Jak rozpoznać phishing: InPost, BLIK, bank

Skala problemu w liczbach

Wiele osób zakłada, że phishing ich nie dotyczy. Że atakujący celują w większe ryby. W praktyce jest odwrotnie: małe i średnie firmy padają częściej, bo mają mniej zabezpieczeń i wolniej reagują.

43%

ataków na polskie MŚP to phishing

CERT Polska 2025

47 tys.

średni koszt udanego ataku w PLN (małe firmy)

dane branżowe

+61%

wzrost incydentów phishingowych rok do roku

CERT Polska 2025

47 tysięcy złotych strat to dla małej firmy kilka miesięcy przychodu. Problem w tym, że ataki są coraz lepsze. AI generuje maile bez błędów, w naturalnym polskim. 2025 był rekordowy. 2026 pewnie go pobije.

Czym właściwie jest phishing?

Ktoś udaje kogoś, kim nie jest. Bank, kuriera, urząd skarbowy, a coraz częściej szefa lub współpracownika. Cel? Żebyś kliknął w link, podał dane logowania, zrobił przelew albo otworzył załącznik.

Nazwa od "fishing" (łowienie ryb). Atakujący zarzuca przynętę i czeka. Dobry phishing wygląda wiarygodnie dla konkretnej osoby. Nie trafia do Ciebie przypadkiem.

Ważna różnica Phishing to atak na człowieka, nie na oprogramowanie. Nawet najlepiej zaktualizowany system można obejść, jeśli przekonasz użytkownika do dobrowolnego podania hasła. Dlatego samo zainstalowanie antywirusa nie wystarczy.

Jak to wygląda w Polsce - rodzaje ataków

Phishing ma lokalne warianty. Co działa w USA, niekoniecznie sprawdza się w Polsce. Polscy oszuści znają nasze realia. Oto co pojawia się najczęściej:

📦

Fałszywe powiadomienia od kurierów (InPost, Poczta Polska, DHL)

Klasyk, który nie traci na popularności. Dostajesz SMS lub mail: "Twoja paczka czeka - dopłać 1,50 zł za ponowne doręczenie". Link prowadzi do strony łudząco podobnej do InPostu, gdzie wpisujesz dane karty. Paczki nie ma, są za to opróżnione konto.

💳

Fałszywe bramki płatności (Przelewy24, BLIK, PayU)

Kupujesz coś na OLX albo klikasz link z maila od "sklepu". Bramka płatności wygląda identycznie jak Przelewy24 - adres URL jest trochę inny, ale kto patrzy na URL? Wpisujesz kod BLIK, potwierdzasz w aplikacji, myśląc że to normalna transakcja. Pieniądze idą do oszusta.

📱

Smishing - phishing przez SMS

SMS z "banku": "Wykryliśmy podejrzaną transakcję. Kliknij, żeby zablokować". Albo z "ZUS": "Masz zwrot podatku - podaj numer konta". SMS jest krótki, pilny i ma link. Na telefonie trudniej sprawdzić, czy link jest prawdziwy.

🎯

Spear phishing w firmach

Atakujący robi research: sprawdza LinkedIn, stronę firmy, czasem poprzednie wycieki danych. Potem pisze mail podpisany jako prezes albo dyrektor finansowy: "Pilnie przelej 23 000 zł na to konto - nie ma czasu na procedury, tłumaczę jutro". Pracownicy, którzy nie znają szefa osobiście, padają.

📞

Vishing - phishing przez telefon

"Dzień dobry, mówi z PKO BP. Wykryliśmy próbę włamania na pana konto. Żeby je zabezpieczyć, potrzebuję potwierdzić kod z SMS." Głos brzmi profesjonalnie, rozmówca zna Twoje imię i ostatnie cztery cyfry karty. Dane wyciekły wcześniej - teraz są używane do uwiarygodnienia scamu.

Jak rozpoznać phishing - sygnały ostrzegawcze

Phishing prawie zawsze zostawia ślady. Problem w tym, że trzeba ich szukać. Działamy na autopilicie, a oszuści to wykorzystują.

