Transparentność cyberranking.pl zarabia na prowizjach od producentów (model afiliacyjny). Nie wpływa to na treść tego poradnika ani na to, które narzędzia polecam. Więcej na stronie O nas.

Szybka odpowiedź

Phishing to próba wyłudzenia danych przez podszywanie się pod kogoś, komu ufasz: bank, kuriera, sklep czy znajomego. Obrona stoi na trzech filarach. Po pierwsze, czujność: nie klikaj w linki z wiadomości, tylko sam wpisuj adres w przeglądarce. Po drugie, narzędzia, które wyłapują to, co przeoczysz: menedżer haseł nie uzupełni danych na fałszywej stronie, a antywirus i blokada złośliwych domen zatrzymają znane oszustwa.

Po trzecie, dwuetapowe uwierzytelnianie, dzięki któremu samo hasło nie wystarczy przestępcy do przejęcia konta. Według raportu CERT Polska phishing odpowiadał za 30 procent wszystkich incydentów cyberbezpieczeństwa w Polsce w 2025 roku. Żaden pojedynczy element nie daje stuprocentowej ochrony, ale razem zostawiają oszustowi bardzo mało miejsca na błąd.

Ile ataków phishingowych było w Polsce w 2025 roku?

Phishing nie jest abstrakcją z zagranicznych raportów. To najczęstszy typ ataku, z jakim mierzą się polscy użytkownicy. Dane z raportu CERT Polska za 2025 rok pokazują skalę, która robi wrażenie.

78 391
incydentów phishingu w 2025 roku
30%
tyle phishing stanowił wszystkich incydentów
245 tys.
złośliwych domen na Liście Ostrzeżeń CERT

Przestępcy najczęściej podszywali się pod serwisy, które wszyscy znamy. Pod logo i wygląd OLX podszyto się ponad 28 tysięcy razy, pod Allegro ponad 22 tysiące. Do tego dochodzi phishing SMS-owy, czyli fałszywe wiadomości o paczkach, dopłatach i blokadach konta. CERT Polska przyjął w 2025 roku blisko 300 tysięcy zgłoszeń podejrzanych SMS-ów.

Wniosek jest prosty. Prędzej czy później taka wiadomość trafi do ciebie. Pytanie nie brzmi "czy", tylko "czy będziesz przygotowany".

Źródło danych: Raport roczny CERT Polska za 2025 rok.

Jak rozpoznać phishing?

Większość ataków zdradza się tymi samymi sygnałami. Jeśli nauczysz się ich wypatrywać, odsiejesz zdecydowaną większość oszustw jeszcze przed kliknięciem.

  • Adres nadawcy i adres strony nie zgadzają się z prawdziwym. Phishing używa domen łudząco podobnych: allegro-pl.com zamiast allegro.pl, inpost-paczka.info zamiast inpost.pl. Jedna literka różnicy wystarczy.
  • Presja czasu i straszenie. Konto zostanie zablokowane, paczka wróci do nadawcy, dopłać 1,80 zł w ciągu godziny. Pośpiech ma wyłączyć twoje myślenie.
  • Prośba o dane, których nikt normalnie nie zbiera przez link. Bank nigdy nie poprosi cię mailem o pełne hasło, PIN czy kod BLIK.
  • Link, który wygląda inaczej niż tekst. Najedź kursorem na odnośnik (na telefonie przytrzymaj), zanim klikniesz. Adres docelowy bywa zupełnie inny niż napis.
  • Drobne błędy językowe i dziwne sformułowania. Coraz rzadsze, bo oszuści używają translatorów, ale wciąż się zdarzają.
Złota zasada Nie klikaj w link z wiadomości, nawet jeśli wygląda wiarygodnie. Otwórz przeglądarkę i samodzielnie wpisz adres banku czy sklepu albo użyj zapisanej zakładki. To jeden nawyk, który zatrzymuje większość ataków.

Filar 1: Menedżer haseł, który nie da się nabrać

To najbardziej niedoceniana obrona przed phishingiem, a przy tym jedna z najskuteczniejszych. Menedżer haseł uzupełnia dane logowania automatycznie, ale tylko wtedy, gdy adres strony dokładnie zgadza się z tym, dla którego hasło zostało zapisane.

