W ten sposób, można stracić z konta wszystkie pieniądze. Każdy może otrzymać taką wiadomość od "fiskusa"

• Co to jest phishing i pokrewny mu – smishing?
• Jak rozpoznać wiadomość phishingową lub smishingową?
• Co na temat zwalczania phishingu i smishingu mówi prawo i gdzie można dokonać zgłoszenia podejrzanej wiadomości e-mail lub sms?
• Jest sposób na zminimalizowanie ryzyka stania się ofiarą phishingu lub smishingu – uruchomienie oficjalnych powiadomień o zagrożeniach i aktualnych schematach oszustw
• Najnowsze ostrzeżenia dotyczące cyberataków phishingowych i smishingowych – jeżeli nie zachowasz ostrożności, przestępcy mogą „wyczyścić” do zera Twoje konto bankowe
• W 2024 r. popularne były oszustwa phishingowe „na dziecko” – skierowane do rodziców

Co to jest phishing i pokrewny mu – smishing?

Phishing jest jednym z rodzajów cyberataków – najczęstszym w 2024 r. (w którym odnotowano jego 40 120 przypadków¹, co stanowi aż 39% wszystkich incydentów zarejestrowanych przez CERT Polska), tak jak i w latach poprzednich (41 423 przypadki w roku 2023). Polega on na wyłudzaniu od ofiary przestępstwa poufnych danych, np. loginu i hasła do poczty, strony banku, portalu społecznościowego lub innej usługi online albo PIN-u lub numeru karty kredytowej. Phishing przyjmuje często formę wiadomości e-mail imitujących komunikaty od banków lub innych instytucji, z prośbą o potwierdzenie danych lub kliknięcie linka do fałszywej strony. Ofiarą phishingu mogą stać się nie tylko osoby fizyczne, ale także przedsiębiorcy, którym przesyłane są m.in. fałszywe wezwania do zapłaty za usługi lub zaległe faktury. Jeżeli przestępcy uda się wyłudzić od ofiary dane niezbędne do zalogowania się np. do jej konta bankowego – skutek jest łatwy do przewidzenia: oczywiście, znikną z niego wszystkie pieniądze. W 2024 r. – jak wynika z raportu CERT Polska – wśród popularnych kampanii phishingowych były m.in. przypadki nieuprawnionego wykorzystywania wizerunku serwisów sprzedażowych OLX – 9865 przypadków, Allegro – 4053 przypadki oraz serwisu społecznościowego Facebook – 3871 przypadków.

Phishing jest terminem pochodzącym od angielskiego słowa fishing, czyli – łowić ryby. Analogicznie do łowienia ryb – cyberprzestępcy posługujący się tym typem oszustwa komputerowego – stosują bowiem „przynętę”, by nakłonić ofiarę do ujawnienia poufnych danych.

Zbliżonym do phishingu rodzajem cyberataku – jest smishing, który również polega (tak jak phishing) na wyłudzaniu od ofiary przestępstwa poufnych danych, ale jest to czynione za pośrednictwem fałszywej wiadomości sms, a nie wiadomości e-mail. Pojęcie smishingu, zostało zdefiniowane w ustawie z dnia 28.07.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej i w myśl jej art. 3 pkt 2 stanowi – wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania.

Jak rozpoznać wiadomość phishingową lub smishingową?

W rządowym poradniku pt. „Czym jest PHISHING i jak nie dać się nabrać na podejrzane wiadomości e-mail oraz SMS-y?”, wypunktowano wskazówki, które mogą być pomocne w rozpoznaniu wiadomości e-mail lub sms, która ma na celu wyłudzenie poufnych danych. Otrzymując podejrzaną wiadomość e-mail lub sms, warto zatem zawsze zwrócić uwagę:

• Czy ma ona niepoprawną gramatykę, interpunkcję, pisownię, czy też brak jest polskich znaków diakrytycznych np. nie używa się „ą”, „ę” itd. – jest to często spotykana cecha wiadomości phsishingowych i smishingowych,
• Czy wiadomość pochodzi z organizacji, na którą powołuje się nadawca. Często adres e-mailowy nadawcy jest zupełnie niewiarygodny lub też nie jest tożsamy np. z podpisem pod treścią wiadomości,
• Na wygląd i ogólną jakość wiadomości i zastanowić się czy może ona pochodzić z organizacji / firmy, która jest jej nadawcą (czy posiada np. stopkę z danymi nadawcy, logotyp itd.),
• Czy wiadomość jest zaadresowana do Ciebie z imienia i nazwiska, czy też używa sformułowań takich jak np. „ceniony klient”, „przyjaciel” lub „współpracownik” – w ten sposób, można rozpoznać czy nadawca wiadomości rzeczywiście Cię zna,
• Czy wiadomość zawiera polecenia, które mają nakłonić się do podjęcia natychmiastowego działania – np. „wyślij te dane w ciągu 24 godzin” lub „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast”,
• Na nazwę nadawcy – czy  wygląda ona na prawdziwą, czy może tylko naśladuje kogoś, kogo znasz,
• Czy wiadomość brzmi „zbyt dobrze”, aby mogła być prawdziwa (mało prawdopodobne jest np. aby ktoś chciał dać Ci pieniądze),
• Czy jest to wiadomość z banku lub jakiejkolwiek instytucji, która prosi Cię o podanie w wiadomości Twoich danych osobowych – taka sytuacja nigdy nie bowiem powinna mieć miejsca,
• Czy jest to wiadomość z urzędu administracji publicznej, który prosi Cię o dopłatę do szczepionki czy uregulowanie należności podatkowych – taka sytuacja również nigdy nie powinna mieć miejsca,
• Na skrócone linki – jeżeli link nie jest w pełni widoczny – najedź na niego wskaźnikiem myszy (nie klikaj), a na dole przeglądarki zostanie wyświetlony pełen adres linku.

Jeśli zauważysz podejrzaną wiadomość e-mail lub sms – oznacz ją jako spam lub zablokuj numer, z którego ją otrzymałeś. W przypadku wiadomości z banku lub innej instytucji – przed wykonaniem zawartego w niej polecenia – zadzwoń do ww. banku lub innej instytucji, będącej rzekomym nadawcą wiadomości i zapytaj czy rzeczywiście oczekuje od Ciebie podjęcia działań, o których mowa w wiadomości.

Co na temat zwalczania phishingu i smishingu mówi prawo i gdzie można dokonać zgłoszenia podejrzanej wiadomości e-mail lub sms?

Najważniejszym aktem prawnym, w tym zakresie, jest – ustawa z dnia 28.07.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej, która weszła w życie we wrześniu 2023 r., ale większość jej przepisów dotyczących szczegółowych rozwiązań – zaczęła obowiązywać na przestrzeni roku 2024. Określa ona m.in.:

• prawa i obowiązki przedsiębiorców telekomunikacyjnych związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem, jak również
• obowiązki dostawcy poczty elektronicznej oraz podmiotu publicznego, związane ze świadczeniem i korzystaniem z poczty elektronicznej w celu zapobiegania nadużyciom w komunikacji elektronicznej.

W ustawie tej – zostało zdefiniowane pojęcie tzw. smishingu (o czym była już mowa powyżej) oraz obowiązki CSIRT NASK (czyli Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego), którym jest Zespół CERT Polska. Cert Polska jest działającym w strukturach NASK – Państwowego Instytutu Badawczego, zespołem odpowiedzialnym za obsługę incydentów bezpieczeństwa i współpracę z podobnymi jednostkami na całym świecie – zarówno w działalności operacyjnej, jak i badawczo-wdrożeniowej. Jako CSIRT NASK – zgodnie z art. 26 ustawy z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa – CERT Polska odpowiada m.in. za:

• monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym,
• wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa,
• reagowanie na zgłoszone incydenty oraz
• koordynację obsługi incydentów.