KRYTYCZNE
Sprawdź nadawcę - nie wyświetlaną nazwę, ale rzeczywisty adres. Mail może wyświetlać się jako "InPost" albo "PKO Bank Polski", ale adres nadawcy to noreply@inpost-pl.eu lub powiadomienia@pkobp-secure.xyz. Kliknij na nazwę nadawcy w swoim kliencie pocztowym i sprawdź, co tam siedzi.
KRYTYCZNE
Najedź kursorem na link przed kliknięciem. Na komputerze w lewym dolnym rogu ekranu zobaczysz, dokąd prowadzi odnośnik. Jeśli mail jest od "mBanku", a link prowadzi na mbank-logowanie.ru albo mbank.pl.verify-account.com - to phishing. Prawdziwa domena mBanku to mbank.pl, a wszystko przed nią to poddomeny, nie główna witryna.
OSTRZEŻENIE
Pilność = czerwona flaga. "Działaj teraz", "Konto zostanie zablokowane za 24h", "Ostatnia szansa" - to klasyczne techniki socjotechniczne. Pilność wyłącza krytyczne myślenie. Jeśli coś jest "natychmiastowe i nieodwracalne", zatrzymaj się i sprawdź dwukrotnie.
OSTRZEŻENIE
Błędy językowe - ale już nie zawsze. Dawniej phishing można było poznać po fatalnej polszczyźnie. Teraz modele AI generują poprawne, naturalne teksty. Brak błędów nie świadczy o legalności. Za to dziwna składnia, mechaniczne sformułowania albo zbyt formalne zwroty w nieodpowiednim kontekście nadal zdarzają się w słabszych atakach.
OSTRZEŻENIE
Czy naprawdę czekasz na tę paczkę? To proste pytanie ratuje wiele osób. Jeśli dostałeś powiadomienie o paczce, a nic nie zamawiałeś - ktoś łowi na ślepo. Jeśli zamawiałeś, wejdź bezpośrednio na stronę sklepu lub kuriera przez przeglądarkę, nie przez link z maila.

Złota zasada Zamiast klikać link z maila lub SMS, wejdź bezpośrednio na stronę przez przeglądarkę. Wpisz adres ręcznie albo użyj zakładek. 30 sekund więcej, ale zero ryzyka, że trafisz na podróbkę.

Kliknąłem - co teraz?

Bez paniki. Samo kliknięcie w link to jeszcze nie katastrofa. Ryzyko rośnie, gdy podajesz dane albo potwierdzasz transakcje. Ale nawet wtedy da się coś zrobić. Liczy się czas.

Działaj natychmiast Jeśli podałeś dane logowania do banku lub potwierdziłeś nieznany przelew - zadzwoń do banku teraz. Nie za 10 minut, nie po sprawdzeniu konta. Teraz. Numer obsługi klienta jest z tyłu karty.

Odetnij połączenie. Jeśli podejrzewasz, że zainstalowałeś malware - wyłącz WiFi i dane mobilne. Nie pozwól złośliwemu oprogramowaniu komunikować się z serwerem atakującego.
Zmień hasła natychmiast. Zacznij od kont najważniejszych: poczta główna, bankowość, konta firmowe. Użyj innego urządzenia do zmiany, jeśli podejrzewasz, że komputer jest zainfekowany.
Włącz dwuetapowe uwierzytelnienie (2FA) na wszystkich kontach, na których jeszcze go nie masz. Nawet jeśli atakujący zna hasło, bez kodu z telefonu nie wejdzie na konto.
Zgłoś incydent do CERT Polska pod adresem incident.cert.pl. Zgłoszenie jest bezpłatne, anonimowe i pomaga chronić innych. CERT może też pomóc w analizie sytuacji.
Sprawdź historię transakcji bankowych. Niezidentyfikowane przelewy, nawet małe (złotówka, kilka groszy - atakujący sprawdzają, czy karta działa) to sygnał alarmowy. Zadzwoń do banku.
Przeskanuj urządzenie antywirusem. Jeśli go nie masz - zainstaluj. Dobry skaner pokaże, czy pobrano coś złośliwego w tle.

Jak się chronić - konkretne narzędzia

Poniższe linki są afiliacyjne - zarabiamy prowizję, jeśli kupisz przez nasz link. Polecamy te narzędzia niezależnie od tego, bo faktycznie pomagają.

Antywirus z ochroną przeglądarki

Podstawa

Dobry antywirus blokuje znane strony phishingowe zanim je otworzysz. Baza złośliwych domen aktualizuje się na bieżąco. Bitdefender i Norton 360 mają moduły anti-phishing w przeglądarce. Ostrzegą Cię, nawet jeśli strona wygląda identycznie jak oryginał.