Na czym polega sztuczka? Człowiek patrzy na stronę, widzi logo banku, znajome kolory i wpisuje hasło, bo "wygląda dobrze". Program nie patrzy na wygląd, tylko na adres. Jeśli zapisałeś hasło dla allegro.pl, na allegro-pl.com automatyczne uzupełnianie po prostu się nie uruchomi. Brak podpowiedzi to dla ciebie czerwona lampka: coś tu jest nie tak. W ten sposób menedżer haseł wyłapuje literówki w adresach, których oko nie zauważa.

Przy okazji rozwiązujesz drugi problem: przestajesz używać tego samego hasła w wielu miejscach. Gdy jedno wycieknie, reszta kont zostaje bezpieczna. Jak wybrać konkretny program, rozkładam w rankingu menedżerów haseł.

Polecane

1Password lub NordPass

1Password to wygodny, dopracowany menedżer z rozbudowanym automatycznym uzupełnianiem i trybem podróżnym. NordPass stawia na prostotę i działa świetnie, jeśli korzystasz już z innych produktów Nord. Oba dokładnie sprawdzają domenę przed wpisaniem hasła, więc oba chronią przed phishingiem tak samo.

Sprawdź 1Password Sprawdź NordPass
linki partnerskie

Filar 2: Dwuetapowe uwierzytelnianie

Załóżmy, że mimo wszystko ktoś wyłudzi twoje hasło. Dwuetapowe uwierzytelnianie sprawia, że samo hasło mu nie wystarczy. Przy logowaniu z nowego urządzenia trzeba podać drugi składnik: kod z aplikacji, klucz sprzętowy albo potwierdzenie w telefonie.

Ważna uwaga: nie wszystkie formy są równie odporne. Kody SMS są lepsze niż nic, ale da się je przechwycić. Lepsza jest aplikacja uwierzytelniająca generująca kody w telefonie (na przykład Google Authenticator albo otwartoźródłowy Aegis na Androida). Najmocniejszy jest fizyczny klucz bezpieczeństwa (na przykład w standardzie FIDO2), bo nie da się go wyłudzić przez fałszywą stronę. Wiele menedżerów haseł potrafi też przechowywać i podawać te kody w jednym miejscu.

Od czego zacząć Włącz dwuetapowe uwierzytelnianie najpierw na poczcie i w banku. Skrzynka mailowa to klucz do reszty kont, bo przez nią resetuje się hasła wszędzie indziej. Krok po kroku opisuję to w poradniku jak zabezpieczyć konto online.

Filar 3: Antywirus z ochroną antyphishingową

Dobry pakiet antywirusowy ma moduł ochrony internetowej, który działa jak filtr między tobą a siecią. Gdy klikniesz w link prowadzący do znanej fałszywej strony, program blokuje ją, zanim się załaduje, i pokazuje ostrzeżenie. Skanuje też załączniki z poczty, bo phishing często doczepia plik z ukrytym złośliwym oprogramowaniem.

Bądźmy uczciwi: antywirus nie zatrzyma każdego ataku. Świeżo utworzone domeny phishingowe (a powstają tysiącami dziennie) nie zawsze są jeszcze na listach blokad. Dlatego antywirus to warstwa, nie cudowna tarcza. Ale warstwa wartościowa, zwłaszcza dla osób mniej technicznych i dla domowych komputerów, z których korzysta cała rodzina.

W ochronie antyphishingowej dobrze wypadają Bitdefender i Norton, oba z rozbudowanymi filtrami stron i wysokimi ocenami w testach laboratoriów. Jak wypadają w pełnym zestawieniu, sprawdzisz w rankingu programów antymalware.

Polecane

Bitdefender lub Norton 360

Bitdefender od lat należy do czołówki testów wykrywania zagrożeń i ma mocny filtr antyphishingowy. Norton 360 dorzuca do ochrony internetowej menedżer haseł, monitoring dark webu i kopię w chmurze, więc dobrze sprawdza się jako jeden pakiet dla całej rodziny.

