- Fałszywy telefon z banku, SMS o dopłacie i fałszywą stronę logowania poznasz po presji czasu, żądaniu kodu BLIK, kodu SMS, pełnych danych karty, instalacji aplikacji albo przelewu na „bezpieczne konto”, a także po linku prowadzącym poza oficjalny kanał instytucji.
- Ten tekst jest dla Ciebie, jeśli dostałeś telefon od rzekomego banku, SMS o paczce, mandacie, blokadzie konta albo kliknąłeś podejrzany link i chcesz szybko ograniczyć ryzyko.
- Przykład: wiadomość o dopłacie 2,99 zł nie służy pobraniu drobnej kwoty, lecz przejęciu danych logowania, danych karty albo zgody na operację, więc ryzyko dotyczy całego rachunku, limitów karty i kolejnych transakcji.
- Co możesz zrobić teraz? Rozłącz się, nie klikaj w link, wejdź do banku wyłącznie z aplikacji lub po ręcznym wpisaniu adresu, a przy najmniejszej wątpliwości zablokuj dostęp i zgłoś incydent do banku oraz CERT Polska, w tym SMS na numer 8080.
Fałszywy telefon z banku, SMS o dopłacie i fałszywa strona logowania są groźne wtedy, gdy skłaniają Cię do wykonania operacji, której prawdziwy bank przez telefon, SMS lub e-mail po prostu nie wymaga. Najczęściej chodzi o kod autoryzacyjny, dane logowania, dane karty, instalację aplikacji albo przelew na konto kontrolowane przez oszusta.
Dobry tekst o tym zagrożeniu nie kończy się na ostrzeżeniu „uważaj”. Musi pokazać, jak wygląda schemat ataku, po czym poznasz manipulację, czego bank nie żąda przez telefon, SMS lub e-mail i co dokładnie zrobić w pierwszych minutach po błędzie. Niżej dostajesz taki plan działania.
Warianty zagrożeń w skrócie – z czym najczęściej masz do czynienia?
| Scenariusz | Pierwszy kontakt | Co chce uzyskać oszust | Najczęstszy błąd ofiary | Co robisz od razu |
|---|---|---|---|---|
| Vishing, czyli fałszywy telefon | Rozmowa o kredycie, włamaniu, blokadzie konta lub „dziale bezpieczeństwa” | Kod BLIK, kod SMS, przelew, instalację aplikacji zdalnej | Kontynuowanie rozmowy i wykonywanie poleceń pod presją | Rozłączasz się i sam dzwonisz na oficjalną infolinię |
| Smishing, czyli fałszywy SMS | Dopłata do paczki, mandat, energia, blokada konta, zwrot podatku | Kliknięcie w link i wejście na fałszywą stronę | Płatność lub logowanie z poziomu wiadomości | Nie klikasz, sprawdzasz sprawę w oficjalnym kanale |
| Phishing przez stronę logowania | Link z SMS-a, e-maila, reklamy albo komunikatora | Login, hasło, dane karty, kody autoryzacyjne | Ufanie wyglądowi strony zamiast domenie | Zamykasz stronę i nie wpisujesz żadnych danych |
| Instalacja aplikacji zdalnego dostępu | Telefoniczne „zabezpieczanie telefonu” lub „pomoc techniczna banku” | Przejęcie ekranu i kontroli nad urządzeniem | Instalacja programu wskazanego przez rozmówcę | Przerywasz kontakt i niczego nie instalujesz |
Najważniejsza zasada: prawdziwy bank wytrzyma Twoją samodzielną weryfikację. Oszust będzie naciskał, żebyś tej weryfikacji nie robił.
Po czym od razu poznasz, że kontakt z rzekomego banku jest próbą oszustwa?
Oszust nie prowadzi zwykłej rozmowy informacyjnej. Tworzy sytuację alarmową: ktoś złożył wniosek o kredyt, konto jest atakowane, policja już działa, środki trzeba „zabezpieczyć”. Każdy z tych pretekstów ma jeden cel, odciąć Cię od spokojnej weryfikacji.
