Spoofing: co to, jak rozpoznać i nie nabrać się na oszustwo?

19/02/2025

Czas czytania: 10 minut

19/02/2025

Czas czytania: 10 minut

Spoofing to coraz częściej spotykana forma oszustwa, polegająca na podszywaniu się pod kogoś innego w celu wyłudzenia informacji lub pieniędzy. Ofiary takiego ataku często nie zdają sobie sprawy, że rozmawiają z oszustem, ponieważ widzą na ekranie telefonu znany numer – na przykład infolinię banku lub policję. Jak nie dać się zwieść tej manipulacji? W poniższym artykule wyjaśniamy, co to jest spoofing, jak działa ta metoda, czym różni się phishing od spoofingu telefonicznego, a także przedstawiamy praktyczne porady, jak się bronić przed takimi oszustwami.

Spoofing: co to takiego?

Termin spoofing wywodzi się z języka angielskiego i oznacza „podszywanie się” lub „udawanie kogoś innego”. W kontekście oszustw internetowych i telefonicznych, spoofing co to konkretnie znaczy? Najprościej mówiąc, jest to metoda, w której przestępca fałszuje swoją tożsamość. Może to przybrać różne formy – od wiadomości e-mail wyglądających jak korespondencja z banku (tzw. e-mail spoofing), przez fałszywe strony internetowe imitujące prawdziwe (spoofing DNS lub phishing), aż po połączenia telefoniczne z podrobionym numerem. W każdym przypadku jednak mechanizm jest podobny: ofiara ma uwierzyć, że kontaktuje się z prawdziwą instytucją lub osobą, a nie z oszustem.

W codziennym języku najczęściej mówimy o spoofingu w kontekście telefonu – czyli spoofing telefoniczny. Co istotne, spoofing telefoniczny jest formą oszustwa, która w ostatnich latach stała się bardzo powszechna w Polsce. Przestępcy wykorzystują zaufanie, jakim darzymy znane numery telefonów (np. numer banku lub policji), i podszywają się pod nie. Dzwonią do przypadkowych osób, a na wyświetlaczu ofiary pojawia się fałszywa informacja o numerze dzwoniącego. Dzięki temu ofiara myśli, że rozmawia np. z pracownikiem banku, podczas gdy w rzeczywistości jest to oszust. Taka definicja spoofingu telefonicznego pokazuje, że kluczowym elementem jest fałszywa identyfikacja – numer telefonu lub inny identyfikator kontaktu jest sfałszowany.

Phishing a spoofing telefoniczny

Często spotykamy się też z terminem phishing. Warto wyjaśnić phishing a spoofing, ponieważ choć obie metody są pokrewne i służą oszustom do wyłudzania danych lub pieniędzy, to działają nieco inaczej. Phishing polega na wyłudzaniu poufnych informacji (np. haseł, numerów kart kredytowych) poprzez podszywanie się pod zaufane instytucje w internecie. Klasyczny phishing to np. fałszywe e-maile lub strony WWW udające bank albo portal społecznościowy. Ofiara sama przekazuje swoje dane, sądząc że loguje się do prawdziwej strony lub odpowiada na prośbę z zaufanego źródła.

Z kolei spoofing telefoniczny to odmiana ataku wykorzystująca połączenia głosowe. W tym przypadku ofiara odbiera telefon od rzekomo prawdziwej instytucji. Oszust podszywa się pod numer telefonu znany ofierze (np. infolinia banku, numer policji 997 lub numer firmy kurierskiej). Ważna różnica jest taka, że w phishingu ofiara zwykle sama wykonuje jakąś akcję online (klika link, wprowadza dane), a przy spoofingu telefonicznym to oszust inicjuje kontakt telefoniczny i często manipuluje ofiarą podczas rozmowy. Można powiedzieć, że phishing często odbywa się drogą elektroniczną (mail/SMS), a spoofing telefoniczny – drogą głosową. Oczywiście te metody mogą się przenikać (np. oszust dzwoni i jednocześnie wysyła SMS-y z linkiem), ale mechanizm podszywania się jest wspólny.

Potrzebujesz wsparcia we własnej sprawie?

Umów się na spotkanie

Pozostaw swój numer telefonu. Oddzwonimy w celu ustalenia dogodnego terminu

Jak działa spoofing telefoniczny?

