11 Maja 2026
Ataki typu smishing – jak chronić swoje dane?
SMS o dopłacie do paczki, blokadzie konta, zaległej fakturze albo podejrzanej aktywności w banku może wyglądać zwyczajnie. Problem w tym, że za taką wiadomością często stoi oszustwo. Smishing polega na podszywaniu się pod znane firmy, banki, urzędy lub inne instytucje po to, aby skłonić odbiorcę do kliknięcia linku, podania danych, zatwierdzenia płatności albo pobrania szkodliwej aplikacji. Sprawdź, jak działa smishing, po czym rozpoznać fałszywy SMS, czego nie robić pod presją czasu i jak zareagować, jeśli Twoje dane mogły trafić w ręce przestępców.
ZWIĘKSZ BEZPIECZEŃSTWO SWOICH DANYCH
O czym pamiętać?
- Smishing to odmiana phishingu prowadzona za pomocą SMS-ów lub podobnych wiadomości tekstowych. Oszuści wykorzystują telefon, bo wiadomości SMS wydają się pilne, osobiste i łatwe do przeoczenia.
- Fałszywa wiadomość nie musi zawierać linku, aby była niebezpieczna. Może nakłaniać do oddzwonienia, odpisania, wykonania przelewu, podania kodu BLIK albo kontaktu przez komunikator.
- Najczęstsze scenariusze to dopłata do paczki, blokada konta bankowego, zaległa faktura, fałszywy mandat, zwrot podatku, wygrana w konkursie, prośba od „dziecka” z nowego numeru albo komunikat o koniecznej aktualizacji danych.
- Jeśli SMS wzbudza niepokój, nie klikaj w link i nie dzwoń pod numer z wiadomości. Wejdź na oficjalną stronę firmy albo skorzystaj z numeru podanego w aplikacji, umowie lub na oficjalnej stronie.
- Podejrzane SMS-y można przekazywać do CERT Polska na numer 8080. Najlepiej przesłać całą wiadomość w oryginalnej formie, bez usuwania linku i fragmentów treści.
Czym jest smishing?
Smishing to oszustwo, w którym przestępcy wykorzystują wiadomości SMS do wyłudzania danych, pieniędzy albo dostępu do kont. Nazwa powstała z połączenia słów „SMS” i „phishing”. W praktyce oznacza to próbę podszycia się pod zaufanego nadawcę i skłonienia odbiorcy do określonego działania.
Tym działaniem może być kliknięcie linku, podanie loginu i hasła do bankowości, wpisanie danych karty płatniczej, zatwierdzenie transakcji, pobranie aplikacji, przekazanie kodu BLIK albo odpowiedź na wiadomość. Typowe przykłady smishingu to m.in. dopłata do paczki, niewielkie zaległości w fakturach czy komunikaty o podejrzanej aktywności na koncie bankowym.
Smishing jest skuteczny, bo opiera się na emocjach: strachu, pośpiechu, ciekawości albo chęci uniknięcia problemu. Oszust chce, aby odbiorca zareagował natychmiast, zanim zdąży spokojnie sprawdzić, czy wiadomość jest prawdziwa.
Sprawdź też: Czym jest vishing i jak się przed nim chronić?
Tym działaniem może być kliknięcie linku, podanie loginu i hasła do bankowości, wpisanie danych karty płatniczej, zatwierdzenie transakcji, pobranie aplikacji, przekazanie kodu BLIK albo odpowiedź na wiadomość. Typowe przykłady smishingu to m.in. dopłata do paczki, niewielkie zaległości w fakturach czy komunikaty o podejrzanej aktywności na koncie bankowym.
Smishing jest skuteczny, bo opiera się na emocjach: strachu, pośpiechu, ciekawości albo chęci uniknięcia problemu. Oszust chce, aby odbiorca zareagował natychmiast, zanim zdąży spokojnie sprawdzić, czy wiadomość jest prawdziwa.
Sprawdź też: Czym jest vishing i jak się przed nim chronić?
Jak działa smishing?
