Transparentność cyberranking.pl zarabia na prowizjach od producentów (model afiliacyjny). Nie wpływa to na treść tego poradnika ani na to, które narzędzia polecam. Więcej na stronie O nas.

Szybka odpowiedź

Fałszywy SMS (tak zwany smishing) to wiadomość, która udaje kuriera, bank, urząd albo kogoś bliskiego, żeby wyłudzić twoje dane lub pieniądze. Zasada jest jedna i prosta: nie klikaj w linki z SMS-ów i nigdy, pod żadnym pozorem, nie podawaj nikomu kodu BLIK. Bank nie prosi o kod BLIK. Kurier nie pobiera dopłat przez link. Twoje dziecko nie odzyska telefonu dzięki kodowi wysłanemu obcej osobie.

Najczęściej zgłaszany schemat na BLIK to wiadomość "Mamo, zgubiłam telefon, potrzebuję pilnie kodu" z obcego numeru. Gdy dostaniesz podejrzaną wiadomość, prześlij ją na bezpłatny numer 8080 (CERT Polska) i usuń. W 2025 roku CERT Polska przyjął blisko 295 tysięcy zgłoszeń podejrzanych SMS-ów, więc taka wiadomość prędzej czy później trafi i do ciebie. Cała sztuka to wiedzieć z góry, jak zareagować.

Ile fałszywych SMS dostają Polacy?

To nie jest margines. Fałszywe SMS-y stały się jednym z najpowszechniejszych oszustw w Polsce, bo są tanie do wysłania i trafiają wprost do kieszeni, do telefonu, który nosimy przy sobie cały dzień. Dane pochodzą z CERT Polska, czyli zespołu reagującego na incydenty przy państwowym instytucie NASK.

295 tys.
zgłoszeń podejrzanych SMS w 2025 roku
1,88 mln
złośliwych wiadomości zablokowanych dzięki zgłoszeniom
8080
bezpłatny numer, na który zgłosisz oszustwo

Za tymi liczbami stoją realne straty. Jeden podany kod BLIK to często kilkaset złotych wypłacone w sekundę. Jedno wpisanie danych karty na fałszywej stronie i przestępca robi nimi zakupy, zanim się zorientujesz. Dobra wiadomość jest taka, że prawie wszystkie te ataki idą według kilku powtarzalnych schematów. Gdy je poznasz, rozpoznasz oszustwo w kilka sekund.

Źródło danych: CERT Polska, podsumowanie zgłoszeń SMS za 2025 rok.

Najczęstsze fałszywe SMS-y

Oszuści grają na emocjach: strachu, pośpiechu albo chęci odebrania czegoś, co ci się "należy". Oto schematy, które powtarzają się najczęściej.

  • Dopłata do paczki. "Twoja przesyłka wymaga dopłaty 1,80 zł" z linkiem do strony udającej kuriera. Kwota jest celowo śmiesznie niska, żebyś nie pomyślał i zapłacił. Chodzi o dane twojej karty, nie o te dwa złote.
  • Blokada konta bankowego. "Wykryto podejrzane logowanie, potwierdź tożsamość" z linkiem do fałszywej strony banku. Wpisane tam hasło trafia prosto do przestępcy.
  • Zaległa faktura lub rachunek. "Nieopłacony rachunek za prąd, ureguluj w ciągu 24 godzin, inaczej odłączymy dostawę." Straszenie odcięciem mediów ma wymusić szybką płatność.
  • Fałszywy mandat lub dopłata do podatku. SMS udający urząd, policję albo system mObywatel z linkiem do "uregulowania należności".
  • Wygrana w konkursie albo paczka do odebrania. "Wylosowano twój numer, odbierz nagrodę." Nagroda nie istnieje, liczy się formularz, który wypełnisz.
  • Prośba od bliskiej osoby. "Mamo, zgubiłam telefon, piszę z nowego numeru, potrzebuję pilnie kodu BLIK." O tym schemacie napiszę osobno, bo jest wyjątkowo podły.

Oszustwo na kod BLIK

To jeden z najczęstszych i najboleśniejszych schematów, bo uderza w odruch pomagania bliskim. Wygląda zawsze podobnie. Dostajesz wiadomość z nieznanego numeru: ktoś podaje się za twoje dziecko, wnuka albo przyjaciela, tłumaczy, że zgubił telefon i pisze "z koleżanki", a potem prosi o pilny kod BLIK na kilkaset złotych albo o szybki przelew. Obiecuje, że zaraz odda.

