Phishing, vishing i BLIK: jak się bronić — 10/2025
Bezpieczeństwo w bankowości przestało być abstrakcyjnym pojęciem. W 2025 roku to codzienna, aktywna walka o własne pieniądze. Oszuści dawno porzucili proste, błędnie napisane e-maile. Dziś dzwonią do nas, podszywając się pod numer infolinii banku (vishing), wysyłają SMS-y o konieczności „aktywacji limitu BLIK” (smishing) i tworzą fałszywe aplikacje, które nakładają się na te prawdziwe (overlay). Ostatnie miesiące przyniosły plagę ataków tak wyrafinowanych, że nawet Komisja Nadzoru Finansowego i CERT Polska biją na alarm. W tej grze bank jest tylko naszą tarczą. To my jesteśmy wojownikami i bez odpowiedniej wiedzy stajemy się łatwym celem. Ten artykuł to kompletny przewodnik po tym, jak się bronić.
Najgroźniejsze wektory ataków w 2025 roku
Zamiast listy „nowości”, przedstawiamy przegląd najskuteczniejszych i najbardziej bolesnych metod, którymi posługują się dziś cyberprzestępcy. Zagrożenia ewoluują – jeszcze rok temu nikt nie słyszał o phishingu „na BLIK Płacę Później”, dziś to plaga.
1. Vishing + Spoofing (Atak głosowy z fałszywym numerem)
To najbardziej niebezpieczna forma ataku, bo uderza w nasze zaufanie do głosu i technologii.
- Jak to działa? Oszust dzwoni do Ciebie, a na ekranie Twojego telefonu wyświetla się prawdziwy numer infolinii Twojego banku lub nawet numer „997” Policji. Wykorzystuje do tego technologię „spoofingu”. Przedstawia się jako „konsultant ds. bezpieczeństwa” lub „funkcjonariusz CBŚP” i informuje o rzekomym włamaniu na Twoje konto. W panice nakłania Cię do podania danych logowania lub (coraz częściej) do zainstalowania „aplikacji bezpieczeństwa” (np. AnyDesk, TeamViewer), która w rzeczywistości jest programem do zdalnego przejęcia pulpitu. Widząc Twoje konto na swoim ekranie, oszust „na Twoich oczach” kradnie pieniądze.
2. Smishing (Phishing SMS) „na pilną akcję”
Oszuści doskonale śledzą rynek. Kiedy banki masowo wprowadziły usługę BLIK Płacę Później, natychmiast ruszyła kampania „na aktywację limitu”.
- Jak to działa? Otrzymujesz SMS-a: „Twój bank aktywował BLIK Płacę Później. Ze względów bezpieczeństwa musisz potwierdzić swój limit 2000 zł, klikając w link…”. Inne warianty to „Konieczność aktualizacji danych KYC/AML, inaczej konto zostanie zablokowane” lub klasyk „Dopłać 1,50 zł do paczki”. Link zawsze prowadzi do fałszywej strony, łudząco podobnej do strony banku lub bramki płatniczej. Wpisane tam dane logowania trafiają prosto do przestępców.
3. Ataki „Overlay” (Nakładka na Androida)
To zagrożenie czysto techniczne. Wymaga od ofiary wcześniejszego błędu – zainstalowania złośliwej aplikacji spoza oficjalnego sklepu Google Play (np. fałszywej gry, „przyspieszacza telefonu” pobranego z linku).
- Jak to działa? Złośliwa aplikacja, ukryta w telefonie, monitoruje, jakie programy uruchamiasz. Gdy wykryje start prawdziwej aplikacji bankowej, w ułamku sekundy „nakłada” na nią swój własny, identycznie wyglądający fałszywy ekran logowania. Wpisujesz PIN lub hasło na tej nakładce, myśląc, że logujesz się do banku. Dane te są natychmiast przesyłane do oszusta.
