Otwierasz skrzynkę i widzisz pilną wiadomość z banku? W tym tekście poznasz konkretne sposoby, jak sprawdzić, czy to prawdziwy kontakt, czy pułapka. Dowiesz się też, na jakie elementy wiadomości patrzeć jako pierwsze, żeby nie oddać przestępcom swoich pieniędzy i danych.
Co to jest phishing i jak działa?
Phishing to fałszywe wiadomości e-mail, SMS-y lub komunikaty w social media, które podszywają się pod banki, firmy kurierskie, urzędy albo sklepy internetowe. Ich cel jest prosty: wyłudzić od ciebie loginy, hasła, kody PIN, dane kart płatniczych albo skłonić do zainstalowania złośliwego oprogramowania. Atakujący liczą na automatyzm – że klikniesz, zanim zdążysz się zastanowić.
Zespół CSIRT NASK w samym tylko 2019 roku zarejestrował 6484 incydenty, z czego aż 4100 to były ataki typu „fraud”, czyli różne formy oszustw internetowych. Ogromna ich część opiera się właśnie na phishingu, bo to metoda tania, masowa i niestety wciąż skuteczna. Przestępcy wysyłają setki tysięcy wiadomości, a wystarczy, że mały procent odbiorców kliknie w link lub otworzy załącznik.
W takich mailach znajdziesz zwykle informację o konieczności dopłaty do paczki, aktualizacji danych bankowych, opłaceniu rzekomej faktury czy ponowieniu płatności za zamówienie. Link prowadzi wtedy do fałszywej strony logowania albo formularza, który wygląda niemal identycznie jak prawdziwy serwis twojego banku czy operatora płatności.
Phishing a spear‑phishing
Typowy phishing jest masowy. Ta sama treść trafia do tysięcy osób i tylko udaje dopasowanie do ciebie. Inaczej działa spear‑phishing – tu atak jest przygotowany z myślą o konkretnym odbiorcy. Napastnicy analizują profil firmy w social media, dane z LinkedIn, a nawet wcześniejszą korespondencję, żeby napisać wiadomość wyglądającą jak naturalna kontynuacja prawdziwej relacji biznesowej.
W organizacjach spear‑phishing często przyjmuje formę BEC (Business Email Compromise). Oszuści podszywają się pod prezesa lub dyrektora finansowego i wysyłają do pracownika działu księgowości prośbę o pilny przelew, zachowanie „poufności” i natychmiastowe działanie. Treść bywa krótka, konkretna i utrzymana w stylu przełożonego, co znacznie zwiększa szanse powodzenia ataku.
Psychologiczne sztuczki w fałszywych mailach
Wspólny mianownik większości takich wiadomości to inżynieria społeczna. Zamiast łamać zabezpieczenia serwera, przestępca „łamie” człowieka. W mailach pojawiają się groźby zamknięcia konta, utraty paczki, nieopłaconej faktury, a z drugiej strony – obietnice wygranej, zwrotu środków czy dużej zniżki. Wszystko po to, żebyś zareagował impulsywnie.
Większość legalnych instytucji nie grozi sankcjami finansowymi ani blokadą usług wyłącznie w treści wiadomości e-mail, zwłaszcza jeśli żąda jednocześnie kliknięcia w link czy podania haseł.
Coraz częściej phishing łączy się też z innymi kanałami – SMS, komunikatory, a nawet telefoniczny vishing, gdzie ktoś, kto podszywa się pod pracownika banku, „potwierdza” wcześniej wysłanego maila. W takiej kombinacji presja rośnie, a pole manewru odbiorcy maleje.
Jak krok po kroku rozpoznać fałszywego maila?
Rozpoznanie oszustwa rzadko opiera się na jednym sygnale. Bezpieczniej jest potraktować każdą podejrzaną wiadomość jak układankę i przeanalizować kilka elementów naraz: nadawcę, powitanie, treść, linki i załączniki.
Jak sprawdzić nadawcę i domenę?
Pierwszy krok to zawsze spojrzenie na adres e‑mail nadawcy, a nie tylko jego nazwę wyświetlaną. Pole „Od:” może zawierać opis typu „Biuro Obsługi Klienta Banku X”, ale prawdziwą wartość ma to, co znajduje się po znaku @. Bank mBank nie wyśle do ciebie wiadomości z adresu w stylu kontakt@mbanlk.pl albo [email protected].