Mechanizm jest prosty i okrutny. Kod BLIK działa jak gotówka. Kto go zna, ten w ciągu kilkudziesięciu sekund wypłaci pieniądze z bankomatu albo zapłaci w sklepie. Po wszystkim nie da się ich łatwo odzyskać, bo z punktu widzenia banku to ty zatwierdziłeś wypłatę.

Zapamiętaj raz na zawsze Nikt uczciwy nigdy nie poprosi cię o kod BLIK. Ani bank, ani kurier, ani urząd, ani twoje dziecko. Jeśli ktokolwiek prosi o kod BLIK, to oszustwo. Koniec, bez wyjątków.

Jak się bronić? Gdy dostaniesz taką prośbę, zatrzymaj się i zadzwoń do tej osoby na jej prawdziwy, znany ci numer. Usłyszysz na własne uszy, że nic się nie stało albo że faktycznie ma kłopot, i wtedy pomożesz mądrze. Oszust zrobi wszystko, żeby cię od tego telefonu odwieść: będzie pisał, że bateria pada, że nie może rozmawiać, że to pilne. Ten pośpiech to właśnie sygnał, że masz do czynienia z przestępcą.

Jak rozpoznać fałszywy SMS

Niezależnie od scenariusza, fałszywe wiadomości zdradzają się tymi samymi cechami. Jeśli choć jedna z nich pasuje, traktuj SMS jak oszustwo.

  • Presja czasu i straszenie. Konto zostanie zablokowane, paczka wróci, prąd odłączony, mandat wzrośnie. Pośpiech ma wyłączyć twoje myślenie.
  • Link do dziwnej strony. Adres jest podobny do prawdziwego, ale nie identyczny: inp0st-pay zamiast inpost, pkobp-weryfikacja zamiast pkobp. Jedna literka albo cyfra zamiast litery wystarczy.
  • Prośba o dane, których nikt nie zbiera przez SMS. Hasło do banku, pełny numer karty z kodem z tyłu, kod BLIK. Tego nigdy nie podaje się z linku.
  • Drobna, dziwna kwota dopłaty. 1,80 zł, 2,49 zł. Chodzi o to, żebyś nie myślał o pieniądzach, tylko odruchowo podał kartę.
  • Nieznany numer albo nadawca podszyty pod znaną firmę. Pamiętaj, że nazwę nadawcy da się podrobić, więc nawet SMS w wątku obok prawdziwych wiadomości z banku może być fałszywy.
Złota zasada Nie klikaj w link z SMS-a. Status paczki sprawdzaj w oficjalnej aplikacji kuriera, sprawy bankowe w aplikacji banku, a rachunki na stronie, którą wpiszesz ręcznie. Jeden nawyk, który zatrzymuje większość ataków.

Co zrobić z podejrzanym SMS-em

Masz darmowe i skuteczne narzędzie, z którego mało kto korzysta. CERT Polska uruchomił numer 8080, na który możesz przesłać podejrzaną wiadomość.

  • Prześlij SMS dalej na numer 8080. Użyj opcji "prześlij dalej", a jeśli twój telefon jej nie ma, skopiuj treść i wyślij ją na 8080.
  • Poczekaj na odpowiedź. W ciągu kilku minut system porówna wiadomość z bazą znanych oszustw i odeśle ci wynik. Usługa jest bezpłatna i działa całą dobę.
  • Nie klikaj i nie oddzwaniaj. Po zgłoszeniu po prostu usuń wiadomość.
  • Podejrzany e-mail lub stronę zgłosisz osobno na adres cert@cert.pl albo przez formularz na incydent.cert.pl.

Z jednego numeru można zgłosić do trzech wiadomości w ciągu czterech godzin. Każde zgłoszenie pomaga zablokować daną kampanię oszustów, więc chronisz nie tylko siebie, ale też sąsiada i babcię, którzy dostaną ten sam SMS jutro.

Kliknąłem w link i podałem dane. Co teraz?

Zdarza się każdemu, zwłaszcza w pośpiechu albo zmęczeniu. Liczy się to, jak szybko zareagujesz. Idź po kolei.