Najczęstszy schemat jest prosty. Otrzymujesz SMS, który wygląda jak wiadomość od banku, kuriera, operatora płatności, serwisu ogłoszeniowego, dostawcy energii, platformy streamingowej albo urzędu. W treści pojawia się informacja, że musisz coś pilnie potwierdzić, opłacić albo zaktualizować.
Po kliknięciu linku trafiasz na stronę, która wygląda jak prawdziwy serwis. Może przypominać stronę banku, bramkę płatności, panel logowania do firmy kurierskiej albo formularz urzędowy. Jeśli wpiszesz tam dane, nie trafiają one do prawdziwej instytucji, lecz do oszustów.
W niektórych wariantach oszustwo idzie dalej. Przestępca może zadzwonić po SMS-ie i udawać konsultanta banku, policjanta albo pracownika firmy kurierskiej. Może też wysłać wiadomość z prośbą o przelew, podanie kodu BLIK lub zainstalowanie aplikacji, która rzekomo ma „zabezpieczyć konto”. W rzeczywistości takie działanie może dać sprawcy dostęp do pieniędzy, danych lub samego telefonu.
Po kliknięciu linku trafiasz na stronę, która wygląda jak prawdziwy serwis. Może przypominać stronę banku, bramkę płatności, panel logowania do firmy kurierskiej albo formularz urzędowy. Jeśli wpiszesz tam dane, nie trafiają one do prawdziwej instytucji, lecz do oszustów.
W niektórych wariantach oszustwo idzie dalej. Przestępca może zadzwonić po SMS-ie i udawać konsultanta banku, policjanta albo pracownika firmy kurierskiej. Może też wysłać wiadomość z prośbą o przelew, podanie kodu BLIK lub zainstalowanie aplikacji, która rzekomo ma „zabezpieczyć konto”. W rzeczywistości takie działanie może dać sprawcy dostęp do pieniędzy, danych lub samego telefonu.
Jak rozpoznać fałszywy SMS?
Nie każda podejrzana wiadomość wygląda nieprofesjonalnie. Dawniej fałszywe SMS-y często zdradzały literówki, dziwne znaki i nienaturalny język. Dziś oszuści coraz częściej piszą poprawnie, korzystają z automatyzacji i dopasowują treść do aktualnych wydarzeń. Dlatego warto patrzeć nie tylko na styl, ale też na mechanizm wiadomości.
Sygnały ostrzegawcze to przede wszystkim presja czasu i groźba konsekwencji. Jeśli SMS informuje, że konto zostanie zablokowane, prąd odłączony, paczka zwrócona, mandat wzrośnie albo dostęp do usługi wygaśnie za kilka minut, zatrzymaj się i sprawdź sprawę innym kanałem.
Uważaj też na linki skrócone, nietypowe domeny, literówki w adresie strony, dopiski udające oficjalny komunikat oraz wiadomości, które proszą o dane logowania, numer karty, kod CVV, kod BLIK, PESEL, skan dokumentu albo jednorazowy kod autoryzacyjny. Bank nie prosi o dane do logowania w wiadomości SMS, a w przypadku oszustwa należy natychmiast skontaktować się z bankiem i zmienić hasła.
Warto też pamiętać, że prawdziwa wiadomość z banku, urzędu lub firmy może pojawić się w tym samym wątku SMS co wcześniejsze autentyczne komunikaty. Samo to, że wiadomość wygląda, jakby przyszła od znanego nadawcy, nie wystarcza do zaufania jej treści. Przestępcy mogą wykorzystywać techniki podszywania się pod nadawcę albo podobne nazwy, które odbiorca łatwo przeoczy.
Sygnały ostrzegawcze to przede wszystkim presja czasu i groźba konsekwencji. Jeśli SMS informuje, że konto zostanie zablokowane, prąd odłączony, paczka zwrócona, mandat wzrośnie albo dostęp do usługi wygaśnie za kilka minut, zatrzymaj się i sprawdź sprawę innym kanałem.