- Masz działać natychmiast, bo „system zaraz zablokuje konto” albo „pieniądze znikną za chwilę”.
- Masz nikomu nie mówić, bo „trwa tajna procedura bezpieczeństwa”.
- Masz coś podyktować lub zatwierdzić, choć prawdziwy bank w takim trybie tego nie wymaga.
Jeżeli rozmówca nie daje Ci czasu na samodzielny kontakt z bankiem, traktujesz to jak próbę wyłudzenia.
Jakie sztuczki stosują oszuści, gdy podszywają się pod bank, policję albo pracownika BLIK?
Typowy schemat wygląda tak: najpierw dzwoni „bank”, potem rozmowę przejmuje „policja” albo „dział bezpieczeństwa”, czasem pojawia się fałszywa legitymacja, a numer telefonu wygląda wiarygodnie, bo został podszyty. W kolejnym kroku pada polecenie przelania pieniędzy na „rachunek techniczny”, podania kodu BLIK albo zainstalowania programu do „zabezpieczenia urządzenia”.
Oszuści coraz częściej nie proszą od razu o hasło. Proszą o działanie, które brzmi rozsądnie: anulowanie kredytu, potwierdzenie tożsamości, blokadę karty, cofnięcie podejrzanej transakcji. Właśnie ten element bywa najbardziej przekonujący.
Jak odróżnić prawdziwy SMS z banku od wiadomości o dopłacie, paczce, mandacie lub blokadzie konta?
Najczęstsze przynęty to dopłata do paczki, mandat, zwrot nadpłaty, blokada konta, nieodebrana płatność albo konieczność szybkiej aktualizacji danych. Zewnętrznie taki SMS potrafi wyglądać zwyczajnie. O jego charakterze rozstrzyga to, że wymusza kliknięcie, logowanie albo płatność przez obcy adres.
| Cecha wiadomości | Komunikat bezpieczny | Czerwona flaga |
|---|---|---|
| Sposób działania | Informacja i odesłanie do znanego kanału | Natychmiastowy link do płatności lub logowania |
| Ton wiadomości | Spokojny, bez szantażu czasem | Pilny, alarmowy, z groźbą blokady |
| Adres strony | Brak linku albo wyraźne odesłanie do aplikacji | Skrócony link, dziwna domena, dopisek do nazwy |
Najbezpieczniejsza zasada jest prosta: do banku, urzędu i operatora paczki nie wchodzisz z linku w SMS-ie. Otwierasz aplikację albo sam wpisujesz adres strony.
Jak rozpoznać fałszywą stronę logowania jeszcze przed wpisaniem danych?
Nowoczesny phishing potrafi niemal idealnie kopiować kolory, logo, komunikaty i układ banku. Dlatego sama kłódka przy adresie nie wystarcza. Oznacza jedynie szyfrowanie połączenia, nie potwierdza, że witryna należy do właściwej instytucji.
Czytasz domenę od prawej do lewej. Nazwa banku musi znajdować się bezpośrednio przed właściwą końcówką domeny. Przykłady edukacyjne fałszywych schematów to: bank-logowanie.example, secure-bank.example, mojbank.verify.example. Taki układ wygląda wiarygodnie, ale nie prowadzi do prawdziwego banku.
- Obca końcówka domeny albo dodatkowy człon po nazwie banku to alarm.
- Link z SMS-a lub e-maila zwiększa ryzyko nawet wtedy, gdy strona wygląda poprawnie.
- Nietypowe żądanie pełnego hasła, danych karty lub dodatkowych kodów kończy logowanie natychmiast.
Dlaczego samo kliknięcie w link bywa niebezpieczne i co dzieje się dalej?