Jednym z zadań CERT Polska w zakresie zwalczania smishingu – wynikającym z art. 4 ustawy z dnia 28.07.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej – jest prowadzenie wykazu wzorców złośliwych wiadomości SMS, do którego dostęp mają operatorzy SMS. Na podstawie otrzymanych zgłoszeń – CERT Polska umieszcza w nim tzw. wyrażenia regularne, które opisują konkretne wiadomości lub całe kampanie SMS. W ciągu 5 min od upublicznienia takiego wyrażenia w ww. rejestrze – wzorzec zostaje automatycznie pobrany i operatorzy telekomunikacyjni mają obowiązek blokowania każdej wiadomości, która pasuje do tego wzorca. Niezależnie od powyższego – CERT Polska prowadzi również wykaz tzw. nadpisów SMS, które zarezerwowane są dla podmiotów publicznych. Jeżeli jakaś instytucja publiczna zgłosi do Zespołu taki nadpis – otrzymuje do niego pełne prawo, co skutkuje zablokowaniem próby wysłania wiadomości z danym nadpisem przez innego nadawcę. Z wykorzystaniem powyższych narzędzi – w 2024 r., CERT Polska zablokowało 1 475 366 wiadomości SMS, które mogłyby narazić ich niedoszłych odbiorców na poważne konsekwencje. W wykazie nadpisów, zostało natomiast umieszczonych 271 nadpisów, zarejestrowanych przez 254 instytucje.¹

Jak pokazują powyższe dane – skala zjawiska jest ogromna, dlatego tak ważne jest zachowanie szczególnej ostrożności w odczytywaniu wiadomości e-mail i sms pochodzących od nieznanych nadawców oraz we „wchodzeniu”/kikaniu w podejrzane (nadsyłane przez nich) linki, przez użytkowników telefonów komórkowych i poczty elektronicznej oraz zgłaszanie takich podejrzanych wiadomości (zarówno e-mailowych, jak i sms-owych) do CERT Polska (któremu od dnia 28 sierpnia 2018 r. zostały powierzone obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa). W ten sposób, można bowiem, w realny sposób, przyczynić się do zwalczania phishingu i smishingu oraz uchronić tysiące ludzi przed ryzykiem zostania ofiarą cybertataku.

Jest sposób na zminimalizowanie ryzyka stania się ofiarą phishingu lub smishingu – uruchomienie oficjalnych powiadomień o zagrożeniach i aktualnych schematach oszustw

Celem uchronienia jak największej liczby osób przed phishingiem i smishingiem, poprzez docieranie – z komunikatami o obserwowanych aktualnie schematach oszustw – do jak największej grupy odbiorców – CERT Polska, we współpracy z Centralnym Ośrodkiem Informatyki, w ramach aplikacji mObywatel (Bezpiecznie w sieci), uruchomiło usługę powiadamiania o zagrożeniach. Powiadomienia te są dobrowolne, więc każdy zainteresowany nimi użytkownik – musi je samodzielnie włączyć. Można to zrobić za pomocą przycisku Więcej w prawym dolnym rogu ekranu głównego (w aplikacji mObywatel), a następnie w sekcji Ustawienia wybrać Powiadomienia i zaznaczyć odpowiednie pole w sekcji Usługi → Bezpiecznie w sieci. W uruchomieniu powiadomień, pomocna może okazać się poniższa infografika (opracowana przez CERT Polska):

Jak informuje CERT Polska – z ww. usługi powiadomień o zagrożeniach, korzysta już ponad 160 tys. użytkowników. „Wysyłane przez Zespół powiadomienia mogą dotyczyć konkretnej kampanii lub nasilenia powracających wyłudzeń, np. w okresie przedświątecznym są to oszustwa związane z wiadomościami o problemach z dostarczeniem przesyłki” – wyjaśnia CERT Polska i zachęca do jak najpowszechniejszego korzystania z usługi.

Informacje o największych kampaniach oszustów publikowane są także równolegle na profilach CERT Polska w mediach społecznościowych: na Facebooku (LINK), X (LINK) oraz LinkedInie (LINK).

