Phishing jak go rozpoznać i się bronić

utworzone przez | 30.03.2026 | Technologia

Mężczyzna z poważnym wyrazem twarzy trzyma w ręku haczyk z symbolem wiadomości e-mail, siedząc przed laptopem. Obraz ilustruje temat phishingu i zagrożeń związanych z bezpieczeństwem w sieci.

Co to jest phishing i jak go rozpoznać? Kompletny przewodnik po obronie przed cyberoszustami

Czy zdarzyło Ci się kiedyś odebrać podejrzanego SMS-a od „kuriera” z prośbą o dopłatę do przesyłki? Albo maila od „banku”, który straszył blokadą konta, jeśli natychmiast nie klikniesz w link? Jeśli tak, prawdopodobnie miałeś do czynienia z próbą phishingu. Co to jest phishing i jak go rozpoznać? To pytanie, które zadaje sobie coraz więcej osób, bo cyberprzestępcy stają się coraz bardziej wyrafinowani. W dzisiejszym świecie, gdzie praktycznie każde działanie przeniosło się do sieci, od zakupów po bankowość, umiejętność rozpoznawania i obrony przed tego typu oszustwami jest absolutnie kluczowa dla Twojego bezpieczeństwa.

W tym artykule wyjaśnimy, czym dokładnie jest phishing, na czym polegają ataki, jak wyglądają w praktyce i jakie sygnały powinny wzbudzić Twój niepokój. Dowiesz się, jak skutecznie się bronić i co zrobić, jeśli padniesz ofiarą oszustwa. Przyjrzymy się także, jak polskie prawo podchodzi do phishingu i jakie masz prawa, gdy Twoje środki zostaną skradzione. Celem jest zapewnienie Ci kompleksowej wiedzy, która pomoże Ci czuć się bezpieczniej w cyfrowym świecie.

Co to jest phishing?

Zastanawiasz się, co to jest phishing? Najprościej mówiąc, to rodzaj cyberprzestępczości, która polega na wyłudzeniu od ofiary poufnych danych – takich jak loginy, hasła, numery kart kredytowych, czy kody SMS – albo nakłonieniu jej do wykonania określonych, często niekorzystnych działań, na przykład nieświadomego przelewu pieniędzy. Mówimy tu o oszustwie internetowym, potocznie nazywanym scamem, które wykorzystuje socjotechnikę. Socjotechnika to nic innego jak manipulowanie ludzkim zaufaniem w celu osiągnięcia korzyści kosztem ofiary. Przestępcy w takich atakach mogą podszywać się pod niemal każdego: Twój bank, urząd, firmę kurierską, operatora telekomunikacyjnego, a nawet pod znajomego czy członka rodziny. Ich cel jest jeden – skłonić niczego niepodejrzewającą osobę do ujawnienia wrażliwych informacji lub wykonania niekorzystnej dla niej transakcji finansowej.

Wiele osób, które po raz pierwszy słyszą o tym zagrożeniu, często zadaje sobie pytania w stylu: „phishing co to” albo „phishing co to jest”. Terminem „phishing” określamy całą gamę oszukańczych praktyk polegających na podszywaniu się pod kogoś innego w sieci. Sama nazwa pochodzi od angielskiego słowa fishing, czyli „wędkowanie” – przestępcy niejako „łowią” ofiary, a literki „ph” są nawiązaniem do terminu phreaking, używanego w slangu hakerskim i oznaczającego dawniej manipulowanie systemami telefonicznymi.

Phishing: definicja

Jeśli szukasz precyzyjnej odpowiedzi na pytanie: phishing – definicja, to ogólnie rzecz biorąc, przez phishing rozumiemy celowe działanie oszusta, który poprzez podstęp zdobywa zaufanie ofiary i nakłania ją do ujawnienia informacji albo wykonania określonej czynności finansowej. Choć termin „phishing” nie figuruje wprost w polskich ustawach jako konkretne przestępstwo, to zjawisko to jest powszechnie opisane w kontekście bezpieczeństwa cyfrowego. Na przykład, banki definiują phishing jako próbę wyłudzenia danych poprzez podszywanie się pod instytucje finansowe.

