Przejdź do treści
NumerTel

Fałszywy SMS z banku: jak rozpoznać phishing i nie kliknąć

SMS o blokadzie konta lub podejrzanym logowaniu z linkiem do banku? Wyjaśniamy, po czym poznasz fałszywkę, czego nie klikać i co zrobić po wszystkim.

Przychodzi SMS, niby od Twojego banku. Ktoś próbował się zalogować, konto zostało zablokowane, trzeba "potwierdzić tożsamość" przez link, a wiadomość brzmi pilnie i straszy stratą pieniędzy. Ten poradnik pokazuje, jak rozpoznać fałszywy SMS z banku, dlaczego nie wolno klikać w taki link i co zrobić, jeśli już go otworzyłeś.

Jak wygląda fałszywy SMS z banku

Smishing, czyli phishing przez SMS, to wiadomość udająca bank, która ma Cię nakłonić do kliknięcia w link i podania danych logowania. Treść jest krótka, alarmująca i prawie zawsze kończy się adresem strony.

Najczęstsze scenariusze, które krążą w wiadomościach:

  • "Twoje konto zostało zablokowane. Aby je odblokować, potwierdź dane: [link]"
  • "Wykryliśmy nieautoryzowane logowanie do Twojego konta. Zweryfikuj tożsamość: [link]"
  • "Twoja sesja wygasła. Zaloguj się ponownie, aby uniknąć zawieszenia rachunku: [link]"
  • "Twoja aplikacja mobilna wymaga aktualizacji certyfikatu bezpieczeństwa: [link]"

Wspólny mianownik jest zawsze ten sam. Pojawia się problem z kontem, presja czasu i jeden ratunek w postaci linku. To nie przypadek, bo cały mechanizm opiera się na emocjach, nie na faktach.

Dlaczego bank nie wysyła linków do logowania

Najważniejsza zasada w tym poradniku jest prosta. Bank nie wysyła SMS-em linków, w które masz się zalogować. Nigdy. Prawdziwe powiadomienia bankowe informują (na przykład o przelewie albo o nowym kodzie), ale nie każą klikać i wpisywać hasła na stronie otwartej z wiadomości.

Logowanie zawsze inicjujesz sam. Wchodzisz na konto przez oficjalną aplikację mobilną albo wpisujesz adres banku ręcznie w przeglądarce. Bank zna Twoje dane, ma dostęp do rachunku i nie potrzebuje, żebyś "potwierdzał" login, hasło czy kod z SMS na stronie, do której prowadzi link z wiadomości. Jeśli pada takie żądanie, rozmawiasz z oszustem, niezależnie od tego, jaka nazwa nadawcy świeci się na ekranie.

Pamiętaj też, że nazwa nadawcy SMS nie jest dowodem. Pole nadawcy można podmienić, podobnie jak numer przy połączeniu. Wiadomość podszyta pod bank potrafi nawet wpaść do tej samej rozmowy, co prawdziwe SMS-y z kodami, bo telefon grupuje je po nazwie nadawcy. To ta sama logika, którą opisujemy przy podszywaniu numeru: etykieta na wiadomości nie mówi, kto naprawdę ją wysłał.

Po czym poznasz fałszywy link

Sam link zdradza oszustwo, jeśli przyjrzysz się spokojnie. Nie klikaj, żeby sprawdzić. Wystarczy uważnie przeczytać adres w treści wiadomości.

Sygnały, które powinny zapalić czerwoną lampkę:

  • Adres tylko z pozoru przypomina bank, ale ma literówkę, dodane słowo albo dziwną końcówkę (na przykład nazwa banku połączona z obcą domeną lub przedrostkiem typu "bezpieczne-", "weryfikacja-").
  • Link jest skrócony przez zewnętrzny skracacz, więc nie widać, dokąd naprawdę prowadzi.
  • Wiadomość miesza polskie i angielskie słowa, ma błędy ortograficzne albo dziwną interpunkcję.
  • Kontekst się nie zgadza, bo dostajesz SMS o blokadzie konta w banku, w którym nie masz rachunku.

Prawdziwy adres banku jest krótki i czysty. Wszystko, co go "ozdabia" dodatkowymi słowami przed lub po nazwie, to znak ostrzegawczy. Numer, z którego przyszedł SMS, możesz sprawdzić w naszej bazie. Jeśli ktoś już zgłosił podobną wiadomość, znajdziesz ostrzeżenie w opiniach, więc sprawdź numer, zanim cokolwiek klikniesz.

