W 2025 roku liczba incydentów smishingowych w Polsce wzrosła o 152% - do ponad 260 tysięcy. Fałszywe SMS-y podszywające się pod InPost, mBank czy ZUS powodują straty liczone w setkach milionów złotych. Sprawdź jak je rozpoznać i co zrobić gdy już kliknąłeś.

Co to jest smishing?

Smishing (ang. SMS phishing) to odmiana phishingu realizowana przez wiadomości SMS. Przestępca podszywa się pod bank, firmę kurierską, urząd lub operatora telekomunikacyjnego i wysyła wiadomość nakłaniającą odbiorcę do kliknięcia w link lub podania wrażliwych danych.

Mechanizm jest prostszy niż się wydaje: małe kwoty, duża presja, wiarygodnie wyglądający nadawca. Wystarczy chwila nieuwagi.

Skala problemu w Polsce

Dane CERT Polska za 2025 rok są alarmujące:

  • 658 300 zgłoszeń podejrzanych SMS-ów - wzrost o 10% rok do roku
  • 260 800 incydentów - wzrost o 152% w porównaniu z 2024 rokiem
  • 1,9 miliarda fałszywych SMS-ów zablokowanych przez operatorów na podstawie wzorców dostarczonych przez CERT
  • 160 600 niebezpiecznych domen dodanych do listy ostrzeżeń
  • W grudniu 2025 roku oszustwa stanowiły 98% wszystkich incydentów

Związek Banków Polskich szacuje, że straty spowodowane phishingiem bankowym w Polsce przekraczają 150 milionów złotych rocznie.

Najczęstsze scenariusze smishingu w Polsce

1. Fałszywe SMS-y od firm kurierskich

Najpopularniejszy schemat. Dostajesz SMS w stylu:

„InPost: Twoja paczka (nr: PL123456789) zostaje wstrzymana z powodu niedopłaty. Dopłać 2,99 zł: [link]"

Kwota jest celowo mała - kilka złotych nie wzbudza podejrzeń. Po kliknięciu trafiasz na fałszywą stronę z formularzem płatności, gdzie wpisujesz dane karty. Oszust wyprowadza pieniądze z konta.

Podszywanie pod: InPost, DHL, DPD, UPS, Poczta Polska.

2. Fałszywe SMS-y od banku

Schemat oparty na strachu:

„mBank: Ograniczyliśmy dostęp do Twojego konta z powodu podejrzanej aktywności. Zweryfikuj się: [link]"

Bank nigdy nie prosi o weryfikację przez link w SMS-ie. Prawdziwy bank, gdy zablokuje konto, poinformuje cię przez aplikację lub poprosi o kontakt telefoniczny na oficjalny numer.

3. Fałszywe SMS-y od urzędów i dostawców energii

„Urząd Skarbowy: Masz zaległość podatkową 347,00 zł. Nieuregulowanie w ciągu 24h skutkuje postępowaniem egzekucyjnym: [link]"

Urzędy skarbowe, ZUS, NFZ - nie wysyłają linków do płatności przez SMS. Oficjalna komunikacja odbywa się przez e-PUAP, listy polecone lub wywiad bezpośredni.

4. Kampania „na dziecko"

Wyjątkowo perfidny wariant. Dostajesz SMS: „Mamo/Tato, zepsuł mi się telefon, piszę z obcego numeru. Potrzebuję pilnie pomocy…". Po odpowiedzi oszust prosi o przelew lub przenosi rozmowę na WhatsApp i wyłudza pieniądze. To ta sama psychologia co metoda „na wnuczka" opisana w kontekście telefonicznych naciągaczy - bazuje na strachu o bliskich i potrzebie natychmiastowego działania.

5. Kampania „na policjanta" przez SMS

SMS zawiera oskarżenie o przestępstwo i numer do „natychmiastowego kontaktu". Po oddzwonieniu lub odpisaniu oszust proponuje „polubowne załatwienie sprawy" za opłatą. Wiadomości tego typu celowo wywołują panikę i wstyd - ofiary często nie sprawdzają, czy instytucja jest prawdziwa.

