Klienci czołowych banków pozbawieni środków do życia. Konta wyczyszczone z pieniędzy

3 godzin temu

Wiadomość wygląda jak każda inna od banku. Oficjalna nazwa nadawcy, znajome logo, zrozumiały komunikat – zostały ci 2 dni na weryfikację konta, bo inaczej zostanie zablokowane. W czasach dyrektywy AML, gdzie podobnych wiadomości dostajemy mnóstwo, nie budzi to naszych podejrzeń. Klikasz w link, logujesz się, wpisujesz kod SMS. Kilka minut później twoje konto jest puste. CERT Orange Polska wykrył i opisał ten schemat szczegółowo – a eksperci alarmują, iż w 2026 roku takich prób będzie więcej i będą coraz trudniejsze do rozpoznania.

Zdjęcie poglądowe. Fot. Shutterstock

1,8 miliona fałszywych SMS-ów w jednym roku

Skala zjawiska jest oszałamiająca. Według danych Ministerstwa Cyfryzacji do początku grudnia 2025 roku w Polsce zarejestrowano ponad 222 tysiące incydentów cyberbezpieczeństwa – dwukrotnie więcej niż rok wcześniej. Tylko w ciągu pierwszych 11 miesięcy 2025 roku CERT Polska zablokował ponad 1,8 miliona podejrzanych wiadomości SMS wykorzystywanych w kampaniach phishingowych. W samym wrześniu 2025 roku do CERT wpłynęło ponad 57 tysięcy zgłoszeń – z czego niemal 26 tysięcy zakwalifikowano jako rzeczywiste incydenty bezpieczeństwa. Według analiz CERT Polska z 2025 roku aż 98% wszystkich incydentów to oszustwa komputerowe oparte na manipulacji, a nie na technicznym włamaniu do systemów.

Przestępcy nie hakują banków. Hakują ludzi.

Rok 2024 przyniósł ponad 600 tysięcy zgłoszeń do CERT Polska – o 62% więcej niż w 2023 roku. Zarejestrowano wówczas 40 120 przypadków phishingu. Prognozy na 2026 rok nie są optymistyczne: eksperci z serwisu ChronPESEL.pl oceniają, iż liczba prób wyłudzeń będzie dalej rosnąć, a ich wiarygodność – za sprawą narzędzi opartych na sztucznej inteligencji – będzie wyższa niż kiedykolwiek.

Schemat, który wygląda jak prawdziwy przelew z banku

CERT Orange Polska wykrył i opisał konkretną kampanię phishingową wymierzoną w klientów polskich banków. Mechanizm jest precyzyjnie zaprojektowany pod kątem psychologii – nie techniki.

Ofiara dostaje SMS z oficjalnie wyglądającą nazwą banku w polu nadawcy. Treść wiadomości jest alarmująca: konto lub dostęp do aplikacji mobilnej wygaśnie za 1-2 dni. Żeby temu zapobiec, trzeba kliknąć w link i przejść „weryfikację”. CERT Orange opublikował przechwycone przykłady takich wiadomości:

  • „[ALIOR BANK] Twoje Alior-Mobile kontó wygaśa dnia 17\09\2024, uk oncz weryfikację aby uniknąć źáblokowania konta. Link z instrukcja weryfikacji: hxxps://alior.016945[.]com”
  • „BNP Twoja rejestracja mobilna wygasa16.09.24. odblokuj tutaj hxxps://bnp.044008[.]com”
  • „[SANTANDER] Twoje Santánder-Mobile kontó wygasa dnía, 16\09\2024, Ukóncz weryfíkacje aby uníknac zàblokowaníá konta. Link z instrukcjá wéryfíkacji: SnataBiombile[.]com”
  • „PEKAO Rejestracja Peopay-Mobile wygasa 13.10.24. zapobiec blokowaniu: hxxps://peopeka024[.]com/l/logowanie/e”

W oszukańczej kampanii pojawiły się nazwy Alior Banku, BNP Paribas, Santandera i Pekao. Według CERT Orange klienci pozostałych banków również powinni zachować czujność – schemat działa identycznie niezależnie od podszywania się pod konkretną instytucję.

Screen przedstawiający wiadomość SMS od oszustów. Fot. Warszawa w Pigułce.

Ogonki w złym miejscu i błędy, które mają cel

Na pierwszy rzut oka SMS wygląda wiarygodnie. Przy uważniejszej lekturze widać jednak szczegóły, które powinny wzbudzić natychmiastowy alarm.

