Transparentność cyberranking.pl zarabia na prowizjach od producentów (model afiliacyjny). Nie wpływa to na treść tego poradnika ani na to, które narzędzia polecam. Więcej na stronie O nas.

Szybka odpowiedź

Prawie każde oszustwo w internecie działa według jednego schematu: wywołać emocję (strach, pośpiech albo chęć okazji), a potem skłonić cię do jednej pochopnej czynności. Podania kodu BLIK, wpisania danych karty na podstawionej stronie, kliknięcia w link, przelewu na "pewną inwestycję". Rodzajów jest wiele, ale mechanizm ten sam.

Zasada obrony też jest jedna: gdy ktoś wywiera presję i prosi o pieniądze albo dane, zatrzymaj się i zweryfikuj sprawę własnym kanałem. Zadzwoń do banku na numer z karty, wejdź na stronę wpisując adres ręcznie, oddzwoń do bliskiej osoby na jej znany numer. Podejrzany SMS prześlij na bezpłatny numer 8080 (CERT Polska). Jeśli już straciłeś pieniądze, liczy się czas: dzwoń do banku i zastrzeż kartę natychmiast.

Skala oszustw w Polsce

To nie jest margines ani problem "naiwnych". Oszustwa stały się główną formą przestępczości w sieci, bo są tanie, masowe i trafiają wprost do telefonu, który nosisz przy sobie cały dzień. Dane pochodzą z raportu rocznego CERT Polska za 2025 rok, czyli zespołu reagowania na incydenty przy państwowym instytucie NASK.

253 tys.
incydentów to oszustwa komputerowe, czyli 97% wszystkich zdarzeń
~30%
zdarzeń to phishing, najczęstsza pojedyncza forma ataku na ludzi
ponad 150%
wzrost liczby zarejestrowanych incydentów rok do roku

Za tymi liczbami stoją realne straty. Jeden podany kod BLIK to często kilkaset złotych wypłacone w kilka sekund. Jedno wpisanie danych karty na fałszywej stronie i przestępca robi nimi zakupy, zanim się zorientujesz. Dobra wiadomość jest taka, że prawie wszystkie te ataki idą według kilku powtarzalnych schematów. Gdy je poznasz, rozpoznasz oszustwo w kilka sekund. Więcej danych znajdziesz w zestawieniu cyberbezpieczeństwo w Polsce w liczbach.

Źródło danych: CERT Polska (CSIRT NASK), Raport roczny z działalności CERT Polska w 2025 roku.

Najczęstsze rodzaje oszustw

Poniżej siedem grup, które odpowiadają za większość strat polskich użytkowników. Przy każdej krótko wyjaśniam mechanizm, a tam gdzie mam osobny, szczegółowy poradnik, znajdziesz odnośnik do niego.

Oszustwa na platformach zakupowych (OLX, Vinted, Allegro)

To dziś jedna z najpowszechniejszych pułapek, bo dotyka każdego, kto coś sprzedaje lub kupuje z drugiej ręki. Według CERT Polska w 2025 roku OLX był najczęściej podszywaną marką w kraju (28 462 zdarzenia), a Allegro drugą (22 513). Najczęstszy scenariusz uderza w sprzedającego: "kupujący" pisze, że zapłacił już za przedmiot, i przysyła link do rzekomego odbioru pieniędzy. Link prowadzi do strony łudząco podobnej do OLX, Vinted albo bramki płatniczej, gdzie masz wpisać dane karty, żeby "odebrać" przelew.

Zapamiętaj Karta płatnicza służy do wydawania pieniędzy, nie do ich otrzymywania. Nikt, komu coś sprzedajesz, nie potrzebuje numeru twojej karty, jej daty ważności, kodu z tyłu ani kodu BLIK, żeby ci zapłacić. Prośba o te dane w celu "wysłania ci pieniędzy" to zawsze oszustwo.

Jak sprzedawać i kupować bezpiecznie? Korzystaj z oficjalnych płatności platformy (na przykład Dostawa OLX z ochroną kupującego i sprzedającego). Nie przenoś rozmowy na WhatsApp czy Messenger, bo to ulubione miejsce oszustów. Nie klikaj w linki przysłane przez rozmówcę, wchodź na stronę serwisu, wpisując adres ręcznie. Gdy coś kupujesz, sprawdź konto sprzedającego, jego historię i opinie, a przy wysyłce wybieraj opcje z ochroną zamiast zwykłego przelewu na konto. Szczegółowo rozkładam te schematy i sposoby odzyskania pieniędzy w osobnym poradniku: oszustwo na OLX i Vinted.

