Edit Content
Adwokat Krzyżanowski

Oferujemy więcej niż obsługę prawną. Zapewniamy spokój i ochronę interesów naszych Klientów z zaangażowaniem, które jest fundamentem naszej kancelarii. Nasi eksperci dostarczają rozwiązań dostosowanych do indywidualnych potrzeb, zapewniając wsparcie na każdym etapie współpracy.

Facebook-f Instagram Icon-youtube Linkedin-in

K
O
N
T
A
K
T
Blog o sprawach bankowych
Strona główna
/
Smishing: co to jest i jak się bronić?

Smishing: co to jest i jak się bronić?

Czas czytania: 9 minut

Czas czytania: 9 minut

Spis treści:

Co to jest smishing

Coraz częściej oszuści podszywają się pod zaufane instytucje za pomocą SMS-ów. Takie ataki określa się mianem smishing. W tym artykule wyjaśniamy, co to jest smishing, przedstawiamy najczęstsze przykłady, wskazujemy, kto bywa najbardziej narażony na SMS phishing i radzimy, jak się bronić, również w kontekście polskiego prawa.

Smishing: co to takiego?

Smishing jest odmianą ataku phishing (co to jest phishing), która polega na wyłudzaniu poufnych informacji lub pieniędzy przy użyciu wiadomości SMS​. Innymi słowy, jest to phishing sms, czyli oszustwo wykorzystujące SMS zamiast np. e-maila. Nazwa powstała z połączenia słów SMS i phishing. Ktoś mógłby wprost zapytać: smishing phishing co to?. Odpowiedź jest prosta: to nic innego jak phishing przeprowadzany za pośrednictwem wiadomości tekstowych. Niekiedy spotyka się także pisownię łączną określeń sms phishing lub phishing sms – znaczą one dokładnie to samo.

 

Atak smishing zazwyczaj wygląda następująco: ofiara otrzymuje niespodziewanego SMS-a, który sprawia wrażenie wiadomości od znanej firmy lub instytucji (np. banku, operatora, firmy kurierskiej, urzędu państwowego albo nawet kogoś z rodziny). Treść takiej wiadomości często wywołuje poczucie pilności lub strachu – np. informuje o rzekomym problemie (blokada konta, zaległa płatność, niedostarczona paczka) i nakłania do natychmiastowego działania. Celem oszustów jest skłonienie odbiorcy do wykonania określonej czynności: kliknięcia w link prowadzący do fałszywej strony, podania danych logowania lub danych osobowych, przekazania kodu autoryzacyjnego, a niekiedy nawet zainstalowania złośliwej aplikacji. Na czym polega więc istota smishingu? Właśnie na takim socjotechnicznym podszyciu się pod kogoś innego w SMS-ie, aby odbiorca, będąc przekonanym o wiarygodności wiadomości, sam przekazał przestępcy cenne informacje lub środki.

 

Warto zauważyć, że doczekaliśmy się już legalnej definicji smishingu w polskim prawie. Ustawa z 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej1 wprowadziła do Kodeksu karnego2 nowe przestępstwo smishingu​​. Zgodnie z art. 30 tej ustawy, wysyłanie SMS-ów w celu podszycia się pod inny podmiot i nakłonienia ofiary do przekazania danych, mienia lub wykonania określonych czynności (np. otwarcia fałszywej strony czy instalacji malware) jest zagrożone karą do 5 lat pozbawienia wolności​. Jest to kara analogiczna do przewidzianej za tzw. oszustwo komputerowe z art. 287 Kodeksu karnego​. W praktyce, zanim wprowadzono te przepisy, przypadki smishingu były kwalifikowane jako zwykłe oszustwo z art. 286 KK (zagrożone surowszą karą do 8 lat więzienia)​. Bez wątpienia smishing stanowi więc przestępstwo – warto o tym pamiętać, zgłaszając takie incydenty na policję.