Link potrafi przekierować do panelu logowania, formularza płatności, strony „weryfikacji” albo sklepu z aplikacją podsuwaną jako narzędzie bezpieczeństwa. Czasem od razu nic nie wpisujesz, ale atak nie kończy się na tym etapie, bo oszust liczy, że wrócisz do linku później albo przejdziesz przez kolejne ekrany.
Dlatego błędne jest założenie: „kliknąłem, ale nic się nie stało”. Po takim zdarzeniu sprawdzasz, czy nie pobrałeś pliku, nie uruchomiłeś instalacji, nie nadałeś przeglądarce dodatkowych uprawnień i czy nie zacząłeś logowania w obcej domenie.
Jak bezpiecznie sprawdzić, czy telefon, wiadomość albo link naprawdę pochodzą z banku?
Nazwa kontaktu na ekranie telefonu i sam numer nie dają pewności, bo dane połączenia da się podszyć. Nie oddzwaniasz numerem z SMS-a ani z treści wiadomości. Nie korzystasz też z linku przesłanego przez rozmówcę. Sam wybierasz drogę kontaktu.
- Kończysz rozmowę albo ignorujesz wiadomość.
- Otwierasz aplikację banku i sprawdzasz, czy widzisz oficjalny komunikat.
- Dzwonisz na infolinię z numeru opublikowanego przez bank.
- Sprawdzasz historię operacji, limity i aktywne urządzenia.
Jakich danych i kodów najczęściej chcą oszuści i czego bank nie żąda przez telefon, SMS lub e-mail?
| Czego chce oszust | Do czego to służy | Czego nie podajesz |
|---|---|---|
| Login i hasło do bankowości | Przejęcie rachunku | Nigdy przez telefon, SMS, e-mail lub czat |
| Kod BLIK i kod autoryzacyjny SMS | Akceptacja transakcji lub wypłaty | Nigdy rozmówcy podającemu się za bank lub policję |
| Numer karty, data ważności, CVV/CVC | Płatności kartą w internecie | Nigdy w odpowiedzi na telefon albo link z wiadomości |
| Instalacja AnyDesk, TeamViewer i podobnych narzędzi | Przejęcie ekranu i urządzenia | Nigdy na polecenie rozmówcy „z banku” |
Przez telefon, SMS lub e-mail bank nie żąda pełnego hasła, kodu BLIK, kodu autoryzacyjnego do rozmowy, pełnych danych karty ani instalacji programu do ochrony rachunku. Jeżeli taki komunikat się pojawia, masz do czynienia z próbą wyłudzenia albo z kontaktem, którego nie należy kontynuować.
Co zrobić, gdy podejrzewasz próbę wyłudzenia, ale nie doszło jeszcze do utraty pieniędzy?
Najpierw kończysz rozmowę albo zamykasz stronę. Potem sprawdzasz, czy nie ujawniłeś części danych, nie pobrałeś pliku i nie zalogowałeś się do banku w podejrzanym miejscu. Jeżeli choć przez chwilę wpisywałeś hasło albo dane karty, reagujesz od razu, nie czekasz na „rozwój sytuacji”.
W praktyce liczy się pierwsze 15 minut. W tym czasie sprawdzasz rachunek, zmieniasz hasło do bankowości i do e-maila, wylogowujesz aktywne sesje, blokujesz kartę, gdy zachodzi potrzeba, a podejrzaną wiadomość lub stronę zgłaszasz do CERT Polska. Fałszywy SMS możesz przekazać na numer 8080.
Jak postąpić po kliknięciu w fałszywy link, podaniu danych lub zatwierdzeniu operacji?
Najpierw trzeba rozróżnić scenariusze. Nieautoryzowana transakcja to taka, której nie zatwierdziłeś. Inaczej wygląda sytuacja, gdy sam zaakceptowałeś operację pod wpływem manipulacji. Dla użytkownika praktyczny wniosek pozostaje jednak taki sam: zgłoszenie do banku składasz od razu i przekazujesz pełny opis zdarzenia, a ocena prawna konkretnej transakcji następuje według ustawy o usługach płatniczych i okoliczności sprawy.