Jak rozpoznać fałszywy SMS? - 7 sygnałów

  1. Link prowadzi do podejrzanej domeny - InPost wysyła linki tylko z inpost.pl, bank z domeny swojego banku. Adres „inpost-platnosc.pl" to fałszywa strona.
  2. Prośba o dane karty lub logowanie - żadna legalna firma nie prosi o numer karty przez link w SMS-ie.
  3. Mała kwota jako pretekst - 2,99 zł, 3,49 zł, 1,99 zł. To celowy chwyt - chodzi o twoje dane, nie o tę kwotę.
  4. Presja czasu i groźby - „zapłać w ciągu 24h", „konto zostanie zablokowane", „sprawa trafi do sądu". Pośpiech wyłącza krytyczne myślenie.
  5. Brak personalizacji - prawdziwy bank wie jak masz na imię. Fałszywy SMS pisze „Szanowny Kliencie".
  6. Błędy językowe - literówki i dziwne sformułowania to celowy zabieg pomagający omijać filtry antyspamowe operatorów.
  7. Fałszywa nazwa nadawcy - wyświetlanie nazwy zamiast numeru (np. „InPost" jako nadawca) jest łatwe do podrobienia za pomocą spoofingu.

Co zrobić z podejrzanym SMS-em?

Opcja 1 - Sprawdź przez numer 8080

Prześlij podejrzaną wiadomość (bez edytowania, opcją „Przekaż dalej") na numer 8080. To bezpłatna usługa CERT Polska - system automatycznie sprawdzi treść SMS-a w bazie znanych oszustw i odpowie czy wiadomość jest bezpieczna czy niebezpieczna. Limit to 3 zgłoszenia co 4 godziny z jednego numeru.

Każde zgłoszenie zasila bazę CERT - dzięki temu fałszywa strona może zostać zablokowana w ciągu 5 minut dla milionów polskich użytkowników.

Opcja 2 - Nie klikaj, zweryfikuj samodzielnie

Jeśli SMS dotyczy paczki - zaloguj się bezpośrednio do aplikacji kuriera wpisując adres ręcznie, nie klikając w link. Jeśli dotyczy konta bankowego - sprawdź w aplikacji banku. Jeśli dotyczy zaległości w urzędzie - zadzwoń na oficjalny numer.

Co gdy już kliknąłeś lub podałeś dane?

Działaj natychmiast - liczy się każda minuta:

  1. Zadzwoń do banku na numer z odwrocia karty. Poproś o zablokowanie karty i konta. Infolinia działa 24/7.
  2. Zmień hasła do bankowości internetowej i e-maila.
  3. Zgłoś fałszywą stronę na incydent.cert.pl - podaj URL strony, na którą trafiłeś po kliknięciu.
  4. Złóż zawiadomienie na policję - przez policja.pl lub osobiście.

Więcej o tym jak i gdzie skutecznie zgłaszać tego typu nadużycia opisujemy w artykule jak zgłosić spam telefoniczny do właściwych instytucji.

Złote zasady - jak nie dać się smishingowi

  • Nigdy nie klikaj linków w SMS-ach prowadzących do banku, płatności czy logowania - zawsze wchodź przez aplikację lub wpisując adres ręcznie
  • Małe kwoty to przynęta - celem nie jest te kilka złotych, celem są dane twojej karty
  • Prawdziwa firma wie jak masz na imię - brak imienia w SMS-ie to sygnał alarmowy
  • Prześlij podejrzany SMS na 8080 - bezpłatnie, w ciągu minut dostaniesz odpowiedź
  • Podziel się tą wiedzą z rodziną - szczególnie ze starszymi bliskimi, którzy są nieproporcjonalnie często ofiarami tych ataków