Uptime: 99.892%
Strony WWW:
Nowe strony WWW dzisiaj:
Pełna transparencja: uptime naszej infrastruktury Czytaj więcej Wywiad z naszym CEO na bezprawnik.pl Czytaj więcej SEOHOST.pl zdobywa 2 miejsce w rankingu NASK. Czytaj więcej Uwaga: kolejna próba phishingu! Czytaj więcej Dlaczego warto migrować do SEOHOST? Czytaj więcej
Menu
Załóż konto
Strona główna / Pomoc / Bezpieczeństwo , Poczta e-mail / Co to jest smishing?
Grzegorz Waszkiewicz
Grzegorz Waszkiewicz
27 Lipca 2025
8 minut

Co to jest smishing?

Smishing to jedno z najbardziej podstępnych i obecnie bardzo popularnych zagrożeń cybernetycznych, które zalicza się do rodziny ataków phishingowych, z tą różnicą, że odbywa się za pośrednictwem wiadomości tekstowych SMS (stąd nazwa: SMS + phishing = smishing). Aby dowiedzieć się więcej o tym szerszym zjawisku, zachęcamy do przeczytania artykułu: co to jest phishing i jak go rozpoznać.

Co to jest smishing?

Smishing polega na wysyłaniu fałszywych wiadomości tekstowych, które udają komunikaty od zaufanych instytucji, np. banków, firm kurierskich, urzędów, operatorów telefonicznych czy nawet znajomych. Celem ataku jest:

  • nakłonienie Cię do kliknięcia w złośliwy link,
  • pobrania aplikacji lub oprogramowania szpiegującego,
  • podania danych osobowych, logowania do banku, haseł, numeru PESEL itp.,
  • lub wręcz przelewu pieniędzy (np. pod pretekstem niedopłaty, opłaty kurierskiej, mandatu).

Typowe wiadomości smishingowe to:

  • „Twoja paczka została wstrzymana. Dopłać 1,49 zł tutaj: [link]”
  • „Nieopłacona faktura. Kliknij, by uniknąć odcięcia usługi.”
  • „Potwierdź dane do logowania – Twój bank prosi o weryfikację: [link]”
  • „Hej, to mój nowy numer. Napisz do mnie tutaj…” (często połączone ze spoofingiem)

Podszywanie się pod instytucje (policja, banki, firmy kurierskie, energetyczne)

Kiedy dostajesz SMS-a z informacją o niezapłaconej fakturze z Enea lub niedopłacie za paczkę od InPostu, większość z nas nie analizuje nadawcy, tylko klika. To zrozumiałe – jesteśmy przyzwyczajeni, że takie wiadomości po prostu przychodzą. Nasz telefon to najbardziej zaufane narzędzie – nosimy go zawsze przy sobie, traktujemy jak osobistą skrzynkę zaufania. 

Z danych, które analizowaliśmy na bazie różnych raportów, także przygotowanych przez ministerstwa i banki: 98% wiadomości SMS jest otwieranych, a 45% z nich wywołuje reakcję – kliknięcie linku, odpowiedź lub telefon zwrotny. To absolutnie rekordowe statystyki skuteczności ataków. Dla porównania – klasyczny e-mail phishing notuje zaledwie 6% reakcji. Może także dlatego, że dziś e-mail wykorzystujemy do niego innej formy komunikacji. 

Co więcej – wiadomości są często wplecione w ciąg realnych SMS-ów, np. dopisane do wcześniejszych konwersacji z bankiem czy firmą kurierską. To możliwe dzięki technologii SMS spoofingu, czyli podszywania się pod nazwę nadawcy (nazwa zamiast numeru). Efekt? Zamiast zapalić się czerwona lampka, zapala się instynkt działania: kliknij, zapłać, potwierdź. Warto również sprawdzić, dlaczego wiadomości trafiają do spamu, co może pomóc w identyfikacji podejrzanych SMS-ów.

Przykłady smishingu podszywającego się pod instytucje:

  • Policja i urzędy: SMS-y o rzekomych mandatach, niedopłatach, karach administracyjnych z groźbą wszczęcia postępowania. W treści link do płatności.
  • Banki: Wiadomość wygląda identycznie jak od banku, zawiera link do „panelu logowania”, który prowadzi na fałszywą stronę. Często zawiera komunikaty typu „zablokowaliśmy twoje konto” lub „nieautoryzowana próba logowania – potwierdź tożsamość”.
  • Firmy kurierskie: "Twoja paczka została zatrzymana. Dopłać 2,99 zł, aby ją odblokować". Link prowadzi do fałszywego panelu płatności.
  • Dostawcy energii i gazu: "Należność 13,44 zł. Brak wpłaty spowoduje przerwanie dostaw". Czasem wiadomość zawiera nawet logo lub styl komunikacji znany z poprzednich powiadomień.
  • Systemy zdrowotne i szczepienia: „Potwierdź swój termin szczepienia” lub „Twój e-skierowanie wygasło – kliknij tutaj”.