Porównaj antywirusy w rankingu

Menedżer haseł

Niedoceniany

Mało kto o tym mówi, ale menedżer haseł to jedno z lepszych zabezpieczeń przed phishingiem. 1Password czy NordPass uzupełniają hasło tylko na właściwej domenie. Jesteś na mbank-secure.pl zamiast mbank.pl? Hasło się nie pojawi. Proste i skuteczniejsze niż ludzkie oko.

Sprawdź menedżery haseł w rankingu

VPN

Przydatny w podróży

Pracujesz z kawiarni, lotniska, hotelu? W publicznym WiFi ktoś może podstawić fałszywą sieć albo podsłuchać ruch. VPN szyfruje połączenie. NordVPN i Surfshark mają też filtry DNS blokujące znane domeny phishingowe. Nie jest to priorytet numer jeden, ale przy pracy zdalnej pomaga.

Porównaj VPN-y w rankingu

Lista kontrolna dla firmy - 5 rzeczy do zrobienia w tym tygodniu

Masz firmę, nawet 3-osobową? Dane pracowników i klientów to Twoja odpowiedzialność. Nie musisz wdrażać SIEM-a - poniżej minimum, które ma sens.

Szkolenie pracowników z rozpoznawania phishingu Godzinny warsztat raz na pół roku robi różnicę. Możesz użyć bezpłatnych materiałów z CERT Polska lub platform jak KnowBe4. Najważniejsze: pokaż prawdziwe przykłady ataków, nie teoretyczne prezentacje.
Polityka silnych i unikalnych haseł Każde konto firmowe musi mieć inne, silne hasło. Brzmi oczywisto, ale badania pokazują, że ponad połowa pracowników używa tego samego hasła do kilku systemów. Wdrożenie menedżera haseł dla zespołu rozwiązuje ten problem raz na zawsze.
Dwuetapowe uwierzytelnienie na wszystkich krytycznych kontach Poczta firmowa, konta w chmurze, systemy finansowe, dostęp do serwera - wszędzie. 2FA przez aplikację (Google Authenticator, Authy) jest silniejsze niż przez SMS. Nawet jeśli hasło wycieknie, atakujący bez fizycznego dostępu do telefonu nie wejdzie.
Regularne kopie zapasowe poza siecią firmową Phishing często prowadzi do ransomware - malware, które szyfruje wszystkie pliki i żąda okupu. Kopia zapasowa w oddzielnej lokalizacji (chmura + fizyczny nośnik offline) oznacza, że możesz odtworzyć dane bez płacenia. Testuj kopie regularnie - kopia, której nie możesz odtworzyć, nie istnieje.
Plan reagowania na incydent - napisz go zanim będzie potrzebny Prosta jednastronicowa procedura: kto pierwszy powiadamia, kogo informujemy (CERT, bank, klientów), kto decyduje o wyłączeniu systemów. W trakcie ataku nie ma czasu na ustalanie tych rzeczy od zera. Wydrukuj i powieś w widocznym miejscu.

Dla firm przetwarzających dane osobowe Incydent phishingowy prowadzący do naruszenia danych osobowych trzeba zgłosić do UODO w ciągu 72 godzin. To wymóg RODO. Kara za niezgłoszenie może być wyższa niż szkody samego ataku.

Na koniec

Phishing działa na zaufanie i presję czasu. Stuprocentowej ochrony nie ma - ale podnosisz poprzeczkę na tyle, że oszustowi łatwiej szukać kogoś innego.

Zacznij od menedżera haseł i 2FA. To godzina roboty, dziś. Jeśli masz firmę, dorzuć warsztat dla pracowników - jeden raz na pół roku robi różnicę.

Konkretne narzędzia - antywirus, menedżer haseł, VPN - zestawiamy w rankingu na podstawie danych z AV-TEST i AV-Comparatives, nie reklam producentów.

* Linki oznaczone gwiazdką są linkami afiliacyjnymi - jeśli zdecydujesz się na zakup przez ten link, cyberranking.pl otrzymuje prowizję od sprzedawcy. Dla Ciebie cena jest taka sama. Nie wpływa to na nasze oceny ani rekomendacje - stosujemy tę samą metodologię niezależnie od relacji handlowych. Więcej o tym, jak działamy, znajdziesz na stronie O nas.

Phishing w polskich firmach - jak się bronić w 2026?