Strona główna
Jak sprawdzić, czy SMS, e-mail lub telefon od banku jest fałszywy?

Jak sprawdzić, czy SMS, e-mail lub telefon od banku jest fałszywy?

3 marca 2026 Uncategorized Brak komentarzy

Najważniejsze informacje w skrócie:

  • Jak sprawdzić, czy SMS, e-mail lub telefon od banku jest fałszywy? Oceniasz cztery elementy: treść, presję czasu, żądanie działania oraz sposób weryfikacji. Sprawę sprawdzasz wyłącznie poza podejrzaną wiadomością, najlepiej w aplikacji banku albo przez numer z oficjalnej strony.
  • Najmocniejsze sygnały ostrzegawcze: link do logowania, prośba o kod BLIK, kod SMS, pełne dane karty, login, hasło, PIN albo instalację programu do zdalnej obsługi urządzenia.
  • Sam numer telefonu nie potwierdza tożsamości rozmówcy. Oszuści stosują spoofing, więc na ekranie może pojawić się nazwa lub numer banku, mimo że dzwoni przestępca.
  • Co zrobić od razu? Nie klikasz, nie oddzwaniasz z historii połączeń, nie dyktujesz danych i niczego nie zatwierdzasz. Podejrzany SMS przesyłasz na 8080, a stronę lub e-mail zgłaszasz przez incydent.cert.pl.

Fałszywy kontakt od „banku” rozpoznasz zwykle po tym, że wymusza szybkie działanie, prowadzi do kliknięcia w link albo próbuje skłonić Cię do podania danych lub zatwierdzenia operacji. Najbezpieczniejsza zasada brzmi prosto: nie korzystasz z linku, nie wierzysz samemu numerowi telefonu i każdą sprawę sprawdzasz samodzielnie, poza wiadomością.

To nie jest drobiazg techniczny, tylko podstawowa procedura bezpieczeństwa. W styczniu 2026 r. CERT Polska odnotował 16,6 tys. zgłoszeń podejrzanych SMS-ów, czyli średnio około 535 zgłoszeń dziennie. Oszustwa nadal działają, bo uderzają w pośpiech, stres i zaufanie do nazwy banku, logo albo numeru wyświetlanego na ekranie.

Jakie fałszywe wiadomości i telefony najczęściej podszywają się pod bank?

Kanał kontaktuTypowy pretekstNajczęstszy cel oszustaCo robiszNajwiększe ryzyko
SMSblokada konta, dopłata do przesyłki, wygasanie dostępu, podejrzana transakcjakliknięcie w link i wpisanie danych albo pobranie złośliwego plikunie klikasz, sprawdzasz sprawę w aplikacji banku, SMS przesyłasz na 8080przejęcie logowania i środków
E-mailaktualizacja danych, blokada karty, potwierdzenie operacji, dokument PDFwyłudzenie danych lub uruchomienie złośliwego załącznikanie otwierasz linków ani załączników, zgłaszasz incydent przez incydent.cert.plkradzież danych i infekcja urządzenia
Telefonzagrożone środki, bezpieczny rachunek, weryfikacja klienta, instalacja aplikacjinakłonienie do przelewu, podania kodu albo oddania zdalnego dostępurozłączasz się i sam kontaktujesz się z bankiem oficjalnym kanałemautoryzacja przelewu dla oszusta

Praktyczna zasada: im większa presja i im szybsza prośba o działanie, tym wyższe ryzyko oszustwa.

Jak rozpoznać oszustwo na SMS z banku, zanim stracisz pieniądze?

Fałszywy SMS zwykle zawiera link, wzbudza niepokój i pcha Cię do natychmiastowego działania.

Najczęstsze preteksty to blokada konta, dopłata, weryfikacja danych, nowa wersja aplikacji albo podejrzana płatność. Taki SMS bywa wiarygodny, bo potrafi trafić do istniejącego wątku wiadomości. To nadal nie jest dowód autentyczności. O bezpieczeństwie nie decyduje wygląd wiadomości, tylko to, czego od Ciebie żąda.

  • Link skrócony albo nietypowy adres oznacza wysoki poziom ryzyka.
  • Presja czasu, na przykład „działaj w 10 minut”, ma wyłączyć ostrożność.
  • Prośba o logowanie po kliknięciu to klasyczny schemat smishingu.
  • Komunikat o zagrożeniu środków połączony z linkiem do potwierdzenia danych jest szczególnie niebezpieczny.
Nie logujesz się do bankowości przez link z SMS-a. Sprawę sprawdzasz wyłącznie w aplikacji banku albo po ręcznym wpisaniu oficjalnego adresu strony.
Przykład SMS-aOcenaCo robisz
„Twoje konto zostanie zablokowane. Zaloguj się tutaj”bardzo wysokie ryzykonie klikasz, otwierasz aplikację banku samodzielnie
„Podejrzana transakcja. Potwierdź dane, aby anulować operację”bardzo wysokie ryzykonie odpowiadasz, kontaktujesz się z bankiem oficjalnym kanałem

Powrót na górę

Po jakich sygnałach widać, że mail od banku jest próbą wyłudzenia danych?