Uważaj też na linki skrócone, nietypowe domeny, literówki w adresie strony, dopiski udające oficjalny komunikat oraz wiadomości, które proszą o dane logowania, numer karty, kod CVV, kod BLIK, PESEL, skan dokumentu albo jednorazowy kod autoryzacyjny. Bank nie prosi o dane do logowania w wiadomości SMS, a w przypadku oszustwa należy natychmiast skontaktować się z bankiem i zmienić hasła.
Warto też pamiętać, że prawdziwa wiadomość z banku, urzędu lub firmy może pojawić się w tym samym wątku SMS co wcześniejsze autentyczne komunikaty. Samo to, że wiadomość wygląda, jakby przyszła od znanego nadawcy, nie wystarcza do zaufania jej treści. Przestępcy mogą wykorzystywać techniki podszywania się pod nadawcę albo podobne nazwy, które odbiorca łatwo przeoczy.
Najczęstsze przykłady smishingu
Smishing zmienia się wraz z tym, co dzieje się w codziennym życiu użytkowników. Oszuści wybierają takie tematy, które są prawdopodobne i wymagają szybkiej reakcji. Dlatego często podszywają się pod usługi, z których korzysta wiele osób.
Najczęstsze przykłady to:
Najczęstsze przykłady to:
- SMS o dopłacie do paczki, np. z powodu nadwagi przesyłki, błędnego adresu albo opłaty celnej;
- wiadomość o blokadzie konta bankowego lub podejrzanej aktywności;
- fałszywy link do płatności za energię, gaz, telefon, internet lub subskrypcję;
- informacja o mandacie, zaległości podatkowej albo rzekomym zwrocie pieniędzy;
- SMS od „dziecka” lub bliskiej osoby z nowego numeru z prośbą o pilny przelew;
- fałszywa wiadomość z serwisu ogłoszeniowego, np. o płatności, wysyłce albo odbiorze pieniędzy;
- komunikat o wygranej, kuponie, promocji lub konieczności odebrania nagrody;
- link do pobrania aplikacji, odsłuchania poczty głosowej albo śledzenia przesyłki.
Czy smishing zawsze zawiera link?
Nie. To ważne, bo wiele osób kojarzy smishing wyłącznie z podejrzanym adresem URL. Tymczasem fałszywa wiadomość może nakłaniać do kontaktu telefonicznego, odpisania na SMS, przejścia do komunikatora, wykonania przelewu albo podania kodu BLIK. CERT Polska zwraca uwagę, że od 2024 roku za złośliwe uznawane są również wiadomości bez linku, jeśli wpisują się w znane schematy oszustw.
Przykład? Wiadomość: „Mamo, to mój nowy numer, telefon mi się zepsuł, napisz na WhatsApp” nie musi mieć linku. Jej celem jest przeniesienie rozmowy do komunikatora i stopniowe nakłonienie ofiary do przelewu. Podobnie działa SMS z prośbą o pilny kontakt z „bankiem” albo „działem bezpieczeństwa”.
Przykład? Wiadomość: „Mamo, to mój nowy numer, telefon mi się zepsuł, napisz na WhatsApp” nie musi mieć linku. Jej celem jest przeniesienie rozmowy do komunikatora i stopniowe nakłonienie ofiary do przelewu. Podobnie działa SMS z prośbą o pilny kontakt z „bankiem” albo „działem bezpieczeństwa”.
Jak chronić dane przed smishingiem?
Nie działaj pod presją wiadomości. Jeśli SMS wywołuje niepokój, nie odpowiadaj automatycznie i nie klikaj linku. Zamknij wiadomość, wejdź samodzielnie do aplikacji banku, panelu klienta lub na oficjalną stronę firmy, aby sprawdzić, czy problem rzeczywiście istnieje.