Spoofing telefoniczny – jak działa? Ta metoda oszustwa wykorzystuje techniczne możliwości manipulowania identyfikacją numeru dzwoniącego. Normalnie, gdy ktoś do nas dzwoni, nasz telefon wyświetla numer abonenta inicjującego połączenie. Jednak oszuści potrafią zmienić te informacje przy użyciu odpowiednich narzędzi VoIP lub centrali telefonicznych. W efekcie mogą sprawić, że na ekranie ofiary pojawi się dowolny, wybrany przez nich numer telefonu. To właśnie jest istota tego, jak działa spoofing – fałszywa prezentacja numeru.

W praktyce wygląda to tak, że przestępcy korzystają z usług lub oprogramowania, które pozwala na ustawienie arbitralnego numeru jako Caller ID. Dzwoniąc w ten sposób, mogą podszyć się np. pod numer banku widniejący na odwrocie karty płatniczej ofiary albo pod numer komendy policji. Ofiara widząc znajomy numer ma mniejsze podejrzenia – przecież to numer jej banku, więc wszystko wydaje się w porządku. Niestety, jest to tylko sprytny zabieg techniczny. Spoofing jak działa od strony technicznej nie musi być w pełni zrozumiałe dla ofiary – ważne, że daje oszustowi przewagę psychologiczną. W trakcie rozmowy przestępca zwykle prowadzi starannie przygotowany scenariusz (np. informuje o rzekomym zagrożeniu środków na koncie, prosi o potwierdzenie transakcji, podanie kodu SMS lub wykonanie przelewu). Cały plan opiera się na tym, że ofiara ufa rozmówcy właśnie ze względu na wyświetlany numer telefonu.

Warto dodać, że spoofing telefoniczny nie wymaga od oszusta fizycznej obecności w pobliżu ofiary ani zaawansowanego sprzętu – często wystarczy wykupiona usługa VoIP i komputer. Zjawisko jest globalne, a namierzenie sprawców bywa trudne, ponieważ połączenia mogą być wykonywane spoza granic kraju, a fałszywe numery dodatkowo utrudniają identyfikację.

Na co zwrócić uwagę, by nie paść ofiarą spoofingu?

Mając świadomość, że numer telefonu wyświetlany podczas połączenia może być sfałszowany, możemy odpowiednio zwiększyć czujność. Na co zwracać uwagę, aby nie dać się nabrać na spoofing telefoniczny? Oto kilka wskazówek:

Nie ulegaj presji czasu ani presji autorytetu: Oszuści często próbują wywołać poczucie pilności lub strachu. Mogą podawać się za policjanta mówiącego, że ktoś próbuje okraść twoje konto, albo za pracownika banku informującego o „podejrzanej transakcji”. Jeśli rozmówca naciska, żeby natychmiast wykonać jakąś czynność (np. przelew „na bezpieczne konto” czy podanie kodu BLIK), to znak, że może to być oszustwo.
Sprawdź wiarygodność rozmówcy: Jeżeli coś wzbudza Twoją wątpliwość, rozłącz się i oddzwoń na oficjalny numer instytucji. Ważne, aby samodzielnie wybrać numer, korzystając z oficjalnej strony internetowej banku lub innego źródła, a nie oddzwaniać na numer, z którego przyszedł telefon (bo jeśli był spoofowany, to i tak nie połączysz się z oszustem, ale z prawdziwą instytucją). Prawdziwy pracownik banku czy policjant nie będzie miał nic przeciwko temu, że chcesz zweryfikować jego tożsamość.
Nie udostępniaj poufnych danych przez telefon: Pamiętaj, że żaden prawdziwy bank czy policja nie prosi przez telefon o podanie haseł, PIN-ów, pełnych numerów kart, czy tym bardziej o wykonywanie przelewów. Jeśli rozmówca o to prosi, niemal na pewno jest to oszustwo. Nawet częściowe informacje (np. kod SMS do autoryzacji czy kody BLIK) przekazane oszustowi mogą umożliwić kradzież pieniędzy.
Zwróć uwagę na ton i sposób rozmowy: Oszuści często stosują techniki manipulacji – mogą być przesadnie oficjalni lub przeciwnie, budować koleżeńską atmosferę, by zdobyć zaufanie. Mogą przekazywać zaskakująco dużo szczegółów (często zmyślonych) o rzekomej sytuacji, by uwiarygodnić swój telefon. Jeśli cokolwiek w sposobie prowadzenia rozmowy wydaje Ci się dziwne lub podejrzane, przerwij połączenie.
Uważaj na obce numery lub dziwne połączenia: Nie zawsze spoofing telefoniczny podszywa się pod konkretną instytucję. Czasem oszuści dzwonią z zagranicznych numerów albo z nietypowych ciągów cyfr. Jeśli nie spodziewasz się żadnego telefonu z zagranicy, a na ekranie widzisz obcy numer, zachowaj ostrożność. Odbierając, nie podejmuj pochopnie rozmowy – wysłuchaj, kto dzwoni. Jeśli to automat lub rozmówca od razu chce danych, lepiej rozłączyć się.

