Klienci czołowych banków pozbawieni środków do życia. Konta czyszczone z pieniędzy

Oficjalna nazwa nadawcy, znajome logo, prosty komunikat: zweryfikuj konto, bo je zablokujemy. W dobie mechanizmów AML i bankowych ankiet takie wiadomości przestają być podejrzane. Klikasz w link, logujesz się, podajesz kod z SMS. Kilka minut później konto jest puste.

Skala, która robi wrażenie: ponad 260 tysięcy incydentów w rok

Oszuści nie śpią, a najnowsze liczby pokazują, że to nie jest margines. Zespół CERT Polska w raporcie za 2025 r., opublikowanym w kwietniu 2026 r., podał, że zarejestrował 260 783 unikalne incydenty bezpieczeństwa, czyli o 152 proc. więcej niż rok wcześniej. Aż 97 proc. z nich to oszustwa komputerowe, a sam phishing, czyli wyłudzanie loginów, haseł i danych, to 78 391 przypadków, niemal jedna trzecia wszystkich zdarzeń.

Jeszcze więcej mówi skala samych SMS-ów. W 2025 r. Polacy zgłosili do CERT 295 169 podejrzanych wiadomości, a operatorzy zablokowali na podstawie wzorców ponad 1,88 mln złośliwych SMS-ów. Na Listę Ostrzeżeń trafiło około 244 tys. domen używanych do wyłudzeń, a wejścia na niebezpieczne strony blokowano ponad 141 mln razy. To oznacza, że fałszywy SMS od banku nie jest pechem nielicznych, lecz codziennością, która prędzej czy później trafia do każdego.

Dane CERT Polska za 2025	Wartość
Zarejestrowane incydenty	260 783 (+152 proc. rok do roku)
Udział oszustw komputerowych	97 proc.
Incydenty phishingu	78 391 (30 proc. wszystkich)
Zgłoszone podejrzane SMS-y	295 169
Zablokowane złośliwe SMS-y	ponad 1 883 000
Domeny na Liście Ostrzeżeń	ok. 244 000

Trzy nowe scenariusze, na które trzeba uważać w 2026 roku

Klasyczny SMS o wygasającym koncie wciąż krąży, ale przestępcy dołożyli do repertuaru świeże pretensty, które omawiał CERT Orange Polska w ostatnich miesiącach. Pierwszy to wykorzystanie zmiany marki banku. Gdy instytucja przechodzi rebranding, oszuści podszywają się pod nową nazwę i straszą koniecznością ponownej rejestracji albo weryfikacji aplikacji. Tak było przy kampanii wymierzonej w klientów jednego z banków w maju 2026 r., gdzie scenariusz był klasyczny: po wpisaniu loginu strona prosiła o hasło, a potem o kod z SMS, którego podanie oddawało przestępcom kontrolę nad kontem.

Drugi pomysł to fałszywa aktualizacja karty SIM. W kwietniu 2026 r. CERT Orange ostrzegał przed SMS-ami straszącymi blokadą karty, jeśli klient nie zweryfikuje numeru pod podanym linkiem. Trzeci, szczególnie podstępny, to podszywanie się pod programy rządowe. Kampania o nazwie sugerującej preferencyjny kredyt z dopłatą państwa prowadziła na stronę stylizowaną na rządową, z godłem w rogu, by uwiarygodnić wyłudzenie. Wspólny mianownik jest zawsze ten sam: pilność, link i prośba o dane.

Scenariusz 2026	Pretekst	Cel oszusta
Zmiana marki banku	ponowna rejestracja lub weryfikacja aplikacji po rebrandingu	login, hasło, kod SMS
Aktualizacja karty SIM	groźba blokady numeru	dane i przejęcie numeru
Fałszywy program rządowy	preferencyjny kredyt z dopłatą państwa	dane osobowe i finansowe
Klasyczny wygasający dostęp	konto lub aplikacja wygasa za 48 godzin	login, hasło, kod SMS

Dlaczego te SMS-y wyglądają tak wiarygodnie

Siła tych ataków bierze się z kilku trików technicznych. Przestępcy potrafią podszyć nadpis nadawcy tak, że wiadomość ląduje w tym samym wątku, co prawdziwe SMS-y od banku, obok kodów autoryzacyjnych. W treści stosują dziwne ogonki w literach, na przykład kontó zamiast konto, żeby ominąć filtry operatorów wyłapujące typowe frazy. Linki prowadzą do stron łudząco podobnych do oryginalnych, często z drobną różnicą w adresie, której nikt nie sprawdza w pośpiechu.

