ustawa nałożyła też obowiązki na operatorów: muszą blokować SMS-y pasujące do wzorców przekazanych przez CSIRT NASK.
Tu pojawia się jednak napięcie, które tłumaczy, dlaczego liczba zgłoszeń rośnie mimo nowych przepisów. Ochrona operatorska jest reaktywna — opiera się na wzorcach tworzonych dopiero po wykryciu kampanii. Nowe schematy i wiadomości bez linku przez pewien czas się prześlizgują, a najsłabszym ogniwem pozostaje człowiek działający pod wpływem emocji, nie technologia. Innymi słowy: prawo i blokady operatorów pomagają, ale nie zastąpią twojej czujności przy każdym pojedynczym SMS-ie.
Zastanawiałeś się kiedyś, dlaczego oszuści tak chętnie wybierają właśnie drobne kwoty — kilka złotych za paczkę zamiast dużej sumy? Co to mówi o tym, jak naprawdę działa nasza czujność?
Najczęściej zadawane pytania
Czy kliknięcie w link z fałszywego SMS-a od razu zainfekuje mi telefon?
Zwykle nie. Według CERT Polska samo otwarcie linku najczęściej jeszcze nie infekuje telefonu — szkoda powstaje dopiero, gdy na fałszywej stronie podasz dane logowania lub karty, zatwierdzisz operację albo zainstalujesz wskazaną aplikację. Jeśli tylko kliknąłeś, odłącz telefon od sieci, sprawdź konto z innego urządzenia i zmień hasła.
Gdzie i jak zgłosić fałszywy SMS w Polsce?
Podejrzaną wiadomość przekaż w całości — w oryginalnej formie, z linkiem — na numer 8080. To bezpłatna skrzynka CERT Polska; limit to 3 zgłoszenia z jednego numeru co 4 godziny. Możesz też skorzystać z infolinii 799 448 084, adresu cert@cert.pl lub formularza na incydent.cert.pl.
Oszust zna moje imię i numer paczki — czy to znaczy, że SMS jest prawdziwy?
Niekoniecznie. Dane takie jak imię czy fakt oczekiwania na przesyłkę mogły wyciec lub zostać dopasowane do popularnych kampanii zakupowych. Zamiast klikać link, zweryfikuj status przesyłki bezpośrednio w oficjalnej aplikacji przewoźnika lub na jego stronie wpisanej ręcznie.
Co zrobić, gdy ktoś prosi mnie SMS-em o kod BLIK?
Nie podawaj go. Kod BLIK generuje się wyłącznie w aplikacji banku, a każdą płatność trzeba w niej dodatkowo zatwierdzić — sam sześciocyfrowy kod podany z prośby w SMS-ie to niemal zawsze próba oszustwa. Żadna bliska osoba ani bank nie potrzebuje twojego kodu BLIK przesłanego SMS-em.
Czy bank zwróci mi pieniądze po oszustwie?
Przy transakcji nieautoryzowanej, zgodnie z ustawą o usługach płatniczych, bank co do zasady zwraca środki do końca następnego dnia roboczego po zgłoszeniu (zasada D+1). Może wstrzymać zwrot, jeśli ma uzasadnione podejrzenie oszustwa po twojej stronie. Dlatego jak najszybciej zgłoś sprawę, złóż reklamację z żądaniem zwrotu i zachowaj wszystkie dowody. Ten artykuł nie zastępuje porady prawnej.
Czym różni się smishing od phishingu i vishingu?
To trzy odmiany tego samego oszustwa, różniące się kanałem. Phishing to szerokie pojęcie wyłudzania danych, najczęściej przez e-mail i fałszywe strony. Smishing prowadzony jest przez SMS, a vishing — przez połączenie głosowe (telefon). We wszystkich trzech mechanizm jest ten sam: socjotechnika i presja, które mają skłonić cię do podania danych lub pieniędzy.