Oszuści chętnie stosują typosquatting, czyli rejestrują domeny łudząco podobne do prawdziwych: gooogle.com zamiast google.com, horne.pl zamiast home.pl, paypal-secure-login.com zamiast paypal.com. Różnica bywa jedna litera albo dodatkowe słowo przed lub po nazwie firmy, dlatego warto dokładnie przeczytać cały adres, a nie tylko jego początek.
W podejrzanych przypadkach możesz też zwrócić uwagę na adres „Reply‑To” w nagłówku wiadomości. Jeśli mail wygląda na wysłany z banku, a odpowiedzi mają iść na darmową skrzynkę typu [email protected], to wyraźny sygnał ostrzegawczy.
Na co patrzeć w powitaniu i treści?
Banki, operatorzy płatności czy duże platformy sprzedażowe, takie jak Allegro, zazwyczaj zwracają się do klientów imieniem i nazwiskiem. Zwrot „Szanowny Kliencie”, „Witaj Użytkowniku” albo samo twoje imię w formie nieodmienionej połączone z adresem e‑mail zamiast nazwiska to sygnał, że nadawca może nie mieć o tobie żadnych rzeczywistych danych.
W treści fałszywych maili często widać błędy językowe, nietypowe sformułowania, dziwne szyki zdań czy literówki. Wiele wiadomości jest tłumaczonych automatycznie, a przestępcy liczą, że zadziała u ciebie strach, a nie dbałość o gramatykę. Z drugiej strony – coraz częściej widzimy maile napisane poprawną polszczyzną, więc brak błędów nie gwarantuje bezpieczeństwa.
Charakterystyczna jest też atmosfera pośpiechu. W treści pojawiają się sformułowania „natychmiast”, „ostatnie ostrzeżenie”, „brak reakcji spowoduje blokadę”, czasem nawet groźby komornika czy naliczenia karnych odsetek. To presja, która ma wyłączyć twoje krytyczne myślenie.
Jak sprawdzić linki w wiadomości?
Link w mailu sam w sobie nie jest niczym złym. Problem zaczyna się wtedy, gdy ma prowadzić do logowania, podania danych kartowych albo opłacenia faktury. Zanim klikniesz, zatrzymaj kursor na odnośniku i sprawdź rzeczywisty URL, który pokaże się w oknie przeglądarki lub na dole klienta pocztowego.
Oszuści często maskują link tak, żeby tekst wyglądał niewinnie, np. „www.twojbank.pl”, a adres docelowy to „scam‑site.com/login”. Na telefonie przytrzymaj palec na odnośniku, aż pojawi się okienko z podglądem adresu. Jeśli coś cię w nim niepokoi, nie klikaj – bezpieczniej jest samodzielnie wpisać nazwę instytucji w przeglądarce i zalogować się ze znanego ci adresu.
Zwróć uwagę na początek adresu. Strony do wprowadzania danych muszą korzystać z https i mieć ikonę kłódki, co oznacza szyfrowane połączenie. Brak https w przypadku logowania do banku to nie tylko sygnał phishingu, ale przede wszystkim ogromne ryzyko przechwycenia twoich danych. Jednocześnie samo https nie daje stuprocentowej gwarancji – cyberprzestępcy też potrafią wystawić certyfikat dla fałszywej domeny.
Czy można bezpiecznie otwierać załączniki?
Załączniki w phishingu to częsty sposób na przemycenie wirusów i trojanów. Fałszywa faktura, skan przesyłki czy potwierdzenie płatności może w rzeczywistości być plikiem .exe, .scr, .bat albo archiwum .zip z ukrytym złośliwym programem. Po uruchomieniu taki plik potrafi przejąć twoją przeglądarkę, doinstalować keylogger albo zaszyfrować dysk.
Przy nieoczekiwanym załączniku działaj jak informatyk w firmie – z założenia nie ufaj. Jeśli nie spodziewasz się dokumentu od danej osoby czy instytucji, nie otwieraj pliku, dopóki nie zweryfikujesz nadawcy innym kanałem, np. telefonicznie. Nawet dokumenty PDF czy Word mogą mieć szkodliwe makra, więc sama nazwa rozszerzenia nie wystarczy.
Dodatkową warstwą ochrony jest aktualne oprogramowanie antywirusowe z włączonymi filtrami antyspamowymi. Taki program potrafi zeskanować załącznik jeszcze przed pobraniem albo otworzyć go w odizolowanym, bezpiecznym środowisku, gdzie potencjalny malware nie zaszkodzi systemowi.