W codziennej ochronie pomagają też proste nawyki:
W codziennej ochronie pomagają też proste nawyki:
- nie podawaj loginu, hasła, danych karty ani kodów autoryzacyjnych po przejściu z linku w SMS-ie;
- nie instaluj aplikacji z linków przesłanych w wiadomości;
- czytaj pełną treść SMS-ów autoryzacyjnych z banku, w tym kwotę i odbiorcę transakcji;
- ustaw limity transakcji internetowych i BLIK;
- korzystaj z aplikacji bankowej pobranej z oficjalnego sklepu;
- włącz uwierzytelnianie dwuskładnikowe tam, gdzie to możliwe;
- aktualizuj system telefonu i aplikacje;
- nie zapisuj zdjęć dokumentów w łatwo dostępnych folderach telefonu;
- rozważ osobny adres e-mail do zakupów, newsletterów i rejestracji w mniej ważnych serwisach.
Dobrą praktyką jest też rozmowa z bliskimi, szczególnie z osobami starszymi i nastolatkami. Wiele oszustw działa dlatego, że odbiorca wstydzi się dopytać, boi się konsekwencji albo chce szybko pomóc komuś bliskiemu. Ustalenie rodzinnej zasady, np. „przelewy po SMS-ie zawsze potwierdzamy rozmową”, może realnie ograniczyć ryzyko.
Co zrobić po otrzymaniu podejrzanego SMS-a?
Zweryfikuj sprawę samodzielnie. W przypadku banku użyj numeru z aplikacji lub oficjalnej strony. W przypadku kuriera sprawdź przesyłkę w aplikacji albo na stronie, wpisując adres ręcznie. W przypadku rachunku zaloguj się do swojego panelu klienta bezpośrednio, a nie przez link z SMS-a.
Podejrzany SMS możesz przekazać na numer 8080. Zgłoszenie trafia do CERT Polska, a takie sygnały pomagają rozpoznawać kampanie oszustów i ograniczać ich zasięg. Zgodnie z instrukcją CERT najlepiej użyć funkcji „przekaż” lub „udostępnij” i przesłać całą wiadomość w oryginalnej formie.
Po zgłoszeniu usuń wiadomość, aby nie kliknąć w nią przypadkiem później. Jeśli masz wątpliwości, ostrzeż domowników lub współpracowników, zwłaszcza gdy SMS podszywa się pod usługę, z której korzystacie wspólnie.
Podejrzany SMS możesz przekazać na numer 8080. Zgłoszenie trafia do CERT Polska, a takie sygnały pomagają rozpoznawać kampanie oszustów i ograniczać ich zasięg. Zgodnie z instrukcją CERT najlepiej użyć funkcji „przekaż” lub „udostępnij” i przesłać całą wiadomość w oryginalnej formie.
Po zgłoszeniu usuń wiadomość, aby nie kliknąć w nią przypadkiem później. Jeśli masz wątpliwości, ostrzeż domowników lub współpracowników, zwłaszcza gdy SMS podszywa się pod usługę, z której korzystacie wspólnie.
Co zrobić, jeśli klikniesz link z SMS-a?
Samo kliknięcie linku nie zawsze oznacza kradzież danych, ale nie należy tego lekceważyć. Dalsze kroki zależą od tego, co wydarzyło się po kliknięciu.
- Jeśli tylko otworzyła się strona, ale niczego nie wpisujesz i niczego nie pobierasz, zamknij ją, nie wracaj do linku i przeskanuj telefon narzędziem bezpieczeństwa.
- Jeśli podano login i hasło, natychmiast zmień hasło w prawdziwym serwisie. Zrób to przez oficjalną aplikację lub stronę wpisaną ręcznie w przeglądarce. Jeśli używasz tego samego hasła gdzie indziej, zmień je również w innych miejscach. Sprawdź aktywne sesje i wyloguj nieznane urządzenia.
- Jeśli podano dane karty płatniczej, zadzwoń do banku i zablokuj kartę. Sprawdź historię transakcji i ustaw niższe limity do czasu wyjaśnienia sprawy.
- Jeśli zatwierdzono przelew, kod BLIK albo transakcję, natychmiast skontaktuj się z bankiem. Im szybciej zareagujesz, tym większa szansa na ograniczenie strat.