Dlaczego smishing działa?

Bo smishing to nie tylko problem technologiczny – to problem społeczny i psychologiczny. Smishing działa dlatego, że jesteśmy:

  • przyzwyczajeni do działania pod presją czasu (paczka czeka, konto zagrożone, mandat wisi),

  • zaufaliśmy cyfrowej wygodzie – nie chcemy dzwonić, wolimy kliknąć,

  • coraz mniej weryfikujemy źródła informacji – nawet jeśli w głowie pojawi się pytanie: „czy to nie oszustwo?”, często nie ma refleksu, by to sprawdzić.

Paradoksalnie, to instytucje muszą dziś odzyskiwać nasze zaufanie, bo zbyt wielu przestępców działa ich „imieniem”. Banki, firmy kurierskie i policja już dziś inwestują w edukację, aplikacje z dodatkowym uwierzytelnieniem i ostrzeżenia SMS. Ale to my mamy ostatnie słowo. Warto również zapoznać się z informacjami na temat co to jest spam, aby lepiej rozumieć kontekst niechcianych wiadomości.

Trzy główne typy ataków smishingowych

Wszystkie formy smishingu są do siebie bardzo podobne, ale chcemy lepiej zobrazować problem, a może także podrzucić Ci kilka trafnych przykładów, które pokażą Ci zarówno różne techniki, jak i różne cele tego typu ataków. Spójrz:

Wyłudzanie danych logowania – bankowość, poczta, social media

To najczęściej spotykana forma smishingu – i jednocześnie najgroźniejsza finansowo.

Dostajesz SMS z informacją o podejrzanej aktywności na koncie, prośbą o potwierdzenie tożsamości albo o aktualizację danych. Link w wiadomości prowadzi do strony łudząco podobnej do panelu banku lub portalu społecznościowego. Adres wygląda wiarygodnie, układ identyczny – wszystko po to, byś bez namysłu wpisał login i hasło.

W wielu przypadkach użytkownik orientuje się dopiero wtedy, gdy z konta znika gotówka.

Banki nigdy nie proszą o logowanie przez SMS-a – to pierwszy sygnał ostrzegawczy.

Instalacja złośliwego oprogramowania – fałszywe aplikacje i aktualizacje

Tu przestępcy grają na innym mechanizmie: ciekawości lub strachu. Wiadomość może zawierać informację o niedostarczonej paczce, konieczności pobrania aplikacji kurierskiej, albo pilnej aktualizacji systemu.

Po kliknięciu w link, telefon proponuje instalację „aplikacji pomocniczej” – niby nic nadzwyczajnego, bo przecież smartfon często wyświetla takie komunikaty. Ale to właśnie tu zaczyna się problem.

Taka aplikacja może:

  • kraść dane z telefonu (w tym zdjęcia dowodu, numer karty, SMS-y),
  • przechwytywać hasła z klawiatury,
  • uruchamiać kamerę i mikrofon.

Ataki tego typu są szczególnie popularne na Androidzie, ale nie oznacza to, że użytkownicy iPhone’ów są bezpieczni – oni po prostu rzadziej instalują aplikacje spoza App Store. Jeśli chcesz dowiedzieć się, jak chronić się przed niechcianymi wiadomościami e-mail, sprawdź, jak protokoły SPF, DKIM i DMARC wpływają na ochronę antyspamową.

Prośby o pilny przelew – podszywanie się pod rodzinę lub znajomych

To klasyk gatunku, znany od lat, ale wciąż szalenie skuteczny. Podawaliśmy ten sam przykład, także przy definicji spoofingu.

Schemat jest prosty: ktoś pisze „Cześć Tato, to mój nowy numer – zepsuł mi się telefon. Potrzebuję szybko pieniędzy, możesz mi przelać?”. Albo: „Jestem znajomym Marka – miał wypadek, jesteśmy w szpitalu, potrzebna pomoc finansowa”. Czasem pada prośba o BLIK, czasem o przelew, ale cel zawsze jest jeden: wymusić szybką reakcję, zanim pomyślisz.

Oszust nie musi znać twojej córki – wystarczy, że wie, że jesteś rodzicem. Gra na emocjach, presji, poczuciu odpowiedzialności. To tzw. oszustwo na bliską osobę – łączące socjotechnikę z prostym smishingiem. Zdarza się też wariant „na księdza” – wiadomość od duchownego proszącego o pomoc finansową dla chorego parafianina. Wyłudzenie na Policjanta - ktoś włamał się do konta, prosimy o przelew, aby zabezpieczyć pieniądze. W wielu przypadkach ofiary wykonują przelew i dopiero później dzwonią do „córki” lub „księdza”. Ten rodzaj ataku to często przykład szerszego zjawiska, jakim jest co to jest scam.