Fałszywy e-mail zdradza się nie tylko adresem nadawcy, ale także linkiem, załącznikiem i żądaniem pilnej reakcji.

Sam wygląd wiadomości niczego nie przesądza. Logo, kolory, stopkę i język banku da się skopiować. Coraz częściej oszukańczy e-mail wygląda poprawnie językowo, więc brak literówek nie oznacza autentyczności. Liczy się to, czy wiadomość prowadzi Cię do kliknięcia, logowania albo pobrania pliku.

  • Adres nadawcy różni się od oficjalnej domeny banku albo wygląda podobnie tylko na pierwszy rzut oka.
  • Załącznik PDF, ZIP, HTML albo plik instalacyjny ma uruchomić kolejny etap oszustwa.
  • Przycisk „potwierdź” lub „zaktualizuj dane” prowadzi do strony, która podszywa się pod bankowość.
  • Treść wymuszająca reakcję ma skłonić Cię do działania bez spokojnej weryfikacji.

Najprostszy test jest bardzo skuteczny: nie korzystasz z linku ani załącznika z e-maila. Jeżeli sprawa wydaje się prawdziwa, logujesz się osobno, przez aplikację albo po ręcznym wpisaniu adresu banku.

E-mail z informacją o blokadzie karty lub rachunku nie powinien kierować Cię do logowania przez link z wiadomości. Taki mechanizm traktujesz jako sygnał alarmowy.

Powrót na górę

Czy numer telefonu wyświetlony jako bank oznacza, że dzwoni prawdziwy konsultant?

Nie, numer widoczny na ekranie nie daje pewności, że rozmawiasz z bankiem, bo przestępcy stosują spoofing.

Spoofing polega na podszyciu się pod numer telefonu instytucji. Na ekranie widzisz nazwę banku albo znany numer, a po drugiej stronie jest oszust. Z tego powodu rozmowy nie oceniasz po numerze, tylko po treści, tonie presji i tym, czego rozmówca od Ciebie żąda. Jeżeli celem rozmowy jest przelew, kod albo instalacja aplikacji, kontakt uznajesz za niebezpieczny.

Jeżeli rozmówca mówi o „bezpiecznym rachunku”, zagrożonych środkach albo konieczności natychmiastowego działania, kończysz połączenie. Następnie sam kontaktujesz się z bankiem przez numer z oficjalnej strony albo z poziomu aplikacji.

Nie oddzwaniasz przez historię połączeń, gdy masz choćby cień wątpliwości. Bezpieczniej wpisać numer ręcznie. W części banków istnieją dodatkowe mechanizmy potwierdzania tożsamości konsultanta w aplikacji, ale nie zwalnia to z oceny treści rozmowy.

Powrót na górę

O jakie dane prawdziwy bank nie powinien prosić przez telefon, SMS albo e-mail?

W tych kanałach nie podajesz loginu, hasła, PIN-u, kodu BLIK, kodu SMS, pełnych danych karty ani nie instalujesz programu do zdalnej obsługi urządzenia.

To podstawowy filtr bezpieczeństwa. Bank może prowadzić identyfikację klienta zgodnie z własną procedurą, ale nie powinieneś przekazywać danych, które pozwalają zalogować się, autoryzować operację albo przejąć kartę. Trzeba odróżnić weryfikację tożsamości od przekazywania danych autoryzacyjnych.

Dane lub czynnośćCo to oznacza w praktycePoziom ryzyka
login i hasło do bankowościumożliwia przejęcie dostępu do rachunkubardzo wysoki
kod BLIK albo kod SMSsłuży do zatwierdzenia operacjibardzo wysoki
PIN, CVV, pełny numer kartyumożliwia obciążenie karty lub wyłudzenie płatnościbardzo wysoki
instalacja AnyDesk, TeamViewer, Splashtop lub podobnego narzędziaoddaje kontrolę nad urządzeniem osobie obcejskrajnie wysoki
Jeżeli prośba dotyczy danych logowania, kodu autoryzacyjnego, karty albo zdalnego dostępu, przerywasz kontakt. Taką sprawę weryfikujesz samodzielnie w oficjalnym kanale banku.

