hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
11 czerwca 2026 11:35

Fałszywy SMS? Zobacz, jak rozpoznać smishing.

Przykład oszustwa i fałszywej strony
Mateusz Ossowski
edukacja
Dodaj do ulubionych źródeł w Google

Co roku liczba ofiar oszustw SMS idzie w miliony. Co roku CERT Orange Polska blokuje setki tysięcy złośliwych domen. Dlatego warto regularnie pisać o schematach tego typu oszustw i przypominać je, by jak najmniej osób dawało się nabrać na smishing. W poniższym tekście przeczytacie o najczęstszych scenariuszach oszustw opartych na fałszywych wiadomościach SMS. Ponieważ – niestety – dajemy się na nie nabierać, wciąż zbyt często.

Liczby mówią same za siebie. Według raportu CERT Orange Polska za 2025 rok Cybertarcza Orange zablokowała w ubiegłym roku 345 000 domen phishingowych i uchroniła przed utratą pieniędzy lub danych niemal 5,5 miliona użytkowników sieci Orange. Fałszywe inwestycje stanowiły aż 68% wszystkich kampanii phishingowych.

A dlaczego w ogóle dajemy się oszukiwać? Odpowiedź jest prostsza, niż myślicie — oszuści są coraz lepsi w swoich działaniach socjotechnicznych, a my wciąż zakładamy, że:

mnie to nie dotyczy

lub

ja na pewno nie dam się na to nabrać.

W poniższym tekście przeczytacie o najczęstszych scenariuszach smishingu, czyli oszustw opartych na fałszywych wiadomościach SMS. Ponieważ – niestety – dajemy się na nie nabierać, wciąż zbyt często.

SMS z linkiem? Tu nie ma przypadku

Fałszywy SMS od kuriera, banku, dostawcy energii czy ZUS-u – to nie przypadkowe wiadomości rozsyłane w ciemno. To starannie zaplanowane kampanie, które grają na emocjach:

  • strachu np. przed windykacją należności
  • radości z (nie)oczekiwanej paczki
  • paniki po informacji o podejrzanym logowaniu

Przestępcy wiedzą, że mają tylko chwilę na przyciągnięcie naszej uwagi. Wiedzą też, że pod wpływem emocji zazwyczaj działamy instynktownie.

Jako CERT Orange Polska wykrywamy te zdarzenia, blokujemy je, a następnie ostrzegamy. W tym tekście chcielibyśmy przybliżyć najpopularniejsze scenariusze, które są wykorzystywane przez przestępców. Znajdziecie tutaj opisy i ilustracje faktycznych sytuacji, które mogą przydarzyć się wam i waszym bliskim. Warto podzielić się z nimi linkiem do tego materiału.

Każdy z opisanych poniżej scenariuszy dotyczy smishingu, czyli metody oszustwa, gdzie pierwszym punktem zaczepienia jest otrzymanie wiadomości SMS. Skąd oszuści mają nasz numer telefonu? Przeważnie są to wycieki baz danych z różnych serwisów.

Jak rozpoznać smishing? Najczęstsze warianty oszustw SMS

📦 Fałszywa paczka

Zdarza się wam robić zakupy w internecie? Z pewnością tak, bo według raportu Fundacji Polska Bezgotówkowa zakupy w internecie w Polsce robi 70% jego użytkowników. Zakupy wiążą się z płatnościami, a to gratka dla oszustów.

Scenariusz: SMS: "INPOST: Twoja paczka wymaga dopłaty 3,67 zł, zapłać aby otrzymać paczkę : inp0st-pay.pl"

Podszywanie pod: najpopularniejszych przewoźników takich jak: InPost, DHL, Poczta Polska, DPD

Scenariusz: SMS: „INPOST: Twoja paczka wymaga dopłaty 3,67 zł, zapłać aby otrzymać paczkę : inp0st-pay.pl”

Co się naprawdę wydarzyło: Wpisałeś dane karty na fałszywej stronie. Oszust natychmiast użył ich do robienia zakupów online lub wypłacenia środków. Jeśli użyłeś szybkich przelewów, istnieje ryzyko przejęcia dostępu do twojego konta.

Zwróć uwagę na: dziwna domena (inpst, inp0st, inpost-pl), prośba o dane karty za kilka złotych, presja czasowa. To sygnały ostrzegawcze wskazujące na próbę oszustwa.