Można więc powiedzieć, że phishing to oszustwo internetowe – scam – polegające na podawaniu się za inną, zaufaną instytucję lub osobę w celu skłonienia ofiary do przekazania cennych informacji, takich jak dane logowania, dane karty płatniczej czy kody SMS, albo do wykonania transakcji, na którą ofiara normalnie by się nie zgodziła. Odpowiadając zatem na pytanie, na czym polega phishing, należałoby udzielić odpowiedzi, iż polega on na zdobyciu zaufania i wykorzystaniu go przeciwko ofierze.

W praktyce phishing przybiera różne formy i techniki, jednak zawsze kluczowym elementem jest wprowadzenie ofiary w błąd co do tożsamości nadawcy komunikatu lub autentyczności sytuacji. Taki atak może dotknąć każdego użytkownika Internetu – stąd rośnie potrzeba edukacji na temat tego, co to jest phishing i jak się przed nim chronić.

Rodzaje phishingu

Phishing niejedno ma imię – oszuści stosują rozmaite warianty tej metody, dostosowane do preferowanego kanału komunikacji i profilu ofiary. Do najpopularniejszych rodzajów phishingu należą m.in.:

  • Phishing e-mailowy – to najbardziej klasyczna forma, w której oszuści wysyłają wiadomości e-mail udające, że pochodzą od zaufanych źródeł (np. banków, sklepów internetowych, firm telekomunikacyjnych). Wiadomości te zawierają fałszywe linki, które kierują ofiarę na strony łudząco podobne do autentycznych, gdzie ma ona podać swoje dane. Często zawierają też załączniki ze złośliwym oprogramowaniem.
  • Smishing (SMS Phishing) – jest to phishing realizowany za pośrednictwem wiadomości SMS. Oszuści wysyłają wiadomości tekstowe, które wyglądają jak powiadomienia od firm kurierskich, banków, dostawców mediów czy nawet od członków rodziny. Zazwyczaj zawierają link do fałszywej strony, na której ofiara ma dokonać dopłaty, potwierdzić dane lub zaktualizować status przesyłki.
  • Vishing (Voice Phishing) – w tym przypadku oszuści kontaktują się z ofiarą telefonicznie, podszywając się pod pracowników banku, policjantów czy inne autorytety. Próbują wywołać panikę lub poczucie pilności, instruując ofiarę, by np. przelała pieniądze na „bezpieczne konto techniczne” lub podała dane do autoryzacji transakcji. To klasyczny przykład wykorzystania socjotechniki.
  • Spear Phishing – to znacznie bardziej ukierunkowana forma ataku. Oszust zbiera wcześniej informacje o konkretnej osobie lub organizacji (np. z mediów społecznościowych, publicznych rejestrów), aby stworzyć spersonalizowaną i bardzo wiarygodną wiadomość. Taki atak jest trudniejszy do wykrycia, bo treść wiadomości, a nawet język, mogą być idealnie dopasowane do odbiorcy i jego sytuacji zawodowej czy osobistej.
  • Whaling – odmiana spear phishingu, która celuje w „grube ryby”, czyli osoby na wysokich stanowiskach, takie jak prezesi, dyrektorzy, czy osoby z dostępem do strategicznych informacji firmowych. Wiadomości są projektowane tak, aby wyglądały na pochodzące od innych menedżerów, prawników czy ważnych partnerów biznesowych.
  • Catphishing – to podstępna taktyka, w której atakujący tworzą fałszywe tożsamości online, aby nawiązać z ofiarą relację romantyczną lub bliską przyjaźń. Celem jest późniejsza eksploatacja finansowa lub uzyskanie dostępu do danych osobowych poprzez manipulację emocjonalną.

Niezależnie od metody, mechanizm jest zawsze podobny – ofiara wierzy, że ma do czynienia z autentyczną instytucją lub osobą, i w rezultacie sama przekazuje oszustom klucz do swoich pieniędzy lub danych.