Sprawdź Bitdefender Sprawdź Norton 360
linki partnerskie

Czy VPN chroni przed phishingiem?

Tu trzeba rozprawić się z mitem. Sam VPN nie chroni przed phishingiem. VPN szyfruje twoje połączenie i ukrywa adres IP, ale nie analizuje treści stron, które odwiedzasz. Jeśli sam wpiszesz hasło na fałszywej stronie, VPN nic na to nie poradzi.

Jest jednak haczyk na korzyść użytkownika. Najpopularniejsze usługi dorzucają osobny moduł, który blokuje znane złośliwe i phishingowe domeny na poziomie DNS, czyli zanim strona w ogóle się załaduje. NordVPN nazywa to Ochroną przed zagrożeniami, Surfshark to CleanWeb. To działa niezależnie od szyfrowania.

I nie są to puste deklaracje. W niezależnym teście antyphishingowym AV-Comparatives ze stycznia 2026 Ochrona przed zagrożeniami od NordVPN zablokowała 92 procent złośliwych stron, bez fałszywych alarmów. Jeśli masz już VPN albo i tak rozważasz jego zakup (do publicznego Wi-Fi czy prywatności), ta funkcja jest sensownym bonusem antyphishingowym. Pełne porównanie usług znajdziesz w rankingu VPN.

Dodatkowa warstwa

NordVPN z Ochroną przed zagrożeniami

Jeśli i tak potrzebujesz VPN, wybierz taki z aktywną blokadą złośliwych domen. NordVPN łączy szyfrowanie połączenia z filtrem, który zatrzymuje znane strony phishingowe i złośliwe pliki. Potraktuj to jako uzupełnienie menedżera haseł i antywirusa, nie ich zamiennik.

Sprawdź NordVPN Sprawdź Surfshark (CleanWeb)
linki partnerskie

Kliknąłem w link. Co teraz?

Zdarza się każdemu, łącznie z ludźmi z branży. Jeśli kliknąłeś w link phishingowy, a tym bardziej jeśli podałeś dane, liczy się czas. Działaj po kolei.

  • Zmień hasło do konta, którego dane podałeś. Jeśli używałeś tego samego hasła gdzie indziej, zmień je też tam.
  • Włącz dwuetapowe uwierzytelnianie, jeśli jeszcze go nie miałeś na tym koncie.
  • Wyloguj wszystkie sesje i sprawdź historię logowań pod kątem nieznanych urządzeń.
  • Skontaktuj się z bankiem, jeśli w grę wchodziły dane karty lub logowania do bankowości. W razie potrzeby zastrzeż kartę.
  • Przeskanuj urządzenie antywirusem, zwłaszcza jeśli pobrałeś jakiś plik z fałszywej strony.
  • Zgłoś incydent do CERT Polska na stronie incydent.cert.pl. Pomagasz w ten sposób zablokować domenę dla innych.

Warto też sprawdzić, czy twoje dane nie krążą już po sieci po wcześniejszych wyciekach. Usługi monitoringu wycieków sprawdzają, czy twój adres e-mail lub numer telefonu pojawił się w wykradzionych bazach, i ostrzegają, gdy coś się zmieni. Taki monitoring jest częścią pakietu Surfshark One (funkcja Alert) oraz Norton 360 (monitoring dark webu). Jak ograniczyć swój cyfrowy ślad, opisuję w poradniku jak usunąć dane z internetu.

Lista kontrolna na dziś

Nie musisz wdrażać wszystkiego naraz. Zacznij od rzeczy, które dają najwięcej bezpieczeństwa najmniejszym wysiłkiem.

Krok 1, dziś

Dwuetapowe na poczcie i w banku

Najważniejsze konta najpierw. Skrzynka mailowa to klucz do wszystkich pozostałych.

Krok 2, w tym tygodniu

Menedżer haseł

Jedno narzędzie, które generuje unikalne hasła i blokuje logowanie na fałszywych domenach.

Krok 3

Antywirus z ochroną internetową

Filtr stron i skanowanie załączników, zwłaszcza na domowym komputerze całej rodziny.