Fałszywe sklepy internetowe

Fałszywy sklep to strona, która wygląda profesjonalnie, kusi cenami znacznie niższymi niż konkurencja i przyjmuje wyłącznie przedpłatę. Po zapłacie towar nie przychodzi, kontakt się urywa, a sklep po kilku tygodniach znika i pojawia się pod nową nazwą. Takie sklepy często reklamują się w mediach społecznościowych, podszywają pod znane marki odzieżowe albo meblowe i grają na okazji ("wyprzedaż magazynu", "likwidacja").

  • Cena zbyt dobra, by była prawdziwa. Ten sam produkt o połowę taniej niż wszędzie to najczęstsza przynęta.
  • Tylko przedpłata przelewem. Brak płatności za pobraniem, brak bezpiecznych bramek, czasem przelew na konto osoby prywatnej.
  • Brak danych firmy. Nie ma numeru NIP, adresu, regulaminu albo są skopiowane i nie zgadzają się z nazwą sklepu.
  • Presja czasu. Licznik "oferta wygasa za 10 minut" ma wymusić zakup bez sprawdzenia.
  • Świeża domena i brak realnych opinii. Sklep istnieje od kilku tygodni, a opinie brzmią sztucznie albo są tylko na jego własnej stronie.

Przed zakupem w nieznanym sklepie sprawdź jego dane w rejestrze firm, poszukaj opinii poza samą stroną sklepu i zweryfikuj, czy domena nie figuruje na Liście Ostrzeżeń CERT Polska. Jeśli to możliwe, płać metodą, która daje ochronę kupującego, a nie zwykłym przelewem.

Oszustwa telefoniczne (na wnuczka, na policjanta, na konsultanta)

Tu przestępca dzwoni i gra rolę. W metodzie "na wnuczka" podaje się za członka rodziny w nagłej potrzebie i prosi o pilne pieniądze. W metodzie "na policjanta" albo "na pracownika banku" straszy, że twoje oszczędności są zagrożone przez włamanie i trzeba je natychmiast przelać na "bezpieczne konto" albo przekazać przybyłej osobie. Wspólny element to sztucznie budowana panika i naciskanie, żebyś nie odkładał słuchawki i z nikim się nie konsultował.

Żaden bank ani policja tak nie działa Prawdziwy bank nigdy nie prosi o przelanie pieniędzy na "bezpieczne konto", nie wysyła po gotówkę kuriera i nie żąda kodów przez telefon. Jeśli słyszysz taką prośbę, rozłącz się i oddzwoń do banku na numer z karty lub z oficjalnej strony. Nie oddzwaniaj na numer, z którego dzwoniono.

Najlepsza obrona to jeden nawyk: przerwij rozmowę i zweryfikuj. Zadzwoń do bliskiej osoby na jej prawdziwy numer, do banku na oficjalny numer, na policję pod 112. Oszust zrobi wszystko, żeby cię od tego odwieść, i właśnie ten nacisk jest sygnałem ostrzegawczym.

Wspólne sygnały ostrzegawcze

Niezależnie od tego, czy to SMS, telefon, mail czy ogłoszenie, oszustwa zdradzają się tymi samymi cechami. Jeśli choć jedna pasuje, traktuj kontakt jak próbę wyłudzenia.

  • Presja czasu i straszenie. Konto zostanie zablokowane, paczka wróci, oszczędności przepadną, oferta wygasa. Pośpiech ma wyłączyć twoje myślenie.
  • Prośba o dane, których nikt nie zbiera w ten sposób. Kod BLIK, pełny numer karty z kodem z tyłu, hasło do banku, kod z SMS autoryzacyjnego. Tego nie podaje się przez link, czat ani telefon.
  • Link do strony o adresie podobnym, ale nie identycznym. inp0st-pay zamiast inpost, olx-platnosc zamiast olx. Jedna literka albo cyfra zamiast litery wystarczy.
  • Okazja zbyt dobra, by była prawdziwa. Zysk bez ryzyka, produkt o połowę taniej, nagroda w konkursie, w którym nie brałeś udziału.
  • Przeniesienie rozmowy na komunikator. "Napiszmy na WhatsAppie" albo "zadzwonię z innego numeru" wyprowadza cię z bezpiecznego, monitorowanego kanału platformy.
  • Nietypowa forma płatności. Kod BLIK dla obcej osoby, przelew na konto prywatne, kryptowaluty, karty podarunkowe. Oszust chce pieniędzy, których nie da się cofnąć.
Złota zasada Nie działaj pod presją i nie ufaj linkom. Sprawy bankowe załatwiaj w aplikacji banku, status paczki w aplikacji kuriera, a każdą pilną prośbę o pieniądze potwierdzaj drugim, niezależnym kanałem. Jeden nawyk zatrzymuje większość ataków.

