Spis treści

  1. Jak smishing może wpłynąć na reputację Twojej firmy?
  2. Jakie są przykłady smishingu?

10 przykładów smishingu, które mogłyby wpłynąć na reputację Twojej marki

03 lutego 2026
6 min.
Max Cyrek
Max Cyrek
10 przykładów smishingu, które mogłyby wpłynąć na reputację Twojej marki

„Twoja paczka czeka w magazynie. Dopłać 2 zł za niedowagę: [link]”. Ta pozornie niewinna wiadomość może być początkiem finansowej katastrofy. Smishing ewoluuje z każdym dniem, a oszuści stosują coraz bardziej wyrafinowane techniki, aby wyłudzić dane osobowe i pieniądze. Poznanie konkretnych przykładów i metod działania cyberprzestępców to pierwszy krok do skutecznej obrony przed atakami wykorzystującymi wiadomości tekstowe.

Jak smishing może wpłynąć na reputację Twojej firmy?

Twój klient otrzymuje SMS-a z nazwą Twojej firmy w polu nadawcy. Wiadomość informuje o rzekomej niedopłacie i zawiera link do płatności. Problem w tym, że to nie Ty wysłałeś tę wiadomość – zrobili to cyberprzestępcy, którzy podszyli się pod Twoją markę. Klient klika, traci pieniądze, a potem winą obarcza… właśnie Ciebie.

Smishing, czyli phishing realizowany przez wiadomości SMS, stał się jednym z najpoważniejszych zagrożeń w cyberprzestrzeni[1]. Tylko w 2022 roku zespół CERT Polska odebrał ponad 322 tysiące zgłoszeń dotyczących podejrzanych zjawisk w sieci[2]. Rok 2024 przyniósł jeszcze gorsze statystyki – zarejestrowano 103 449 incydentów bezpieczeństwa, co stanowi wzrost o 29% w porównaniu z rokiem poprzednim[3]. W tym samym czasie zablokowano ponad milion szkodliwych wiadomości SMS[4].

Dla firm konsekwencje mogą być druzgocące. Dane publikowane przez NASK wskazują, że dwie trzecie przedsiębiorstw, które padły ofiarą cyberataku, odnotowało znaczny spadek przychodów[5]. Średni koszt przestoju po incydencie wynosił 1,3 mln złotych[6]. To jednak dopiero wierzchołek góry lodowej – całkowite straty obejmują również utratę zaufania klientów, osłabienie pozycji rynkowej oraz koszty naprawy wizerunku[7].

Przestępcy doskonale wiedzą, że ludzie ufają wiadomościom SMS bardziej niż e-mailom[8]. Dlatego chętnie podszywają się pod znane marki – banki, firmy kurierskie, operatorów telekomunikacyjnych czy dostawców energii. Efekt? Klienci tracą pieniądze, a firmy tracą reputację. W 2023 roku ponad 75% organizacji doświadczyło ataków smishingowych[9].

Problem nasila się szczególnie w okresach wzmożonej aktywności zakupowej. Przed świętami czy Black Friday oszuści wysyłają tysiące fałszywych wiadomości podszywających się pod popularne marki[10]. Każda taka kampania to potencjalny cios w wizerunek firmy, której nazwa została wykorzystana.

Co możesz zrobić?

  • Edukować swoich klientów o tym, jak wygląda Twoja oficjalna komunikacja SMS.
  • Jasno informować, że nigdy nie wysyłasz linków do płatności w wiadomościach tekstowych[11].
  • Monitorować zgłoszenia o fałszywych wiadomościach i szybko reagować, współpracując z CERT Polska.

Jakie są przykłady smishingu?

Oto kilka najpopularniejszych metod smishingu wraz z przykładami ich zastosowania:

1. Oszustwo na kuriera – fałszywe paczki z dopłatą

To absolutny klasyk wśród ataków smishingowych. Przestępcy podszywają się pod firmy kurierskie – najczęściej InPost, DHL czy DPD – informując o rzekomych problemach z dostawą paczki[12]. Scenariusz jest prosty: otrzymujesz SMS-a z informacją, że przesyłka została wstrzymana z powodu błędnego adresu lub brakującej dopłaty w wysokości kilku złotych[13].