Jak się bronić – lista reakcji na smishing

Smishing, phishing, spoofing – choć technicznie się różnią, wszystkie żerują na tym samym: braku refleksji w kluczowym momencie. Czasem to impuls, kliknięcie w link, podanie kodu BLIK. Innym razem – strach, presja czasu albo potrzeba szybkiej pomocy. Dlatego najważniejsza broń to nie aplikacja ani antywirus, ale... nawyk myślenia i zadawania pytań.

Zatrzymaj się. Zastanów się, zanim klikniesz, odbierzesz, odpiszesz

To najprostsza i najtrudniejsza zasada. Oszustwa działają, bo są szybkie.
Dlatego celowo wywołują pośpiech lub emocje – „Twoje konto zostanie zablokowane”, „Dziecko potrzebuje pomocy”, „Paczka nie została doręczona – kliknij teraz”.

Twoja reakcja powinna być odwrotna: ZATRZYMAJ SIĘ.

  • Czy ta wiadomość brzmi naturalnie?
  • Czy bank naprawdę wysyła SMS-y z linkiem?
  • Czy to normalne, że dziecko kontaktuje się z nowego numeru i prosi o przelew?

Chroń dane wrażliwe – nawet te, które „wydają się niewinne”

Większość ludzi myśli, że dane poufne to tylko PESEL, numer dowodu, login do banku.
To błąd. Dane wrażliwe to także:

  • twój numer telefonu i e-mail,
  • informacje o rodzinie,
  • miejsce zamieszkania,
  • historia przelewów,
  • numery rejestracyjne auta,
  • lokalizacja, w której aktualnie jesteś.

Dlaczego? Bo z pozoru niegroźne informacje da się zestawić z innymi danymi i wykorzystać w ataku. Im więcej o Tobie wiadomo, tym łatwiej dobrać treść oszustwa do Twojej sytuacji.

Weryfikuj – zanim uwierzysz, zadzwoń lub napisz... ale na numer, który znasz

Jeśli ktoś twierdzi, że jest z banku, policji, szpitala albo z firmy kurierskiej – sprawdź to.

  • Nie oddzwaniaj na numer z SMS-a – to może być część oszustwa.
  • Zadzwoń do banku na numer z oficjalnej strony.
  • Skontaktuj się z rodziną – nawet jeśli musisz zadzwonić do kilku osób.
  • Nie działaj pod presją, nawet jeśli chodzi o zdrowie, wypadek, ratunek.

Zasada cyfrowej nieufności – żadnych danych przez SMS, WhatsApp, Messenger

Instytucje nie proszą o dane osobowe ani logowanie przez SMS, WhatsApp czy Messenger. Nie klikaj w linki, które wyglądają podejrzanie – nawet jeśli są „z banku”, „z InPostu”, „od córki”.

Oszuści często używają numerów nadpisanych nazwą „Bank” lub „InPost” – bo system SMS w Polsce nadal pozwala na takie działania (tzw. alfanumeryczny sender ID). To również jeden z powodów, dlaczego wiadomości trafiają do spamu, a ich identyfikacja jest utrudniona.

Zainstaluj filtr anty-smishingowy – ale nie licz tylko na technologię

Niektóre aplikacje (np. wbudowane w Androida lub zewnętrzne typu Norton, ESET) potrafią wykrywać podejrzane linki w SMS-ach i blokować numery wysyłające spam. Warto je mieć, ale żadne narzędzie nie zastąpi zdrowego rozsądku. Jeśli jesteś administratorem serwera, możesz również rozważyć konfigurację antyspam SpamAssassin w DirectAdmin, a także dowiedzieć się, jak skonfigurować filtr antyspam DirectAdmin, aby zminimalizować ryzyko smishingu i innych ataków.

Co zrobić, jeśli już się dałeś oszukać?

To najważniejsze – działaj natychmiast. Nie czekaj z nadzieją, że „może się nic nie stanie”. Oto co robić krok po kroku:

  1. Zablokuj kartę lub konto bankowe – zadzwoń na infolinię banku, nawet w nocy.
  2. Zmień hasła – nie tylko tam, gdzie podałeś dane, ale też w innych serwisach.
  3. Zgłoś sprawę na policję – także po to, by mieć dowód do reklamacji w banku.
  4. Zgłoś incydent do CERT Polska – przez stronę https://incydent.cert.pl.
  5. Usuń podejrzaną aplikację – jeśli coś zainstalowałeś z SMS-a.
  6. Zgłoś numer jako podejrzany – w aplikacjach typu Truecaller lub na stronach operatorów.

I to wszystko. Po fakcie Twoje możliwości działania są bardzo mocno ograniczone. 

Czy udało Ci się rozwiązać problem?
Nie znalazłeś odpowiedzi na swoje pytanie?