Padłem ofiarą oszustwa. Co robić krok po kroku

Zdarza się każdemu, zwłaszcza w pośpiechu albo zmęczeniu. Liczy się to, jak szybko zareagujesz. Idź po kolei.

  • Zadzwoń do banku i zastrzeż kartę albo zrób to w aplikacji, jeśli podałeś dane karty lub logowania. To pierwszy i najważniejszy krok, bo zatrzymuje kolejne transakcje.
  • Zgłoś nieautoryzowane transakcje. Masz prawo reklamować operacje, których nie autoryzowałeś. Im szybciej zgłosisz, tym większa szansa na odzyskanie środków.
  • Zmień hasła do bankowości i skrzynki e-mail. Jeśli używałeś tego samego hasła gdzie indziej, zmień je też tam. Pomaga w tym menedżer haseł.
  • Włącz dwuetapowe potwierdzanie logowania, jeśli go jeszcze nie masz. Krok po kroku opisuję to w poradniku jak zabezpieczyć konto online.
  • Zabezpiecz dowody. Zrób zrzuty ekranu wiadomości, zapisz adresy stron i numery kont. Bez nich trudniej zgłosić sprawę i odzyskać pieniądze.
  • Zgłoś oszustwo. Fałszywą stronę lub e-mail do CERT Polska na incydent.cert.pl, podejrzany SMS na numer 8080, a samo oszustwo na policję, zwłaszcza gdy straciłeś pieniądze.
  • Przeskanuj urządzenie antywirusem, jeśli pobrałeś plik lub aplikację z linku. Jak usunąć złośliwe oprogramowanie, tłumaczę w poradniku jak usunąć wirusa.

Jak chronić się na przyszłość

Czujność jest najważniejsza, ale człowiek bywa zmęczony i kliknie w nieodpowiednim momencie. Dlatego warto mieć kilka warstw, które łapią to, co przeoczysz. Zacznij od rzeczy darmowych, bo część ochrony masz już w telefonie. Na Androidzie włącz Bezpieczne przeglądanie Google w przeglądarce Chrome, na iPhonie ostrzeżenie o fałszywych witrynach w Safari. Wielu operatorów ma też darmową blokadę połączeń i SMS-ów od znanych oszustów. To nic nie kosztuje i zatrzymuje sporą część prób.

Płatny pakiet ochronny dokłada warstwę, która działa jak filtr między tobą a siecią. Gdy klikniesz w link prowadzący do znanej fałszywej strony, blokuje ją, zanim się załaduje, i pokazuje ostrzeżenie. Nie zatrzyma każdego nowego oszustwa, bo świeże strony powstają tysiącami dziennie, ale odsiewa dużą część tego, co krąży. W ochronie stron dobrze wypadają Bitdefender i Norton, oba z wysokimi ocenami w testach laboratoriów. Zobaczysz je też w głównym rankingu antywirusów.

Polecane

Bitdefender lub Norton 360

Bitdefender od lat należy do czołówki w wykrywaniu zagrożeń i ma mocny filtr fałszywych stron, także na telefonie. Norton 360 dorzuca monitoring wycieków danych i działa jako jeden pakiet dla całej rodziny, więc dobrze sprawdza się tam, gdzie z jednego komputera korzysta kilka osób.

linki partnerskie

Druga rzecz to sprawdzenie, czy twój numer telefonu i adres e-mail nie krążą już po sieci. Oszuści kupują takie bazy i dlatego wiedzą, na jaki numer wysłać SMS albo pod kogo się podszyć. Usługi monitoringu wycieków ostrzegają, gdy twoje dane pojawią się w wykradzionej bazie. Jak sprawdzić to samodzielnie, opisuję w poradniku jak sprawdzić, czy moje dane wyciekły, a jak ograniczyć swój ślad w sieci, w poradniku jak usunąć dane z internetu.