Więcej o scenariuszu „Fałszywa paczka – SMS o dopłacie” znajdziesz tutaj.

🏦 Fałszywy bank

Scenariusz: SMS: "PKO BP: wykryliśmy podejrzane logowanie na twoim koncie. Potwierdź swoją tożsamość: pkobp-weryfikacja.com".

Podszywanie pod: np. PKO BP, Pekao, Erste, mBank, ING.

Scenariusz: SMS: „PKO BP: wykryliśmy podejrzane logowanie na twoim koncie. Potwierdź swoją tożsamość: pkobp-weryfikacja.com”. Wpisujesz login, hasło, a potem kod z aplikacji bankowej lub SMS-a. W ciągu kilku minut tracisz wszystkie oszczędności.

Co się naprawdę wydarzyło: Na fałszywej stronie podszywającej się pod bank podałeś dane logowania i kod weryfikacyjny, który służył do autoryzacji przelewu — nie weryfikacji tożsamości.

Zwróć uwagę na: Bank nigdy nie prosi o podanie kodu autoryzacyjnego po kliknięciu linku z SMS-a. Wszędzie tam, gdzie wprowadzasz jakiekolwiek dane logowania, zweryfikuj domenę.

Więcej o scenariuszu „Fałszywy bank – SMS o podejrzanym logowaniu” znajdziesz tutaj.

💸 Fałszywy BLIK / „na znajomego”

Scenariusz: Nagle ktoś odzywa się z nieznanego numeru: "Mamo, zgubiłam telefon, piszę od koleżanki. Potrzebuję pilnie kodu BLIK na 500 zł, zaraz oddam".

Podszywanie pod: np. rodzinę i bliskich znajomych, rzekomo z nowego numeru.

Scenariusz: Nagle ktoś odzywa się z nieznanego numeru: „Mamo, zgubiłam telefon, piszę od koleżanki. Potrzebuję pilnie kodu BLIK na 500 zł, zaraz oddam”. Wysyłasz kod. Pieniędzy nigdy nie zobaczysz.

Co się naprawdę wydarzyło: Oszust losowo rozsyła takie SMS-y licząc, że ktoś w to uwierzy.

Zwróć uwagę na: kod BLIK służy do wypłaty gotówki albo opłacenia konkretnej transakcji. Dlatego kod podany obcej osobie = bezpowrotnie stracone pieniądze. Przed autoryzacją kodu BLIK w aplikacji bankowej sprawdź, gdzie są wypłacane pieniądze.

Dokładny opis scenariusza „Potrzebuję pieniędzy – SMS z prośbą o kod BLIK”, znajdziesz tutaj.

⚡ Fałszywa faktura za prąd/gaz

Scenariusz: SMS lub e-mail: "Twoja faktura za energię nr ES1680/88/978 jest przeterminowana. Ureguluj zadłużenie 12,40 zł lub nastąpi odłączenie: pge-platnosc.pl".

Podszywanie pod: np. PGE, Tauron, Enea, Energa.

Scenariusz: SMS lub e-mail: „Twoja faktura za energię nr ES1680/88/978 jest przeterminowana. Ureguluj zadłużenie 12,40 zł lub nastąpi odłączenie: pge-platnosc.pl”. Panikujesz. Płacisz. Podajesz dane karty. Tracisz kilka tysięcy złotych.

Co się naprawdę wydarzyło: Fałszywa strona płatności za energię wyłudza od ciebie dane karty. Następnie realizowane są nią transakcje w internecie aż do osiągnięcia dobowego limitu.

Zwróć uwagę na: Strach przed odcięciem prądu powoduje, że działasz bez zastanowienia – dokładnie o to chodzi oszustom. Dostawcy takich usług mogą wysyłać upomnienia w wiadomości SMS. Zwracaj szczególną uwagę na domenę.

Więcej na temat scenariusza „Fałszywa faktura – SMS o dopłacie” znajdziesz tutaj.

🏛️ Fałszywy urząd (ZUS, NFZ, US, e-TOLL, gov.pl)

Scenariusz: SMS: "Masz zaległość w ZUS: 47,00 zł. Ureguluj na: zus-platnosc.pl lub sprawa trafi do komornika".