Dzięki powyższym środkom ostrożności szansa, że padniesz ofiarą spoofingu, znacząco maleje. Najważniejsze jest, by pamiętać: numer wyświetlający się na telefonie to nie wszystko – liczy się to, kto naprawdę jest po drugiej stronie słuchawki.

Spoofing: przykłady najczęstszych sposobów oszustw

Aby lepiej zrozumieć, jak działają oszuści, przeanalizujmy spoofing – przykłady najczęściej spotykanych scenariuszy takich ataków. Przestępcy potrafią być bardzo kreatywni, jednak pewne schematy powtarzają się regularnie:

„Na pracownika banku”: To jeden z najpowszechniejszych przypadków. Oszust dzwoni z numeru wyglądającego identycznie jak infolinia banku. Podaje się za pracownika działu bezpieczeństwa banku i informuje, że na koncie ofiary zauważono podejrzane operacje lub że ktoś próbuje wziąć kredyt na jej dane. Następnie instruuje, by np. potwierdzić swoją tożsamość podając dane, prz dyktuje „bezpieczny” kod lub każe przelać środki na inne konto, rzekomo bezpieczne. W rzeczywistości przekazane informacje lub pieniądze trafiają prosto do oszustów.
„Na policjanta z CBŚ”: W tym scenariuszu dzwoni osoba podająca się za funkcjonariusza policji (nierzadko rzekomo z Centralnego Biura Śledczego Policji) lub prokuratora. Numer na wyświetlaczu może imitować numer komendy policji. Oszust oznajmia, że prowadzi śledztwo w sprawie grupy przestępczej i że pieniądze na koncie ofiary są zagrożone, bo rzekomo ktoś z banku współpracuje z przestępcami. Poleca nie informować nikogo (to „tajna akcja”) i współpracować – często prosi o wypłacenie gotówki i przekazanie „kurierowi” lub wykonanie przelewu, aby „zabezpieczyć” środki. To również jest oszustwo, a pieniądze trafiają do przestępców.
„Na urzędnika/inną instytucję”: Oszuści czasem podszywają się pod numery innych instytucji niż bank czy policja. Mogą dzwonić rzekomo z urzędu skarbowego, ZUS-u, firmy telekomunikacyjnej czy nawet z numeru biura obsługi klienta popularnej firmy. Cel jest ten sam – zdobyć informacje (np. dane osobowe, numery PESEL, hasła) lub pieniądze. Na przykład, dzwoni „urzędnik skarbówki” z informacją o błędzie w zeznaniu podatkowym i prosi o podanie danych w celu weryfikacji, albo telefonuje „pracownik operatora komórkowego” z ofertą atrakcyjnej usługi, ale najpierw żąda potwierdzenia danych klienta. Jeśli podejrzewamy, że to spoofing, lepiej się rozłączyć i samemu skontaktować z daną instytucją.
„Na członka rodziny lub znajomego”: Bardziej zaawansowane formy spoofingu mogą dotyczyć konkretnych osób. Przestępcy potrafią zdobyć pewne informacje o ofierze z mediów społecznościowych i na tej podstawie przygotować atak. Mogą zadzwonić podszywając się pod numer bliskiej osoby. Gdy odbierzesz, w słuchawce może odezwać się nawet zmodyfikowany głos (np. płaczącej „córki” proszącej o pieniądze, bo miała wypadek). To połączenie spoofingu telefonicznego z tzw. metodą „na wnuczka” lub „na wypadek”. W takiej sytuacji zawsze przerwij rozmowę i oddzwoń do prawdziwej osoby z rodziny na jej znany numer, by zweryfikować historię.