Jak fałszowany jest adres e‑mail nadawcy?
Gdy już wiesz, że nazwa wyświetlana bywa myląca, czas przyjrzeć się samej konstrukcji adresu. Przestępcy inwestują sporo energii w tworzenie adresów, które „na pierwszy rzut oka” wyglądają poprawnie. Często wystarczy chwila uważnego czytania, żeby zauważyć błąd.
Imitowanie i modyfikowanie domen
Jedną z najprostszych sztuczek jest zamiana lub przestawienie znaków w nazwie domeny. Zamiast linkedin.com pojawia się linkedln.com, zamiast home.pl – horne.pl. Różnica to jedna litera lub podobny znak, a w pośpiechu łatwo ją przeoczyć, szczególnie na małych ekranach smartfonów.
Inny wariant to tworzenie domen zawierających nazwę znanej firmy, ale z dodatkami, np. bok‑home.pl, paypal‑secure‑center.com, logging‑mbank.pl. Wiele osób widząc znaną nazwę w środku, podświadomie zakłada, że chodzi o prawdziwą domenę, choć w rzeczywistości jest to zupełnie inny adres kontrolowany przez napastników.
Subdomeny i sztuczka Unicode
Dość myląca jest gra subdomenami. Adres w stylu paypal.secure‑login.com nie należy do PayPal, bo prawdziwą domeną jest tu secure‑login.com, a „paypal” to tylko subdomena. To częsta technika stosowana w masowych kampaniach – logo i wygląd strony są skopiowane, a jedyna różnica tkwi właśnie w domenie głównej.
Bardziej zaawansowaną metodą jest użycie znaków Unicode, np. liter z cyrylicy, które wyglądają jak łacińskie. Adres аpple.com może zawierać cyrylickie „a”, które wizualnie niczym nie różni się od zwykłej litery. W razie wątpliwości taki adres możesz skopiować do narzędzia sprawdzającego znaki Unicode i zobaczyć, czy kryją się w nim nietypowe symbole.
Jak samodzielnie zweryfikować domenę nadawcy?
Jeśli wiadomość dotyczy pieniędzy, podpisania umowy czy danych osobowych, możesz zrobić małe „śledztwo”. Warto skorzystać z wyszukiwania WHOIS, które pokaże, kto i kiedy zarejestrował domenę. Świeżo utworzona domena, ukryty właściciel i brak jakichkolwiek informacji kontaktowych to bardzo niepokojący zestaw.
Dodatkowo możesz sprawdzić, czy adres e‑mail nadawcy pojawia się na stronie firmowej, w wizytówkach pracowników na LinkedIn albo w oficjalnych materiałach. Jeśli ktoś podaje się za dział finansowy, a w sieci nie ma po nim śladu, traktuj tę korespondencję jak podejrzaną, dopóki nie udowodnisz, że jest inaczej.
Jak wykorzystać techniczne metody weryfikacji?
Oprócz „zdrowego rozsądku” i ręcznego sprawdzania nadawcy masz do dyspozycji szereg mechanizmów technicznych. Nie zastąpią one ostrożności, ale mogą pomóc w ocenie, czy wiadomość rzeczywiście pochodzi z domeny, za którą się podaje.
SPF, DKIM i DMARC – co znaczą te skróty?
Protokół SPF (Sender Policy Framework) określa, które serwery mogą wysyłać pocztę w imieniu danej domeny. Jeśli mail rzekomo z banku przychodzi z serwera spoza listy, poprawnie skonfigurowany system pocztowy potraktuje go podejrzliwie lub odrzuci.
DKIM (DomainKeys Identified Mail) to cyfrowy podpis dołączony do wiadomości. Umożliwia odbiorcy sprawdzenie, czy treść maila nie została zmieniona w drodze i czy rzeczywiście wyszła z domeny, którą widzisz w nagłówku. Na tym z kolei opiera się polityka DMARC, która mówi, co zrobić z mailami, które nie przejdą kontroli SPF lub DKIM.
Duże organizacje, takie jak Google, Apple czy Microsoft, zwykle mają poprawnie skonfigurowane wszystkie trzy mechanizmy. Jeśli w nagłówku wiadomości od „banku” widzisz brak SPF albo odrzucone DKIM, to bardzo poważny powód, żeby nie ufać takiej korespondencji, nawet jeśli grafika i język wyglądają profesjonalnie.
Gdzie to zobaczyć w popularnych klientach poczty?