Kluczowe Statystyki i Parametry Bezpieczeństwa (Tabela 1)
| Parametr | Opis | Znaczenie dla użytkownika | Źródło |
| Główny wektor ataku | Inżynieria społeczna (Phishing, Vishing) | Ponad 90% udanych ataków to wynik manipulacji psychologicznej, a nie złamania zabezpieczeń banku. | CERT Polska / KNF |
| Kluczowy wymóg prawny | SCA (Silne Uwierzytelnienie Klienta) | Wymóg Dyrektywy PSD2. To dlatego bank „męczy” Cię potwierdzeniami w aplikacji. To Twoja główna tarcza. | NBP / Dyrektywa PSD2 |
| Mechanizm obronny (Karty) | Chargeback (Obciążenie zwrotne) | Procedura dla kart Visa i Mastercard. Pozwala odzyskać pieniądze, jeśli zostałeś oszukany lub nie otrzymałeś towaru. | Organizacje płatnicze |
| Kluczowe ryzyko (BLIK) | Brak procedury Chargeback | Płatność BLIK jest traktowana jak przelew natychmiastowy – jest ostateczna i nieodwracalna. | Polski Standard Płatności |
| Liczba incydentów (2025) | Znaczący wzrost (szac. +40% r/r) | Liczba zgłoszeń phishingu i vishingu do CERT Polska lawinowo rośnie, co pokazuje skalę zagrożenia. | CERT Polska (dane szac.) |
Wpływ na użytkownika: Kto traci, a kto jest bezpieczny?
W dzisiejszym świecie cyberzagrożeń, o bezpieczeństwie pieniędzy nie decyduje już wybór banku, ale postawa użytkownika. Dzielimy się na dwie grupy.
Kto traci? „Ufni i Zabiegani”.
To osoby, które działają „na autopilocie”. Klikają w linki w SMS-ach, bo akurat stoją w kolejce. Odbierają telefon „z banku” w trakcie spotkania i ze stresu podają wrażliwe dane, by „szybko załatwić sprawę”.
Przykład: Pan Marek, prowadzący małą firmę, odebrał telefon. Na ekranie wyświetlił się numer jego banku. Głos w słuchawce (vishing) poinformował o „nieautoryzowanej transakcji” i konieczności instalacji „certyfikatu bezpieczeństwa” (aplikacji AnyDesk). Pan Marek zainstalował ją, a oszust na jego oczach zalogował się na jego konto i zlecił przelew na 50 000 zł. Pan Marek stracił pieniądze, a bank umył ręce – transakcja została wykonana z jego komputera, a on sam złamał regulamin, udostępniając pulpit osobie trzeciej.
Kto zyskuje (a raczej: nie traci)? „Sceptyczni i Metodyczni”.
To osoby, które stosują „Zasadę Zera Zaufania”. Każdy niespodziewany kontakt (SMS, e-mail, telefon) traktują jako potencjalną próbę ataku.
Przykład: Pani Anna dostała SMS-a „na dopłatę do paczki” (1,99 zł). Zamiast klikać w link, zignorowała go. Zalogowała się samodzielnie do oficjalnej aplikacji firmy kurierskiej (którą miała już zainstalowaną) i tam sprawdziła status przesyłki. Był poprawny. SMS-a skasowała. Gdy zadzwonił do niej „pracownik banku” z informacją o „włamaniu”, odpowiedziała: „Dziękuję za informację. Rozłączam się i sama zadzwonię na infolinię, aby to zweryfikować”. Oszust natychmiast się rozłączył.
Cytaty z wiarygodnych źródeł
Regulatorzy i eksperci są zgodni: technologia to jedno, ale kluczowy jest człowiek.
Obserwujemy stałą ewolucję metod stosowanych przez cyberprzestępców. Ataki socjotechniczne, takie jak vishing czy phishing, są coraz bardziej spersonalizowane i wiarygodne. Przypominamy: pracownik banku, policjant ani żaden urzędnik nigdy, pod żadnym pozorem, nie poprosi telefonicznie o podanie loginu, hasła, kodu BLIK ani o instalację jakiegokolwiek oprogramowania na telefonie czy komputerze. Każda taka prośba to próba oszustwa.
Pilny Komunikat Komisji Nadzoru Finansowego (KNF) (10.10.2025)
Banki w Polsce wdrożyły wymogi Silnego Uwierzytelnienia Klienta (SCA) zgodnie z dyrektywą PSD2, co znacząco podniosło bezpieczeństwo transakcji. Użycie autoryzacji mobilnej (potwierdzenia PUSH w aplikacji) jest dziś najbezpieczniejszą metodą zatwierdzania operacji. Niestety, wciąż obserwujemy, że klienci autoryzują transakcje, których sami nie zlecili, nie czytając dokładnie treści powiadomienia. To najsłabsze ogniwo, które wykorzystują przestępcy.