Podszywanie pod: np. ZUS, NFZ, Urząd Skarbowy, Inspekcja Transportu Drogowego

Scenariusz: SMS: „Masz zaległość w ZUS: 47,00 zł. Ureguluj na: zus-platnosc.pl lub sprawa trafi do komornika”. Lęk przed komornikiem czy wierzycielami działa skutecznie. Wchodzisz w link, płacisz, tracisz znacznie większe pieniądze.

Co się naprawdę wydarzyło: Fałszywa strona płatności wyłudza od ciebie dane logowania do konta. Wykorzystuje podszywanie się pod bramkę płatności. Oszust wyłudza twoje dane, aby zalogować się na twoje konto i zlecić transakcję. Ty ją autoryzujesz myśląc, że autoryzujesz znacznie mniejszą kwotę.

Zwróć uwagę na: ZUS, US i NFZ nigdy nie wysyłają linków do płatności przez SMS. Sprawy formalne zawsze mają pisemne potwierdzenie. W momencie autoryzacji transakcji bankowej czytaj uważnie powiadomienia w aplikacji lub SMS. Zwróć szczególną uwagę na kwoty i odbiorców.

Szczegółowy opis scenariusza „Fałszywy urząd – SMS o zaległości” jest opisany tutaj.

🎬 Fałszywa subskrypcja (Netflix, Disney+, streaming)

Scenariusz: SMS: "NETFLIX: Twoje konto zostało zawieszone z powodu nieudanej płatności. Zaktualizuj dane: netflix-odnowienie.pl".

Scenariusz: SMS: „NETFLIX: Twoje konto zostało zawieszone z powodu nieudanej płatności. Zaktualizuj dane: netflix-odnowienie.pl”. Podajesz dane karty – i tracisz znacznie więcej niż miesięczna subskrypcja.

Co się naprawdę wydarzyło: Fałszywa strona płatności wyłudza od ciebie dane karty. Następnie realizowane są nią transakcje w internecie aż do osiągnięcia dobowego limitu.

Zwróć uwagę na: wszelkie sprawy związane z płatnościami za subskrypcje załatwiaj tylko po zalogowaniu do danej platformy.

Szczegółowy opis tego scenariusza znajdziesz tutaj.

Co zrobić po otrzymaniu fałszywego SMS-a? Jak nie dać się oszukać?

Na pierwszy rzut oka ogrom wariantów oszustw SMS-owych może przerażać. Mają one jednak wiele wspólnych cech.
Tak naprawdę jednak wystarczy zapamiętać kilka kluczowych wskazówek, by znacząco ograniczyć ryzyko.

Zawsze sprawdzaj:

  • Czy domena w SMS-ie to oficjalna strona firmy (np. inpost.pl) czy coś podobnego (inpost-paczka.pl, inp0st.com)?
  • Czy SMS zawiera skrócony link (bit.ly, tinyurl)? To podejrzane.
  • Czy ktoś wywiera presję czasu? („zapłać teraz”, „wygaśnie za 24h”) — to celowe działanie, by nie dać Ci czasu na myślenie.

Pamiętaj, by nigdy:

  • Nie podawać danych karty po kliknięciu linku z SMS-a.
  • Nie podawać kodu BLIK nikomu, kto prosi o niego przez SMS/komunikator.
  • Nie instalować aplikacji z linku otrzymanego SMS-em.
  • Nie dzwonić pod numer podany w podejrzanym SMS-ie.

Jak reagować na podejrzaną sytuację?

  • Masz podejrzanego SMS-a? Prześlij go do nas na 508 700 900.
  • Chcesz się upewnić, czy wiadomość jest prawdziwa? Samodzielnie skontaktuj się z nadawcą poprzez nr telefonu na jego stronie internetowej.

Jako podsumowanie załączamy poniższą infografikę.

Infografika przedstawiająca schemat oszustwa
11 czerwca 2026
Mundialowy „pewniak”, który wyczyści konto. Analiza kampanii deepfake w przededniu Mistrzostw Świata
Dowiedz się więcej
5 czerwca 2026
Fałszywy sklep wykorzystuje popularność Łatwoganga. Jak rozpoznać oszustwo?
Dowiedz się więcej
3 czerwca 2026
Uważaj na fałszywe maile z podszyciem pod Pocztę Polską. Oszuści masowo wyłudzają dane kart
Dowiedz się więcej