  • Dziwne znaki diakrytyczne w środku słów – „kontó”, „wygaśa”, „weryfíkacje”, „Santánder” z akcentem. To nie są literówki ani błędy tłumaczenia. To celowy zabieg techniczny: filtry operatorów telekomunikacyjnych skanują wiadomości pod kątem znanych wzorców phishingowych. Zastąpienie standardowych liter znakami z innych języków (np. litera „á” zamiast „a”) pozwala oszustom ominąć automatyczne blokady – wiadomość przechodzi przez system, bo nie pasuje do żadnego zarejestrowanego wzorca.
  • Fałszywe domeny, które na pierwszy rzut oka wyglądają jak oficjalne strony banków: alior.016945[.]com, bnp.044008[.]com, SnataBiombile[.]com. Żadna z tych domen nie należy do żadnego banku. Prawdziwa strona Alior Banku to aliorbank.pl, BNP Paribas – bnpparibas.pl. Jakikolwiek adres niezgodny z tym wzorcem to fałszywa strona.
  • Poczucie pilności – termin zawsze krótki: jutro, pojutrze, za 2 dni. To klasyczna technika wywierania presji, znana z psychologii perswazji. Człowiek postawiony w sytuacji „zdecyduj teraz albo stracisz coś ważnego” działa szybciej i mniej refleksyjnie. Banki w swoich komunikatach nigdy nie działają w takim trybie pilności.

Co się dzieje po kliknięciu w link

Strona, na którą trafia ofiara, jest zwykle wierną kopią oficjalnej strony logowania banku. Identyczne kolory, logo, układ formularza. Różni się tylko jeden element: adres w pasku przeglądarki, jeżeli ktoś go sprawdzi.

Ofiara wpisuje login i hasło. Strona wyświetla informację, iż wymagana jest „weryfikacja kodem SMS”, który zaraz przyjdzie. I tu następuje krytyczny moment – bo kod SMS, który wysyła prawdziwy bank, to jednorazowe potwierdzenie konkretnej transakcji, nie „weryfikacji tożsamości”. Ofiara wpisuje kod i tym samym autoryzuje przelew – nie wiedząc, iż właśnie wysłała własne pieniądze do oszusta.

Jak wyjaśnia Orange na podstawie analizy kampanii BNP Paribas: po zebraniu loginu i hasła fałszywa strona prosi o kolejne dane – te, o które na etapie logowania banki nigdy nie pytają. Celem jest zebranie kompletu informacji potrzebnych do połączenia aplikacji mobilnej po stronie przestępców. Dysponując loginem, hasłem i kodem autoryzacyjnym, mogą przeprowadzić dowolną transakcję finansową w imieniu ofiary.

Zorganizowane grupy, nie samotni hakerzy

Za większością tych kampanii nie stoją pojedyncze osoby przy domowym komputerze. To zorganizowane grupy przestępcze, działające w sposób masowy i zautomatyzowany. Kupują bazy telefonów, uruchamiają automatyczne rozsyłanie SMS-ów w tysiącach egzemplarzy, monitorują w czasie rzeczywistym, kto kliknął w link, i od razu podejmują działania na koncie ofiary.

Koszt przeprowadzenia takiego ataku spada z roku na rok – narzędzia do generowania fałszywych stron, rozsyłania wiadomości i omijania filtrów są dostępne na czarnym rynku za ułamek potencjalnych zysków. To sprawia, iż ataki stają się coraz bardziej opłacalne choćby przy niskiej skuteczności – wystarczy, iż na tysiąc wysłanych SMS-ów jedna osoba kliknie i straci pieniądze.

W 2026 roku do klasycznych SMS-ów i e-maili dochodzi nowa warstwa: sztuczna inteligencja. Spoofing numerów telefonów – czyli wyświetlanie dowolnego numeru jako nadawca połączenia – sprawia, iż telefon od „pracownika banku” może wyglądać jak połączenie z oficjalnego numeru infolinii. Deepfake głosowy pozwala wygenerować nagranie brzmiące jak prawdziwy człowiek. Granica między autentycznym kontaktem a próbą wyłudzenia jest dziś węższa niż kiedykolwiek.