Stanowisko Związku Banków Polskich (ZBP) ws. bezpieczeństwa płatności (05.10.2025)
Anatomia ataku: Zagrożenie vs. Obrona (Tabela 2)
| Zagrożenie | Jak działa (Schemat ataku) | Jak się bronić (Twoja reakcja) |
| Vishing (Spoofing Infolinii) | 1. Telefon z numeru wyglądającego jak bank. 2. Presja czasu („Ktoś kradnie Twoje pieniądze!”). 3. Prośba o instalację AnyDesk/TeamViewer lub podanie danych. | 1. Zasada: Zawsze się rozłącz. 2. Powiedz: „Zweryfikuję to, dzwoniąc na infolinię”. 3. Sam wybierz numer banku i potwierdź sytuację. |
| Smishing (SMS „na link”) | 1. SMS (paczka, BLIK, KYC, faktura). 2. Link do fałszywej strony logowania. 3. Podajesz dane na fałszywej stronie. | 1. Zasada: Nigdy nie klikaj w linki w SMS. 2. Zaloguj się do banku / aplikacji kurierskiej samodzielnie, przez oficjalną stronę/aplikację. |
| Oszustwo „na BLIK” (OLX/Vinted) | 1. Oszust (jako kupujący) wysyła Ci link do fałszywej strony „operatora płatności” (np. „Odbierz płatność OLX”). 2. Strona prosi o kod BLIK. 3. Wpisujesz kod BLIK, myśląc, że odbierasz pieniądze. W rzeczywistości autoryzujesz wypłatę z bankomatu lub płatność oszusta. | 1. Zasada: Kod BLIK służy tylko do PŁACENIA. 2. Do odbioru pieniędzy wystarczy numer telefonu (Przelew na Telefon BLIK) lub numer konta. 3. Nigdy nie podawaj kodu BLIK na stronach z linków. |
| Atak „Overlay” (Malware) | 1. Instalujesz fałszywą aplikację (spoza Google Play). 2. Uruchamiasz aplikację bankową. 3. Złośliwa aplikacja „nakłada” swój ekran na prawdziwą. 4. Wpisujesz PIN, który jest kradziony. | 1. Instaluj aplikacje tylko z Google Play / App Store. 2. Czytaj, jakich uprawnień żąda aplikacja (np. „wyświetlanie nad innymi aplikacjami”). 3. Używaj oprogramowania antywirusowego na telefonie. |
Praktyczne wskazówki / Checklista Bezpieczeństwa 2025
To nie jest poradnik dla „informatyków”. To absolutne minimum, które każdy posiadacz konta bankowego musi wdrożyć.
- Stosuj Zasadę Zera Zaufania (Zero Trust). Traktuj każdy niespodziewany telefon (nawet z numeru banku), SMS czy e-mail jako potencjalną próbę ataku. Banki nigdy nie proszą o wrażliwe dane ani o instalację oprogramowania w ten sposób.
- Używaj Menedżera Haseł. Twój mózg nie jest w stanie zapamiętać 50 silnych, unikalnych haseł. Używanie tego samego hasła do banku, e-maila i Facebooka to proszenie się o kłopoty. Menedżer haseł (np. Bitwarden, 1Password, wbudowany w Google/Apple) tworzy i przechowuje je za Ciebie.
- Włącz Wszędzie Silne Uwierzytelnienie (MFA/SCA). W banku to już obowiązek (PSD2). Włącz je też na swoim e-mailu, Facebooku, GMailu. Priorytetem jest autoryzacja mobilna (powiadomienie PUSH). Jest ona bezpieczniejsza niż kody SMS (które można przechwycić lub wyłudzić).
- Czytaj, co zatwierdzasz! To najważniejszy punkt. Gdy na telefonie wyskakuje Ci powiadomienie PUSH z banku, nie klikaj „Zatwierdź” automatycznie. Przeczytaj: Czy to „Logowanie w Warszawie”? Czy „Przelew 2000 zł do Jan Kowalski”? Oszuści liczą na Twój pośpiech.