Krok 4, nawyk

Nie klikaj, wpisuj sam

Adres banku czy sklepu wpisuj ręcznie lub z zakładki. Żadne narzędzie nie zastąpi tego odruchu.

Najczęstsze pytania

Jak najprościej rozpoznać phishing?
Sprawdź adres nadawcy i adres strony, na którą prowadzi link. Phishing prawie zawsze używa domeny podobnej do prawdziwej, ale nie identycznej, na przykład allegro-pl.com zamiast allegro.pl. Drugi sygnał to presja czasu i straszenie: konto zostanie zablokowane, paczka wróci do nadawcy, musisz dopłacić w ciągu godziny. Prawdziwe instytucje nie wymuszają natychmiastowego działania przez link w wiadomości. Najlepszy odruch to nie klikać w link, tylko samodzielnie wpisać adres banku czy serwisu w przeglądarce.
Czy menedżer haseł chroni przed phishingiem?
Tak, i jest to jedna z najskuteczniejszych obron. Menedżer haseł podpowiada zapisane dane logowania tylko wtedy, gdy adres strony dokładnie zgadza się z tym, dla którego hasło zostało zapisane. Na fałszywej domenie, nawet łudząco podobnej, automatyczne uzupełnianie po prostu się nie uruchomi. Brak podpowiedzi to dla ciebie sygnał ostrzegawczy, że strona nie jest tym, za co się podaje. Człowiek daje się nabrać na literówkę w adresie, program nie.
Czy antywirus zatrzyma phishing?
Dobry antywirus ma moduł ochrony internetowej, który blokuje znane fałszywe strony, zanim się załadują, oraz skanuje załączniki z poczty. Nie zatrzyma jednak każdego nowego ataku, bo świeżo utworzone domeny phishingowe nie zawsze są jeszcze na listach blokad. Antywirus to ważna warstwa, ale nie zwalnia z czujności. Najlepiej działa razem z menedżerem haseł i dwuetapowym uwierzytelnianiem.
Co zrobić, jeśli kliknąłem w link phishingowy i podałem hasło?
Działaj szybko. Natychmiast zmień hasło do konta, którego dane podałeś, a jeśli używasz tego samego hasła gdzie indziej, zmień je też tam. Włącz dwuetapowe uwierzytelnianie, jeśli jeszcze go nie masz. Jeśli chodziło o dane bankowe lub kartę, zadzwoń do banku i zastrzeż kartę. Sprawdź historię logowań na koncie i wyloguj wszystkie sesje. Zgłoś incydent do CERT Polska na stronie incydent.cert.pl. Przez kolejne dni obserwuj konto i pocztę pod kątem nietypowej aktywności.
Czy VPN chroni przed phishingiem?
Sam VPN nie chroni przed phishingiem, bo szyfruje połączenie, ale nie analizuje treści stron. Niektóre usługi mają jednak dodatkowy moduł, który blokuje znane złośliwe i phishingowe domeny na poziomie DNS, zanim się załadują. NordVPN nazywa to Ochroną przed zagrożeniami, Surfshark to CleanWeb. W niezależnym teście antyphishingowym AV-Comparatives ze stycznia 2026 funkcja NordVPN zablokowała 92 procent złośliwych stron. To przydatna dodatkowa warstwa, ale nie zastąpi menedżera haseł ani zdrowego rozsądku.

Powiązane artykuły

Dane

Cyberbezpieczeństwo w Polsce 2025 w liczbach
Poradnik

Jak zabezpieczyć konto online. Hasła i dwuetapowe logowanie
Ranking

Najlepsze menedżery haseł. Ranking 2026
Poradnik

Phishing w polskich firmach. Jak się bronić w 2026
Ranking

Najlepsze programy antymalware. Ranking 2026
Artykuł zawiera linki partnerskie oznaczone jako "link partnerski". Kliknięcie i zakup przez taki link może skutkować wypłatą prowizji dla cyberranking.pl. Nie ma to wpływu na treść ani oceny narzędzi. Dowiedz się więcej o naszej metodologii.