Phishing i smishing – bo o nich mowa – to jedne z najczęstszych rodzajów cyberataków ostatnich lat. Tylko w roku 2024 r. – jak podaje CERT Polska (będący działającym w strukturach NASK – Państwowego Instytutu Badawczego – Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego) odnotowano ich aż 40 120 przypadków. W ubiegłym roku, popularne były m.in. „oszustwa na dziecko”, ale nie zabrakło również podszywania się pod urząd skarbowy czy dostawców przesyłek. Wszystkie tego typu działania mają jeden cel – wyłudzenie poufnych danych od ofiary przestępstwa i w wielu przypadkach – opróżnienie jej konta bankowego lub użycie karty kredytowej. Istnieje jednak narzędzie, które może w znacznym stopniu zminimalizować ryzyko zostania ofiarą tego rodzaju oszustwa.

Co to jest phishing i smishing?

Phishing jest jednym z rodzajów cyberataków – najczęstszym w 2024 r. (w którym odnotowano jego 40 120 przypadków1, co stanowi aż 39% wszystkich incydentów zarejestrowanych przez CERT Polska), tak jak i w latach poprzednich (41 423 przypadki w roku 2023). Polega on na wyłudzaniu od ofiary przestępstwa poufnych danych, np. loginu i hasła do poczty, strony banku, portalu społecznościowego lub innej usługi online albo PIN-u lub numeru karty kredytowej. Phishing przyjmuje często formę wiadomości e-mail imitujących komunikaty od banków lub innych instytucji, z prośbą o potwierdzenie danych lub kliknięcie linka do fałszywej strony. Ofiarą phishingu mogą stać się nie tylko osoby fizyczne, ale także przedsiębiorcy, którym przesyłane są m.in. fałszywe wezwania do zapłaty za usługi lub zaległe faktury. Jeżeli przestępcy uda się wyłudzić od ofiary dane niezbędne do zalogowania się np. do jej konta bankowego – skutek jest łatwy do przewidzenia: oczywiście, znikną z niego wszystkie pieniądze. W 2024 r. – jak wynika z raportu CERT Polska – wśród popularnych kampanii phishingowych były m.in. przypadki nieuprawnionego wykorzystywania wizerunku serwisów sprzedażowych OLX – 9865 przypadków, Allegro – 4053 przypadki oraz serwisu społecznościowego Facebook – 3871 przypadków.

Phishing jest terminem pochodzącym od angielskiego słowa fishing, czyli – łowić ryby. Analogicznie do łowienia ryb – cyberprzestępcy posługujący się tym typem oszustwa komputerowego – stosują bowiem „przynętę”, by nakłonić ofiarę do ujawnienia poufnych danych.

Zbliżonym do phishingu rodzajem cyberataku – jest smishing, który również polega (tak jak phishing) na wyłudzaniu od ofiary przestępstwa poufnych danych, ale jest to czynione za pośrednictwem fałszywej wiadomości sms, a nie wiadomości e-mail. Pojęcie smishingu, zostało zdefiniowane w ustawie z dnia 28.07.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej i w myśl jej art. 3 pkt 2 stanowi – wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania.

Co na temat zwalczania phishingu i smishingu mówią przepisy i gdzie można dokonać zgłoszenia podejrzanej wiadomości e-mail lub sms?

Najważniejszym aktem prawnym, w tym zakresie, jest – ustawa z dnia 28.07.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej, która weszła w życie we wrześniu 2023 r., ale większość jej przepisów dotyczących szczegółowych rozwiązań – zaczęła obowiązywać na przestrzeni roku 2024. Określa ona m.in.:

prawa i obowiązki przedsiębiorców telekomunikacyjnych związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem, jak również

obowiązki dostawcy poczty elektronicznej oraz podmiotu publicznego, związane ze świadczeniem i korzystaniem z poczty elektronicznej w celu zapobiegania nadużyciom w komunikacji elektronicznej.