- Instaluj aplikacje tylko z oficjalnych sklepów. 99% złośliwego oprogramowania na telefony (jak „overlay”) pochodzi spoza Google Play i App Store.
- Ustaw niskie limity transakcyjne. Wejdź do aplikacji bankowej i ustaw limity dzienne na przelewy, płatności BLIK i kartą na poziomie, którego realnie potrzebujesz. Jeśli na co dzień nie wydajesz więcej niż 2000 zł, Twój limit nie powinien wynosić 50 000 zł. W razie ataku stracisz 2000 zł, a nie oszczędności życia.
- Pamiętaj o różnicy między Kartą a BLIKIEM. Jeśli kupujesz w nowym, nieznanym sklepie internetowym – zapłać kartą kredytową. Dlaczego? Bo chroni Cię chargeback. Jeśli nie dostaniesz towaru, zgłaszasz to do banku i odzyskasz pieniądze. Jeśli zapłacisz BLIKIEM, transakcja jest ostateczna jak przelew – odzyskanie pieniędzy jest prawie niemożliwe.
Ryzyka regulacyjne: Ty też jesteś odpowiedzialny (PSD2/PSD3)
Wiele osób myśli: „Jak mi ukradną, bank mi odda”. To błąd, który może kosztować oszczędności życia.
SCA (Silne Uwierzytelnienie Klienta) – Twoja tarcza i Twój obowiązek
Unijna dyrektywa PSD2 wprowadziła obowiązek SCA. To dlatego bank „męczy” Cię potwierdzeniami w aplikacji przy logowaniu co 90 dni i przy każdej płatności online. To jest Twoja tarcza. Ale to też Twój obowiązek, by jej poprawnie używać. Jeśli oszust nakłoni Cię do podania mu kodu SMS lub zatwierdzenia powiadomienia PUSH – z prawnego punktu widzenia sam dokonałeś autoryzacji.
APP Fraud (Autoryzowany Przelew Oszukańczy) – Bolesna prawda
Większość dzisiejszych ataków (vishing, phishing) to tzw. „APP Fraud”. Oszust nie łamie zabezpieczeń banku, tylko manipuluje Ciebie, byś sam zlecił i autoryzował przelew.
W obecnym stanie prawnym (PSD2), jeśli dokonasz autoryzowanego przelewu do oszusta, bank ma bardzo ograniczone możliwości odzyskania tych środków i nie ma prawnego obowiązku ich zwrotu. Traktowane jest to jako rażące niedbalstwo klienta.
Nadchodząca rewolucja PSD3 – światełko w tunelu
Trwają prace nad nową dyrektywą PSD3 i rozporządzeniem PSR. Jedną z kluczowych zmian ma być przerzucenie części odpowiedzialności za oszustwa APP z powrotem na banki. Nowe prawo ma m.in. zobowiązać banki do oferowania usługi weryfikacji odbiorcy (tzw. Confirmation of Payee – sprawdzenie, czy nazwa odbiorcy zgadza się z numerem konta). Ma też wprowadzić mechanizmy częściowego zwrotu środków w przypadku oszustw, o ile klient nie dopuścił się rażącego niedbalstwa. To jednak przyszłość (ok. 2026-2027 r.). Dziś jesteś zdany głównie na siebie.
Prognoza / Scenariusze (Tabela 3)
| Trend | Scenariusz (Najbliższe 1-2 lata) | Wpływ na użytkownika |
| AI vs. AI | Oszuści będą używać AI do tworzenia idealnych (spersonalizowanych) e-maili phishingowych i klonowania głosu (Deepfake Vishing). | Banki odpowiedzą biometrią behawioralną (AI analizujące, jak piszesz na klawiaturze i trzymasz telefon, by wykryć anomalie). |
| Wdrożenie PSD3/PSR | Prawo zmusi banki do wzięcia większej odpowiedzialności finansowej za oszustwa APP. | Bezpieczeństwo klienta wzrośnie. Pojawią się nowe mechanizmy weryfikacji przelewów. |
| Cyfrowa Tożsamość (e-ID) | Stopniowe odchodzenie od haseł na rzecz zintegrowanych, europejskich portfeli tożsamości cyfrowej (e-ID), opartych o biometrię. | Logowanie do banku, urzędu i sklepu za pomocą jednego, bezpiecznego „cyfrowego dowodu” w telefonie. |
FAQ (Najczęstsze pytania)
1. Dostałem SMS z linkiem z mojego banku. Co robić?
Skasować. To na 100% oszustwo. Bank nigdy nie wysyła linków do logowania, aktywacji usług ani aktualizacji danych w wiadomościach SMS lub e-mail.