Phishing: przykłady z życia wzięte

Aby lepiej zobrazować, na czym polega phishing i jak wygląda w praktyce, przyjrzyjmy się kilku typowym scenariuszom, z którymi Polacy niestety często mają do czynienia:

Przykład 1: „Pilna aktualizacja danych bankowych”
Pan Jan otrzymuje email, który wygląda jak oficjalna korespondencja z jego banku. Wiadomość informuje o rzekomej próbie nieautoryzowanego logowania na konto i zawiera alarmujące ostrzeżenie: „Czy to Ty wykonałeś tę operację? Jeśli nie – zaloguj się pod poniższym linkiem, aby natychmiast zabezpieczyć swoje konto.” Zaniepokojony pan Jan klika w podany link i trafia na stronę łudząco podobną do witryny banku, często z adresem URL różniącym się tylko jedną literą czy kropką. Wpisuje swój login, hasło oraz kod SMS. Niestety, strona okazuje się fałszywa – dane logowania trafiły prosto do oszustów. Przestępcy natychmiast wykorzystują je, aby zalogować się na prawdziwe konto pana Jana i wykonują serię przelewów, kradnąc jego oszczędności. W tym przypadku phishing doprowadził do kradzieży pieniędzy poprzez przejęcie danych logowania.

Przykład 2: „Niedoręczona przesyłka Pocztą Polską”
Pani Anna dostaje SMS-a od nadawcy podpisanego jako „Poczta Polska” lub „DPD”. Wiadomość informuje o niedoręczonej przesyłce i prosi o dopłatę, na przykład 1,50 zł, w celu ponownego jej wysłania, podając link do szybkiej płatności online. Pani Anna akurat oczekuje paczki z Allegro, więc nie podejrzewa podstępu. Po kliknięciu w link zostaje przekierowana na stronę przypominającą serwis szybkich płatności, gdzie podaje dane swojej karty płatniczej. W rzeczywistości przekazała te informacje przestępcom. W krótkim czasie z jej karty znikają pieniądze w serii nieautoryzowanych transakcji, dokonanych przez oszustów za pomocą skradzionych danych karty. Ten scam doskonale pokazuje, jak wygląda smishing, czyli phishing przez SMS.

Przykład 3: „Na ratunek Twoim oszczędnościom”
Pan Marek odbiera telefon od osoby podającej się za pracownika banku. Rozmówca, często niezwykle przekonujący, twierdzi, że konto pana Marka padło celem ataku hakerskiego i aby ochronić środki, należy szybko przelać wszystkie pieniądze na specjalne „konto techniczne banku”. Fałszywy „bankier” instruuje krok po kroku, jak wykonać ten przelew przez internet, zapewniając, że po wyjaśnieniu sprawy środki wrócą na konto. Uwierzywszy w te zapewnienia, pan Marek dokonuje przelewu na wskazany rachunek. Oczywiście jest to konto kontrolowane przez przestępców, a pieniądze trafiają w ich ręce. To klasyczny phishing telefoniczny (vishing), który doskonale ilustruje, na czym polega socjotechnika stosowana w atakach typu scam – wykorzystanie strachu i presji czasu.

POLECANE  Jak zeskanować dokument telefonem i stworzyć PDF

Powyższe phishing przykłady pokazują, że oszuści potrafią działać bardzo przekonująco. W każdym z tych przypadków ofiara stała się uczestnikiem nieautoryzowanej transakcji płatniczej – to znaczy takiej, na którą nie wyraziła świadomie zgody (choć mogła zostać podstępnie nakłoniona do działania). Dlatego tak ważne jest nauczyć się rozpoznawać sygnały ostrzegawcze phishingu.

Jak rozpoznać phishing?

Mimo coraz bardziej wyrafinowanych metod działania oszustów, wiele ataków phishingowych zdradza typowe sygnały ostrzegawcze. Oto, jak rozpoznać phishing i nie dać się oszukać, nawet jeśli oszuści podszywają się pod znajome serwisy, jak OLX czy bankowość internetową:

  1. Nagła prośba o podanie danych lub wykonanie działania: Oszuści często tworzą poczucie pilności, np. „Twoje konto zostanie zablokowane”, „Przesyłka zostanie zwrócona”, „Musisz natychmiast uregulować płatność”. Pamiętaj, legalne instytucje nigdy nie żądają podawania poufnych danych (loginów, haseł, pełnych numerów kart) ani wykonywania nagłych przelewów poprzez linki w e-mailach czy SMS-ach.
  2. Błędy językowe i literówki: Chociaż oszuści stale poprawiają swoje metody, często w wiadomościach phishingowych pojawiają się błędy ortograficzne, gramatyczne, interpunkcyjne, a także nienaturalne, „tłumaczone maszynowo” zwroty. Czasem to drobna literówka w adresie strony, np. zamiast „[email protected]” – „[email protected]”. Zwróć uwagę na takie detale.
  3. Podejrzany adres nadawcy: Zawsze sprawdź pełny adres e-mail, z którego przyszła wiadomość, a nie tylko nazwę wyświetlaną (np. „Bank”). Często jest to dziwny, losowy ciąg znaków, albo adres, który jedynie „przypomina” oficjalną domenę, np. „mojbank.xyz” zamiast „mojbank.pl”.
  4. Nieprawidłowy link (URL): Przed kliknięciem w jakikolwiek link, najedź na niego kursorem myszy (nie klikaj!). W dymku lub na dole przeglądarki powinien wyświetlić się prawdziwy adres. Jeśli wygląda podejrzanie, różni się od znanego Ci adresu instytucji, albo zawiera dziwne znaki, to sygnał ostrzegawczy. Często oszuści zastępują literę „l” cyfrą „1” lub „O” cyfrą „0”, by upodobnić adres do oryginalnego.
  5. Prośba o poufne dane: Prawdziwe instytucje finansowe, urzędy czy inne firmy nigdy nie będą prosić Cię o podanie hasła, numeru PESEL, kodu CVV/CVC z karty czy pełnego numeru dowodu osobistego w wiadomości e-mail, SMS-ie czy przez telefon.
  6. Oferta „zbyt dobra, by była prawdziwa”: Jeśli wiadomość obiecuje Ci wygrane w loteriach, darmowe produkty, ogromne zniżki czy nieoczekiwane zwroty podatku, które wymagają natychmiastowego działania i podania danych – bądź bardzo ostrożny. To klasyczna przynęta.
  7. Nieoczekiwane lub dziwne załączniki: Bądź czujny, jeśli wiadomość zawiera załącznik (np. w formacie .zip, .exe, .docm) od nieznanego nadawcy lub taki, którego się nie spodziewasz, nawet jeśli nadawca wydaje się znajomy. Mogą zawierać złośliwe oprogramowanie.
  8. Ogólne powitania: Wiadomości phishingowe często używają ogólnych zwrotów typu „Drogi Kliencie” zamiast Twojego imienia i nazwiska. Legalne firmy zazwyczaj personalizują swoje wiadomości.

Pamiętaj, że oszuści często łączą różne techniki – na przykład wysyłają email, a następnie wykonują telefoniczny kontakt do ofiary, powołując się na wysłaną wiadomość, aby uwiarygodnić swoją historię. Stosuj zasadę ograniczonego zaufania: w razie jakichkolwiek wątpliwości skontaktuj się bezpośrednio z daną instytucją (np. bankiem) poprzez oficjalny numer telefonu lub stronę internetową, zamiast korzystać z linku czy numeru podanego w podejrzanej wiadomości. Najbezpieczniej jest samodzielnie wpisać adres strony internetowej banku lub serwisu w przeglądarce.

Kto może stać się ofiarą phishingu?

Odpowiedź jest prosta i może Cię zaskoczyć: ofiarą phishingu może zostać praktycznie każdy – zarówno osoba młoda, obeznana z technologiami, jak i senior, który dopiero uczy się bankowości internetowej. Przestępcy nie wybierają wyłącznie osób nierozważnych; często atakują masowo, licząc na to, że nawet niewielki odsetek skuszonych odbiorców odpowie na ich zaczepkę. Niestety, phishing jest dziś tak powszechny, że zagrożony jest każdy, kto korzysta z poczty elektronicznej, telefonu czy bankowości online.

