Szybka odpowiedź
Prawie każde oszustwo w internecie działa według jednego schematu: wywołać emocję (strach, pośpiech albo chęć okazji), a potem skłonić cię do jednej pochopnej czynności. Podania kodu BLIK, wpisania danych karty na podstawionej stronie, kliknięcia w link, przelewu na "pewną inwestycję". Rodzajów jest wiele, ale mechanizm ten sam.
Zasada obrony też jest jedna: gdy ktoś wywiera presję i prosi o pieniądze albo dane, zatrzymaj się i zweryfikuj sprawę własnym kanałem. Zadzwoń do banku na numer z karty, wejdź na stronę wpisując adres ręcznie, oddzwoń do bliskiej osoby na jej znany numer. Podejrzany SMS prześlij na bezpłatny numer 8080 (CERT Polska). Jeśli już straciłeś pieniądze, liczy się czas: dzwoń do banku i zastrzeż kartę natychmiast.
Skala oszustw w Polsce
To nie jest margines ani problem "naiwnych". Oszustwa stały się główną formą przestępczości w sieci, bo są tanie, masowe i trafiają wprost do telefonu, który nosisz przy sobie cały dzień. Dane pochodzą z raportu rocznego CERT Polska za 2025 rok, czyli zespołu reagowania na incydenty przy państwowym instytucie NASK.
Za tymi liczbami stoją realne straty. Jeden podany kod BLIK to często kilkaset złotych wypłacone w kilka sekund. Jedno wpisanie danych karty na fałszywej stronie i przestępca robi nimi zakupy, zanim się zorientujesz. Dobra wiadomość jest taka, że prawie wszystkie te ataki idą według kilku powtarzalnych schematów. Gdy je poznasz, rozpoznasz oszustwo w kilka sekund. Więcej danych znajdziesz w zestawieniu cyberbezpieczeństwo w Polsce w liczbach.
Źródło danych: CERT Polska (CSIRT NASK), Raport roczny z działalności CERT Polska w 2025 roku.
Najczęstsze rodzaje oszustw
Poniżej siedem grup, które odpowiadają za większość strat polskich użytkowników. Przy każdej krótko wyjaśniam mechanizm, a tam gdzie mam osobny, szczegółowy poradnik, znajdziesz odnośnik do niego.
Fałszywe SMS i wyłudzenia BLIK
"Dopłać 1,80 zł do paczki", "Mamo, zgubiłam telefon, podaj kod BLIK". Wiadomości grają na pośpiechu i chęci pomocy bliskim. Kod BLIK działa jak gotówka.
Czytaj poradnik →Podrobione strony banków i logowania
Fałszywy mail lub SMS z linkiem do strony łudząco podobnej do banku, InPostu czy Profilu Zaufanego. Wpisane tam hasło trafia prosto do przestępcy.
Czytaj poradnik →Deepfake i fałszywe inwestycje
Film, na którym znana osoba poleca "pewny zysk", wygenerowany przez AI. Prowadzi do fałszywej platformy inwestycyjnej, która pochłania kolejne wpłaty.
Czytaj poradnik →Oszustwa na OLX, Vinted i Allegro
OLX to w 2025 roku najczęściej podszywana marka w Polsce. Fałszywy kupujący przysyła link do "odbioru pieniędzy", który kradnie dane twojej karty.
Czytaj poradnik →Fałszywe sklepy internetowe
Sklep z cenami dużo niższymi niż wszędzie, ładnym wyglądem i wyłącznie przedpłatą. Po zapłacie towar nie przychodzi, a sklep znika.
Zobacz niżej →Oszustwa telefoniczne
"Na wnuczka", "na policjanta", "na konsultanta banku". Ktoś dzwoni, buduje panikę i nakłania do przelania oszczędności na "bezpieczne konto".
Zobacz niżej →Oszustwa na platformach zakupowych (OLX, Vinted, Allegro)
To dziś jedna z najpowszechniejszych pułapek, bo dotyka każdego, kto coś sprzedaje lub kupuje z drugiej ręki. Według CERT Polska w 2025 roku OLX był najczęściej podszywaną marką w kraju (28 462 zdarzenia), a Allegro drugą (22 513). Najczęstszy scenariusz uderza w sprzedającego: "kupujący" pisze, że zapłacił już za przedmiot, i przysyła link do rzekomego odbioru pieniędzy. Link prowadzi do strony łudząco podobnej do OLX, Vinted albo bramki płatniczej, gdzie masz wpisać dane karty, żeby "odebrać" przelew.