W rzeczywistości link prowadzi do fałszywej strony, która wyłudza dane karty płatniczej lub loginy do bankowości internetowej. CERT Orange wielokrotnie ostrzegał przed takimi kampaniami, wskazując że fałszywe domeny często zawierają nazwę „inpost” połączoną z dodatkowymi słowami czy znakami[14].

Skala zjawiska jest ogromna. W 2024 roku Policja Mazowiecka informowała o masowej wysyłce SMS-ów z treścią: „Twoja paczka została wstrzymana z powodu braku numeru ulicy na paczce. Zaktualizuj informacje o wysyłce”[15]. Link kierował na stronę łudząco przypominającą witrynę firmy kurierskiej, gdzie pod pretekstem dopłaty wyłudzano pełne dane finansowe ofiar.

2. Oszustwo na bank – blokada konta

„Ograniczyliśmy dostęp do Twojego konta ze względu na podejrzaną aktywność” – takie wiadomości otrzymują tysiące Polaków[16]. Przestępcy podszywają się pod największe banki, informując o rzekomej blokadzie konta lub karty. W treści znajduje się link do „odblokowania” dostępu.

Szczególnie niebezpieczna jest technika spoofingu, dzięki której fałszywe SMS-y pojawiają się w tym samym wątku konwersacji co prawdziwe wiadomości z banku[17]. Klient ING czy Pekao widzi nową wiadomość pod poprzednimi, autentycznymi powiadomieniami i naturalnie jej ufa.

W listopadzie 2024 roku CSIRT KNF ostrzegał przed kampanią wymierzoną w klientów Banku Pekao. Oszuści informowali o problemach z aplikacją PeoPay, nakłaniając do kliknięcia linku prowadzącego do fałszywej strony[18]. Po podaniu danych logowania przestępcy przejmowali pełną kontrolę nad kontem ofiary.

3. Oszustwo na dostawcę energii – groźba odcięcia prądu

„PGE: Na dzień 26.08 zaplanowano odłączenie energii elektrycznej! Prosimy o uregulowanie należności 3,46 zł” – tego typu wiadomości masowo trafiają na telefony Polaków[19]. Przestępcy wykorzystują naturalny strach przed odcięciem prądu.

Polska Grupa Energetyczna wielokrotnie ostrzegała, że w prawdziwych SMS-ach przypominających o płatnościach zawsze podany jest numer klienta i numer faktury, nigdy natomiast nie ma linku do płatności online[20]. Fałszywe wiadomości kierują na spreparowane strony imitujące bramki płatności lub bezpośrednio na podrobione panele logowania do bankowości.

CSIRT KNF w 2022 roku odnotował szczególnie intensywną kampanię podszywającą się pod PGE[21]. Oszuści wysyłali wiadomości w piątkowe popołudnia, licząc na zmęczenie i mniejszą czujność odbiorców po całym tygodniu pracy.

4. Oszustwo na dziecko – „Mamo, to mój nowy numer”

Ta metoda uderza prosto w serce. „Cześć mamo, to mój nowy numer. Poprzedni telefon się zepsuł, odezwij się na WhatsApp” – tak zaczyna się jeden z najbardziej perfidnych scenariuszy smishingowych[22].

NASK wskazuje, że wiadomości podszywające się pod dzieci ofiar należą obecnie do najczęściej wykorzystywanych metod phishingowych[23]. Schemat jest prosty: po nawiązaniu kontaktu przez komunikator „dziecko” prosi o pilny przelew na pokrycie kosztów nowego telefonu lub niespodziewanego wydatku.