Powrót na górę

Jak odróżnić prawdziwy alert bezpieczeństwa od próby wyłudzenia?

Prawdziwy alert informuje o zdarzeniu i kieruje Cię do samodzielnej weryfikacji, a próba wyłudzenia chce od razu przejąć Twoje działanie.

Użytkownik najczęściej nie pyta, czym jest phishing, tylko czy dany kontakt jest prawdziwy. Dlatego najlepiej porównać schemat działania. Bezpieczny komunikat nie wymusza pośpiechu, nie prowadzi do logowania przez podejrzany link i nie próbuje wyciągnąć kodu autoryzacyjnego. Fałszywy kontakt zwykle chce przejąć Twój następny krok.

Cecha kontaktuNiższe ryzykoWysokie ryzyko oszustwa
linkbrak linku, komunikat odsyła do aplikacjilink do logowania, odblokowania konta, potwierdzenia danych
presja czasuinformacja bez wymuszenia natychmiastowej reakcji„masz 10 minut”, „natychmiast potwierdź”, „środki są zagrożone”
żądanie danychbrak prośby o dane autoryzacyjneprośba o login, hasło, kod BLIK, kod SMS, pełne dane karty
sposób działaniasam logujesz się do aplikacji i weryfikujesz sprawęrozmówca prowadzi Cię krok po kroku i chce kontrolować cały proces

Praktyczny test TAK/NIE: jeżeli kontakt chce, żebyś kliknął, podał kod, zrobił przelew albo zainstalował program, odpowiedź brzmi: nie wykonujesz tej czynności i przenosisz weryfikację do oficjalnego kanału banku.

Powrót na górę

Jakie metody stosują oszuści, gdy podszywają się pod bank i pracowników infolinii?

Oszust łączy wiarygodny pretekst, podszycie techniczne i presję psychologiczną, żeby skłonić Cię do przekazania dostępu albo zatwierdzenia operacji.

Najczęstszy schemat wygląda tak: najpierw pojawia się SMS albo telefon o zagrożonych środkach, potem rozmówca prowadzi Cię krok po kroku do logowania, instalacji aplikacji, podania kodu albo wykonania przelewu. Zamiast mówić o kradzieży, używa słów „zabezpieczenie”, „anulowanie transakcji”, „przeksięgowanie środków” albo „rachunek techniczny”.

  • Smishing: fałszywy SMS z linkiem.
  • Phishing: fałszywy e-mail albo strona logowania.
  • Vishing: rozmowa telefoniczna prowadzona w celu wyłudzenia danych lub pieniędzy.
  • Spoofing: podszycie pod numer banku lub inną tożsamość techniczną.
  • Zdalny pulpit: przejęcie urządzenia przez aplikację do zdalnej obsługi.
  • Scenariusz „bezpiecznego rachunku”: nakłonienie ofiary do przelania pieniędzy samodzielnie.
Jeżeli rozmówca steruje Twoimi krokami, nie jest to zwykła rozmowa informacyjna. Im bardziej chce przejąć tempo i przebieg działania, tym wyższe ryzyko oszustwa.

Powrót na górę

Czy bank prosi o szybki przelew, kod autoryzacyjny, login albo instalację aplikacji?

Nie wykonujesz przelewu „ratunkowego”, nie podajesz kodu autoryzacyjnego i nie instalujesz aplikacji do zdalnej obsługi na polecenie rozmówcy.

To jeden z najbardziej jednoznacznych testów bezpieczeństwa. Jeżeli ktoś twierdzi, że aby uratować środki, musisz wykonać przelew, podyktować kod albo zainstalować program, to nie prowadzi zwykłej procedury ochronnej, tylko próbuje przejąć pieniądze albo urządzenie. Każdy kod autoryzacyjny służy do zatwierdzenia konkretnej operacji. Jeżeli niczego sam nie zlecałeś, nie masz czego potwierdzać.

Kod SMS, powiadomienie push albo kod BLIK nie służą do rozmowy z konsultantem. Służą do autoryzacji operacji, więc ich użycie może uruchomić przelew, wypłatę albo zmianę ustawień bezpieczeństwa.

Tak samo traktujesz prośbę o instalację aplikacji. Narzędzie do zdalnego dostępu oddaje osobie obcej kontrolę nad ekranem, klawiaturą i często także nad procesem logowania. W praktyce to jedna z najszybszych dróg do utraty pieniędzy.

Powrót na górę

Co zrobić od razu po kontakcie z fałszywym bankiem, aby ograniczyć szkody?