Czego nie robić po otrzymaniu takiego SMS

Reakcja jest prosta, jeśli zatrzymasz się na chwilę zamiast działać pod wpływem strachu.

  • Nie klikaj w link, nawet z ciekawości "co tam jest". Sama strona potrafi próbować pobrać złośliwy plik.
  • Nie wpisuj loginu, hasła ani kodu z SMS na stronie otwartej z wiadomości, nie podawaj numeru karty, kodu PIN ani kodu BLIK.
  • Nie oddzwaniaj na numer z wiadomości, jeśli SMS każe "pilnie zadzwonić w sprawie blokady".
  • Nie instaluj żadnej aplikacji "do weryfikacji" ani programu do zdalnej pomocy.

Jeśli treść Cię zaniepokoiła i naprawdę chcesz sprawdzić stan konta, zrób to niezależnie od SMS-a. Otwórz oficjalną aplikację banku albo wpisz adres ręcznie. Gdy w wiadomości jest prawda, zobaczysz tę informację także po normalnym, samodzielnym zalogowaniu. Gdy jej tam nie ma, masz potwierdzenie, że to próba wyłudzenia. Ten typ działania to klasyczny schemat oszustwa, który żyje wyłącznie z pośpiechu ofiary.

Co zrobić, gdy już kliknąłeś i podałeś dane

Liczy się czas, więc działaj od razu i bez wstydu. Na taki SMS nabierają się także osoby ostrożne, bo wiadomości są coraz lepiej dopracowane.

  1. Natychmiast zadzwoń na infolinię banku z numeru z odwrotu karty lub z oficjalnej strony. Zgłoś, że podałeś dane na fałszywej stronie, i poproś o zablokowanie dostępu.
  2. Zmień hasło do bankowości internetowej i mobilnej. Jeśli tego samego hasła używasz gdzie indziej, zmień je też tam.
  3. Zastrzeż kartę, jeśli podałeś jej numer, datę ważności albo kod CVV.
  4. Włącz lub zweryfikuj uwierzytelnianie dwuskładnikowe wszędzie, gdzie się da.
  5. Jeśli z konta zniknęły pieniądze, zgłoś transakcję jako nieautoryzowaną i zażądaj jej cofnięcia.
  6. Zrób zrzuty ekranu wiadomości, zapisz numer nadawcy, treść i godzinę. To dowody do zgłoszenia.

Im szybciej zadzwonisz do banku, tym większa szansa, że uda się zatrzymać przelew, który nie został jeszcze rozliczony. Nawet jeśli środki zdążyły zniknąć, zgłoszenie uruchamia procedurę reklamacyjną.

Gdzie zgłosić fałszywy SMS

Zgłaszanie ma sens, nawet gdy w porę się zorientowałeś i nic nie kliknąłeś. Każde zgłoszenie pomaga zablokować fałszywą stronę, zanim nabierze się ktoś inny.

Podejrzany SMS prześlij bezpłatnie do CERT Polska na numer 8080. Wystarczy przekazać wiadomość dalej na ten numer, a zespół analizuje link i może go zablokować. Incydent możesz też opisać na [email protected]. Jeśli straciłeś pieniądze albo padłeś ofiarą wyłudzenia, zawiadom policję, a w sytuacji nagłej dzwoń pod numer 112. Gdy bank odrzuci reklamację za transakcję nieautoryzowaną i uważasz to za niesłuszne, sprawę bezpłatnie zbada Rzecznik Finansowy (rf.gov.pl). Nieuczciwe praktyki na rynku finansowym możesz zgłosić do UOKiK (uokik.gov.pl).

Na koniec zadbaj o innych. Opisz numer nadawcy i treść wiadomości w opinii na NumerTel.pl, żeby ostrzec kolejne osoby. Zajrzyj też do kategorii spam, gdzie zbieramy numery rozsyłające masowe, podejrzane wiadomości. Im więcej zgłoszeń, tym szybciej taki numer trafia na radar i tym trudniej oszustom działać dalej.

Wróć do bloga

Szanujemy Twoją prywatność.

Używamy technicznych plików cookie niezbędnych do działania strony oraz analityki ruchu bez plików cookie. Cookies reklamowe lub śledzące stosowalibyśmy wyłącznie za Twoją zgodą. Polityka cookies