Przejdź do treści
Breachroad
Wróć do bloga
Bankowość

Spoofing SMS pod BLIK: jak jeden link przejmuje bankowość

Kampania podszywa się pod BLIK-a: spoofing SMS i fałszywe panele logowania. Pokazujemy, jak przestępcy przejmują bankowość i jak to przerwać.

KR
Karol Rapacz
5 czerwca 2026 · 6 min czytania
Spoofing SMS pod BLIK: jak jeden link przejmuje bankowość

BLIK stał się w Polsce codziennością — i właśnie dlatego stał się celem. W 2026 roku obserwujemy intensywne kampanie, w których przestępcy podszywają się pod BLIK-a i banki, łącząc spoofing SMS z fałszywymi panelami logowania. Efekt końcowy to nie pojedyncza wyłudzona płatność, lecz przejęcie całej bankowości ofiary.

Jak wygląda ten atak

Wektor jest niemal zawsze taki sam. Ofiara dostaje SMS wyświetlający się jako „BLIK” lub nazwa banku — dzięki spoofingowi nadawcy ląduje on w wątku z prawdziwymi wiadomościami. Treść straszy: „wykryto nietypową transakcję”, „potwierdź tożsamość”, „Twoje konto zostanie zablokowane”. Link prowadzi do strony wiernie odwzorowującej panel banku.

Gdy ofiara wpisze login i hasło, atakujący loguje się w czasie rzeczywistym na prawdziwej bankowości. Strona-pułapka prosi wtedy o kod z SMS-a (autoryzacja) — który ofiara właśnie dostaje od prawdziwego banku, bo przestępca inicjuje operację po drugiej stronie. Przepisany kod finalizuje dodanie zaufanego urządzenia, zmianę limitów albo przelew.

Dlaczego kod autoryzacyjny to punkt krytyczny

Najważniejsza zasada, którą powtarzamy klientom: kod autoryzacyjny opisuje operację, a nie „logowanie”. Banki umieszczają w treści SMS-a dokładny opis — kwotę, numer konta, rodzaj czynności. Jeśli SMS mówi „dodanie urządzenia zaufanego”, a Ty właśnie „logujesz się do banku”, to znaczy, że ktoś inny wykonuje tę operację Twoimi rękami.

Przestępcy liczą na to, że nikt nie czyta treści kodu — przepisujemy cyfry odruchowo. Ten jeden nawyk — przeczytanie, co dokładnie autoryzujesz — rozbraja większość takich ataków.

Sygnały ostrzegawcze

  • SMS z linkiem „do zalogowania” — banki nie proszą o logowanie przez link w wiadomości.
  • Strona logowania pod adresem, który nie jest oficjalną domeną banku (sprawdź certyfikat i pełny adres, nie tylko kłódkę).
  • Presja czasu i groźba blokady konta.
  • Prośba o kod autoryzacyjny „w celu weryfikacji” bezpośrednio po wpisaniu hasła.

Jak się bronić

Wchodź do banku wyłącznie przez zakładkę w przeglądarce lub oficjalną aplikację — nigdy przez link z SMS-a czy e-maila. Włącz powiadomienia push o każdej operacji, ustaw rozsądne limity dzienne i korzystaj z aplikacji mobilnej banku zamiast autoryzacji SMS tam, gdzie to możliwe (autoryzacja w aplikacji pokazuje pełny kontekst operacji).

Jeśli podałeś dane na fałszywej stronie: natychmiast zadzwoń na infolinię banku, zmień hasło z zaufanego urządzenia i zastrzeż dostęp. Im szybciej — tym mniejsze skutki. To dokładnie ta logika „ograniczania skutków”, którą opisujemy przy reagowaniu na wyciek: pierwsze minuty ważą najwięcej.

Firmom z sektora finansowego pomagamy testować odporność procesów i pracowników na spoofing oraz socjotechnikę — sprawdź nasze usługi lub umów konsultację.

Źródła i dalsza lektura: Sekurak (analizy kampanii spoofingowych pod BLIK) oraz CERT Polska. Podejrzane SMS-y zgłaszaj pod numer 8080.

Udostępnij artykuł

Usługi Umów konsultację