- Jeśli pobrano aplikację z linku, odłącz telefon od internetu, nie loguj się z niego do banku i skontaktuj się z bankiem z innego urządzenia. Aplikacje podszywające się pod narzędzia bezpieczeństwa, pocztę głosową albo śledzenie paczek mogą żądać niebezpiecznych uprawnień i przejmować kontrolę nad wybranymi funkcjami telefonu.
Co zrobić, jeśli podasz PESEL lub dane osobowe?
Smishing nie zawsze kończy się kradzieżą pieniędzy z konta. Czasem celem są dane osobowe: PESEL, numer dokumentu, adres, numer telefonu, e-mail albo zdjęcie dowodu. Takie informacje mogą później zostać wykorzystane do kolejnych prób oszustwa, np. podszywania się, wyłudzenia usługi, zawarcia umowy albo przygotowania bardziej wiarygodnych wiadomości.
Jeśli w fałszywym formularzu podasz PESEL lub dane z dokumentu, rozważ zastrzeżenie numeru PESEL. Usługa jest dostępna przez internet lub w urzędzie, a od 1 czerwca 2024 r. instytucje finansowe mają obowiązek sprawdzać, czy PESEL jest zastrzeżony przy zawieraniu m.in. umowy kredytu lub pożyczki. Zastrzeżenie PESEL nie usuwa danych z internetu i nie blokuje wszystkich możliwych nadużyć, ale ogranicza ryzyko wybranych wyłudzeń.
Warto też monitorować sygnały, które mogą świadczyć o wykorzystaniu danych. Zwróć uwagę na nieznane wiadomości z banków, firm pożyczkowych, operatorów, sklepów ratalnych, platform sprzedażowych lub urzędów. Jeśli ktoś próbuje zawrzeć umowę na Twoje dane, szybka reakcja może ograniczyć konsekwencje.
Jeśli w fałszywym formularzu podasz PESEL lub dane z dokumentu, rozważ zastrzeżenie numeru PESEL. Usługa jest dostępna przez internet lub w urzędzie, a od 1 czerwca 2024 r. instytucje finansowe mają obowiązek sprawdzać, czy PESEL jest zastrzeżony przy zawieraniu m.in. umowy kredytu lub pożyczki. Zastrzeżenie PESEL nie usuwa danych z internetu i nie blokuje wszystkich możliwych nadużyć, ale ogranicza ryzyko wybranych wyłudzeń.
Warto też monitorować sygnały, które mogą świadczyć o wykorzystaniu danych. Zwróć uwagę na nieznane wiadomości z banków, firm pożyczkowych, operatorów, sklepów ratalnych, platform sprzedażowych lub urzędów. Jeśli ktoś próbuje zawrzeć umowę na Twoje dane, szybka reakcja może ograniczyć konsekwencje.
Jak może pomóc Chroń PESEL?
Smishingu nie da się całkowicie wyeliminować, bo oszuści stale zmieniają scenariusze i nadawców wiadomości. Można jednak zmniejszyć ryzyko skutków, zwłaszcza gdy w grę wchodzi wykorzystanie danych osobowych.
W takiej sytuacji warto sprawdzić pakiety Chroń PESEL. Usługa nie zapobiega otrzymaniu fałszywego SMS-a i nie usuwa danych z internetu, ale pomoże szybciej namierzyć, że ktoś próbuje wykorzystać Twoje dane. To szczególnie istotne wtedy, gdy w fałszywym formularzu podasz numer PESEL, numer telefonu, adres e-mail albo inne informacje, które mogą posłużyć do podszywania się.
W zależności od wybranego pakietu możesz otrzymywać powiadomienia o próbach użycia danych w określonych sytuacjach, a także korzystać z dodatkowego wsparcia przewidzianego w warunkach usługi. W przypadku oszustw czas reakcji ma duże znaczenie, dlatego monitoring danych warto traktować jako dodatkową warstwę bezpieczeństwa, a nie zamiennik ostrożności.