  • Zadzwoń do banku albo zastrzeż kartę w aplikacji, jeśli podałeś dane karty lub logowania. To pierwszy i najważniejszy krok.
  • Zmień hasło do bankowości i do skrzynki e-mail. Jeśli używałeś tego samego hasła gdzie indziej, zmień je też tam.
  • Włącz dwuetapowe potwierdzanie logowania, jeśli go jeszcze nie masz. Opisuję to krok po kroku w poradniku jak zabezpieczyć konto online.
  • Obserwuj konto przez kolejne dni i zgłaszaj bankowi każdą nieznaną transakcję. Masz prawo reklamować operacje, których nie autoryzowałeś.
  • Przeskanuj telefon lub komputer antywirusem, jeśli pobrałeś jakiś plik albo aplikację z linku. Jak usunąć złośliwe oprogramowanie, tłumaczę w poradniku jak usunąć wirusa.
  • Zgłoś sprawę. Stronę do CERT Polska na incydent.cert.pl, a samo oszustwo na policję, zwłaszcza jeśli straciłeś pieniądze.

Jak zabezpieczyć się na przyszłość

Czujność jest najważniejsza, ale człowiek bywa zmęczony i kliknie w nieodpowiednim momencie. Dlatego warto mieć kilka warstw, które łapią to, co przeoczysz. Dla osób mniej technicznych i dla domowego telefonu czy komputera całej rodziny najwięcej daje dobry pakiet ochronny z filtrem stron.

Zacznij od rzeczy darmowych, bo część ochrony masz już w telefonie. Na Androidzie włącz Bezpieczne przeglądanie Google w przeglądarce Chrome (Ustawienia, Prywatność i bezpieczeństwo), które ostrzega przed znanymi fałszywymi stronami. Na iPhonie podobnie działa ostrzeżenie o fałszywych witrynach w przeglądarce Safari. Wielu operatorów ma też w aplikacji darmową blokadę połączeń i SMS-ów od znanych oszustów, którą warto włączyć. To nic nie kosztuje i zatrzymuje sporą część prób.

Płatny pakiet ochronny dokłada warstwę, która działa jak filtr między tobą a siecią. Gdy klikniesz w link prowadzący do znanej fałszywej strony, blokuje ją, zanim się załaduje, i pokazuje ostrzeżenie. Nie zatrzyma każdego nowego oszustwa, bo świeże strony powstają tysiącami dziennie, ale odsiewa dużą część tego, co krąży. W ochronie stron dobrze wypadają Bitdefender i Norton, oba z wysokimi ocenami w testach laboratoriów. Zobaczysz je też w głównym rankingu antywirusów, a w pełnym zestawieniu narzędzi w rankingu programów antymalware.

Polecane

Bitdefender lub Norton 360

Bitdefender od lat należy do czołówki w wykrywaniu zagrożeń i ma mocny filtr fałszywych stron, także na telefonie. Norton 360 dorzuca monitoring wycieków danych i działa jako jeden pakiet dla całej rodziny, więc dobrze sprawdza się tam, gdzie z jednego komputera korzysta kilka osób.

Sprawdź Bitdefender Sprawdź Norton 360
linki partnerskie

Druga rzecz, którą warto sprawdzić, to czy twój numer telefonu i adres e-mail nie krążą już po sieci. Oszuści kupują takie bazy i dlatego wiedzą, na jaki numer wysłać SMS. Usługi monitoringu wycieków sprawdzają, czy twoje dane pojawiły się w wykradzionych bazach, i ostrzegają, gdy coś się zmieni. Taka funkcja jest częścią pakietu Surfshark One (Alert) oraz Norton 360. Jak dodatkowo ograniczyć swój ślad w sieci, opisuję w poradniku jak usunąć dane z internetu.

Monitoring danych

Surfshark Alert

Alert obserwuje twój adres e-mail i powiązane dane, a gdy pojawią się w wycieku, wysyła ostrzeżenie. Dzięki temu wiesz, że trzeba zmienić hasło albo uważać na wzmożoną falę fałszywych SMS-ów, zanim ktoś wykorzysta twoje dane.

Sprawdź Surfshark Alert
link partnerski

Lista kontrolna na dziś

Nie musisz robić wszystkiego naraz. Zacznij od nawyków, które nic nie kosztują i chronią najmocniej.