Dolnośląska Policja informowała o przypadku 55-letniej mieszkanki powiatu zgorzeleckiego, która w ten sposób straciła ponad 4,5 tysiąca złotych[24]. W Lubinie mężczyzna przelał 3 tysiące złotych osobie, którą uważał za swojego syna[25]. Oszuści doskonale rozumieją mechanizmy psychologiczne – rodzic w pierwszym odruchu chce pomóc dziecku, nie weryfikując tożsamości rozmówcy.

5. Oszustwo na platformę ogłoszeniową – pułapka na sprzedającego

Sprzedajesz coś na OLX lub Vinted? Uważaj – możesz paść ofiarą oszustwa, nawet jeśli to Ty masz otrzymać pieniądze. Schemat jest przewrotny: rzekomy kupujący deklaruje zainteresowanie produktem i informuje, że już zapłacił przez „płatność OLX”[26].

Następnie przesyła link do „odebrania środków”. W rzeczywistości prowadzi on do fałszywej strony, która wyłudza dane karty płatniczej lub loginy do bankowości[27]. OLX wielokrotnie podkreślał, że nigdy nie generuje linków do podania danych karty w celu otrzymania płatności – jedyną bezpieczną bramką jest Dotpay[28].

Nasza czytelniczka money.pl opisywała przypadek, gdy przestępcy przesłali jej link do strony stylizowanej na InPost, gdzie miała podać kod BLIK, aby „otrzymać płatność” za sprzedawany przedmiot[29]. Firma kurierska potwierdziła, że nie posiada takiej usługi.

6. Oszustwo na zwrot podatku – fałszywe pieniądze z urzędu

„Masz nieuregulowane zobowiązanie podatkowe. Wpłać należność, aby uniknąć kary” – przestępcy chętnie podszywają się pod Ministerstwo Finansów i urzędy skarbowe[30]. Równie popularne są wiadomości o rzekomym zwrocie podatku lub dotacji rządowej.

Wariantem tego oszustwa są SMS-y informujące o możliwości otrzymania bonusu lub jednorazowej pomocy finansowej. „Akcja Ministerstwa Finansów! Wypełnij krótką ankietę i zyskaj 250 zł na swoje konto” – to przykład wiadomości wyłudzającej dane osobowe[31].

Urzędy państwowe nigdy nie wysyłają linków do płatności przez SMS. Wszelkie należności reguluje się przez oficjalne kanały, a informacje o zwrotach pojawiają się na indywidualnych kontach w systemach podatkowych.

7. Oszustwo na nagrodę – wygrałeś, choć nie grałeś

„Gratulacje! Wygrałeś iPhone’a 15! Odbierz nagrodę tutaj” – kto z nas nie marzy o niespodziewanej wygranej? Przestępcy doskonale to rozumieją i wykorzystują ludzką chciwość[32].

Mechanizm jest prosty: aby „odebrać nagrodę”, trzeba podać dane osobowe, numer karty płatniczej lub uiścić drobną opłatę manipulacyjną. Oczywiście żadna nagroda nie istnieje, a podane informacje trafiają prosto do cyberprzestępców[33].

Zasada jest prosta: jeśli nie brałeś udziału w konkursie, nie możesz w nim wygrać. A jeśli coś brzmi zbyt pięknie, by było prawdziwe, prawdopodobnie właśnie takie jest.

8. Oszustwo na subskrypcję – płatność za streaming

Netflix, Spotify, HBO – popularne platformy streamingowe stały się kolejnym narzędziem w rękach oszustów. Wiadomości informują o wygaśnięciu subskrypcji lub problemach z płatnością[34].

CERT Polska odnotował kampanie, w których przestępcy żądali „odnowienia dostępu” przez link prowadzący do fałszywej bramki płatności. Schemat jest identyczny jak w przypadku innych oszustw – wyłudzenie danych karty lub loginów do bankowości[35].

Prawdziwe serwisy streamingowe nigdy nie wysyłają SMS-ów z linkami do płatności. Wszelkie problemy z subskrypcją rozwiązuje się przez oficjalną aplikację lub stronę internetową.