Jeżeli podałeś login i hasło, zmieniasz je natychmiast. Jeżeli podałeś dane karty, zastrzegasz kartę. Jeżeli zainstalowałeś aplikację zdalnego dostępu, odłączasz urządzenie od sieci i przestajesz używać go do bankowości do czasu sprawdzenia. Jeżeli zatwierdziłeś operację, kontakt z bankiem nie może czekać.
| Co się stało | Co robisz natychmiast | Co robisz dalej |
|---|---|---|
| Kliknąłeś link, nic nie wpisałeś | Zamykasz stronę, usuwasz pobrane pliki | Sprawdzasz urządzenie i zgłaszasz link do CERT Polska |
| Wpisałeś login i hasło | Zmiana hasła, kontakt z bankiem, weryfikacja aktywnych sesji | Monitorujesz historię operacji i powiadomienia |
| Podałeś dane karty | Zastrzegasz kartę | Sprawdzasz blokady, składasz reklamację przy obcych transakcjach |
| Podałeś kod BLIK lub kod SMS | Natychmiastowy kontakt z bankiem | Dokumentujesz zdarzenie i zgłaszasz sprawę na policję |
| Zainstalowałeś aplikację zdalnego dostępu | Odłączasz urządzenie od sieci i nie logujesz się więcej do banku | Czyścisz urządzenie albo oddajesz je do sprawdzenia |
Krótki przykład: użytkownik dostaje SMS o dopłacie 2,99 zł, klika link, wpisuje login i hasło, a po kilku minutach odbiera telefon od rzekomego banku z prośbą o „anulowanie podejrzanej transakcji”. W tym momencie nie ma już dwóch osobnych zdarzeń. To jeden zaplanowany scenariusz wyłudzenia, w którym SMS przygotował grunt pod rozmowę i próbę autoryzacji operacji.
Checklista, co zrobić krok po kroku
- Przerywasz kontakt, rozłączasz rozmowę, zamykasz stronę, nie odpisujesz na wiadomość.
- Nie podajesz żadnych danych, loginu, hasła, PIN-u, kodu BLIK, kodu SMS, danych karty.
- Weryfikujesz sprawę samodzielnie, przez aplikację banku lub oficjalną infolinię.
- Zmieniasz hasła, jeśli wpisałeś dane logowania lub kliknąłeś w podejrzany link.
- Zastrzegasz kartę, jeśli podałeś dane karty lub wszedłeś na fałszywą stronę płatności.
- Sprawdzasz historię rachunku, limity, aktywne sesje i urządzenia.
- Zgłaszasz incydent do banku, CERT Polska i, gdy doszło do szkody, na policję.
- Zachowujesz dowody, numer telefonu, treść SMS-a, godzinę kontaktu, zrzuty ekranu, treść komunikatu autoryzacyjnego.
Słowniczek pojęć
FAQ, najczęściej zadawane pytania
Czy bank może poprosić przez telefon o kod BLIK albo kod SMS?
Nie. Kod BLIK i kod SMS służą do autoryzacji operacji, a nie do rozmowy weryfikacyjnej.
Czy numer telefonu z nazwą banku na ekranie oznacza, że dzwoni prawdziwy bank?
Nie. Numer i nazwa nadawcy mogą zostać podszyte, dlatego kontakt weryfikujesz wyłącznie przez własne połączenie na oficjalną infolinię.
Czy kłódka przy adresie strony oznacza, że logowanie do banku jest bezpieczne?
Nie. Kłódka potwierdza szyfrowanie połączenia, ale nie potwierdza, że strona należy do banku.
Co zrobić z podejrzanym SMS-em o dopłacie do paczki albo mandacie?
Nie klikasz w link i nie płacisz z poziomu wiadomości. Sprawdzasz sprawę w oficjalnym kanale i przesyłasz SMS na numer 8080.