Kto pada ofiarą najczęściej

Wbrew stereotypowi, ofiarami phishingu nie są wyłącznie osoby starsze i mniej obeznane z technologią. CERT Polska dokumentuje przypadki, w których na fałszywe wiadomości nabierają się osoby w każdym wieku – bo schemat nie wymaga, żeby ofiara była nieostrożna. Wymaga tylko chwili nieuwagi: wiadomość przychodzi w złym momencie, człowiek jest zmęczony, zajęty, zdenerwowany – i klika zanim zdąży się zastanowić.

Jednocześnie dane potwierdzają, iż seniorzy są nieproporcjonalnie często celem ataków – co piąty senior padł ofiarą kradzieży lub próby wyłudzenia danych, wynika z badania wGospodarce.pl z początku 2026 roku. Przestępcy wiedzą, iż osoby starsze mogą mieć wyższe salda na kontach i mniejszą rutynę w rozpoznawaniu fałszywych wiadomości. Jednocześnie coraz częściej atakowani są też aktywni użytkownicy bankowości mobilnej w każdym wieku – bo to właśnie ich konta dają największe możliwości szybkiego działania po przejęciu dostępu.

Jak rozpoznać fałszywą wiadomość – konkretna checklista

Banki nigdy nie wysyłają SMS-ów z informacją o wygasaniu konta lub aplikacji mobilnej i nigdy nie proszą przez SMS o weryfikację danych przez kliknięcie w link. Każda taka wiadomość jest fałszywa – bez wyjątku. Żaden bank nie ma mechanizmu „wygasania konta”, który wymagałby pilnej reakcji w ciągu 48 godzin.

Poza tym zasadą – kilka szczegółów technicznych, które warto sprawdzić:

  • Adres domeny po kliknięciu. Zanim cokolwiek wpiszesz, sprawdź pasek adresu przeglądarki. Oficjalne strony polskich banków to: aliorbank.pl, bnpparibas.pl, santander.pl, pekao.com.pl, pko.pl, mbank.pl, ing.pl. Cokolwiek innego – choćby jeżeli wygląda podobnie – jest fałszywe.
  • Znaki diakrytyczne w nazwie banku. „Santánder” z obcym akcentem, „Pekáo”, „Alíor” – to natychmiastowy sygnał, iż SMS jest fałszywy. Prawdziwy komunikat banku nie zawiera takich błędów.
  • Numer nadawcy. Warto go sprawdzić, ale sam w sobie nie jest dowodem autentyczności – przestępcy potrafią fałszować wyświetlany numer (spoofing). Brak rozpoznawalnego numeru to sygnał alarmowy, ale obecność znajomego numeru nie gwarantuje, iż wiadomość jest prawdziwa.
  • Co autoryzujesz kodem SMS. Kod SMS od banku zawsze autoryzuje konkretną operację finansową, a jej szczegóły (kwota, numer rachunku odbiorcy) powinny być zawarte w treści wiadomości z kodem. jeżeli SMS z kodem nie zawiera żadnych danych transakcji – nie wpisuj tego kodu nigdzie.

Co robić, gdy coś wzbudza wątpliwości

  • Nie klikaj, nie odpisuj, nie dzwoń na numer podany w SMS-ie. jeżeli masz wątpliwości, czy wiadomość jest prawdziwa – zadzwoń na infolinię banku pod numer znaleziony samodzielnie na oficjalnej stronie lub odwrocie karty płatniczej. Nigdy pod numer podany w podejrzanej wiadomości.
  • Zgłoś podejrzany SMS do CERT Polska. Numer do zgłoszeń smishingu to 8080 – można na niego przesłać podejrzaną wiadomość bezpłatnie z każdej sieci. Można też zgłosić incydent przez formularz na stronie incydent.cert.pl. Każde zgłoszenie pomaga budować wzorce, na podstawie których CERT blokuje kolejne wiadomości – w 2025 roku ta metoda pozwoliła zablokować 1,5 miliona fałszywych SMS-ów.
  • Jeśli już kliknąłeś i wpisałeś dane – działaj natychmiast. Zadzwoń na infolinię banku i poinformuj o incydencie. Bank może zablokować konto i transakcje, zanim pieniądze opuszczą rachunek. Czas ma tu najważniejsze znaczenie – przestępcy działają automatycznie i błyskawicznie po uzyskaniu danych.
  • Włącz powiadomienia push w aplikacji mobilnej banku. Każda transakcja z konta będzie generować natychmiastowe powiadomienie – choćby jeżeli nie jesteś przy telefonie, zobaczysz je w ciągu kilku minut. To najszybsza metoda wykrycia nieautoryzowanego przelewu.
  • Sprawdź ustawienia limitu transakcji. Większość banków pozwala ustawić dzienny limit przelewów wychodzących. Niski limit nie uchroni przed phishingiem, ale ograniczy potencjalne straty do kwoty, którą masz ustawioną – złodziej nie przeleje więcej, niż mu pozwalasz.
Idź do oryginalnego materiału
  1. Strona główna
  2. Policja pozostałe
  3. Klienci czołowych banków pozbawieni środków do życia. Konta wyczyszczone z pieniędzy