Najpierw przerywasz kontakt i odcinasz dalszy dostęp, potem zabezpieczasz rachunek, hasła i urządzenie, a na końcu robisz zgłoszenia.
  1. Przerwij kontakt i nie wykonuj kolejnych poleceń.
  2. Skontaktuj się z bankiem oficjalnym kanałem i zablokuj kartę, dostęp do bankowości albo inne narzędzia, jeżeli sytuacja tego wymaga.
  3. Zmień hasła do bankowości i powiązanej poczty e-mail, najlepiej z innego, bezpiecznego urządzenia.
  4. Sprawdź historię operacji, limity, urządzenia powiązane z kontem i ustawienia autoryzacji.
  5. Zrób zrzuty ekranu wiadomości, strony, numeru telefonu i potwierdzeń operacji.
  6. Zgłoś sprawę do banku, a przy utracie pieniędzy lub danych także na Policję.

Jak reagować w zależności od sytuacji:

  • Tylko kliknąłeś link: zamknij stronę, nie wpisuj danych, sprawdź historię rachunku i urządzenie.
  • Podałeś dane logowania lub dane karty: natychmiast skontaktuj się z bankiem, zmień hasła z innego urządzenia i zablokuj zagrożone narzędzia.
  • Zatwierdziłeś operację lub podałeś kod: zgłoś sprawę do banku bez zwłoki, zabezpiecz rachunek i przygotuj dokumentację zdarzenia.
  • Zainstalowałeś program do zdalnej obsługi: odłącz urządzenie od internetu, nie loguj się ponownie z tego sprzętu i zmień hasła z innego urządzenia.
Jeżeli doszło do nieautoryzowanej transakcji, zgłoszenie do banku robisz natychmiast. Co do zasady dostawca płatnika zwraca kwotę takiej transakcji niezwłocznie, nie później niż do końca następnego dnia roboczego po stwierdzeniu zdarzenia lub otrzymaniu zgłoszenia, z wyjątkami przewidzianymi w ustawie o usługach płatniczych, w szczególności gdy spór dotyczy kwalifikacji transakcji lub przesłanek odmowy.

Powrót na górę

Gdzie zgłosić phishing, smishing lub spoofing podszywający się pod bank?

Podejrzany SMS przesyłasz na 8080, a stronę lub e-mail zgłaszasz przez incydent.cert.pl; równolegle informujesz bank, a przy szkodzie finansowej także Policję.

Takie działanie ma dwa cele. Po pierwsze, chroni Ciebie i pozwala szybciej zareagować na incydent. Po drugie, pomaga w blokowaniu szkodliwych domen, wzorców wiadomości i kampanii podszywających się pod instytucje finansowe. Nie trzeba czekać na utratę pieniędzy, aby zgłosić kontakt jako podejrzany.

  • SMS: przesyłasz na 8080 w oryginalnej formie.
  • Fałszywy e-mail lub strona: zgłaszasz przez formularz na incydent.cert.pl.
  • Aplikacja mObywatel: możesz użyć usługi „Bezpiecznie w sieci”.
  • Bank: zgłaszasz incydent, aby zabezpieczyć rachunek i dostęp do usług.
  • Policja: zgłaszasz sprawę, gdy doszło do szkody finansowej lub wycieku danych.
Najczęstszy błąd polega na tym, że użytkownik zgłasza sprawę do CERT, ale zwleka z kontaktem z bankiem. Gdy istnieje ryzyko utraty pieniędzy, bank informujesz od razu, równolegle z innymi zgłoszeniami.

Powrót na górę

Checklista, co zrobić krok po kroku

  1. Zatrzymaj się, nie klikaj, nie oddzwaniaj i niczego nie zatwierdzaj pod presją.
  2. Sprawdź, czego dotyczy wiadomość lub telefon, czy pojawia się link, załącznik, pośpiech albo prośba o dane.
  3. Przenieś weryfikację poza podejrzany kontakt, otwórz aplikację banku albo wpisz adres strony ręcznie.
  4. Oceń, czy ktoś chce przejąć Twój kolejny krok, logowanie, kod, przelew lub instalację programu.
  5. Przerwij kontakt, jeżeli rozmówca prosi o kod, przelew, dane karty lub zdalny dostęp do urządzenia.
  6. Zgłoś incydent, SMS na 8080, e-mail lub stronę przez incydent.cert.pl.
  7. Skontaktuj się z bankiem, gdy podałeś dane, kliknąłeś link, zainstalowałeś program albo zatwierdziłeś operację.
  8. Zmień hasła i sprawdź historię rachunku, gdy kontakt był niebezpieczny.