Jak sprzedawać i kupować bezpiecznie? Korzystaj z oficjalnych płatności platformy (na przykład Dostawa OLX z ochroną kupującego i sprzedającego). Nie przenoś rozmowy na WhatsApp czy Messenger, bo to ulubione miejsce oszustów. Nie klikaj w linki przysłane przez rozmówcę, wchodź na stronę serwisu, wpisując adres ręcznie. Gdy coś kupujesz, sprawdź konto sprzedającego, jego historię i opinie, a przy wysyłce wybieraj opcje z ochroną zamiast zwykłego przelewu na konto. Szczegółowo rozkładam te schematy i sposoby odzyskania pieniędzy w osobnym poradniku: oszustwo na OLX i Vinted.
Fałszywe sklepy internetowe
Fałszywy sklep to strona, która wygląda profesjonalnie, kusi cenami znacznie niższymi niż konkurencja i przyjmuje wyłącznie przedpłatę. Po zapłacie towar nie przychodzi, kontakt się urywa, a sklep po kilku tygodniach znika i pojawia się pod nową nazwą. Takie sklepy często reklamują się w mediach społecznościowych, podszywają pod znane marki odzieżowe albo meblowe i grają na okazji ("wyprzedaż magazynu", "likwidacja").
- Cena zbyt dobra, by była prawdziwa. Ten sam produkt o połowę taniej niż wszędzie to najczęstsza przynęta.
- Tylko przedpłata przelewem. Brak płatności za pobraniem, brak bezpiecznych bramek, czasem przelew na konto osoby prywatnej.
- Brak danych firmy. Nie ma numeru NIP, adresu, regulaminu albo są skopiowane i nie zgadzają się z nazwą sklepu.
- Presja czasu. Licznik "oferta wygasa za 10 minut" ma wymusić zakup bez sprawdzenia.
- Świeża domena i brak realnych opinii. Sklep istnieje od kilku tygodni, a opinie brzmią sztucznie albo są tylko na jego własnej stronie.
Przed zakupem w nieznanym sklepie sprawdź jego dane w rejestrze firm, poszukaj opinii poza samą stroną sklepu i zweryfikuj, czy domena nie figuruje na Liście Ostrzeżeń CERT Polska. Jeśli to możliwe, płać metodą, która daje ochronę kupującego, a nie zwykłym przelewem.
Oszustwa telefoniczne (na wnuczka, na policjanta, na konsultanta)
Tu przestępca dzwoni i gra rolę. W metodzie "na wnuczka" podaje się za członka rodziny w nagłej potrzebie i prosi o pilne pieniądze. W metodzie "na policjanta" albo "na pracownika banku" straszy, że twoje oszczędności są zagrożone przez włamanie i trzeba je natychmiast przelać na "bezpieczne konto" albo przekazać przybyłej osobie. Wspólny element to sztucznie budowana panika i naciskanie, żebyś nie odkładał słuchawki i z nikim się nie konsultował.
Najlepsza obrona to jeden nawyk: przerwij rozmowę i zweryfikuj. Zadzwoń do bliskiej osoby na jej prawdziwy numer, do banku na oficjalny numer, na policję pod 112. Oszust zrobi wszystko, żeby cię od tego odwieść, i właśnie ten nacisk jest sygnałem ostrzegawczym.
Wspólne sygnały ostrzegawcze
Niezależnie od tego, czy to SMS, telefon, mail czy ogłoszenie, oszustwa zdradzają się tymi samymi cechami. Jeśli choć jedna pasuje, traktuj kontakt jak próbę wyłudzenia.
- Presja czasu i straszenie. Konto zostanie zablokowane, paczka wróci, oszczędności przepadną, oferta wygasa. Pośpiech ma wyłączyć twoje myślenie.
- Prośba o dane, których nikt nie zbiera w ten sposób. Kod BLIK, pełny numer karty z kodem z tyłu, hasło do banku, kod z SMS autoryzacyjnego. Tego nie podaje się przez link, czat ani telefon.
- Link do strony o adresie podobnym, ale nie identycznym. inp0st-pay zamiast inpost, olx-platnosc zamiast olx. Jedna literka albo cyfra zamiast litery wystarczy.
- Okazja zbyt dobra, by była prawdziwa. Zysk bez ryzyka, produkt o połowę taniej, nagroda w konkursie, w którym nie brałeś udziału.
- Przeniesienie rozmowy na komunikator. "Napiszmy na WhatsAppie" albo "zadzwonię z innego numeru" wyprowadza cię z bezpiecznego, monitorowanego kanału platformy.
- Nietypowa forma płatności. Kod BLIK dla obcej osoby, przelew na konto prywatne, kryptowaluty, karty podarunkowe. Oszust chce pieniędzy, których nie da się cofnąć.
Padłem ofiarą oszustwa. Co robić krok po kroku
Zdarza się każdemu, zwłaszcza w pośpiechu albo zmęczeniu. Liczy się to, jak szybko zareagujesz. Idź po kolei.