W takiej sytuacji warto sprawdzić pakiety Chroń PESEL. Usługa nie zapobiega otrzymaniu fałszywego SMS-a i nie usuwa danych z internetu, ale pomoże szybciej namierzyć, że ktoś próbuje wykorzystać Twoje dane. To szczególnie istotne wtedy, gdy w fałszywym formularzu podasz numer PESEL, numer telefonu, adres e-mail albo inne informacje, które mogą posłużyć do podszywania się.
W zależności od wybranego pakietu możesz otrzymywać powiadomienia o próbach użycia danych w określonych sytuacjach, a także korzystać z dodatkowego wsparcia przewidzianego w warunkach usługi. W przypadku oszustw czas reakcji ma duże znaczenie, dlatego monitoring danych warto traktować jako dodatkową warstwę bezpieczeństwa, a nie zamiennik ostrożności.
Podsumowanie
Smishing to oszustwo SMS-owe, które wykorzystuje zaufanie do telefonu, pośpiech i codzienne sytuacje: paczki, bankowość, rachunki, mandaty, zakupy online czy kontakt z bliskimi. Fałszywa wiadomość może prowadzić do strony wyłudzającej dane, pobrania szkodliwej aplikacji, przekazania kodu BLIK albo wykonania przelewu na konto oszusta.
Najważniejsze zasady to: nie klikaj linków z podejrzanych SMS-ów, nie podawaj danych po przejściu z wiadomości, sprawdzaj sprawę przez oficjalne kanały i zgłaszaj podejrzane treści na 8080. Jeśli klikniesz link albo wpiszesz dane, działaj szybko: zmień hasła, skontaktuj się z bankiem, zablokuj kartę, sprawdź telefon i rozważ zastrzeżenie numeru PESEL.
Najważniejsze zasady to: nie klikaj linków z podejrzanych SMS-ów, nie podawaj danych po przejściu z wiadomości, sprawdzaj sprawę przez oficjalne kanały i zgłaszaj podejrzane treści na 8080. Jeśli klikniesz link albo wpiszesz dane, działaj szybko: zmień hasła, skontaktuj się z bankiem, zablokuj kartę, sprawdź telefon i rozważ zastrzeżenie numeru PESEL.
Najczęściej zadawane pytania FAQ
Co to jest smishing?
Smishing to odmiana phishingu prowadzona za pomocą wiadomości SMS lub podobnych wiadomości tekstowych. Oszuści podszywają się pod banki, firmy kurierskie, urzędy, operatorów płatności albo bliskie osoby, aby wyłudzić dane, pieniądze, kody autoryzacyjne lub dostęp do kont.
Jak wygląda fałszywy SMS?
Fałszywy SMS często informuje o pilnej dopłacie, blokadzie konta, zaległej fakturze, podejrzanej aktywności, zwrocie podatku, wygranej albo problemie z przesyłką. Może zawierać link, numer telefonu, prośbę o odpowiedź lub instrukcję przejścia do komunikatora.
Czy smishing zawsze zawiera link?
Nie. Smishing może zawierać link, ale nie musi. Wiadomość może nakłaniać do oddzwonienia, wykonania przelewu, podania kodu BLIK, przekazania danych w rozmowie albo kontynuowania kontaktu przez komunikator.
Co zrobić z podejrzanym SMS-em?
Nie klikaj linku, nie odpowiadaj i nie dzwoń pod numer z wiadomości. Sprawdź sprawę przez oficjalną aplikację, stronę lub infolinię danej instytucji. Podejrzany SMS przekaż na numer 8080 do CERT Polska.
Czy samo kliknięcie linku z SMS-a jest niebezpieczne?
Może być, chociaż największe ryzyko pojawia się wtedy, gdy podasz dane, pobierzesz aplikację albo zatwierdzisz operację. Po kliknięciu zamknij stronę, nie wpisuj żadnych informacji, zgłoś SMS, przeskanuj telefon i obserwuj nietypowe zachowania urządzenia.
Co zrobić, jeśli podam dane logowania na fałszywej stronie?