W Gmailu możesz rozwinąć szczegóły wiadomości i sprawdzić pola „wysłane przez” oraz „podpisane przez”. Kliknięcie „Pokaż oryginał” pokaże też surowe nagłówki, gdzie widać wyniki kontroli SPF i DKIM. Outlook z kolei często oznacza podpisane wiadomości ikoną wstążki, którą można kliknąć dla szczegółów certyfikatu.
Nawet jeśli wszystkie testy przejdą pomyślnie, nie oznacza to automatycznie, że mail jest bezpieczny. Oznacza jedynie, że faktycznie został wysłany z danej domeny. Przestępcy potrafią zarejestrować nową, fałszywą domenę, poprawnie ustawić SPF, DKIM i DMARC, a potem wysyłać z niej przekonujące oszustwa.
| Mechanizm | Do czego służy | Co zauważy użytkownik |
| SPF | Lista serwerów uprawnionych do wysyłania poczty dla domeny | Mniej maili „podszywających się” pod znane domeny |
| DKIM | Podpis cyfrowy potwierdzający integralność wiadomości | W niektórych klientach informacja „podpisane przez domenę…” |
| DMARC | Polityka, co robić z mailami niezgodnymi z SPF/DKIM | Lepsze filtrowanie spamu i raporty o nadużyciach domeny |
Jak reagować na podejrzany e‑mail?
Nawet najlepiej skonfigurowane filtry nie wyłapią wszystkiego. Ostatnią linią obrony jesteś zawsze ty, twoje nawyki i twoja czujność. Warto mieć kilka prostych zasad, do których wracasz za każdym razem, gdy widzisz pilną lub nietypową wiadomość.
Jak zachować spokój i nie dać się sprowokować?
Silne emocje są paliwem phishingu. Jeżeli czytasz maila i czujesz rosnący niepokój, złość lub ekscytację wizją „łatwych pieniędzy”, przerwij na moment. Zrób krótką przerwę, przełącz się na inne zadanie i wróć do wiadomości z dystansem. W większości prawdziwych spraw finansowych masz co najmniej kilka dni na reakcję.
W sytuacjach naprawdę krytycznych instytucje łączą kanały: oprócz e‑maila dostaniesz zwykle SMS, powiadomienie w aplikacji albo list. Groźby natychmiastowej egzekucji, blokady konta czy odcięcia usługi tylko na podstawie jednego maila bez wcześniejszych prób kontaktu to typowy znak działania oszustów.
Jak bezpiecznie zweryfikować podejrzaną wiadomość?
Zamiast odpowiadać na maila lub klikać w link, lepiej samodzielnie skontaktować się z instytucją. Wejdź na oficjalną stronę banku, operatora czy sklepu, korzystając z zakładki w przeglądarce lub wyszukiwarki, a następnie zaloguj się tak, jak robisz to zwykle. Jeśli coś jest faktycznie nie tak z twoim kontem, odpowiednia informacja pojawi się po zalogowaniu.
W relacjach firmowych dobrą praktyką jest także potwierdzenie zlecenia przelewu czy zmiany danych drugim kanałem, np. telefonem do osoby, która rzekomo wysłała prośbę. Krótkie „Czy na pewno wysłałeś mi tego maila z przelewem na 50 000 zł?” potrafi uratować bardzo duże kwoty.
Jeśli chcesz dodatkowo uporządkować codzienne działania, możesz trzymać się prostych reguł dotyczących nowych wiadomości finansowych i „urzędowych”:
- nie podawaj haseł, PIN‑ów ani kodów autoryzacyjnych w odpowiedzi na e‑mail,
- nie klikaj w linki prowadzące do logowania – wpisuj adres ręcznie,
- nie otwieraj załączników od nadawców, których nie znasz lub się nie spodziewasz,
- nie podejmuj decyzji finansowych „od razu” tylko dlatego, że mail tak sugeruje.
Żaden poważny bank ani dostawca usług nie prosi klientów o podanie haseł czy pełnych danych karty płatniczej w treści wiadomości e‑mail ani przez link przesłany w mailu.
Na koniec warto dodać proste wsparcie techniczne: aktualny system, regularnie uaktualniany program antywirusowy z filtrami antyspamowymi oraz okresowe sprawdzanie, czy twój adres nie pojawił się w publicznych wyciekach danych, np. przez serwisy typu Have I Been Pwned. To niewielki nakład pracy, który realnie zmniejsza szanse, że kolejny podejrzany mail zaskoczy cię w najmniej wygodnym momencie.