W 2026 r. doszła do tego warstwa sztucznej inteligencji. Spoofing numeru sprawia, że telefon od rzekomego pracownika banku wyświetla się jako oficjalny numer infolinii, a deepfake głosowy pozwala wygenerować nagranie brzmiące jak prawdziwy konsultant. Granica między autentycznym kontaktem a oszustwem zaciera się, dlatego jedyną pewną zasadą pozostaje nieufność wobec każdego, kto przez SMS lub telefon prosi o dane, hasło albo kod.

Najbardziej narażeni są seniorzy, ale nie tylko oni

Dane pokazują, że ofiarą może paść każdy, ale jedna grupa jest na celowniku szczególnie. Według badań z początku 2026 r. co piąty senior padł ofiarą kradzieży danych lub próby wyłudzenia. Przestępcy zakładają, że osoby starsze mogą mieć wyższe salda i mniejszą wprawę w rozpoznawaniu fałszywych wiadomości. To dlatego rozmowa z rodzicami i dziadkami o tym, że bank nigdy nie prosi o dane przez link, bywa skuteczniejsza niż każdy filtr antyspamowy.

Jednocześnie coraz częściej atakowani są aktywni użytkownicy bankowości mobilnej w każdym wieku, bo to ich konta dają największe możliwości szybkiego działania po przejęciu dostępu. Tu kluczowa jest jedna informacja, którą warto zapamiętać raz na zawsze: żaden bank nie ma mechanizmu wygasania konta, który wymagałby pilnej reakcji w 48 godzin przez kliknięcie w link. Każdy taki SMS jest fałszywy, bez wyjątku.

Warszawa: najwięcej kont mobilnych i najgęstszy ruch SMS-owy

Stolica jest dla oszustów łakomym celem z prostego powodu. To tu koncentruje się największa w kraju liczba aktywnych użytkowników bankowości mobilnej, najwyższe średnie salda i najszybsze tempo życia, które sprzyja klikaniu w pośpiechu. Warszawiak, który w biegu między spotkaniami dostaje SMS o blokadzie konta, jest dokładnie tym odbiorcą, na którego liczą przestępcy, bo zareaguje odruchowo, zanim się zastanowi.

Stołeczne komendy policji od miesięcy odnotowują zgłoszenia o wyłudzeniach metodą na pracownika banku i na fałszywy SMS, a kwoty strat sięgają od kilku tysięcy do oszczędności całego życia. Mechanizm jest wszędzie ten sam, ale w dużym mieście z gęstą siecią użytkowników mobilnych skala jest po prostu większa. Dla mieszkańca aglomeracji praktyczny wniosek brzmi: traktuj każdy nieoczekiwany SMS od banku jak próbę oszustwa, dopóki sam nie potwierdzisz go w aplikacji lub na infolinii.

Co to oznacza dla Ciebie? Pięć zasad, które chronią konto

Filtry operatorów wyłapują miliony SMS-ów, ale ostatnią linią obrony zawsze jesteś Ty. Zapamiętaj kilka żelaznych reguł:

• Nie klikaj w linki z SMS-ów ani maili od banku. Zamiast tego wpisz adres samodzielnie w przeglądarce albo wejdź przez oficjalną aplikację. Bank nigdy nie wymaga logowania przez link z wiadomości.
• Traktuj presję czasu jak alarm. Sformułowania w stylu konto zostanie zablokowane za 48 godzin to typowy chwyt oszustów. Bank daje czas i nie straszy natychmiastową blokadą przez SMS.
• Nigdy nie podawaj kodu SMS na stronie otwartej z linku. Kod autoryzacyjny potwierdza operację, a podany na fałszywej stronie pozwala przestępcy wyprowadzić pieniądze.
• Weryfikuj kontakt oficjalnym kanałem. Masz wątpliwości, zadzwoń na infolinię z numeru podanego na karcie lub w aplikacji, nie oddzwaniaj na numer z podejrzanej wiadomości. Pamiętaj o spoofingu i deepfake’ach głosowych.
• Zgłaszaj podejrzane SMS-y. Przekaż je na numer 8080 prowadzony przez CERT Polska. To realnie zasila filtry, które blokują kolejne ataki, i pomaga ostrzec innych.

Phishing przestał być nieudolnym oszustwem z błędami ortograficznymi, a stał się przemysłem, który podszywa się pod marki, programy rządowe, a nawet głos konsultanta. Dobra wiadomość jest taka, że niemal wszystkie te ataki rozbijają się o jedną prostą zasadę: bank nigdy nie prosi o dane, hasło ani kod przez link. Kto ją stosuje bez wyjątku, jest praktycznie nie do okradzenia tą metodą.