Natychmiast zmień hasło w prawdziwym serwisie, wyloguj aktywne sesje, włącz uwierzytelnianie dwuskładnikowe i skontaktuj się z bankiem, jeśli dane dotyczyły finansów. Jeśli używasz tego samego hasła w innych miejscach, zmień je również tam.
Co zrobić, jeśli podam dane karty płatniczej?
Skontaktuj się z bankiem i zablokuj kartę. Sprawdź historię transakcji, ustaw niższe limity i monitoruj rachunek. Nie czekaj na pierwszą nieautoryzowaną płatność, bo dane karty mogą zostać wykorzystane bardzo szybko.
Czy po smishingu warto zastrzec PESEL?
Tak, jeśli w fałszywym formularzu podasz numer PESEL, dane dokumentu, adres albo inne informacje, które mogą zostać użyte do podszywania się. Zastrzeżenie PESEL nie rozwiązuje wszystkich problemów, ale ogranicza ryzyko wybranych nadużyć, m.in. przy próbach zawarcia umów finansowych.
Czy bank może wysłać SMS z linkiem?
Banki mogą wysyłać różne powiadomienia, ale nie należy logować się do bankowości przez link z SMS-a. Bezpieczniej otworzyć aplikację banku albo wpisać adres strony samodzielnie. Jeśli wiadomość dotyczy blokady, przelewu lub podejrzanej aktywności, skontaktuj się z bankiem przez oficjalny numer.
Gdzie zgłaszać smishing?
Podejrzane SMS-y zgłaszaj na numer 8080, przekazując całą wiadomość w oryginalnej formie. Podejrzane strony i incydenty można zgłaszać także przez formularz CERT Polska. Jeśli doszło do utraty pieniędzy, gróźb, przejęcia konta lub podszywania się, zgłoś sprawę również w banku i na policji.
Źródła
1. Ministerstwo Cyfryzacji, Uwaga Smishing, dostęp: 4.05.2026.
2. Gov.pl / CERT Polska, Dostałeś niepokojący sms albo email? Zgłoś go do CERT Polska, dostęp: 4.05.2026.
3. CERT Polska, Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, dostęp: 4.05.2026.
4. Komisja Nadzoru Finansowego, Phishingowe wiadomości SMS, dostęp: 4.05.2026.
5. Związek Banków Polskich, Bankowcy dla Cyberedukacji: Oszustwo na smishing, dostęp: 4.05.2026.
6. Gov.pl, Zastrzeż swój numer PESEL lub cofnij zastrzeżenie, dostęp: 4.05.2026.
7. Ministerstwo Cyfryzacji, Wszystko, co musisz wiedzieć o funkcji Zastrzeż PESEL, dostęp: 4.05.2026.
Data aktualizacji: 4 maja 2026 r.
Smishing to odmiana phishingu prowadzona za pomocą wiadomości SMS lub podobnych wiadomości tekstowych. Oszuści podszywają się pod banki, firmy kurierskie, urzędy, operatorów płatności albo bliskie osoby, aby wyłudzić dane, pieniądze, kody autoryzacyjne lub dostęp do kont.
Jak wygląda fałszywy SMS?
Fałszywy SMS często informuje o pilnej dopłacie, blokadzie konta, zaległej fakturze, podejrzanej aktywności, zwrocie podatku, wygranej albo problemie z przesyłką. Może zawierać link, numer telefonu, prośbę o odpowiedź lub instrukcję przejścia do komunikatora.
Czy smishing zawsze zawiera link?
Nie. Smishing może zawierać link, ale nie musi. Wiadomość może nakłaniać do oddzwonienia, wykonania przelewu, podania kodu BLIK, przekazania danych w rozmowie albo kontynuowania kontaktu przez komunikator.
Co zrobić z podejrzanym SMS-em?
Nie klikaj linku, nie odpowiadaj i nie dzwoń pod numer z wiadomości. Sprawdź sprawę przez oficjalną aplikację, stronę lub infolinię danej instytucji. Podejrzany SMS przekaż na numer 8080 do CERT Polska.