Powyższe spoofing przykłady pokazują, że kreatywność oszustów jest duża, ale we wszystkich przypadkach bazują oni na zaufaniu do wyświetlanego numeru i emocjach ofiary (strachu, trosce o bliskich, chęci ochrony pieniędzy). Warto śledzić doniesienia medialne – media regularnie opisują przypadki osób oszukanych tą metodą. Niestety, ofiarami padają często osoby starsze, ale tak naprawdę każdy z nas musi uważać.

Masz sprawę, którą chcesz omówić?

Porozmawiajmy o Twojej sytuacji

Zgłoś chęć rozmowy. Zamów konsultację telefoniczną

Gdzie zgłosić spoofing?

Jeśli padłeś ofiarą spoofingu lub próby oszustwa tą metodą, koniecznie poinformuj o tym odpowiednie służby. Wiele osób zastanawia się: spoofing telefoniczny gdzie zgłosić? Podstawowym krokiem jest zgłoszenie sprawy na policję. Należy jak najszybciej udać się na najbliższą komendę policji lub komisariat i złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa. W zgłoszeniu trzeba opisać całą sytuację, podać numer, z którego dzwonił oszust (nawet jeśli był fałszywy, dla policji to istotna informacja), oraz wszelkie okoliczności rozmowy. Jeśli w wyniku spoofingu straciłeś pieniądze, warto przygotować dokumenty potwierdzające np. wykonanie przelewu itp.

Pamiętaj, że spoofing jest w Polsce traktowany jak przestępstwo. Choć sam termin „spoofing” nie pojawia się wprost w polskim prawie, działania oszustów wypełniają znamiona kilku poważnych czynów zabronionych. Najczęściej będzie to oszustwo z artykułu 286 Kodeksu karnego¹ – czyli doprowadzenie do niekorzystnego rozporządzenia mieniem poprzez wprowadzenie w błąd. Jeżeli sprawcy zostaną ujęci, mogą usłyszeć zarzut z art. 286 KK, zagrożony karą pozbawienia wolności (w typowych wypadkach do 8 lat, a przy mieniu znacznej wartości nawet więcej).

Dodatkowo, podszywanie się pod inną osobę lub instytucję może być ścigane na podstawie innych przepisów. Przykładowo, spoofing telefoniczny – Kodeks karny może być rozpatrywany także pod kątem artykułu 190a §2 KK, który penalizuje tzw. kradzież tożsamości (podszywanie się pod inną osobę w celu wyrządzenia jej szkody lub osiągnięcia korzyści). Jeśli oszust udawał policjanta lub funkcjonariusza publicznego, może dodatkowo naruszać art. 227 KK, który zabrania podszywania się pod funkcjonariusza publicznego. W praktyce organy ścigania kwalifikują czyn wedle okoliczności – zazwyczaj skupiając się na oszustwie, ale te dodatkowe przepisy pokazują, że prawo przewiduje sankcje za różne aspekty spoofingu.

Po zgłoszeniu na policję warto również powiadomić instytucję, pod którą podszył się oszust. Jeśli był to bank – zadzwoń na oficjalną infolinię banku i poinformuj o incydencie. Banki starają się ostrzegać swoich klientów przed takimi zagrożeniami, a zgłoszenie pomaga im monitorować skalę zjawiska. Można też zgłosić incydent do zespołów zajmujących się cyberbezpieczeństwem, np. CERT Polska lub CSIRT przy Komisji Nadzoru Finansowego, zwłaszcza jeśli doszło do wycieku danych lub innych cyberincydentów towarzyszących spoofingowi.

Zastanawiasz się być może: spoofing – gdzie zgłosić jeszcze oprócz policji i banku? Istnieją także strony internetowe i infolinie konsumenckie, gdzie można zgłaszać podejrzane numery telefonów (np. serwisy typu Nieznany Numer lub linie bankowe ds. bezpieczeństwa). Warto również ostrzec rodzinę i znajomych – opowiedz im o próbie oszustwa, aby oni też byli czujni. Im więcej osób będzie świadomych tego typu zagrożeń, tym trudniej oszustom będzie działać.

Jak się bronić przed spoofingiem?