9. Oszustwo na operatora – zniżka na usługi

„Oferta specjalna od Twojego operatora! Nowy telefon za złotówkę – kliknij tutaj” – tego typu wiadomości wykorzystują zaufanie do firm telekomunikacyjnych[36]. Link prowadzi na spreparowaną stronę, która zbiera dane osobowe i finansowe.

Operatorzy Orange, Plus, Play i T-Mobile regularnie ostrzegają przed takimi kampaniami[37]. Prawdziwe promocje zawsze można zweryfikować w oficjalnych kanałach – na stronie operatora lub w autoryzowanym salonie.

10. Oszustwo na instytucję publiczną – od COVID po e-recepty

Pandemia COVID-19 stworzyła całkiem nowe możliwości dla oszustów. Wiadomości informujące o skierowaniu na kwarantannę, konieczności dopłaty do szczepionki czy rzekomych kontrolach sanitarnych masowo trafiały na telefony Polaków[38].

Dziś przestępcy podszywają się pod NFZ, ZUS czy SANEPID. „Zostałeś skierowany do odbycia 10-dniowej kwarantanny z powodu zakażenia w Twoim najbliższym otoczeniu. Więcej informacji na stronie” – to przykład wiadomości wykorzystującej strach przed chorobą[39].

Instytucje publiczne nigdy nie wysyłają SMS-ów z linkami wymagającymi podania danych osobowych lub płatności. Wszelkie oficjalne komunikaty można zweryfikować przez infolinię danej instytucji lub portal gov.pl.