Czy samo kliknięcie linku z SMS-a jest niebezpieczne?
Może być, chociaż największe ryzyko pojawia się wtedy, gdy podasz dane, pobierzesz aplikację albo zatwierdzisz operację. Po kliknięciu zamknij stronę, nie wpisuj żadnych informacji, zgłoś SMS, przeskanuj telefon i obserwuj nietypowe zachowania urządzenia.
Co zrobić, jeśli podam dane logowania na fałszywej stronie?
Natychmiast zmień hasło w prawdziwym serwisie, wyloguj aktywne sesje, włącz uwierzytelnianie dwuskładnikowe i skontaktuj się z bankiem, jeśli dane dotyczyły finansów. Jeśli używasz tego samego hasła w innych miejscach, zmień je również tam.
Co zrobić, jeśli podam dane karty płatniczej?
Skontaktuj się z bankiem i zablokuj kartę. Sprawdź historię transakcji, ustaw niższe limity i monitoruj rachunek. Nie czekaj na pierwszą nieautoryzowaną płatność, bo dane karty mogą zostać wykorzystane bardzo szybko.
Czy po smishingu warto zastrzec PESEL?
Tak, jeśli w fałszywym formularzu podasz numer PESEL, dane dokumentu, adres albo inne informacje, które mogą zostać użyte do podszywania się. Zastrzeżenie PESEL nie rozwiązuje wszystkich problemów, ale ogranicza ryzyko wybranych nadużyć, m.in. przy próbach zawarcia umów finansowych.
Czy bank może wysłać SMS z linkiem?
Banki mogą wysyłać różne powiadomienia, ale nie należy logować się do bankowości przez link z SMS-a. Bezpieczniej otworzyć aplikację banku albo wpisać adres strony samodzielnie. Jeśli wiadomość dotyczy blokady, przelewu lub podejrzanej aktywności, skontaktuj się z bankiem przez oficjalny numer.
Gdzie zgłaszać smishing?
Podejrzane SMS-y zgłaszaj na numer 8080, przekazując całą wiadomość w oryginalnej formie. Podejrzane strony i incydenty można zgłaszać także przez formularz CERT Polska. Jeśli doszło do utraty pieniędzy, gróźb, przejęcia konta lub podszywania się, zgłoś sprawę również w banku i na policji.
Źródła
1. Ministerstwo Cyfryzacji, Uwaga Smishing, dostęp: 4.05.2026.
2. Gov.pl / CERT Polska, Dostałeś niepokojący sms albo email? Zgłoś go do CERT Polska, dostęp: 4.05.2026.
3. CERT Polska, Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, dostęp: 4.05.2026.
4. Komisja Nadzoru Finansowego, Phishingowe wiadomości SMS, dostęp: 4.05.2026.
5. Związek Banków Polskich, Bankowcy dla Cyberedukacji: Oszustwo na smishing, dostęp: 4.05.2026.
6. Gov.pl, Zastrzeż swój numer PESEL lub cofnij zastrzeżenie, dostęp: 4.05.2026.
7. Ministerstwo Cyfryzacji, Wszystko, co musisz wiedzieć o funkcji Zastrzeż PESEL, dostęp: 4.05.2026.
Data aktualizacji: 4 maja 2026 r.
Niniejszy materiał ma charakter wyłącznie marketingowy i ma na celu zachęcenie do nabycia usług Chroń PESEL świadczonych przez Kaczmarski Group Sp. J. oraz jej partnerów, tj. KRD BIG S.A. oraz TU Europa S.A. Materiał ten nie ma charakteru konsultingowego i nie powinien stanowić wyłącznej podstawy do podjęcia jakichkolwiek decyzji. Rekomendowane jest zapoznanie się ze szczegółowymi zasadami świadczenia usług Chroń PESEL, określonymi w odpowiednich Regulaminach, Ogólnych Warunkach, Warunkach ubezpieczenia oraz Cennikach (dostępnych na stronach internetowych chronpesel.pl).