Pewne grupy użytkowników mogą być bardziej narażone na ukierunkowane ataki, takie jak spear phishing. Przykładowo, osoby starsze, mniej zaznajomione z technologią, mogą łatwiej ulec manipulacji, zwłaszcza gdy oszust podszywa się pod członka rodziny, jak w popularnej „metodzie na wnuczka” przekształconej w „na SMS-a od dziecka”. Z drugiej strony, nawet specjaliści IT czy pracownicy dużych firm padają ofiarą whalingu i spear phishingu, które bywają bardzo przekonujące i trudne do odróżnienia od prawdziwej korespondencji, bo są precyzyjnie spersonalizowane.

Ważne, by zdać sobie sprawę, że bycie ofiarą phishingu nie świadczy o naiwności – oszuści stale doskonalą swoje metody i potrafią zaskoczyć nawet ostrożnych użytkowników. Dlatego nie należy się wstydzić ani ukrywać faktu, że padło się ofiarą takiego ataku. Im szybciej zareagujesz i poszukasz pomocy, tym większa szansa na zminimalizowanie strat i odzyskanie pieniędzy.

Jak się bronić przed phishingiem?

Skuteczna obrona przed phishingiem opiera się przede wszystkim na ostrożności i wiedzy. Oto kilka kluczowych zasad, które pomogą Ci zabezpieczyć się przed staniem ofiarą takiego oszustwa i zrozumieć, na czym polega skuteczna ochrona:

  1. Zasada ograniczonego zaufania: Zawsze traktuj nieoczekiwane wiadomości (e-maile, SMS-y, połączenia) z dużą ostrożnością. Zanim klikniesz w link, pobierzesz załącznik czy podasz jakiekolwiek dane, zastanów się, czy faktycznie spodziewasz się tej wiadomości. Jeśli masz wątpliwości, skontaktuj się z nadawcą inną, znaną Ci drogą – na przykład dzwoniąc na oficjalną infolinię banku.
  2. Nie klikaj w podejrzane linki: Nigdy nie klikaj w linki zawarte w wiadomościach, które budzą Twoje podejrzenia. Zawsze ręcznie wpisuj adres URL do przeglądarki, jeśli chcesz odwiedzić stronę banku, sklepu czy urzędu.
  3. Weryfikuj nadawcę: Sprawdzaj dokładnie adres e-mail nadawcy, a nie tylko nazwę wyświetlaną. Zwracaj uwagę na literówki i subtelne różnice w domenach. W przypadku SMS-ów, pamiętaj, że oszuści potrafią podszyć się pod nazwy nadawców (np. „BANK”).
  4. Nie udostępniaj poufnych danych: Żadna instytucja (bank, urząd, policja) nigdy nie poprosi Cię o podanie haseł, loginów, numerów kart kredytowych, kodów CVV/CVC, ani numerów PESEL czy dowodu osobistego w wiadomości e-mail, SMS-ie, ani telefonicznie. Nie podawaj tych danych w odpowiedzi na takie prośby.
  5. Używaj silnych, unikalnych haseł: Do każdego serwisu używaj innego, długiego i skomplikowanego hasła. Rozważ korzystanie z menedżera haseł.
  6. Włącz dwuskładnikowe uwierzytelnienie (2FA/MFA): Tam, gdzie jest to możliwe, aktywuj uwierzytelnianie dwuskładnikowe (np. kod z SMS-a, aplikacja uwierzytelniająca, klucz bezpieczeństwa). To dodatkowa warstwa ochrony, która utrudni oszustom dostęp do Twojego konta, nawet jeśli zdobędą Twoje hasło.
  7. Regularnie aktualizuj oprogramowanie: Upewnij się, że Twój system operacyjny (Windows, macOS, Android, iOS), przeglądarka internetowa oraz wszystkie aplikacje są zawsze aktualne. Aktualizacje często zawierają poprawki bezpieczeństwa, które chronią przed nowymi zagrożeniami.
  8. Zainstaluj oprogramowanie antywirusowe/antymalware: Dobre oprogramowanie antywirusowe może pomóc wykryć i zablokować złośliwe oprogramowanie, które próbuje zainfekować Twój komputer po kliknięciu w złośliwy link lub pobraniu zainfekowanego załącznika.
  9. Zabezpiecz swój PESEL: W Polsce rośnie liczba wycieków danych, w tym numerów PESEL. Pamiętaj, że możesz zastrzec swój numer PESEL przez rządową stronę internetową lub w urzędzie. Dodatkowym zabezpieczeniem jest usługa „Zabezpiecz PESEL”, oferowana przez niektórych operatorów, która działa całodobowo i informuje o próbach użycia Twojego numeru.