W ustawie tej – zostało zdefiniowane pojęcie tzw. smishingu (o czym była już mowa powyżej) oraz obowiązki CSIRT NASK (czyli Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego), którym jest Zespół CERT Polska. Cert Polska jest działającym w strukturach NASK – Państwowego Instytutu Badawczego, zespołem odpowiedzialnym za obsługę incydentów bezpieczeństwa i współpracę z podobnymi jednostkami na całym świecie – zarówno w działalności operacyjnej, jak i badawczo-wdrożeniowej. Jako CSIRT NASK – zgodnie z art. 26 ustawy z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa – CERT Polska odpowiada m.in. za:

monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym,

cyberbezpieczeństwa i incydentów na poziomie krajowym, wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa,

o zidentyfikowanych zagrożeniach cyberbezpieczeństwa, reagowanie na zgłoszone incydenty oraz

oraz koordynację obsługi incydentów.

Jednym z zadań CERT Polska w zakresie zwalczania smishingu – wynikającym z art. 4 ustawy z dnia 28.07.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej – jest prowadzenie wykazu wzorców złośliwych wiadomości SMS, do którego dostęp mają operatorzy SMS. Na podstawie otrzymanych zgłoszeń – CERT Polska umieszcza w nim tzw. wyrażenia regularne, które opisują konkretne wiadomości lub całe kampanie SMS. W ciągu 5 min od upublicznienia takiego wyrażenia w ww. rejestrze – wzorzec zostaje automatycznie pobrany i operatorzy telekomunikacyjni mają obowiązek blokowania każdej wiadomości, która pasuje do tego wzorca. Niezależnie od powyższego – CERT Polska prowadzi również wykaz tzw. nadpisów SMS, które zarezerwowane są dla podmiotów publicznych. Jeżeli jakaś instytucja publiczna zgłosi do Zespołu taki nadpis – otrzymuje do niego pełne prawo, co skutkuje zablokowaniem próby wysłania wiadomości z danym nadpisem przez innego nadawcę. Z wykorzystaniem powyższych narzędzi – w 2024 r., CERT Polska zablokowało 1 475 366 wiadomości SMS, które mogłyby narazić ich niedoszłych odbiorców na poważne konsekwencje. W wykazie nadpisów, zostało natomiast umieszczonych 271 nadpisów, zarejestrowanych przez 254 instytucje.1

Jak pokazują powyższe dane – skala zjawiska jest ogromna, dlatego tak ważne jest zachowanie szczególnej ostrożności w odczytywaniu wiadomości e-mail i sms pochodzących od nieznanych nadawców oraz we „wchodzeniu”/kikaniu w podejrzane (nadsyłane przez nich) linki, przez użytkowników telefonów komórkowych i poczty elektronicznej oraz zgłaszanie takich podejrzanych wiadomości (zarówno e-mailowych, jak i sms-owych) do CERT Polska (któremu od dnia 28 sierpnia 2018 r. zostały powierzone obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa). W ten sposób, można bowiem, w realny sposób, przyczynić się do zwalczania phishingu i smishingu oraz uchronić tysiące ludzi przed ryzykiem zostania ofiarą cybertataku.

Ważne Wszelkie podejrzane wiadomości SMS (z linkami lub bez) – można zgłosić do CERT Polska, używając funkcji „Przekaż”, bezpośrednio na numer: 8080. Zgłoszenia incydentu, można również dokonać za pośrednictwem: formularza dostępnego na stronie internetowej CERT Polska : LINK jak również

: LINK jak również aplikacji mObywatel , za pośrednictwem której można:

, za pośrednictwem której można: zgłosić link prowadzący do oszustwa ( Złośliwa strona internetowa ), przedstawić opis potencjalnego oszustwa ( Oszustwo ) oraz przesłać informację o innym incydencie ( Inny ), np. o błędnej konfiguracji usługi publicznej, z której się korzysta.

W tym celu – w aplikacji mObywatel – należy wybrać ikonę usługi „Bezpiecznie w sieci”, a następnie – „Zgłoś incydent” – zgodnie z poniższą infografiką: Zgłoszenie incydentu do CERT Polska, za pośrednictwem aplikacji mObywatel Inne

Jest sposób na zminimalizowanie ryzyka zostania ofiarą phishingu lub smishingu – uruchomienie oficjalnych powiadomień o zagrożeniach i aktualnych schematach oszustw