Smishing: przykłady i najczęstsze techniki

Najlepszym sposobem zrozumienia, na czym polega smishing, jest przeanalizowanie konkretnych przykładów. Poniżej przedstawiamy smishing przykłady – typowe scenariusze i techniki stosowane przez oszustów w wiadomościach SMS:

 

  • „Na paczkę” (kurier) – Ofiara dostaje SMS rzekomo od firmy kurierskiej lub Poczty Polskiej: informację o konieczności dopłaty drobnej kwoty (np. 1–2 zł) do przesyłki, pod groźbą niedostarczenia paczki. Wiadomość zawiera link do fałszywej bramki płatności. W rzeczywistości żadna paczka nie czeka – klikając w link i podając dane karty lub logowania do banku, ofiara przekazuje je oszustom. Tego typu kampanie podszywające się pod firmy kurierskie były szczególnie nasilone na początku 2024 roku​.
  • „Na bank” (ostrzeżenie o koncie) – Ofiara otrzymuje SMS do złudzenia przypominający oficjalny alert bankowy. Wiadomość informuje np. o zablokowaniu konta, podejrzanej transakcji lub konieczności natychmiastowej aktualizacji danych. Podany jest link prowadzący do strony wyglądającej jak strona logowania banku. Gdy ofiara wpisze tam login, hasło czy kod SMS, dane trafiają prosto do przestępców, którzy mogą przejąć konto bankowe i ukraść pieniądze. Często takie fałszywe strony są niemal identyczne z prawdziwymi (adres może różnić się drobnymi szczegółami).
  • „Na urzędnika” (fałszywe opłaty) – Ten wariant polega na wysyłaniu SMS-ów podszywających się pod instytucje państwowe, np. Urząd Skarbowy, ZUS czy policję. Przykładowy SMS może zawierać informację o zaległym mandacie, niedopłaconym podatku albo błędzie w rozliczeniu wraz z linkiem do szybkiej zapłaty brakującej kwoty. W rzeczywistości urzędy nie informują o zaległościach w ten sposób – celem oszusta jest skłonić nas do zapłaty na jego konto lub wyłudzić dane karty.
  • „Na znajomego/rodzinę” – Bardzo podstępna technika, w której oszust podszywa się pod bliską nam osobę. Popularny ostatnio scenariusz to SMS od rzekomego syna lub córki: „Cześć mamo, to mój nowy numer. Poprzedni telefon zgubiony, odezwij się na WhatsApp”. Po nawiązaniu kontaktu przestępca (udający nasze dziecko) prosi np. o pilne przelanie pieniędzy na podany numer konta. NASK wskazuje, że wiadomości podszywające się pod dzieci ofiar należą obecnie do najczęściej wykorzystywanych metod phishingowych​. Ofiarą takiego oszustwa może paść każdy, kto w pośpiechu uwierzy, że koresponduje z bliską osobą w potrzebie.

Oczywiście wariantów smishingu jest więcej – oszuści potrafią wymyślać coraz to nowe legendy. Łączy je jedno: zawsze próbują wywołać u ofiary określone emocje (strach, ciekawość, chęć załatwienia sprawy od razu) i skłonić do działania na własną szkodę. Niezależnie od treści, schemat jest podobny: przychodzi wiarygodnie wyglądający SMS, za którym kryje się pułapka.

Potrzebujesz wsparcia we własnej sprawie?

Umów się na spotkanie

Pozostaw swój numer telefonu. Oddzwonimy w celu ustalenia dogodnego terminu

Zamów kontakt telefoniczny

Kto najbardziej jest narażony na SMS phishing?

