Czym jest phishing

Phishing to technika ataku polegająca na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia poufnych informacji — danych logowania, numerów kart płatniczych, danych osobowych — lub nakłonienia ofiary do pobrania złośliwego oprogramowania. Termin pochodzi od angielskiego słowa fishing (wędkarstwo) — z celowym błędem ortograficznym.

CERT Polska w swoich rocznych raportach o stanie bezpieczeństwa konsekwentnie wskazuje phishing jako najliczniej zgłaszaną kategorię incydentów obsługiwanych przez zespół. W Polsce szczególnie często pojawiają się kampanie podszywające się pod operatorów paczkomatów i przesyłek kurierskich, polskie banki, urzędy skarbowe oraz dostawców energii.

Rodzaje ataków phishingowych

Phishing masowy (e-mail phishing)

Wysyłka dużej liczby fałszywych wiadomości e-mail bez precyzyjnego targetowania odbiorców. Wiadomości naśladują szatę graficzną popularnych banków, serwisów e-commerce lub instytucji publicznych. Skuteczność tego ataku opiera się na prawdopodobieństwie — przy wysyłce do milionów adresatów statystycznie część z nich będzie klientami danego banku lub instytucji.

Spear phishing

Ukierunkowany atak na konkretną osobę lub organizację, przygotowany po wcześniejszym zebraniu informacji o celu — z mediów społecznościowych, stron firmowych, wcześniejszych wycieków danych. Wiadomości zawierają imię odbiorcy, informacje o jego stanowisku lub aktywności, co znacząco zwiększa ich wiarygodność.

Vishing (phishing głosowy)

Atak realizowany przez połączenie telefoniczne. Atakujący podszywa się pod pracownika banku, urzędnika lub pracownika wsparcia technicznego. Metoda ta jest stosunkowo powszechna w Polsce — w raportach CERT Polska regularnie odnotowywane są kampanie z fałszywymi „pracownikami banku" informującymi o rzekomym włamaniu na konto.

Smishing (phishing przez SMS)

Wiadomości SMS zawierające fałszywe linki do stron płatności lub logowania, najczęściej podszywające się pod firmy kurierskie, operatorów telekomunikacyjnych lub urzędy. Po kliknięciu ofiara trafia na stronę wizualnie imitującą oryginalny serwis.

Pharming

Manipulacja na poziomie DNS lub pliku hosts komputera ofiary, powodująca przekierowanie ruchu z legalnej domeny na serwer atakującego — bez żadnej interakcji ze strony użytkownika i bez widocznego fałszywego linku.

Inżynieria społeczna — szerszy kontekst

Phishing jest jedną z wielu technik inżynierii społecznej — manipulacji psychologicznych, które skłaniają ofiarę do działania sprzecznego z jej interesem. Inne powszechne techniki obejmują:

  • Pretexting: stworzenie fałszywego scenariusza uzasadniającego prośbę o informacje lub dostęp (np. podszywanie się pod nowego pracownika IT proszącego o hasło do systemu)
  • Baiting: pozostawienie zainfekowanego nośnika USB w miejscu publicznym lub biurze z nadzieją, że ktoś go podłączy do komputera
  • Quid pro quo: oferowanie pozornej korzyści w zamian za informacje — np. fałszywa pomoc techniczna w zamian za dane logowania
  • Tailgating: fizyczne wtargnięcie na teren chronionego budynku przez podążanie za uprawnionym pracownikiem

Jak rozpoznać fałszywą wiadomość

Istnieje kilka sygnałów ostrzegawczych wskazujących na potencjalny atak phishingowy:

Element Na co zwrócić uwagę
Adres nadawcy Domena różniąca się od oficjalnej jedną literą, znakiem lub subdomeną (np. pkobp-bezpieczenstwo.com zamiast pkobp.pl)
Pilność i presja Komunikaty wymuszające natychmiastowe działanie: „konto zostanie zablokowane w ciągu 24 godzin", „wymagana pilna weryfikacja"
Linki w wiadomości Adres URL po najechaniu kursorem różni się od widocznego tekstu lub prowadzi do domeny niezwiązanej z nadawcą
Język i błędy Błędy językowe, nienaturalnie brzmiące frazy, maszynowe tłumaczenia — choć nowsze ataki z użyciem AI są coraz lepiej napisane
Prośba o dane Bank, urząd skarbowy ani żadna inna instytucja nie prosi o podanie hasła, numeru PESEL ani danych karty przez e-mail lub SMS
Załączniki Pliki z rozszerzeniami exe, zip, docm, xlsm — szczególnie gdy wiadomość zachęca do ich otwarcia jako „faktura" lub „dokument potwierdzający"

Weryfikacja podejrzanych wiadomości

W razie wątpliwości co do autentyczności wiadomości zaleca się:

  1. Nie klikać linków — zamiast tego wpisać adres serwisu bezpośrednio w pasku przeglądarki
  2. Zadzwonić na oficjalny numer instytucji podany na jej stronie internetowej, by zweryfikować, czy kontakt był autentyczny
  3. Sprawdzić certyfikat SSL strony — kłódka w pasku adresu potwierdza szyfrowanie połączenia, ale nie autentyczność właściciela strony
  4. Zgłosić phishing do CERT Polska — przez formularz na stronie incydent.cert.pl lub przez przekazanie wiadomości na adres cert@cert.pl
  5. Sprawdzić domenę w bazie CERT Polska — serwis publikuje listy stron używanych w aktywnych kampaniach phishingowych

Co zrobić po kliknięciu w phishingowy link

Jeśli doszło do kliknięcia w podejrzany link lub podania danych na fałszywej stronie:

  • Natychmiast zmienić hasło do konta, które mogło zostać skompromitowane
  • Jeśli podano dane karty płatniczej — niezwłocznie zablokować kartę i skontaktować się z bankiem
  • Zmienić hasła w innych serwisach, w których używano tego samego hasła
  • Sprawdzić urządzenie programem antywirusowym — link mógł zainicjować pobranie złośliwego oprogramowania
  • Zgłosić incydent do CERT Polska
  • Jeśli doszło do straty finansowej — złożyć zawiadomienie na Policji
CERT Polska prowadzi listę ostrzeżeń o aktywnych kampaniach phishingowych dostępną na stronie cert.pl/ostrzezenia. Regularne przeglądanie listy pozwala na bieżąco śledzić wzorce ataków.

Ostatnia aktualizacja: 4 czerwca 2026. Artykuł ma charakter informacyjny.