Monitoring danych

Surfshark Alert

Alert obserwuje twój adres e-mail i powiązane dane, a gdy pojawią się w wycieku, wysyła ostrzeżenie. Dzięki temu wiesz, że trzeba zmienić hasło albo uważać na wzmożoną falę fałszywych wiadomości, zanim ktoś wykorzysta twoje dane.

link partnerski

Lista kontrolna na dziś

Nie musisz robić wszystkiego naraz. Zacznij od nawyków, które nic nie kosztują i chronią najmocniej.

Nawyk numer 1

Nie działam pod presją

Każdą pilną prośbę o pieniądze albo dane weryfikuję drugim, niezależnym kanałem, zanim cokolwiek zrobię.

Nawyk numer 2

Nie klikam w linki i nie podaję BLIK

Bank i paczki sprawdzam w aplikacji. Kodu BLIK i danych karty nie podaję nikomu w celu "otrzymania" pieniędzy.

Dziś

Zapisz numer 8080

Tam przesyłasz każdy podejrzany SMS. Bezpłatnie, całą dobę, prosto do CERT Polska.

W tym tygodniu

Ochrona stron i monitoring wycieków

Pakiet z filtrem fałszywych stron na telefon i komputer, zwłaszcza dla mniej technicznych domowników.

Najczęstsze pytania

Jak rozpoznać oszustwo w internecie?
Prawie każde oszustwo zdradza się tymi samymi sygnałami. Ktoś wywiera presję czasu i straszy stratą, prosi o dane, których nikt nie zbiera przez link lub czat (kod BLIK, pełny numer karty, hasło do banku), przysyła link do strony o adresie podobnym do prawdziwego, ale nie identycznym, albo proponuje zysk czy okazję zbyt dobrą, by była prawdziwa. Jeśli choć jeden z tych znaków pasuje, przerwij kontakt i zweryfikuj sprawę własnym kanałem, na przykład dzwoniąc do banku na numer z karty.
Padłem ofiarą oszustwa, jak odzyskać pieniądze?
Liczy się czas. Natychmiast zadzwoń do banku i zastrzeż kartę oraz zgłoś nieautoryzowaną transakcję, bo masz prawo ją reklamować. Zmień hasła do bankowości i skrzynki e-mail. Jeśli podałeś kod BLIK lub zrobiłeś przelew, zgłoś to bankowi od razu, choć tych pieniędzy odzyskać jest najtrudniej. Zabezpiecz dowody: zrzuty ekranu, adresy stron, treść wiadomości. Następnie zgłoś sprawę na policję, a fałszywą stronę do CERT Polska na incydent.cert.pl.
Gdzie zgłosić oszustwo internetowe w Polsce?
Podejrzany SMS prześlij na bezpłatny numer 8080, który prowadzi CERT Polska. Fałszywą stronę lub e-mail zgłoś na incydent.cert.pl albo na adres cert@cert.pl. Jeśli straciłeś pieniądze albo padłeś ofiarą wyłudzenia, złóż zawiadomienie na policję, a o nieautoryzowanych transakcjach powiadom swój bank. Każde zgłoszenie do CERT Polska pomaga zablokować kampanię oszustów także innym osobom.
Pod jaką markę oszuści podszywają się najczęściej?
Według raportu rocznego CERT Polska za 2025 rok najczęściej podszywaną marką był serwis ogłoszeniowy OLX (28 462 zdarzenia), tuż za nim Allegro (22 513 zdarzeń). Oszuści sięgają też po wizerunek banków, firm kurierskich, Poczty Polskiej, Profilu Zaufanego i instytucji państwowych w domenie gov.pl. Zasada jest prosta: im bardziej rutynowa i zaufana marka, tym łatwiej uśpić czujność ofiary.
Czy antywirus chroni przed oszustwami w internecie?
Częściowo. Dobry pakiet ochronny ma filtr fałszywych stron, który blokuje znane witryny phishingowe, zanim się załadują, także na telefonie. Nie zatrzyma każdego nowego oszustwa, bo świeże strony powstają tysiącami dziennie, ale odsiewa dużą część tego, co krąży. Najważniejsza zostaje czujność człowieka: żaden program nie powstrzyma cię przed podaniem kodu BLIK obcej osobie, jeśli sam to zrobisz.
Artykuł zawiera linki partnerskie oznaczone jako "link partnerski". Kliknięcie i zakup przez taki link może skutkować wypłatą prowizji dla cyberranking.pl. Nie ma to wpływu na treść ani oceny narzędzi. Dowiedz się więcej o naszej metodologii.