Na koniec najważniejsze pytanie: spoofing – jak się bronić i czy w ogóle można zabezpieczyć się przed takim oszustwem? jak się bronić przed spoofingiem? Oto podsumowanie najważniejszych kroków, które warto podjąć, aby zminimalizować ryzyko:

Świadomość i edukacja: To podstawowa linia obrony. Im więcej wiesz o tym, czym jest spoofing telefoniczny i jak działają oszuści, tym łatwiej rozpoznasz podejrzaną sytuację. Czytaj ostrzeżenia publikowane przez policję, banki i media. Uczul szczególnie starszych członków rodziny, bo to oni często są na celowniku oszustów.
Weryfikacja tożsamości rozmówcy: Nie wahaj się sprawdzać. Tak jak wspomnieliśmy wcześniej – rozłącz się i oddzwoń na oficjalny numer instytucji, jeśli masz wątpliwości. Możesz też zadać rozmówcy szczegółowe pytania, na które prawdziwy konsultant powinien znać odpowiedź (choć pamiętaj, że oszuści mogą mieć pewne twoje podstawowe dane, wykradzione wcześniej).
Blokowanie i zgłaszanie podejrzanych numerów: Wiele modeli telefonów i aplikacji ma opcję oznaczania połączenia jako spam lub oszustwo. Istnieją także aplikacje, które ostrzegają przed znanymi numerami wykorzystywanymi przez oszustów (np. TrueCaller lub rodzime rozwiązania operatorów). Choć nie jest to 100% skuteczne (bo oszust może za każdym razem użyć innego numeru), warto korzystać z takich narzędzi.
Ostrożność z danymi w sieci: Im mniej danych osobowych udostępniasz publicznie (np. na mediach społecznościowych, forach), tym trudniej oszustom przygotować spersonalizowany atak. Czasem spoofing telefoniczny jest poprzedzony rekonesansem – szukają informacji o ofierze, by podczas rozmowy brzmieć bardziej wiarygodnie. Dbaj o prywatność swoich danych, nie publikuj np. swojego numeru telefonu w miejscach publicznych w sieci.
Zdrowy sceptycyzm: To może zabrzmieć banalnie, ale zachowanie zdrowego sceptycyzmu chroni przed wieloma oszustwami. Jeśli coś wydaje się zbyt nieprawdopodobne albo zbyt piękne, by było prawdziwe (np. telefon z loterii, której nie pamiętasz, a gdzie rzekomo wygrałeś nagrodę, ale musisz coś wpłacić) – najpewniej to oszustwo. Ufaj swoim przeczuciom; jeżeli rozmowa przez telefon wzbudza Twój niepokój, przerwij ją.

Podsumowując, przed spoofingiem telefonicznym można się chronić przede wszystkim poprzez ostrożność i wiedzę. Choć technicznie nie mamy wpływu na to, jaki numer wyświetli nam się na telefonie przy połączeniu przychodzącym, to mamy wpływ na nasze reakcje. Jeśli znamy zagrożenie i wiemy, jak się chronić przed takimi manipulacjami, jesteśmy w stanie ustrzec się przed utratą pieniędzy czy danych.

Spoofing telefoniczny to poważne oszustwo naszych czasów, ale zachowując czujność, można mu skutecznie przeciwdziałać. Pamiętajmy, że kluczem jest zasada ograniczonego zaufania – zwłaszcza wobec tego, co widzimy na wyświetlaczu telefonu. Jeśli coś wzbudza nasze wątpliwości, zawsze lepiej dmuchać na zimne, niż później żałować. Dzięki ostrożności i stosowaniu powyższych rad spoofing nie musi okazać się skuteczny, a my ochronimy siebie i swoich bliskich przed przykrymi konsekwencjami takiego oszustwa.

^{1. Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (t.j. Dz. U. z 2025 r. poz. 383) ↩}

Autor wpisu:

Picture of Mariusz Krzyżanowski<br><font color="#C39E3A"; size=4> adwokat</font><br><br>

Mariusz Krzyżanowski
adwokat

Niniejsza publikacja została opracowana z najwyższą starannością, jednak niektóre informacje przedstawiono w sposób skrócony. W związku z tym artykuł ma wyłącznie charakter poglądowy, a zawarte w nim treści nie mogą zastępować pełnej i szczegółowej analizy danego zagadnienia. Kancelaria Adwokacka Mariusz Krzyżanowski nie ponosi odpowiedzialności za jakiekolwiek straty wynikające z działań podjętych lub zaniechanych na podstawie niniejszej publikacji. W celu omówienia indywidualnej sprawy zapraszamy do kontaktu i podjęcia współpracy.