Wróć do encyklopedii
Socjotechnika
Średni
PracownicyZarząd

Smishing — phishing SMS

SMS Phishing (Smishing)

Smishing to phishing przez SMS — fałszywe wiadomości od InPost, banku czy urzędu. Kliknięcie linku może kosztować utratę konta.

2 min czytaniaPrzykład: Kampania smishingowa InPost — miliony fałszywych SMS-ów o dopłacie za paczkę (2025)
Udostępnij
Smishing — phishing SMS

MITRE ATT&CK

Kluczowe wnioski

  • Smishing to phishing przez SMS — fałszywe wiadomości o paczkach, dopłatach i blokadach kont
  • W Polsce najpopularniejsze są SMS-y podszywające się pod InPost, DHL i banki
  • Nigdy nie klikaj linków z SMS — otwórz aplikację dostawcy samodzielnie
  • Zgłaszaj podejrzane SMS-y na numer 8080 (CERT Polska)

Czym jest smishing?

Smishing (SMS Phishing) to atak socjotechniczny wykorzystujący wiadomości SMS do nakłonienia ofiary do kliknięcia złośliwego linku lub podania danych. Nazwa pochodzi od połączenia SMS + phishing.

W odróżnieniu od e-mailowego phishingu, SMS-y mają wyższy współczynnik otwarcia (ponad 90% SMS-ów jest czytanych w ciągu 3 minut), co czyni smishing bardzo skuteczną techniką.

Jak działa atak?

  1. Masowa wysyłka — atakujący wysyła tysiące SMS-ów z fałszywą informacją
  2. Pretekst — "Twoja paczka wymaga dopłaty 1,29 PLN", "Konto bankowe zostanie zablokowane", "Zaległa płatność podatkowa"
  3. Link — SMS zawiera skrócony link prowadzący do fałszywej strony
  4. Kradzież — ofiara podaje dane karty, loginy lub instaluje złośliwą aplikację
  5. Wykorzystanie — atakujący wykonuje transakcje lub przejmuje konto

Kogo dotyczy w Polsce?

Smishing jest powszechny w Polsce i dotyka praktycznie każdego użytkownika telefonu:

  • Fałszywe SMS-y InPost/DHL — "Dopłata za paczkę", "Zmień adres dostawy"
  • Fałszywe SMS-y bankowe — "Nieautoryzowana transakcja, kliknij aby zablokować"
  • Fałszywe SMS-y od Urzędu Skarbowego — "Zaległy podatek, dopłać"
  • Fałszywe SMS-y o wygranej — "Gratulacje! Wygrałeś iPhone'a"

CERT Polska blokuje tysiące domen smishingowych miesięcznie dzięki zgłoszeniom na numer 8080.

Jak się chronić?

  1. Nie klikaj linków z SMS — otwórz aplikację dostawcy/banku samodzielnie
  2. Zgłaszaj na 8080 — przekaż treść podejrzanego SMS do CERT Polska
  3. Filtrowanie SMS — włącz filtr spamu w ustawieniach telefonu
  4. Nie podawaj danych karty — żadna firma nie prosi o dane karty przez SMS
  5. Aktualizuj system — nowe wersje OS mają lepszą ochronę przed phishingiem

Jak SecIQ pomaga?

  • Szkolenia Security Awareness obejmujące scenariusze smishingowe
  • SecIQ SOC reaguje na incydenty po kliknięciu złośliwego linku
  • Polityki MDM — Mobile Device Management chroni firmowe telefony
  • Procedury zgłaszania — pomagamy wdrożyć szybką ścieżkę raportowania incydentów

Zamów szkolenie z cyberbezpieczeństwa dla zespołu.

SmishingSMSPhishingInPostSocial Engineering

Najczęściej zadawane pytania

Jak rozpoznać smishing?
Fałszywe SMS-y zwykle: używają skróconych linków (bit.ly, tinyurl), zawierają pilne żądania (dopłata, blokada), przychodzą z nieznanych numerów. Prawdziwe firmy rzadko wysyłają linki w SMS — używają aplikacji.
Co zrobić gdy kliknąłem link z podejrzanego SMS-a?
Jeśli nie podałeś danych — zamknij stronę i wyczyść cache przeglądarki. Jeśli podałeś dane logowania — natychmiast zmień hasło i włącz MFA. Sprawdź historię transakcji bankowych. Zgłoś incydent na 8080 (CERT Polska).
Jak zgłosić podejrzany SMS w Polsce?
Prześlij treść podejrzanego SMS-a na numer 8080 — to oficjalny numer CERT Polska do zgłaszania phishingu i smishingu. Zespół analizuje zgłoszenie i blokuje złośliwe domeny.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Powiązane ataki

Socjotechnika
Krytyczny

Deepfake i AI Social Engineering

2 min czytania

Socjotechnika
Wysoki

Phishing — atak e-mailowy

2 min czytania

Socjotechnika
Wysoki

Quishing — QR Code Phishing

2 min czytania

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Umów konsultacjęPoznaj SecIQ SOC

Bezpłatna konsultacja · 15 min · bez zobowiązań