FAQ

Przypisy

  1. https://www.netia.pl/pl/srednie-i-duze-firmy/youtro-strefa-wiedzy/smishing-dlaczego-jest-niebezpieczny
  2. https://www.netia.pl/pl/srednie-i-duze-firmy/youtro-strefa-wiedzy/smishing-dlaczego-jest-niebezpieczny
  3. https://cert.pl/baza-wiedzy/falszywe-smsy/
  4. https://www.biznes.gov.pl/pl/portal/004175
  5. https://www.rp.pl/biznes/art42131381-raport-o-stanie-cyberbezpieczenstwa-polski-rekordowa-liczba-atakow-w-2024-r
  6. https://www.biznes.gov.pl/pl/portal/004175
  7. https://www.biznes.gov.pl/pl/portal/004175
  8. https://www.ey.com/pl_pl/serwis-audytorow-sledczych/2022/05/cert-polska-wieksze-zagrozenie-atakami-w-sieci
  9. https://www.trendmicro.com/pl_pl/what-is/phishing/smishing.html
  10. https://www.vida.pl/czym-jest-smishing/
  11. https://www.bankier.pl/wiadomosc/Oszusci-podszywaja-sie-pod-InPost-Wysylaja-SMS-y-na-losowe-numery-telefonow-8237462.html
  12. https://www.gov.pl/web/cyfryzacja/smishing
  13. https://pomoc.home.pl/baza-wiedzy/smishing-co-to-jest-i-jak-sie-przed-tym-chronic
  14. https://www.sirt.pl/uwaga-na-falszywe-smsy-od-inpost-dhl/
  15. https://cert.orange.pl/aktualnosci/falszywy-sms-od-inpost-co-dzieje-sie-dalej/
  16. https://mazowiecka.policja.gov.pl/wgr/aktualnosci/89997,OTRZYMALES-SMS-Z-INFORMACJA-O-KONIECZNOSCI-UZUPELNIENIA-DANYCH-PRZESYLKI-UWAZAJ-.html
  17. https://www.bankier.pl/smart/otrzymales-taki-sms-od-banku-uwazaj-to-moze-byc-oszustwo
  18. https://www.politykabezpieczenstwa.pl/pl/a/oszusci-wysylaja-sms-y-podszywajace-sie-pod-bank-mozna-stracic-pieniadze
  19. https://gra.pl/uwazaj-to-nie-sms-z-twojego-banku-a-kolejne-oszustwo-cyberprzestepcow/ar/c12p2-26980451
  20. https://niebezpiecznik.pl/post/oszustwo-smd-pge/
  21. https://www.gkpge.pl/dla-domu/strefa-klienta/nie-daj-sie-oszukac
  22. https://www.egospodarka.pl/177844,Dostales-SMS-od-PGE-o-odlaczeniu-pradu-To-smishing,1,12,1.html
  23. https://cert.orange.pl/aktualnosci/mamo-tato-to-moj-nowy-numer-uwaga-na-oszustwo/
  24. https://kamk.pl/blog/smishing-co-to-jest-i-jak-sie-bronic/
  25. https://dolnoslaska.policja.gov.pl/wr1/aktualnosci/biezace-inf/115543,quotNapisz-do-mnie-mamo-to-moj-nowy-nr-telefonuquot-otrzymales-taka-wiadomosc-Uw.html
  26. https://lubin.policja.gov.pl/dlu/aktualnosci/biezace-informacje/108852,Tato-mamo-zepsul-mi-sie-telefon-to-moj-nowy-numer-Uwazaj-To-jest-oszustwo.html
  27. https://blog.olx.pl/2020/06/18/uwaga-na-phishing/
  28. https://bitdefender.pl/oszustwa-olx-vinted-i-marketplace-jak-nie-dac-sie-nabrac/
  29. https://blog.olx.pl/2020/06/18/uwaga-na-phishing/
  30. https://www.money.pl/gospodarka/oszustwo-na-inpost-wyludzacze-grasuja-na-olx-oferuja-platnosc-z-gory-na-whatsappie-6668364284643840a.html
  31. https://mprofi.pl/co-to-smishing-przyklady-zagrozenia-i-sposoby-ochrony/
  32. https://www.spyshop.pl/blog/sms-y-z-falszywa-informacja-o-braku-zaplaty-albo-zadluzeniu/
  33. https://mprofi.pl/co-to-smishing-przyklady-zagrozenia-i-sposoby-ochrony/
  34. https://www.vida.pl/czym-jest-smishing/
  35. https://cert.pl/baza-wiedzy/falszywe-smsy/
  36. https://cert.pl/baza-wiedzy/falszywe-smsy/
  37. https://www.trendmicro.com/pl_pl/what-is/phishing/smishing.html
  38. https://www.spyshop.pl/blog/sms-y-z-falszywa-informacja-o-braku-zaplaty-albo-zadluzeniu/
  39. https://www.spyshop.pl/blog/sms-y-z-falszywa-informacja-o-braku-zaplaty-albo-zadluzeniu/
  40. https://www.spyshop.pl/blog/sms-y-z-falszywa-informacja-o-braku-zaplaty-albo-zadluzeniu/

Formularz kontaktowy

Rozwijaj swoją firmę

dzięki współpracy z Cyrek Digital
Wyslij zapytanie
Pola wymagane
Max Cyrek
Max Cyrek
CEO
"Do not accept ‘just’ high quality. Anyone can do that. If the sky is the limit, find a higher sky.”

Razem z całym zespołem Cyrek Digital pomagam firmom w cyfrowej transformacji. Specjalizuje się w technicznym SEO. Na działania marketingowe patrzę zawsze przez pryzmat biznesowy.

zobacz artykuły
Skontaktuj się ze mną
Masz pytania? Napisz do mnie.
Oceń tekst
Średnia ocena: artykuł nieoceniony. 0
Mapa strony
RODO
Polityka prywatności
Kontakt
Content Marketing
Pozycjonowanie sklepów internetowych
Pozycjonowanie stron
Techniczne SEO
Optymalizacja konwersji
Audyt SEO
Audyt UX
Leady sprzedażowe
Strategia marketingowa
Influencer marketing
E-commerce marketing
Performance marketing
Doradztwo marketingowe
Budowanie świadomości marki
Growth Hacking
Kampanie Google Ads
Reklama na Facebooku
© 2010 - 2026 Cyrek Digital. All rights reserved.