Przestrzeganie powyższych zasad znacząco zmniejsza ryzyko, że padniesz ofiarą phishingu. Jednak 100% bezpieczeństwa nie istnieje – dlatego równie ważne jest wiedzieć, co zrobić, gdy pomimo ostrożności dojdzie do udanego ataku.

Co zrobić w przypadku ataku phishingowego?

Nawet przy zachowaniu ostrożności każdemu może zdarzyć się chwila nieuwagi. Jeśli zorientujesz się, że mogłeś paść ofiarą phishingu (np. kliknąłeś podejrzany link, podałeś dane na fałszywej stronie lub ktoś wyłudził od Ciebie kod SMS), musisz działać szybko i zdecydowanie. Oto kroki, które powinieneś podjąć, gdy atak phishingowy okazał się skuteczny:

  1. Natychmiast skontaktuj się z bankiem lub dostawcą usługi: Jeśli podałeś dane bankowe, dane karty lub dane logowania do jakiegokolwiek konta (np. poczta, media społecznościowe), zadzwoń na oficjalną infolinię banku lub serwisu. Poinformuj ich o incydencie. Bank może zablokować kartę, zastrzec rachunek i podjąć próbę wstrzymania nieautoryzowanych transakcji. Liczy się każda minuta!
  2. Zmień wszystkie hasła: Zmień hasła do wszystkich kont, które mogły zostać zagrożone, a także do innych serwisów, jeśli używałeś tam tego samego hasła. Zacznij od konta e-mail, bankowości internetowej i mediów społecznościowych. Upewnij się, że nowe hasła są silne i unikalne.
  3. Skanowanie urządzenia pod kątem złośliwego oprogramowania: Użyj aktualnego oprogramowania antywirusowego/antymalware, aby przeskanować swój komputer, tablet czy smartfon. Oszuści mogli zainstalować złośliwe oprogramowanie, które nadal szpieguje Twoje dane.
  4. Zgłoś sprawę na Policję: Zgłoś incydent najbliższej jednostce Policji lub Prokuratury. Jest to kluczowe, ponieważ utrata pieniędzy w wyniku phishingu to przestępstwo, które powinno zostać zgłoszone. Uzyskasz potwierdzenie zgłoszenia, co może być ważne w dalszych procedurach, np. reklamacyjnych z bankiem.
  5. Zbieraj dowody: Zrób zrzuty ekranu (screeny) wiadomości phishingowych, fałszywych stron internetowych, historii transakcji (jeśli doszło do utraty pieniędzy). Zapisz wszystkie daty i godziny zdarzeń. Im więcej dowodów, tym łatwiej będzie prowadzić postępowanie.
POLECANE  Jak skutecznie oszczędzać baterię w smartfonie i wydłużyć czas pracy

Szybka reakcja w przypadku ataku phishingowego ma kluczowe znaczenie. Zdarza się, że banki blokują podejrzane transakcje lub udaje się odzyskać środki. Nawet jeśli nie – ścieżka reklamacyjna i prawna nadal jest otwarta.

Gdzie zgłosić phishing?

Wiele osób zastanawia się, gdzie zgłaszać phishing i tego typu incydenty, aby powstrzymać oszustów lub odzyskać utracone pieniądze. Warto zrozumieć, na czym polega skuteczne zgłoszenie oraz jak wygląda właściwa reakcja. Istnieje kilka miejsc i instytucji, do których warto zgłosić atak phishingowy:

  1. Twój bank lub dostawca usług płatniczych: To pierwszy i najważniejszy krok, jeśli doszło do nieautoryzowanej transakcji lub podałeś dane do bankowości. Bank ma obowiązek rozpatrzyć Twoją reklamację i, co do zasady, zwrócić Ci skradzione środki, jeśli transakcja była nieautoryzowana. Zadzwoń na oficjalny numer infolinii banku, nie korzystaj z numerów podanych w podejrzanej wiadomości.
  2. Policja lub Prokuratura: Każdy przypadek oszustwa, zwłaszcza jeśli wiąże się z utratą pieniędzy, powinien zostać zgłoszony organom ścigania. Złóż zawiadomienie o podejrzeniu popełnienia przestępstwa. Przygotuj wszelkie zgromadzone dowody (zrzuty ekranu, szczegóły transakcji, treść wiadomości).
  3. CERT Polska: To zespół reagowania na incydenty komputerowe działający w ramach NASK (Naukowa i Akademicka Sieć Komputerowa). CERT Polska gromadzi dane o cyberzagrożeniach i pomaga w ich zwalczaniu. Możesz zgłosić podejrzaną wiadomość e-mail lub SMS, korzystając z ich formularza online. W przypadku SMS-ów możesz po prostu przesłać podejrzaną wiadomość na numer 799 448 084. To bardzo proste, a Twoje zgłoszenie może pomóc chronić innych użytkowników.
  4. Instytucja, pod którą się podszyto: Jeśli oszuści podszywali się pod konkretną firmę (np. Poczta Polska, Allegro, OLX, firma kurierska), warto powiadomić tę firmę o incydencie. Dysponują one często własnymi działami bezpieczeństwa, które mogą podjąć działania, np. zablokować fałszywą stronę.

Podsumowując, jeśli zastanawiasz się, gdzie zgłosić phishing, zacznij od banku i policji. Następnie zgłoś incydent do CERT Polska i instytucji podszytej. Im więcej stron zostanie poinformowanych, tym większa szansa na zablokowanie scamu i ograniczenie strat.

Phishing a kodeks karny

W polskim prawie nie znajdziemy przestępstwa o nazwie „phishing” wprost. Pojawiają się jednak pytania typu „phishing art kk” albo „phishing kodeks karny” – warto więc wyjaśnić, jak Kodeks karny traktuje tego rodzaju działania. Otóż czyny polegające na wyłudzeniu danych i kradzieży środków metodą phishingu są jak najbardziej karalne, lecz podpadają pod istniejące już kategorie przestępstw.

Najczęściej phishing jest kwalifikowany jako odmiana oszustwa. Może tu wchodzić w grę klasyczne oszustwo z artykułu 286 Kodeksu karnego, polegające na doprowadzeniu innej osoby do niekorzystnego rozporządzenia swoim mieniem za pomocą wprowadzenia jej w błąd. Jeśli na przykład ofiara sama wykonuje przelew na konto oszusta, wierząc, że to bezpieczne konto techniczne banku – sprawca tym samym doprowadza ją do niekorzystnego rozporządzenia pieniędzmi i odpowiada za oszustwo, zagrożone karą od 6 miesięcy do 8 lat pozbawienia wolności, a w przypadku mniejszej szkody – do 2 lat.

Wielu ekspertów wskazuje jednak, że działania phishingowe często wyczerpują znamiona oszustwa komputerowego z artykułu 287 Kodeksu karnego. Zgodnie z tym przepisem przestępstwem jest bezprawne wpływanie na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych (lub wprowadzanie do systemu nieprawdziwych danych) w celu osiągnięcia korzyści majątkowej. Kradzież pieniędzy z konta dokonana przy użyciu wyłudzonych danych logowania do bankowości internetowej często jest traktowana właśnie jako oszustwo komputerowe. Za czyn z artykułu 287 §1 Kodeksu karnego grozi kara od 3 miesięcy do 5 lat pozbawienia wolności, a w przypadku mniejszej wagi – grzywna lub kara do 2 lat.

Dodatkowo, pewne aspekty ataku phishingowego mogą wypełniać znamiona innych przestępstw. Przykładowo, jeśli przestępca podszywa się pod inną osobę, wykorzystuje jej wizerunek lub dane osobowe i wyrządza jej tym szkody, może odpowiadać z artykułu 190a §2 Kodeksu karnego (kradzież tożsamości) – zagrożone karą od 6 miesięcy do 8 lat więzienia. Również nieuprawniony dostęp do systemu informatycznego lub łamanie zabezpieczeń (np. gdy phishing łączy się z przełamaniem zabezpieczeń konta) stanowi przestępstwo z artykułu 267 Kodeksu karnego, choć bywa traktowane jako element oszustwa.