- Zadzwoń do banku i zastrzeż kartę albo zrób to w aplikacji, jeśli podałeś dane karty lub logowania. To pierwszy i najważniejszy krok, bo zatrzymuje kolejne transakcje.
- Zgłoś nieautoryzowane transakcje. Masz prawo reklamować operacje, których nie autoryzowałeś. Im szybciej zgłosisz, tym większa szansa na odzyskanie środków.
- Zmień hasła do bankowości i skrzynki e-mail. Jeśli używałeś tego samego hasła gdzie indziej, zmień je też tam. Pomaga w tym menedżer haseł.
- Włącz dwuetapowe potwierdzanie logowania, jeśli go jeszcze nie masz. Krok po kroku opisuję to w poradniku jak zabezpieczyć konto online.
- Zabezpiecz dowody. Zrób zrzuty ekranu wiadomości, zapisz adresy stron i numery kont. Bez nich trudniej zgłosić sprawę i odzyskać pieniądze.
- Zgłoś oszustwo. Fałszywą stronę lub e-mail do CERT Polska na incydent.cert.pl, podejrzany SMS na numer 8080, a samo oszustwo na policję, zwłaszcza gdy straciłeś pieniądze.
- Przeskanuj urządzenie antywirusem, jeśli pobrałeś plik lub aplikację z linku. Jak usunąć złośliwe oprogramowanie, tłumaczę w poradniku jak usunąć wirusa.
Jak chronić się na przyszłość
Czujność jest najważniejsza, ale człowiek bywa zmęczony i kliknie w nieodpowiednim momencie. Dlatego warto mieć kilka warstw, które łapią to, co przeoczysz. Zacznij od rzeczy darmowych, bo część ochrony masz już w telefonie. Na Androidzie włącz Bezpieczne przeglądanie Google w przeglądarce Chrome, na iPhonie ostrzeżenie o fałszywych witrynach w Safari. Wielu operatorów ma też darmową blokadę połączeń i SMS-ów od znanych oszustów. To nic nie kosztuje i zatrzymuje sporą część prób.
Płatny pakiet ochronny dokłada warstwę, która działa jak filtr między tobą a siecią. Gdy klikniesz w link prowadzący do znanej fałszywej strony, blokuje ją, zanim się załaduje, i pokazuje ostrzeżenie. Nie zatrzyma każdego nowego oszustwa, bo świeże strony powstają tysiącami dziennie, ale odsiewa dużą część tego, co krąży. W ochronie stron dobrze wypadają Bitdefender i Norton, oba z wysokimi ocenami w testach laboratoriów. Zobaczysz je też w głównym rankingu antywirusów.
Bitdefender lub Norton 360
Bitdefender od lat należy do czołówki w wykrywaniu zagrożeń i ma mocny filtr fałszywych stron, także na telefonie. Norton 360 dorzuca monitoring wycieków danych i działa jako jeden pakiet dla całej rodziny, więc dobrze sprawdza się tam, gdzie z jednego komputera korzysta kilka osób.
linki partnerskieDruga rzecz to sprawdzenie, czy twój numer telefonu i adres e-mail nie krążą już po sieci. Oszuści kupują takie bazy i dlatego wiedzą, na jaki numer wysłać SMS albo pod kogo się podszyć. Usługi monitoringu wycieków ostrzegają, gdy twoje dane pojawią się w wykradzionej bazie. Jak sprawdzić to samodzielnie, opisuję w poradniku jak sprawdzić, czy moje dane wyciekły, a jak ograniczyć swój ślad w sieci, w poradniku jak usunąć dane z internetu.
Surfshark Alert
Alert obserwuje twój adres e-mail i powiązane dane, a gdy pojawią się w wycieku, wysyła ostrzeżenie. Dzięki temu wiesz, że trzeba zmienić hasło albo uważać na wzmożoną falę fałszywych wiadomości, zanim ktoś wykorzysta twoje dane.
link partnerskiLista kontrolna na dziś
Nie musisz robić wszystkiego naraz. Zacznij od nawyków, które nic nie kosztują i chronią najmocniej.
Nie działam pod presją
Każdą pilną prośbę o pieniądze albo dane weryfikuję drugim, niezależnym kanałem, zanim cokolwiek zrobię.
Nie klikam w linki i nie podaję BLIK
Bank i paczki sprawdzam w aplikacji. Kodu BLIK i danych karty nie podaję nikomu w celu "otrzymania" pieniędzy.
Zapisz numer 8080
Tam przesyłasz każdy podejrzany SMS. Bezpłatnie, całą dobę, prosto do CERT Polska.
Ochrona stron i monitoring wycieków
Pakiet z filtrem fałszywych stron na telefon i komputer, zwłaszcza dla mniej technicznych domowników.