Czym jest smishing i dlaczego jest tak niebezpieczny?

W dobie cyfrowej komunikacji telefon komórkowy stał się nieodłącznym elementem naszego życia. Niestety, przestępcy doskonale zdają sobie z tego sprawę i coraz chętniej wykorzystują wiadomości SMS jako narzędzie do wyłudzania danych osobowych, danych logowania czy pieniędzy. Phishing przez SMS – zwany smishingiem (od ang. SMS phishing) – to metoda oszustwa, w której cyberprzestępcy podszywają się pod zaufane instytucje lub osoby, aby nakłonić ofiarę do podjęcia określonego działania.

Smishing jest szczególnie niebezpieczny z kilku powodów. Po pierwsze, większość z nas jest przyzwyczajona do traktowania SMS-ów jako bardziej osobistego i wiarygodnego medium niż e-mail. Po drugie, wiadomości SMS są krótkie, przez co trudniej zauważyć w nich podejrzane elementy. Po trzecie, linki w SMS-ach często prowadzą do stron mobilnych, które są trudniejsze do zweryfikowania na małym ekranie smartfona.

Najczęstsze scenariusze ataków smishingowych

Cyberprzestępcy są niezwykle kreatywni i nieustannie modyfikują swoje metody. Niemniej jednak można wyróżnić kilka typowych schematów, które pojawiają się najczęściej:

1. Fałszywe powiadomienia bankowe

Jednym z najpopularniejszych rodzajów smishingu są wiadomości rzekomo wysyłane przez banki. Treść zazwyczaj informuje o zablokowaniu konta, podejrzanej transakcji lub konieczności weryfikacji danych. Wiadomość zawiera link prowadzący do fałszywej strony banku, łudząco podobnej do prawdziwej, gdzie ofiara proszona jest o podanie loginu, hasła, a nawet kodu SMS.

2. Niedostarczone przesyłki kurierskie

Szczególnie popularne w czasach boomu zakupowego, te wiadomości informują o wstrzymanej paczce wymagającej dopłaty kilku złotych za przesyłkę. Link prowadzi do fałszywej strony firmy kurierskiej, gdzie podanie danych karty płatniczej w celu opłacenia małej kwoty skutkuje kradzieżą wszystkich środków z konta.

3. Wygranie nagrody lub loterii

Klasyczny schemat: „Wygrałeś/-aś smartfon / samochód / 10 000 zł! Kliknij, aby odebrać nagrodę." Takie wiadomości mają na celu wyłudzenie danych osobowych lub nakłonienie do zainstalowania złośliwego oprogramowania.

4. Fałszywe urzędy i instytucje publiczne

Przestępcy coraz częściej podszywają się pod ZUS, US (Urząd Skarbowy), NFZ czy nawet Policję. Informują o zaległościach w opłatach, możliwości zwrotu nadpłaconego podatku lub konieczności pilnej weryfikacji tożsamości.

5. Fałszywe alerty bezpieczeństwa

Tego typu wiadomości informują, że na urządzeniu ofiary wykryto wirusa lub że ktoś próbował uzyskać dostęp do jej konta. Kliknięcie w link ma rzekomo rozwiązać problem, w rzeczywistości jednak prowadzi do zainstalowania malware'u.

Jak rozpoznać oszukańczą wiadomość SMS?

Choć przestępcy coraz skuteczniej maskują swoje działania, istnieje szereg sygnałów ostrzegawczych, które powinny wzbudzić naszą czujność:

  • Nieznany numer nadawcy – prawdziwe banki i instytucje zazwyczaj wysyłają SMS-y z rozpoznawalnych numerów lub alfanumerycznych identyfikatorów. Jeśli wiadomość przyszła z przypadkowego numeru zagranicznego lub nieznanego źródła, zachowaj szczególną ostrożność.
  • Pilność i presja czasowa – frazy takie jak „działaj natychmiast", „masz 24 godziny", „twoje konto zostanie zablokowane" mają na celu wywołanie paniki i zmuszenie do pochopnego działania bez zastanowienia.
  • Podejrzane linki – adresy URL w fałszywych wiadomościach często zawierają literówki (np. „p0lbank.pl" zamiast „polbank.pl"), dziwne rozszerzenia domenowe lub skrócone linki ukrywające prawdziwy adres. Nigdy nie klikaj w link bez uprzedniego sprawdzenia jego prawdziwości.
  • Prośba o podanie danych osobowych – żadna legalna instytucja nie prosi o podanie hasła, numeru PESEL, danych karty czy kodu PIN przez SMS lub przez stronę linkowaną w SMS-ie.
  • Błędy językowe i stylistyczne – wiele fałszywych wiadomości zawiera błędy ortograficzne, gramatyczne lub nienaturalne sformułowania, które mogą być efektem tłumaczenia maszynowego.
  • Nieoczekiwana wiadomość – jeśli nie spodziewałeś/-aś się żadnej przesyłki, nie brałeś/-aś udziału w żadnym konkursie i nie masz zaległości w banku, każda wiadomość informująca inaczej powinna wzbudzić podejrzenia.
  • Prośba o pobranie aplikacji – nigdy nie instaluj aplikacji z linku otrzymanego w SMS-ie, nawet jeśli wiadomość wygląda na oficjalną. Złośliwe oprogramowanie może przejąć pełną kontrolę nad Twoim telefonem.