Nawyk numer 1

Nie klikam w linki z SMS

Paczkę, bank i rachunki sprawdzam w oficjalnej aplikacji albo wpisując adres ręcznie.

Nawyk numer 2

Nie podaję kodu BLIK

Nikomu i nigdy. Prośba o BLIK od "bliskiej osoby" to sygnał, żeby zadzwonić i sprawdzić.

Dziś

Zapisz numer 8080

Tam przesyłasz każdy podejrzany SMS. Bezpłatnie, całą dobę.

W tym tygodniu

Ochrona stron i monitoring

Pakiet z filtrem fałszywych stron na telefon i komputer, zwłaszcza dla mniej technicznych domowników.

Najczęstsze pytania

Co zrobić z podejrzanym SMS-em?
Nie klikaj w żaden link i nie oddzwaniaj. Prześlij wiadomość dalej na bezpłatny numer 8080, który prowadzi CERT Polska. Usługa działa całą dobę, jest darmowa w całej Polsce i w ciągu kilku minut odeśle ci informację, czy SMS to znane oszustwo. Z jednego numeru można zgłosić maksymalnie trzy wiadomości w ciągu czterech godzin. Potem po prostu usuń SMS. Każde zgłoszenie pomaga zablokować oszustwo także innym osobom.
Czy bank może prosić o kod BLIK przez SMS?
Nie. Kod BLIK służy wyłącznie tobie do płatności i wypłat z bankomatu. Bank nigdy nie poprosi cię o jego podanie, ani SMS-em, ani telefonicznie, ani przez czat. Potraktuj kod BLIK jak gotówkę: ktoś, kto go zna, może natychmiast wypłacić twoje pieniądze. Jeśli ktokolwiek prosi cię o kod BLIK, to oszustwo, bez wyjątków.
Dostałem SMS "Mamo potrzebuję BLIK", co robić?
To jeden z najczęstszych scenariuszy oszustwa. Ktoś podszywa się pod twoje dziecko lub bliską osobę, pisze z nowego numeru, że zgubił telefon, i prosi o pilny kod BLIK albo przelew. Nie wysyłaj nic. Zadzwoń do tej osoby na jej prawdziwy, znany ci numer i potwierdź sprawę głosem. Prawdziwa prośba o pieniądze obroni się w rozmowie telefonicznej. Oszust będzie cię zniechęcał do dzwonienia i naciskał na pośpiech.
Kliknąłem w link z fałszywego SMS i podałem dane karty. Co teraz?
Działaj od razu. Zadzwoń do banku i zastrzeż kartę albo zrób to w aplikacji, jeśli masz taką opcję. Zmień hasło do bankowości i do skrzynki e-mail. Włącz dwuetapowe potwierdzanie logowania, jeśli go nie miałeś. Obserwuj historię konta przez kolejne dni i zgłoś każdą nieznaną transakcję do banku, bo masz prawo reklamować nieautoryzowane operacje. Zgłoś też stronę do CERT Polska na incydent.cert.pl, a samo oszustwo na policję.
Jak rozpoznać fałszywy SMS o paczce?
Fałszywy SMS o paczce niemal zawsze żąda drobnej dopłaty, na przykład kilku złotych, i prowadzi do strony z formularzem na dane karty. Sprawdź adres w linku: oszuści używają domen podobnych do prawdziwych, ale nie identycznych, na przykład inp0st-pay zamiast inpost. Firmy kurierskie nie pobierają dopłat przez link w SMS-ie. Status paczki sprawdzaj zawsze w oficjalnej aplikacji kuriera lub wpisując jego adres ręcznie, nigdy przez link z wiadomości.

Powiązane artykuły

Poradnik

Jak chronić się przed phishingiem? Poradnik 2026
Poradnik

Jak zabezpieczyć konto online. Hasła i dwuetapowe logowanie
Dane

Cyberbezpieczeństwo w Polsce 2025 w liczbach
Ranking

Najlepsze programy antymalware. Ranking 2026
Artykuł zawiera linki partnerskie oznaczone jako "link partnerski". Kliknięcie i zakup przez taki link może skutkować wypłatą prowizji dla cyberranking.pl. Nie ma to wpływu na treść ani oceny narzędzi. Dowiedz się więcej o naszej metodologii.