W praktyce ściganie sprawców phishingu jest trudne – często działają spoza kraju, posługują się pośrednikami (tak zwanymi „słupami”) i zaciemniają ślady. Wiele postępowań karnych w sprawach phishingu kończy się umorzeniem z powodu niewykrycia sprawcy. Nie oznacza to jednak, że ofiara jest pozostawiona bez pomocy. Po pierwsze, zgłaszając przestępstwo, dokładasz cegiełkę do walki z cyberprzestępczością – im więcej zgłoszeń, tym większa szansa, że organy ścigania trafią na trop. Po drugie – i z perspektywy pokrzywdzonego najważniejsze – istnieje możliwość odzyskania utraconych pieniędzy inną drogą.

Polskie prawo chroni ofiary phishingu także na gruncie cywilnym i administracyjnym. Ustawa o usługach płatniczych (wdrażająca unijną dyrektywę PSD2) nakłada na banki i innych dostawców usług płatniczych obowiązek stosowania odpowiednich zabezpieczeń oraz reguluje zasady odpowiedzialności za nieautoryzowane transakcje. Co do zasady, jeśli doszło do nieautoryzowanej transakcji (czyli takiej, której klient nie zlecił i na nią nie wyraził zgody), bank powinien niezwłocznie zwrócić klientowi utraconą kwotę. Wyjątkiem jest sytuacja, gdy poszkodowany doprowadził do transakcji umyślnie lub wskutek rażącego niedbalstwa – wówczas bank może odmówić zwrotu. Ciężar udowodnienia, że klient działał umyślnie lub rażąco niedbale, spoczywa jednak na banku.

W praktyce ofiary phishingu powinny jak najszybciej zgłosić w banku reklamację, powołując się na fakt, że doszło do nieautoryzowanej transakcji płatniczej. Bank ma obowiązek rozpatrzeć taką reklamację i zazwyczaj wstępnie zwraca środki, prowadząc jednocześnie wewnętrzne postępowanie wyjaśniające. Jeśli bank uzna, że klient rażąco naruszył zasady bezpieczeństwa (np. przekazał oszustom hasła w oczywisty sposób), może ponownie obciążyć klienta kwotą transakcji. Wtedy do akcji wkracza droga prawna – klient może odwołać się od decyzji banku, skierować sprawę do arbitra bankowego, Rzecznika Finansowego lub w ostateczności do sądu.

W ostatnich latach zapadło w Polsce wiele korzystnych dla klientów wyroków, w których sądy nakazały bankom zwrócić pieniądze utracone w wyniku phishingu. Sąd uznawał, że typowe błędy popełnione przez ofiarę (np. ulegnięcie podstępowi oszusta podszywającego się pod bank) nie stanowią rażącego niedbalstwa, które zwalniałoby bank z odpowiedzialności. Innymi słowy, prawo stoi na stanowisku, że to bank jako instytucja profesjonalna powinien ponosić ryzyko takich incydentów – oczywiście przy założeniu, że klient nie działał celowo na własną szkodę.

Phishing jest zatem przestępstwem – choć nazwa ta nie występuje wprost w kodeksie karnym, sprawcy ataków phishingowych mogą odpowiadać karnie (najczęściej za oszustwo komputerowe lub inne powiązane czyny). Co ważne, ofiary phishingu nie są pozostawione same sobie: prawo przewiduje mechanizmy pozwalające odzyskać skradzione środki od banku. Jeśli padłeś ofiarą phishingu, pamiętaj, że masz prawo do pomocy – zarówno ze strony organów ścigania, instytucji finansowych, jak i wyspecjalizowanych prawników. Warto skorzystać z tych możliwości, by zminimalizować straty i pociągnąć winnych do odpowiedzialności.

Twoje bezpieczeństwo w sieci jest w Twoich rękach. Znając zagrożenia i wiedząc, jak działać, możesz skutecznie chronić swoje dane i pieniądze. Bądź czujny, stosuj zasadę ograniczonego zaufania, a w razie problemów – działaj szybko i korzystaj z dostępnych mechanizmów pomocy.