Najnowsze ostrzeżenia dotyczące cyberataków phishingowych i smishingowych – jeżeli nie zachowasz ostrożności, przestępcy mogą „wyczyścić” do zera Twoje konto bankowe

Wśród najnowszych komunikatów związanych z zagrożeniami phishingowych i smishingowych ataków – znajduje się m.in. ostrzeżenie Ministerstwa Finansów o podszywaniu się przez cyberprzestępców pod Ministerstwo Finansów i urząd skarbowy:

– „Przestrzegamy przed oszustami, którzy podszywają się pod Ministerstwo Finansów lub Krajową Administrację Skarbową. Za pomocą e-maili i fałszywych stron internetowych takich jak podatki-pl[.]web.app , podatki-pl[.]firebaseapp.com , pl-logowaniegov[.]com.es próbują wyłudzić dane podatników. Oszuści proszą o podanie numeru PESEL, numeru paszportu, nazwiska panieńskiego matki i numeru telefonu, dzięki czemu podatnik ma rzekomo uzyskać „dostęp do swojego podatku”.

Podatnicy nie powinni podawać danych osobowych takich jak PESEL czy numer rachunku bankowego. Przestrzegamy również, by nie podawać nikomu danych do logowania do e-Urzędu Skarbowego lub PIN-u do aplikacji e-Urząd Skarbowy.

Do podatników trafiają również fałszywe maile z informacją o nadpłacie podatku PIT. Oszuści podszywający się pod urząd skarbowy proszą o potwierdzenie danych identyfikacyjnych oraz rachunku bankowego wskazanego do wypłaty.

Ministerstwo Finansów i Krajowa Administracja Skarbowa nigdy nie powiadamiają w e-mailach o weryfikacji deklaracji PIT i nie przesyłają w nich linków. Pracownicy resortu finansów nie nakłaniają podatników, by za pomocą bankowości elektronicznej potwierdzili dane rachunku w celu otrzymania zwrotu nadpłaty.

Informacje o nadpłacie podatku podatnik znajdzie w e-Urzędzie Skarbowym (e-US) na stronie podatki.gov.pl. Może się do niego zalogować wybraną metodą na rządowej platformie login.gov.pl. W e-US podatnik może też śledzić status zwrotu podatku.” – czytamy w komunikacie Ministerstwa Finansów z dnia 27 marca 2025 r.

Z pełną treścią ww. komunikatu, można zapoznać się pod adresem: LINK.

CERT Polska informuje z kolei o rozsyłanych przez oszustów e-mailach o rzekomym nieodebraniu przesyłki w ramach eDoręczenia:

– „To socjotechnika! W wiadomości znajduje się link, który prowadzi do strony podszywającej się pod portal biznes.gov.pl. Fałszywa strona wyłudza dane logowania do poczty elektronicznej.

Zwróćcie uwagę na nadawcę wiadomości i pamiętajcie, żeby takie maile zgłaszać korzystając z formularza dostępnego tutaj: https://incydent.cert.pl” (komunikat CERT Polska z 1 kwietnia 2025 r.)

15 kwietnia 2025 r. Orange Polska – jeden z większych operatorów komórkowych w Polsce, poinformował natomiast o podszywaniu się oszustów również pod Orange:

– „Uważajcie na wiadomości tekstowe podszywające się pod Orange! Pod pozorem rzekomo wygasającej umowy oszuści chcą przejąć Wasze konta w usługach Orange.

Phishingowe wiadomości wysyłane są ze zwykłych numerów, treść wiadomości analizowanej przez CERT Orange Polska wyglądała jak poniżej:

Analiza CERT Orange Polska wykazała, że użyty phishkit przygotowany jest do wykradania loginu, hasła oraz jednorazowego hasła, wysyłanego SMS-em lub mailem. (…) Jeśli trafi do Ciebie podejrzany SMS – prześlij go do nas na nr 508 700 900. Jeśli dostaniesz e-mail, co do rzetelności którego masz wątpliwości – nasz adres cert.opl@orange.com jest do Twojej dyspozycji.” – informuje operator.