Powrót na górę

Słowniczek pojęć

Phishing
Oszustwo polegające na podszywaniu się pod zaufaną instytucję w celu wyłudzenia danych lub pieniędzy, zwykle przez e-mail albo fałszywą stronę.
Ang.: phishing

Smishing
Odmiana phishingu prowadzona przez wiadomości SMS, najczęściej z linkiem do fałszywej strony.
Ang.: SMS phishing

Vishing
Oszustwo prowadzone przez rozmowę telefoniczną, której celem jest wyłudzenie danych, kodów albo pieniędzy.
Ang.: voice phishing

Spoofing
Podszycie się pod numer telefonu, adres e-mail albo inną tożsamość techniczną, aby kontakt wyglądał jak autentyczny.
Ang.: spoofing

Zdalny pulpit
Narzędzie umożliwiające sterowanie urządzeniem na odległość. W rękach oszusta oznacza dostęp do ekranu, klawiatury i danych.
Ang.: remote desktop

Powrót na górę

FAQ – najczęściej zadawane pytania

Czy bank wysyła SMS z linkiem do logowania albo odblokowania konta?

Nie logujesz się do bankowości przez link z SMS-a ani e-maila. Sprawę weryfikujesz wyłącznie w aplikacji banku albo po ręcznym wpisaniu oficjalnego adresu.

Czy konsultant banku może poprosić o kod BLIK albo kod z SMS-a?

Nie. Taki kod służy do autoryzacji operacji, więc jego podanie stwarza ryzyko utraty pieniędzy.

Czy skoro numer telefonu zgadza się z numerem banku, to połączenie jest bezpieczne?

Nie. Oszuści stosują spoofing, więc numer widoczny na ekranie nie potwierdza tożsamości rozmówcy.

Co zrobić, gdy kliknąłem link z fałszywego SMS-a od banku?

Natychmiast przerywasz dalsze działania, sprawdzasz rachunek i kontaktujesz się z bankiem oficjalnym kanałem. Gdy podałeś dane albo zatwierdziłeś operację, zmieniasz hasła z innego urządzenia i zgłaszasz sprawę także na Policję.

Na jaki numer zgłasza się podejrzane SMS-y podszywające się pod bank?

Podejrzany SMS możesz bezpłatnie przesłać na numer 8080. To kanał zgłoszeń obsługiwany przez CERT Polska.

Gdzie zgłosić fałszywy e-mail albo stronę logowania udającą bank?

Takie zgłoszenie składasz przez formularz na incydent.cert.pl. Możesz też użyć usługi „Bezpiecznie w sieci” w aplikacji mObywatel.

Czy bank oddaje pieniądze po nieautoryzowanej transakcji?

Co do zasady tak. Po zgłoszeniu nieautoryzowanej transakcji dostawca płatnika powinien zwrócić kwotę niezwłocznie, najpóźniej do końca następnego dnia roboczego, z wyjątkami przewidzianymi w ustawie o usługach płatniczych.

Powrót na górę

Źródła i podstawa prawna

Dane liczbowe aktualne na dzień: 22/03/2026 r.

Jak liczone są przykłady: dzienna średnia dla 16,6 tys. zgłoszeń SMS-ów w styczniu 2026 r. to około 535 zgłoszeń na dzień, czyli 16 600 / 31.

Podstawa prawna zwrotu po transakcji nieautoryzowanej: art. 46 ustawy o usługach płatniczych.

Powrót na górę

Co możesz zrobić po przeczytaniu tego artykułu?

  • zapisz w telefonie numer 8080 i oficjalną infolinię swojego banku,
  • ustal prostą zasadę dla siebie i bliskich: żadnych kliknięć z SMS-a, żadnych kodów przez telefon, żadnych przelewów „ratunkowych”,
  • gdy znów pojawi się pytanie, jak sprawdzić, czy SMS, e-mail lub telefon od banku jest fałszywy, wróć do checklisty i przejdź ją punkt po punkcie.

Powrót na górę

Ostatnia aktualizacja: 23 marca 2026 r.

Jacek Grudniewski
Ekspert portalu Bestsolution.pl oraz Homebanking.pl

Treści mają charakter informacyjny i edukacyjny. Nie stanowią porady prawnej, podatkowej ani finansowej w rozumieniu przepisów prawa. Przed decyzją wpływającą na finanse skonsultuj się z odpowiednim specjalistą.

Powiązane posty

O Autorze

Jacek Grudniewski

Właściciel grupy portali finansowych ALTBERGER. Współtwórca porównywarki finansowej Informacjakredytowa.com, analityk produktów bankowych i ubezpieczeniowych.