Uptime: 99.926%
Strony WWW:
Nowe strony WWW dzisiaj:
100 000 Użytkowników w SEOHOST. To dzięki Wam! Czytaj więcej W SEOHOST Użytkownik jest zawsze na pierwszym miejscu! Czytaj więcej Z SEOHOST korzysta już ponad 90 000 Użytkowników! Czytaj więcej Pełna transparencja: uptime naszej infrastruktury Czytaj więcej Wywiad z naszym CEO na bezprawnik.pl Czytaj więcej SEOHOST.pl zdobywa 2 miejsce w rankingu NASK. Czytaj więcej Uwaga: kolejna próba phishingu! Czytaj więcej Dlaczego warto migrować do SEOHOST? Czytaj więcej
Menu
Załóż konto
Strona główna / Pomoc / Bezpieczeństwo , Poczta e-mail / Co to jest spoofing?
Redakcja SEOHOST.pl
Redakcja SEOHOST.pl
27 Lipca 2025
8 minut

Co to jest spoofing?

Spoofing to dziś jedno z najgroźniejszych i najbardziej przebiegłych narzędzi w arsenale cyberoszustów. Jest mylony z phishingiem, czasem wręcz traktowany jako jego element. Ale warto przyjrzeć się bliżej: czym jest spoofing? Jakie przybiera formy? I dlaczego, mimo zaawansowania technicznego, jego wykrycie często nie wymaga doktoratu z cyberbezpieczeństwa – tylko czujności i świadomości zagrożeń?

Czym właściwie jest spoofing i dlaczego tak łatwo mu uwierzyć?

Spoofing to technika podszywania się – czyli przedstawiania fałszywej tożsamości jako autentycznej. Najczęściej chodzi o numer telefonu, adres e-mail lub stronę WWW. To jak przebieranie się za kogoś, by zdobyć zaufanie i wykorzystać je do wyłudzenia informacji, pieniędzy albo strachu. To właśnie dlatego spoofing budzi tak duże emocje – bo nie tylko kradnie dane, ale często też niszczy poczucie bezpieczeństwa.

W sieci Internet, na grupach Facebook, na YouTube znajdziesz liczne przykłady – telefon z "banku", który wyświetla się na ekranie jako faktyczny numer instytucji. Dzwoni "pracownik", który informuje o podejrzanej transakcji i namawia do zainstalowania aplikacji „bezpiecznego połączenia” – która w rzeczywistości przejmuje kontrolę nad urządzeniem. A przecież numer się zgadza! Albo e-mail od szefa z pilną prośbą o przelew – podrobiony perfekcyjnie.

To właśnie siła spoofingu – wykorzystuje nasze zaufanie do znanych nazw, numerów, domen. I niestety, wiele z tych rzeczy można łatwo podrobić, może i jest to do wykrycia, ale na pierwszy rzut oka wszystko wygląda ok. 

Spoofing ≠ phishing

Często te pojęcia są używane zamiennie, ale nie są tożsame. Jeśli chcesz dowiedzieć się więcej o tym drugim, przeczytaj nasz artykuł co to jest phishing.

  • Phishing to konkretna forma ataku – zazwyczaj e-mailowa – która ma wyłudzić dane.
  • Spoofing to metoda, która może dotyczyć różnych kanałów: telefonu, maila, wiadomości SMS, stron internetowych.
  • Spoofing bywa elementem phishingu – np. w wiadomości e-mail adres wygląda prawdziwie, ale zawiera złośliwy link. Może być też niezależny – np. fałszywy telefon z "policji", gdzie nikt nie prosi o dane logowania, ale manipuluje emocjami, by uzyskać posłuszeństwo.

Spoofing to narzędzie. Phishing – to często jego zastosowanie. Ale spoofing może też napędzać scam, czyli np. oszustwo "na wnuczka" w wersji XXI wieku: z numerem banku, z głosem "policjanta", z całą otoczką bezpieczeństwa. Dlatego to właśnie spoofing stał się tak niebezpieczny – bo przekracza granice techniczne i psychologiczne jednocześnie. Aby lepiej zrozumieć różnice między tymi pojęciami, warto również zapoznać się z treścią co to jest scam.

Spoofing przykłady i formy

Siła spoofingu polega na tym, że podszywa się pod zaufane źródła – osoby, instytucje, strony internetowe, a nawet konkretne numery telefonów. Głównym celem spoofingu jest oszukanie odbiorcy i nakłonienie go do określonego działania – od podania danych logowania, przez kliknięcie w złośliwy link, aż po przelanie pieniędzy na fałszywe konto.

To, co czyni spoofing wyjątkowo groźnym, to jego zdolność do „udawania” – ofiara nie ma często świadomości, że padła ofiarą ataku, dopóki nie jest za późno. Formy spoofingu są różnorodne, a każda z nich operuje w innym kanale komunikacyjnym. Poniżej znajdziesz najczęściej spotykane rodzaje spoofingu – wraz z praktycznymi przykładami, które pomogą Ci lepiej rozpoznać zagrożenie.