14 kwietnia 2025 r. Orange Polska przestrzegał również przed fałszywymi wiadomościami z rzekomego banku BNP Paribas oraz platformy streamingowej Netflix. W ramach pierwszego ataku – w którym oszuści podszywali się pod bank BNP Paribas – użytkownik otrzymywał wiadomość ze strefy numeracyjnej +385 (Chorwacja), w której sugerowana była konieczność weryfikacji konta, w przeciwnym przypadku zostałoby ono bowiem zablokowane:

– „Kolejne kroki to znany schemat. Strona będąca wierną kopią witryny BNP Paribas najpierw prosi o login i hasło, następnie jednak o informacje, o które na poziomie logowania banki nie proszą:

• imię i nazwisko,
• PESEL,
• numer telefonu,
• e-mail,
• nazwisko panieńskie matki.

Po co takie dane? To komplet informacji wymaganych do połączenia aplikacji mobilnej po stronie oszustów, ale przede wszystkim do… przeprowadzenia dowolnej transakcji finansowej w imieniu ofiary.” – poinformował Orange.

W ramach oszustwa na Netflix, motywem była natomiast odrzucona płatność. W tym przypadku wiadomości przychodziły z numerów rozpoczynających się od +33 (Francja) i brzmiały w następujący sposób:

Następnie pojawiała się informacja o zawieszeniu konta i rozłączeniu Netflixa ze wszystkim urządzeniami. „W takiej sytuacji emocje mogą wziąć w górę i ofiara zanim zastanowi się co się dzieje, poda dane swojej karty.” – wyjaśnił Orange.

W 2024 r. popularne były oszustwa phishingowe „na dziecko” – skierowane do rodziców

Jednym z ciekawszych (i jednocześnie bardziej niepokojących) przypadków oszustw phishingowych popularnych w ubiegłym roku, który w swoim raporcie (tj. „Raporcie rocznym 2024 z działalności CERT Polska. Krajobraz bezpieczeństwa polskiego internetu”) opisuje CERT Polska – jest oszustwo „na dziecko” – kampania przestępców phishingowych, która celowana jest w rodziców.

Oszuści – z wykorzystaniem popularnego komunikatora WhatsApp – wysyłali do swoich ofiar wiadomość np. o treści: „Cześć Mamo rozwlił się mój telefon zapisz sobie nowy numer napisz do mnie czy doszła moja wiadomość”. W związku z tym, że CERT Polska zablokował pewien wzorzec wiadomości – przestępcy, celem kontynuowania procederu – popełniali w kolejnych wiadomościach zamierzone błędy ortograficzne i stosowali inne topograficzne sztuczki lub podmienianie liter, co pozwalało im na omijanie zabezpieczeń. Takie podejrzane wiadomości z błędami – powinny więc, tym bardziej, zaniepokoić ich odbiorców.

– „Oszust przedstawiał się w sposób jednoznacznie sugerujący, że jest dzieckiem adresata, oraz informował, że jego telefon uległ zniszczeniu – co miało uzasadnić napisanie z nowego numeru. W części przypadków ofiara była proszona o dalszy kontakt za pośrednictwem WhatsAppa. Celem kampanii było wyłudzenie środków finansowych od nieświadomych sytuacji rodziców.

I to działa, bo chociaż dla wielu osób wydatek kilku tysięcy złotych na telefon nie przychodzi lekko, to oszuści byli otwarci na negocjacje – proponowali zakup tańszego telefonu, pozwalali na inne formy płatności, a nawet prowadzili krok po kroku w procesie rzekomego zakupu, często wyłudzając przy okazji również dane karty płatniczej.” – przestrzegają eksperci CERT Polska.

W dzisiejszych czasach rozpowszechnionej komunikacji elektronicznej – otrzymując wiadomości z nieznanego numeru lub adresu e-mail, powinniśmy zatem zachować szczególną czujność i dużą dozę ostrożności – nawet jeżeli ich nadawca podaje się za nasze dziecko lub wnuka, a wszelkie podejrzane przypadki – niezwłocznie zgłaszać do właściwych organów i instytucji.

¹ Cert Polska, Raport roczny 2024 z działalności CERT Polska. Krajobraz bezpieczeństwa polskiego internetu, Warszawa 2025

Podstawa prawna:

• Ustawa z dnia 28.07.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (t.j. Dz.U. z 2024 r., poz. 1803)
• Ustawa z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2024 r., poz. 1077 z późn. zm.)