Powiązane

Afgańczyk aresztowany przez ICE. W przeszłości pomagał Amerykanom

Afgańczyk aresztowany przez ICE. W przeszłości pomagał Amery...

1 godzina temu
Policjant z powiatu nowotomyskiego uratował życie seniorki w Wolsztynie

Policjant z powiatu nowotomyskiego uratował życie seniorki w...

1 godzina temu
Seniorzy uczą się, jak nie dać się oszukać. Trwa cykl spotkań o cyberbezpieczeństwie w Chełmie

Seniorzy uczą się, jak nie dać się oszukać. Trwa cykl spotka...

1 godzina temu
22 tysiące za uprzątnięcie wysypiska opon

22 tysiące za uprzątnięcie wysypiska opon

1 godzina temu
Jest akt oskarżenia wobec samorządowca. Śledczy zarzucają mu pedofilię

Jest akt oskarżenia wobec samorządowca. Śledczy zarzucają mu...

1 godzina temu
Policyjna obława na Słowacji, padły strzały. Trzej Polacy zatrzymani

Policyjna obława na Słowacji, padły strzały. Trzej Polacy za...

1 godzina temu

Polecane

Radosław Sikorski zapytany o słowa Donalda Trumpa o „bardzo złej” przyszłości NATO

Radosław Sikorski zapytany o słowa Donalda Trumpa o „bardzo ...

1 godzina temu
"Mówi o NATO 'oni', a nie 'my'". Sikorski o Trumpie i narracji o polexicie

"Mówi o NATO 'oni', a nie 'my'". Sikorski o Trumpie i narrac...

1 godzina temu
Czas barbarzyńców

Czas barbarzyńców

1 godzina temu
ZUS: od 12 marca pisma wysłane przez ePUAP nie są już rozpatrywane

ZUS: od 12 marca pisma wysłane przez ePUAP nie są już rozpat...

1 godzina temu
Kontenery nie przypłyną na czas

Kontenery nie przypłyną na czas

1 godzina temu
Niedzielne marsze na Węgrzech. Spór o liczbę uczestników

Niedzielne marsze na Węgrzech. Spór o liczbę uczestników

1 godzina temu

Popularne

POWIAT BOCHEŃSKI. Blisko 7 mln zł dla służb w Powiecie Bocheńskim. Nowy sprzęt już gotowy do akcji [ZDJĘCIA]

POWIAT BOCHEŃSKI. Blisko 7 mln zł dla służb w Powiecie Boche...

6 dni temu 186
Kartki z oskarżeniami o pedofilię rozklejone po całym Lublinie. Eksperci ostrzegają: nie wierz we wszystko co czytasz na słupie

Kartki z oskarżeniami o pedofilię rozklejone po całym Lublin...

5 dni temu 178
Sądecki policjant walczy o tytuł SuperDzielnicowego 2026. Asp. sztab. Paweł Poręba od lat blisko mieszkańców

Sądecki policjant walczy o tytuł SuperDzielnicowego 2026. As...

3 dni temu 170
Dąbrowa Górnicza. Czy śmierdzące ścieki w Strzemieszycach wypuszcza przetwórnia drobiu? Sprawa w prokuraturze

Dąbrowa Górnicza. Czy śmierdzące ścieki w Strzemieszycach wy...

4 dni temu 168
Majątek nowego przywódcy Iranu. Media: Ma nieruchomości w Europie

Majątek nowego przywódcy Iranu. Media: Ma nieruchomości w Eu...

3 dni temu 150
English (US) English (US) · Polish (PL) Polish (PL) · Russian (RU) Russian (RU) ·
Kontakt · Regulamin · O nas ·

© PORZĄDEK 2026. Wszelkie prawa zastrzeżone.