Telefoniczny spoofing (caller ID spoofing)

Gdy numer wyświetlany przy połączeniu wygląda na znany i zaufany – jak bank, policja, szpital, czy numer alarmowy.

Przykłady:

  • Dzwoni "pracownik banku" z numeru infolinii, mówiąc, że Twoje konto jest zagrożone i trzeba je zabezpieczyć poprzez aplikację, którą Ci podeślą.
  • Odbierasz telefon z numeru 997 – rozmówca twierdzi, że bierzesz udział w tajnej akcji policji przeciwko hakerom i musisz przelać pieniądze na „bezpieczne konto”.
  • Fałszywy telefon z sanepidu – rzekoma kwarantanna i konieczność podania danych PESEL oraz informacji o domownikach.

E-mail spoofing

Nadawca wiadomości wygląda znajomo – adres e-mail przypomina oficjalny, np. bezpieczenstwo@mbank.pl, ale jest to fałszywa tożsamość. Aby lepiej chronić swoją pocztę przed takimi atakami, warto zrozumieć, jak protokoły SPF, DKIM i DMARC wpływają na ochronę antyspamową.

Przykłady:

  • Wiadomość od „Twojego banku” z pilną prośbą o kliknięcie w link i zalogowanie się do serwisu, bo wystąpił problem z autoryzacją płatności.
  • E-mail od rzekomego szefa z załącznikiem „faktura pilna.pdf” i sugestią, że należy ją natychmiast opłacić.
  • „Powiadomienie z Apple/Google” o podejrzanej aktywności – link prowadzi na fałszywą stronę logowania.

SMS spoofing

Wiadomość tekstowa wygląda jak kontynuacja poprzednich rozmów z bankiem, kurierem lub firmą telekomunikacyjną. Zastanawiasz się, dlaczego wiadomości trafiają do spamu, a ten artykuł pomoże Ci zrozumieć, jak systemy antyspamowe działają.

Przykłady:

  • SMS od „kuriera”, że paczka nie może być doręczona – kliknij, by opłacić brakujące 3,99 zł.
  • „Twój bank” wysyła link do anulowania podejrzanej transakcji – strona łudząco przypomina bankowość online.
  • Wiadomość o zaległości w opłacie za prąd/gaz – link prowadzi do fałszywego systemu płatności.

Spoofing stron internetowych (website spoofing)

Strona wygląda niemal identycznie jak oryginalna – bank, poczta, dostawca energii – ale podmieniono domenę.

Przykłady:

  • Otwierasz stronę logowanie-bank-pl.com, która wygląda identycznie jak mbank.pl, ale wpisane dane trafiają do przestępców.
  • Pod fałszywym adresem poczta24-info.com możesz „odebrać” przesyłkę – po wpisaniu danych karta zostaje obciążona.
  • Login do „panelu klienta Orange” – strona generuje błąd, ale wcześniej zapisuje Twoje hasło.

IP spoofing

Manipulowanie pakietami sieciowymi w taki sposób, by wyglądało, że pochodzą z zaufanego źródła. Najczęściej stosowany w cyberatakach, np. DDoS.

Przykłady:

  • Atak DDoS na serwis instytucji publicznej – setki tysięcy fałszywych zapytań z „legalnych” IP powodują paraliż systemu.
  • Podszycie się pod urządzenie sieciowe w firmie – umożliwia dostęp do wewnętrznych zasobów.
  • Fałszywy serwer VPN w organizacji – przechwytuje dane pracowników zdalnych.

Spoofing tożsamości w komunikatorach i SMS-ach (tzw. impostor scam lub impersonation attack)

To podtyp ataku socjotechnicznego, który można uznać za połączenie spoofingu (podszycie się), scamu (oszustwa z chęcią wyłudzenia) i często również smishingu (jeśli wiadomość dociera SMS-em).

I ponownie, ich siła polega na zagraniu emocjami – wykorzystują zaufanie i impulsywność. Atakujący podszywa się pod bliską osobę lub znajomego (np. „Tato, mamo, przyjaciel”) i przekazuje fałszywą, dramatyczną historię, która ma wywołać panikę lub współczucie. Po drugiej stronie jest ktoś, kto się spieszy, nie weryfikuje faktów i... klika „wyślij przelew”.

Najlepsze, lub najgorsze w tym jest to, że to nie "tylko" forma spoofingu, ale bardzo wyrafinowana socjotechnika, bo tak naprawdę, nie ma potrzeby podszywania się technicznie (jak zmiana numeru telefonu czy adresu mailowego) – wystarcza stworzenie nowej tożsamości i kontekst emocjonalny. Spójrz:

  • Cześć, to ja, Ola – z tego numeru mam teraz WhatsAppa, bo stary telefon mi się zalał. Możesz mi przelać 800 zł? Oddam ci jutro - Często ofiara nawet nie orientuje się, że numer jest nieznany, bo „Ola” zaczyna rozmowę od znanej formy przywitania.
  • Dzień dobry, jestem kolegą Piotra. Miał wypadek, leży w szpitalu. Prosił, żeby szybko przekazać pieniądze na leczenie – później oddzwoni - Spoofing emocjonalny, czasem wzmacniany zdjęciem Piotra (np. z Facebooka).
  • Tato, to ja. Zgubiłam telefon. Mam tylko ten numer. Nie mogę się dostać do aplikacji banku – wyślesz mi kasę? - To typowe dla ataku na emocjach – dzieci, wypadki, kryzysy.