Na atak smishingowy może dać się nabrać praktycznie każdy, kto korzysta z telefonu – oszuści często wysyłają wiadomości masowo na losowo wygenerowane numery. Istnieją jednak pewne grupy użytkowników, które są szczególnie narażone na takie oszustwa. Jak wygląda profil typowej ofiary smishingu? Specjaliści ds. cyberbezpieczeństwa wyróżniają kilka kategorii podwyższonego ryzyka:

 

  • Seniorzy – osoby starsze są często wymieniane jako najbardziej podatne na smishing​. Wynika to z mniejszej biegłości w obsłudze nowych technologii oraz większego zaufania do oficjalnie wyglądających komunikatów. Seniorzy nie zawsze zdają sobie sprawę z istnienia tak wyrafinowanych oszustw, przez co łatwiej przyjmują treść SMS-a za dobrą monetę.
  • Intensywni użytkownicy smartfonów – paradoksalnie, również młodsi dorośli i osoby w średnim wieku, które na co dzień sprawnie posługują się telefonem, mogą paść ofiarą. Prowadząc szybki tryb życia, często reagują automatycznie na powiadomienia i wiadomości, co zmniejsza czujność​. Osoba przyzwyczajona do ciągłego kontaktu z bankiem, kurierem czy platformami zakupowymi przez SMS może w natłoku spraw kliknąć link, nawet nie zastanawiając się, że to phishing.
  • Pracownicy otrzymujący wiele powiadomień – dotyczy to np. osób pracujących w firmach, które dostają liczne SMS-y służbowe (kody, alerty itp.). Przestępcy mogą to wykorzystać, wysyłając fałszywą wiadomość, która zlewa się z innymi komunikatami. Taki pracownik może nie wychwycić, że jeden z wielu SMS-ów jest oszustwem, zwłaszcza jeśli treść brzmi prawdopodobnie.
  • Każdy z nas – warto podkreślić, że nie tylko konkretne grupy są celem. Absolutnie każdy użytkownik telefonu komórkowego może otrzymać smishingową wiadomość. Oszuści bazują na statystyce – wysyłają setki tysięcy SMS-ów licząc, że choć ułamkowy procent odbiorców da się nabrać. Dane statystyczne pokazują, że ponad 90% wiadomości SMS zostaje odczytanych przez adresatów, a aż 45% wywołuje jakąś reakcję​.

To bardzo wysoki odsetek, który tłumaczy, czemu metoda „na SMS-a” jest dla przestępców tak atrakcyjna. Dlatego nikt nie powinien czuć się całkowicie bezpieczny – kluczem jest świadoma ostrożność każdego użytkownika.

Smishing: jak się bronić przed atakiem?

Wiele osób zadaje sobie pytanie: smishing jak się bronić przed tego typu atakami? Podstawowa zasada to zdrowy rozsądek i ostrożność przy każdej otrzymanej wiadomości. Poniżej zebraliśmy najważniejsze praktyki, które pozwalają uchronić się przed smishingiem:

 