Celem uchronienia jak największej liczby osób przed phishingiem i smishingiem, poprzez docieranie – z komunikatami o obserwowanych aktualnie schematach oszustw – do jak największej grupy odbiorców – CERT Polska, we współpracy z Centralnym Ośrodkiem Informatyki, w ramach aplikacji mObywatel (Bezpiecznie w sieci), uruchomiło usługę powiadamiania o zagrożeniach. Powiadomienia te są dobrowolne, więc każdy zainteresowany nimi użytkownik – musi je samodzielnie włączyć. Można to zrobić za pomocą przycisku Więcej w prawym dolnym rogu ekranu głównego (w aplikacji mObywatel), a następnie w sekcji Ustawienia wybrać Powiadomienia i zaznaczyć odpowiednie pole w sekcji Usługi → Bezpiecznie w sieci. W uruchomieniu powiadomień, pomocna może okazać się poniższa infografika (opracowana przez CERT Polska):

Instrukcja włączania powiadomień w usłudze Bezpiecznie w sieci w aplikacji mObywatel Inne

Jak informuje CERT Polska – z ww. usługi powiadomień o zagrożeniach, korzysta już ponad 160 tys. użytkowników. „Wysyłane przez Zespół powiadomienia mogą dotyczyć konkretnej kampanii lub nasilenia powracających wyłudzeń, np. w okresie przedświątecznym są to oszustwa związane z wiadomościami o problemach z dostarczeniem przesyłki” – wyjaśnia CERT Polska i zachęca do jak najpowszechniejszego korzystania z usługi.

Informacje o największych kampaniach oszustów publikowane są także równolegle na profilach CERT Polska w mediach społecznościowych: na Facebooku (LINK), X (LINK) oraz LinkedInie (LINK).

Najnowsze ostrzeżenia dotyczące cyberataków phishingowych i smishingowych – jeżeli będziesz nieostrożny, możesz nawet stracić z konta wszystkie pieniądze

Wśród najnowszych komunikatów związanych z zagrożeniami phishingowych i smishingowych ataków – znajduje się m.in. ostrzeżenie Ministerstwa Finansów o podszywaniu się przez cyberprzestępców pod Ministerstwo Finansów i urząd skarbowy:

– „Przestrzegamy przed oszustami, którzy podszywają się pod Ministerstwo Finansów lub Krajową Administrację Skarbową. Za pomocą e-maili i fałszywych stron internetowych takich jak podatki-pl[.]web.app , podatki-pl[.]firebaseapp.com , pl-logowaniegov[.]com.es próbują wyłudzić dane podatników. Oszuści proszą o podanie numeru PESEL, numeru paszportu, nazwiska panieńskiego matki i numeru telefonu, dzięki czemu podatnik ma rzekomo uzyskać „dostęp do swojego podatku”.

Podatnicy nie powinni podawać danych osobowych takich jak PESEL czy numer rachunku bankowego. Przestrzegamy również, by nie podawać nikomu danych do logowania do e-Urzędu Skarbowego lub PIN-u do aplikacji e-Urząd Skarbowy.

Do podatników trafiają również fałszywe maile z informacją o nadpłacie podatku PIT. Oszuści podszywający się pod urząd skarbowy proszą o potwierdzenie danych identyfikacyjnych oraz rachunku bankowego wskazanego do wypłaty.

Ministerstwo Finansów i Krajowa Administracja Skarbowa nigdy nie powiadamiają w e-mailach o weryfikacji deklaracji PIT i nie przesyłają w nich linków. Pracownicy resortu finansów nie nakłaniają podatników, by za pomocą bankowości elektronicznej potwierdzili dane rachunku w celu otrzymania zwrotu nadpłaty.

Informacje o nadpłacie podatku podatnik znajdzie w e-Urzędzie Skarbowym (e-US) na stronie podatki.gov.pl. Może się do niego zalogować wybraną metodą na rządowej platformie login.gov.pl. W e-US podatnik może też śledzić status zwrotu podatku.” – czytamy w komunikacie Ministerstwa Finansów z dnia 27 marca 2025 r.

Z pełną treścią ww. komunikatu, można zapoznać się pod adresem: LINK.

CERT Polska informuje z kolei o rozsyłanych przez oszustów e-mailach o rzekomym nieodebraniu przesyłki w ramach eDoręczenia:

– „To socjotechnika! W wiadomości znajduje się link, który prowadzi do strony podszywającej się pod portal biznes.gov.pl. Fałszywa strona wyłudza dane logowania do poczty elektronicznej.