Czy bank może polecić przelanie pieniędzy na konto techniczne albo bezpieczne konto?
Nie. Taki scenariusz jest typowym elementem oszustwa telefonicznego.
Co zrobić, jeśli podałem dane logowania albo dane karty na fałszywej stronie?
Natychmiast zmieniasz hasło, blokujesz kartę, kontaktujesz się z bankiem i zabezpieczasz dostęp do poczty e-mail powiązanej z rachunkiem.
Kiedy bank powinien zwrócić pieniądze po nieautoryzowanej transakcji?
Co do zasady do końca następnego dnia roboczego po zgłoszeniu albo stwierdzeniu transakcji, chyba że bank ma uzasadnione i należycie udokumentowane podstawy podejrzenia oszustwa po stronie płatnika. Każdą sprawę ocenia się według ustawy o usługach płatniczych i konkretnego stanu faktycznego.
Źródła i podstawa prawna
- CERT Polska, Fałszywi konsultanci, dostęp: 27/03/2026 r.
- CERT Polska, Fałszywe SMS-y, dostęp: 27/03/2026 r.
- CERT Polska, Analiza adresów stron, 17/09/2025 r.
- CERT Polska, Podsumowanie miesiąca, luty 2026, publikacja: 12/03/2026 r.
- PKO Bank Polski, Jak sprawdzić, czy dzwoni pracownik banku, dostęp: 27/03/2026 r.
- Bank Pekao S.A., Uwaga: oszuści podszywają się pod pracowników instytucji finansowych, 19/03/2026 r.
- ING Bank Śląski, Kradzież danych identyfikacyjnych, dostęp: 27/03/2026 r.
- Rzecznik Finansowy, Co robić w przypadku nieautoryzowanej transakcji, 27/10/2025 r.
- UOKiK, Zwrot kwoty nieautoryzowanej transakcji, dostęp: 27/03/2026 r.
- Ustawa z dnia 19/08/2011 r. o usługach płatniczych, dostęp: 27/03/2026 r.
Dane i źródła zweryfikowane na dzień: 27/03/2026 r.
Jak liczone są przykłady: pokazują mechanikę oszustwa i skalę ryzyka. Kwota przynęty, np. 2,99 zł, nie oznacza wysokości szkody, bo szkoda zależy od przejętych danych, limitów rachunku, kart i zakresu autoryzowanych operacji.
Podstawa prawna: ustawa z dnia 19/08/2011 r. o usługach płatniczych, w zakresie zasad odpowiedzialności za nieautoryzowane transakcje płatnicze.
Co możesz zrobić po przeczytaniu tego artykułu?
- Przyjmij jedną prostą zasadę: fałszywy telefon z banku, SMS o dopłacie i stronę logowania sprawdzasz zawsze przez własny kontakt z bankiem, nigdy przez link albo polecenie z rozmowy.
- Zapisz oficjalną infolinię banku i numer 8080, aby w sytuacji stresowej nie szukać danych w podejrzanej wiadomości.
- Sprawdź dziś, jak w Twoim banku zablokować kartę, zmienić hasło i wylogować urządzenia, bo w realnym incydencie liczy się czas reakcji.
Dziękuję za przeczytanie artykułu. Zanim wyjdziesz sprawdź jeszcze najnowsze rankingi:
1. Ranking kredytów gotówkowych
2. Ranking kredytów konsolidacyjnych
3. Ranking kont osobistych
Aktualizacja artykułu: 27 marca 2026 r.
Autor: Jacek Grudniewski
Analityk produktów finansowych i pasjonat rynku nieruchomości
Treści mają charakter informacyjny i edukacyjny. Nie stanowią indywidualnej porady prawnej, podatkowej ani finansowej w rozumieniu przepisów prawa. Przed decyzją wpływającą na finanse skonsultuj stan faktyczny z odpowiednim specjalistą.