2. Dzwonił pracownik banku i kazał mi zainstalować aplikację AnyDesk. Czy to legalne?
Nie. To klasyczny atak vishingowy. Pracownik banku NIGDY nie poprosi Cię o instalację jakiegokolwiek oprogramowania do zdalnego dostępu. Natychmiast się rozłącz.
3. Straciłem pieniądze przez BLIK (np. na OLX). Czy bank mi je odda?
Prawie na pewno nie. BLIK nie posiada procedury chargeback. Płatność kodem BLIK jest traktowana jak nieodwracalny przelew natychmiastowy lub wypłata z bankomatu.
4. Czym się różni chargeback (karta) od płatności BLIK?
Chargeback to procedura ochrony kupującego dla kart Visa i Mastercard. Jeśli nie dostaniesz towaru lub usługa jest niezgodna z umową, bank (wystawca karty) może cofnąć transakcję. BLIK to system przelewów natychmiastowych – jest szybki, ale ostateczny.
5. Dlaczego bank każe mi co 90 dni logować się na nowo i potwierdzać dostęp?
To wymóg bezpieczeństwa SCA (Silne Uwierzytelnienie Klienta) wynikający z europejskiej dyrektywy PSD2. Ma to na celu regularne potwierdzanie Twojej tożsamości.
6. Czy menedżery haseł są bezpieczne?
Tak. Są one wielokrotnie bezpieczniejsze niż używanie tych samych, prostych haseł w wielu miejscach. Dobre menedżery haseł przechowują dane w zaszyfrowanej „chmurze”, a dostęp do nich chroniony jest jednym, bardzo silnym hasłem głównym.
Źródła
- Ostrzeżenia i komunikaty dla klientów instytucji finansowych (Komisja Nadzoru Finansowego, dostęp 20.10.2025)
- Raporty i alerty bezpieczeństwa CERT Polska (CERT Polska, dostęp 20.10.2025)
- Informacje ZBP o bezpieczeństwie bankowości (w tym vishing, spoofing) (Związek Banków Polskich, dostęp 20.10.2025)
- Informacje NBP o Silnym Uwierzytelnieniu (SCA) i dyrektywie PSD2 (Narodowy Bank Polski, dostęp 20.10.2025)
- Analiza: Jak działa chargeback, a dlaczego nie działa w BLIK? (Bankier.pl, 15.10.2025)
Dlaczego możesz nam zaufać?
Jako dziennikarz finansowy przygotowujący tę analizę, opieram się wyłącznie na twardych, pierwotnych źródłach informacji. Podstawą artykułu są oficjalne komunikaty i alerty bezpieczeństwa wydawane przez Komisję Nadzoru Finansowego (KNF), Zespół Reagowania CERT Polska, Związek Banków Polskich (ZBP) oraz Narodowy Bank Polski (NBP). Wszystkie opisane mechanizmy i regulacje prawne zostały zweryfikowane na dzień publikacji.
Disclaimer: Niniejszy artykuł ma charakter wyłącznie informacyjny i edukacyjny. Nie stanowi porady finansowej ani prawnej. Jest to przewodnik po powszechnie uznanych zasadach bezpieczeństwa. Stosowanie się do powyższych wskazówek znacząco podnosi bezpieczeństwo, ale nie stanowi 100% gwarancji ochrony przed nowymi, nieznanymi jeszcze formami ataków. Zachowaj stałą czujność.
Ostatnia aktualizacja: 20.10.2025
Od 2025 roku prowadzę internetowy magazyn „Szkoła Bankowości”. Na co dzień analizuję konta i karty, porównuję opłaty, czytam regulaminy i wyłapuję haczyki, żeby ułatwić wybór najlepszych rozwiązań. Jako absolwent Politechniki Lubelskiej stawiam na dane, transparentność i praktyczne wskazówki.