Zwróćcie uwagę na nadawcę wiadomości i pamiętajcie, żeby takie maile zgłaszać korzystając z formularza dostępnego tutaj: https://incydent.cert.pl” (komunikat CERT Polska z 1 kwietnia 2025 r.)

Przykład fałszywego e-maila o nieodebranej przesyłce - phishing Inne

15 kwietnia 2025 r. Orange Polska – jeden z większych operatorów komórkowych w Polsce, poinformował natomiast o podszywaniu się oszustów również pod Orange:

– „Uważajcie na wiadomości tekstowe podszywające się pod Orange! Pod pozorem rzekomo wygasającej umowy oszuści chcą przejąć Wasze konta w usługach Orange.

Phishingowe wiadomości wysyłane są ze zwykłych numerów, treść wiadomości analizowanej przez CERT Orange Polska wyglądała jak poniżej:

Przykład fałszywego sms-a od Oragne - smishing Inne

Analiza CERT Orange Polska wykazała, że użyty phishkit przygotowany jest do wykradania loginu, hasła oraz jednorazowego hasła, wysyłanego SMS-em lub mailem. (…) Jeśli trafi do Ciebie podejrzany SMS – prześlij go do nas na nr 508 700 900. Jeśli dostaniesz e-mail, co do rzetelności którego masz wątpliwości – nasz adres cert.opl@orange.com jest do Twojej dyspozycji.” – informuje operator.

W 2024 r. popularne były oszustwa phishingowe „na dziecko” – skierowane do rodziców

Jednym z ciekawszych (i jednocześnie bardziej niepokojących) przypadków oszustw phishingowych popularnych w ubiegłym roku, który w swoim raporcie (tj. „Raporcie rocznym 2024 z działalności CERT Polska. Krajobraz bezpieczeństwa polskiego internetu”) opisuje CERT Polska – jest oszustwo „na dziecko” – kampania przestępców phishingowych, która celowana jest w rodziców.

Oszuści – z wykorzystaniem popularnego komunikatora WhatsApp – wysyłali do swoich ofiar wiadomość np. o treści: „Cześć Mamo rozwlił się mój telefon zapisz sobie nowy numer napisz do mnie czy doszła moja wiadomość”. W związku z tym, że CERT Polska zablokował pewien wzorzec wiadomości – przestępcy, celem kontynuowania procederu – popełniali w kolejnych wiadomościach zamierzone błędy ortograficzne i stosowali inne topograficzne sztuczki lub podmienianie liter, co pozwalało im na omijanie zabezpieczeń. Takie podejrzane wiadomości z błędami – powinny więc, tym bardziej, zaniepokoić ich odbiorców.

– „Oszust przedstawiał się w sposób jednoznacznie sugerujący, że jest dzieckiem adresata, oraz informował, że jego telefon uległ zniszczeniu – co miało uzasadnić napisanie z nowego numeru. W części przypadków ofiara była proszona o dalszy kontakt za pośrednictwem WhatsAppa. Celem kampanii było wyłudzenie środków finansowych od nieświadomych sytuacji rodziców.

I to działa, bo chociaż dla wielu osób wydatek kilku tysięcy złotych na telefon nie przychodzi lekko, to oszuści byli otwarci na negocjacje – proponowali zakup tańszego telefonu, pozwalali na inne formy płatności, a nawet prowadzili krok po kroku w procesie rzekomego zakupu, często wyłudzając przy okazji również dane karty płatniczej.” – przestrzegają eksperci CERT Polska.

W dzisiejszych czasach rozpowszechnionej komunikacji elektronicznej – otrzymując wiadomości z nieznanego numeru lub adresu e-mail, powinniśmy zatem zachować szczególną czujność i dużą dozę ostrożności – nawet jeżeli ich nadawca podaje się za nasze dziecko lub wnuka, a wszelkie podejrzane przypadki – niezwłocznie zgłaszać do właściwych organów i instytucji.

1 Cert Polska, Raport roczny 2024 z działalności CERT Polska. Krajobraz bezpieczeństwa polskiego internetu, Warszawa 2025