Co zrobić, gdy otrzymasz podejrzaną wiadomość?

Jeśli na Twój telefon trafi podejrzana wiadomość SMS, postępuj według poniższych zasad:

  1. Nie klikaj w żadne linki zawarte w wiadomości, nawet z ciekawości. Samo odwiedzenie strony może w niektórych przypadkach prowadzić do pobrania złośliwego oprogramowania.
  2. Nie oddzwaniaj na podany w wiadomości numer ani nie odpowiadaj na SMS. Potwierdzenie aktywności numeru może zachęcić przestępców do kolejnych prób.
  3. Zweryfikuj informację niezależnie – jeśli wiadomość dotyczy Twojego banku, zadzwoń bezpośrednio na oficjalną infolinię (numer ze strony banku, nie z SMS-a) lub zaloguj się do bankowości przez oficjalną aplikację.
  4. Zgłoś wiadomość – w Polsce podejrzane SMS-y możesz zgłaszać do CERT Polska, przesyłając wiadomość na numer 8080. To bezpłatna usługa, która pomaga w walce z cyberprzestępczością.
  5. Zablokuj nadawcę na swoim telefonie, aby zminimalizować ryzyko kolejnych wiadomości z tego samego numeru.
  6. Usuń wiadomość po jej zgłoszeniu, aby przypadkowo jej nie otworzyć ponownie.

Co zrobić, gdy dałeś/-aś się oszukać?

Jeśli niestety kliknąłeś/-aś w link lub podałeś/-aś swoje dane, działaj jak najszybciej:

  • Natychmiast zmień hasła do wszystkich kont, do których mogły zostać przejęte dane logowania.
  • Skontaktuj się z bankiem – jeśli podałeś/-aś dane karty lub logowania do bankowości, zadzwoń na infolinię banku i poproś o zablokowanie karty i konta.
  • Przeskanuj telefon renomowanym oprogramowaniem antywirusowym w poszukiwaniu złośliwego oprogramowania.
  • Zgłoś sprawę na Policję lub do prokuratury – cyberprzestępczość jest przestępstwem ściganym z urzędu.
  • Powiadom CERT Polska pod adresem incydent@cert.pl lub przez formularz na stronie cert.pl.

Jak chronić się przed smishingiem na co dzień?

Prewencja jest zawsze lepsza niż reakcja po fakcie. Oto kilka nawyków, które warto wprowadzić, aby zminimalizować ryzyko padnięcia ofiarą smishingu:

  • Zainstaluj aplikację antywirusową na swoim smartfonie. Wiele z nich oferuje funkcję filtrowania podejrzanych wiadomości i linków.
  • Aktualizuj system operacyjny i aplikacje – aktualizacje często zawierają łatki bezpieczeństwa eliminujące luki, które mogą być wykorzystywane przez złośliwe oprogramowanie.
  • Używaj uwierzytelniania dwuskładnikowego (2FA) wszędzie tam, gdzie to możliwe. Nawet jeśli przestępca przechwyci Twoje hasło, bez drugiego składnika nie zaloguje się na Twoje konto.
  • Edukuj się i edukuj innych – rozmawiaj z bliskimi, szczególnie ze starszymi osobami, które mogą być bardziej podatne na tego rodzaju ataki.
  • Korzystaj z menedżera haseł – unikaj używania tych samych haseł do różnych serwisów. Menedżer haseł ułatwia zarządzanie unikalnymi, silnymi hasłami.
  • Bądź sceptyczny wobec nieoczekiwanych wiadomości – zasada ograniczonego zaufania to podstawa bezpieczeństwa w sieci.

Skala problemu w Polsce i na świecie

Smishing to globalny problem, który nabiera coraz większego rozmiaru. Według danych CERT Polska, liczba zgłoszonych incydentów związanych z phishingiem (w tym smishingiem) rośnie z roku na rok o kilkadziesiąt procent. W 2025 roku odnotowano rekordową liczbę zgłoszeń dotyczących fałszywych SMS-ów podszywających się pod firmy kurierskie, banki i urzędy publiczne.

Na świecie sytuacja wygląda podobnie. Według raportu firmy Proofpoint, w ostatnich latach ataki smishingowe wzrosły o ponad 300% w stosunku do poprzedniej dekady. Straty finansowe ofiar smishingu szacuje się globalnie na miliardy dolarów rocznie.

Warto pamiętać, że ofiarą może paść każdy – niezależnie od wieku, wykształcenia czy doświadczenia technologicznego. Przestępcy nieustannie doskonalą swoje metody, dlatego wiedza i czujność są naszą najlepszą bronią.

Podsumowanie

Smishing to realne i poważne zagrożenie, które dotyka coraz więcej Polaków. Kluczem do ochrony jest świadomość tego, jak działają przestępcy, umiejętność rozpoznawania podejrzanych wiadomości oraz szybka i właściwa reakcja w przypadku ataku. Pamiętaj: żaden bank, urząd ani firma kurierska nie poprosi Cię o podanie poufnych danych przez SMS. Zachowaj czujność, nie klikaj pochopnie w linki i dziel się wiedzą o smishingu z innymi – to najlepsza forma ochrony dla całej społeczności.