Ten obszar spoofingu omawiamy dodatkowo w naszym Centrum Pomocy. Aby dowiedzieć się więcej o tym, co to jest scam, zapraszamy do lektury.

Jak się bronić przed spoofingiem?

Walka ze spoofingiem – niezależnie, czy telefonicznym, SMS-owym czy tym z komunikatorów – zaczyna się od wypracowania nawyku weryfikacji informacji. To nie jest przesada, ale codzienna higiena cyfrowa. Autorzy poradników zgodnie powtarzają:

Nie daj się wciągnąć w emocjonalną narrację. Zawsze sprawdź źródło.

Oto kilka zasad:

  1. Zawsze dzwoń do źródła, na które się ktoś powołuje. Jeśli dostajesz SMS od „syna”, „kolegi”, „szpitala” – zadzwoń na znany numer tej osoby. Nawet jeśli ktoś pisze „mój telefon się zepsuł” – to klasyczna pułapka. Prawdziwy znajomy zrozumie, że chcesz się upewnić.
  2. Nie klikaj w linki z nieznanych wiadomości. Dotyczy to SMS-ów, e-maili i WhatsAppa. Nawet jeśli wygląda to jak wiadomość z banku, kuriera czy urzędu – sprawdź oficjalną stronę lub zadzwoń na infolinię. Pamiętaj, dlaczego wiadomości trafiają do spamu – to pomoże Ci rozpoznać podejrzane komunikaty.
  3. Bank nie prosi o hasła, PIN-y, kody z aplikacji przez telefon. Jeśli ktoś dzwoni i twierdzi, że jest z banku, a potem żąda kodów – to spoofing, nie bank. Prawdziwy bank może zapytać, czy masz np. konto oszczędnościowe albo czy pamiętasz swój login – ale nigdy nie poprosi o dane do logowania.
  4. Nie oddzwaniaj automatycznie na numer z podejrzanej wiadomości. Czasami samo oddzwonienie aktywuje scenariusz ataku – przestępcy wtedy wiedzą, że numer jest „żywy”. Możesz dostać kolejne wiadomości.
  5. Włącz filtr antyspamowy w telefonie i komunikatorach. Systemy Android i iOS oferują domyślne filtry połączeń i SMS-ów. Możesz też zgłaszać niechciane wiadomości jako spam. Jeśli korzystasz z DirectAdmin, warto wiedzieć, jak skonfigurować filtr antyspam DirectAdmin oraz jak wygląda konfiguracja antyspam SpamAssassin w DirectAdmin.

Co zrobić, jeśli dałeś się oszukać na spoofing?

Jeśli już kliknąłeś, podałeś dane lub wysłałeś pieniądze – działaj natychmiast. Z dokumentów wynika jasno:

Czas reakcji ma kluczowe znaczenie – liczy się każda minuta.

Lista 5 kroków, które powinieneś podjąć:

  1. Skontaktuj się ze swoim bankiem lub operatorem. Zablokuj karty, konta lub numery, jeśli podejrzewasz, że zostały użyte.
  2. Zgłoś sprawę na policję lub do CERT Polska (https://cert.pl). Możesz też zgłosić podejrzaną stronę lub SMS na stronie https://incydent.cert.pl. Pamiętaj, dlaczego poczta wysłana z serwera trafia do spamu – to ważne dla szybkiej reakcji na incydenty.
  3. Zmień hasła do wszystkich kont powiązanych z incydentem. Zwłaszcza, jeśli używałeś tych samych haseł w różnych miejscach.
  4. Powiadom bliskich. Oszuści często kontaktują się z osobami z Twojego otoczenia. Przekaż im ostrzeżenie, zanim staną się kolejnym celem.
  5. Zainstaluj oprogramowanie antywirusowe i przeskanuj telefon. Szczególnie jeśli kliknąłeś link lub pobrałeś załącznik – mogło dojść do infekcji urządzenia. Regularne skanowanie pomoże w ochronie przed zagrożeniami. Jeśli chcesz lepiej zrozumieć różnicę między spamem a scamem, przeczytaj co to jest spam.

Jak widzisz, Spoofing bazuje na zaufaniu i pośpiechu – czyli na Twojej reakcji emocjonalnej. Gdy przestaniesz działać odruchowo i zaczniesz myśleć analitycznie – zyskasz przewagę. 

Pamiętaj. Zaufanie to luksus. Sprawdzenie to nawyk.

Czy udało Ci się rozwiązać problem?
Nie znalazłeś odpowiedzi na swoje pytanie?