  • Nie ufaj bezkrytycznie nadawcy SMS – Fakt, że wiadomość wyświetla się np. jako „Bank” lub „InPost”, nie gwarantuje jej autentyczności. Cyberprzestępcy potrafią sfałszować tzw. nadpis (nazwę nadawcy wyświetlaną w telefonie). Może się zdarzyć, że fałszywy SMS pojawi się w tym samym wątku co prawdziwe wiadomości od danej instytucji. Dlatego zawsze czytaj uważnie treść i nie kieruj się wyłącznie nazwą nadawcy​.
  • Uważnie czytaj treść i szukaj sygnałów ostrzegawczych – Oszukańcze SMS-y często zawierają pewne typowe cechy, które powinny wzbudzić naszą podejrzliwość. Należą do nich: błędy ortograficzne lub stylistyczne w tekście, nietypowy zwrot do odbiorcy (np. po imieniu zamiast formalnie), podejrzane linki (zwłaszcza skrócone, jak bit.ly itp.) oraz nacisk na pośpiech lub groźba negatywnych konsekwencji. Jeśli wiadomość w jakikolwiek sposób wygląda nietypowo albo zbyt dramatycznie, lepiej założyć, że to phishing SMS, i zweryfikować sprawę innym kanałem.
  • Nie klikaj linków w niespodziewanych SMS-ach – To absolutna podstawa. Większość ataków smishing opiera się na tym, że ofiara kliknie przesłany link. Jeżeli dostajesz SMS z linkiem, którego się nie spodziewasz, nie otwieraj go. Banki, urzędy ani firmy nie rozsyłają linków do płatności czy logowania bez uprzedniego kontaktu. Jeżeli uważasz, że wiadomość może być prawdziwa (np. czekasz na paczkę z zagranicy i przychodzi SMS o dopłacie), zamiast klikać – wejdź samodzielnie na oficjalną stronę danej firmy lub zadzwoń na jej infolinię i zapytaj, czy faktycznie wysyłano do Ciebie taką prośbę.
  • Nikomu nie podawaj poufnych danych przez SMS – Pamiętaj, że żadna poważna instytucja finansowa ani organ publiczny nie żąda podawania haseł, pełnych numerów kart, kodów PIN czy PESEL poprzez SMS​. Jeśli SMS o to prosi, to niemal pewne, że to oszustwo. Nie odpowiadaj na takie wiadomości, nie wysyłaj żadnych danych ani skanów dokumentów.
  • Zabezpiecz swój telefon – Aktualizuj system operacyjny i aplikacje, aby mieć najnowsze łatki bezpieczeństwa. Rozważ zainstalowanie renomowanego oprogramowania antywirusowego na smartfonie – część z nich potrafi wykrywać i ostrzegać przed phishingiem SMS. W ustawieniach telefonu można też włączyć filtrowanie wiadomości od nieznanych nadawców lub oznaczanie podejrzanych SMS-ów (wiele nowszych modeli ma takie funkcje). To dodatkowa linia obrony.
  • Bądź na bieżąco z ostrzeżeniami – Oszuści modyfikują swoje metody, dlatego warto śledzić komunikaty ostrzegawcze wydawane przez CERT Polska, policję, UOKiK czy banki. Gdy pojawi się nowa fala ataków (np. masowe SMS-y „na koronawirus” czy „na dopłatę do rachunku”), instytucje te zwykle szybko informują o tym na swoich stronach internetowych lub w mediach. Im więcej wiesz o aktualnych zagrożeniach, tym łatwiej rozpoznasz podejrzaną wiadomość.
  • Skorzystaj z systemowych zabezpieczeń – W wyniku nowych regulacji operatorzy telekomunikacyjni mają obowiązek blokować wiadomości SMS o sfałszowanych nadpisach (podszywające się pod oficjalne nazwy) i współpracować z CERT Polska w zakresie tworzenia list wzorców takich fałszywych wiadomości​. Te mechanizmy wprowadzono w 2024 roku właśnie po to, by ograniczyć skalę smishingu. Miej jednak świadomość, że żaden filtr nie daje 100% ochrony – nie można polegać wyłącznie na działaniach operatora czy państwa. Najważniejsze jest własne krytyczne podejście do otrzymywanych SMS-ów.

Co zrobić, jeśli pomimo ostrożności padliśmy ofiarą smishingu? Przede wszystkim nie zwlekać z reakcją. Jeżeli kliknąłeś link i podałeś dane do bankowości – natychmiast zadzwoń do banku, zablokuj dostęp do konta czy karty i złóż reklamację transakcji. Gdy zainstalowałeś aplikację z podejrzanego linku – usuń ją, przeskanuj telefon i przywróć ustawienia fabryczne, jeśli istnieje ryzyko malware. Koniecznie zawiadom policję o popełnieniu przestępstwa oszustwa. Dzięki temu służby mają szansę podjąć działania, a Ty otrzymasz dokument potwierdzający zgłoszenie (co może przydać się w sporze z bankiem).

 

Warto pamiętać, że prawo chroni ofiary nieautoryzowanych transakcji bankowych. Zgodnie z art. 46 ustawy o usługach płatniczych3 bank ma obowiązek zwrócić klientowi utracone środki w ciągu jednego dnia roboczego od zgłoszenia nieautoryzowanej transakcji​. Dopiero potem bank może dochodzić od poszkodowanego zwrotu pieniędzy, jeśli wykaże jego rażące niedbalstwo. W praktyce banki czasem odmawiają zwrotu, zarzucając klientom nieuwagę, jednak sądy najczęściej stają po stronie ofiar. Orzecznictwo wskazuje, że samo padnięcie ofiarą phishingu (także smishingu) nie jest automatycznie uznawane za rażące niedbalstwo klienta​. Innymi słowy, jeśli działaliśmy jak przeciętnie ostrożna osoba, mamy dużą szansę odzyskać utracone pieniądze – czy to na drodze reklamacji bankowej, czy postępowania sądowego. W razie problemów z odzyskaniem środków warto rozważyć zasięgnięcie pomocy prawnej.

Masz sprawę, którą chcesz omówić?

Porozmawiajmy o Twojej sytuacji

Zgłoś chęć rozmowy. Zamów konsultację telefoniczną

Zamów kontakt telefoniczny

Podsumowanie

Smishing to coraz powszechniejsza forma oszustwa internetowego polegająca na phishingu za pomocą SMS-ów. W powyższym artykule odpowiedzieliśmy na pytania: smishing co to za zjawisko oraz jak się przed nim bronić, zarówno od strony praktycznej, jak i prawnej. Podstawowym wnioskiem jest to, że edukacja i czujność stanowią najlepszą ochronę przed smishingiem. Każda niespodziewana wiadomość SMS z prośbą o podjęcie pilnego działania powinna wzbudzić nasze podejrzenia. Lepiej dmuchać na zimne – zweryfikować u źródła lub skonsultować się z kimś zaufanym – niż pochopnie kliknąć link i paść ofiarą oszustwa.

 

Na szczęście rośnie świadomość społeczna na temat zagrożeń typu phishing i smishing, a organy ścigania oraz regulatorzy podejmują kroki, by im przeciwdziałać. Oszuści, którzy dopuszczają się smishingu, muszą liczyć się z odpowiedzialnością karną (włącznie z karą więzienia). Jednak nawet najlepsze prawo nie zastąpi zdrowego rozsądku użytkowników. Mamy nadzieję, że zdobyta wiedza uczyni Cię bardziej wyczulonym na tego typu ataki. Świadomy zagrożenia użytkownik to najgorszy scenariusz dla cyberprzestępcy – warto więc szerzyć informacje o smishingu wśród rodziny i znajomych. Dzięki ostrożności i znajomości mechanizmów działania smishingu możemy skutecznie się przed nim chronić na co dzień.

1. Ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (t.j. Dz. U. z 2024 r. poz. 1803) 

2. Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (t.j. Dz. U. z 2025 r. poz. 383)

3. Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2024 r. poz. 30 z późn. zm.)

Autor wpisu:

Picture of Mariusz Krzyżanowski<br><font color="#C39E3A"; size=4> adwokat</font><br><br>
Mariusz Krzyżanowski
adwokat

Niniejsza publikacja została opracowana z najwyższą starannością, jednak niektóre informacje przedstawiono w sposób skrócony. W związku z tym artykuł ma wyłącznie charakter poglądowy, a zawarte w nim treści nie mogą zastępować pełnej i szczegółowej analizy danego zagadnienia. Kancelaria Adwokacka Mariusz Krzyżanowski nie ponosi odpowiedzialności za jakiekolwiek straty wynikające z działań podjętych lub zaniechanych na podstawie niniejszej publikacji. W celu omówienia indywidualnej sprawy zapraszamy do kontaktu i podjęcia współpracy.

Formularz zamówienia kontaktu

Preferowane godziny kontaktu:

Zeskanuj kod QR telefonem, aby pobrać wizytówkę

Call Now Button