Jeśli w ostatnim czasie dostałaś SMS od kuriera z prośbą o dopłatę 2,99 zł, widziałaś reklamę platformy inwestycyjnej z twarzą jakiegoś celebryty albo ktoś zadzwonił do Ciebie z numeru Twojego banku i poprosił o przelew na „bezpieczne konto”, to musisz wiedzieć, że raczej nie był to żaden zbieg okoliczności albo pomyłka. To była cała, przygotowana kampania – i to dobrze zaplanowana, skierowana do tysięcy osób jednocześnie, prowadzona przez zorganizowane grupy przestępcze, które działają tak sprawnie jak niejedna firma technologiczna.
W 2025 roku CERT Polska obsłużył ponad 260 tysięcy potwierdzonych incydentów cyberbezpieczeństwa. W porównaniu z poprzednim rokiem to wzrost o 152 procent, przy czym Polska jest jednym z najczęściej atakowanych krajów w Europie. I nie chodzi tu o ataki na wielkie korporacje czy instytucje rządowe, chodzi głównie o zwykłych ludzi, którzy robią zakupy online, odbierają SMS-y od kurierów i scrollują media społecznościowe przed snem.
Ten artykuł powstał nie po to, aby Cię straszyć, ale po to, aby pokazać Ci konkretnie, jak działają cyberprzestępcy i czy jest coś, co możesz zrobić już dziś, żeby skutecznie się przez nimi chronić.
Skala problemu
Zanim przejdę do konkretnych metod działania cyberprzestępców, chciałabym, abyśmy chwilę się zatrzymały przy liczbach. Te dane zrobiły na mnie ogromne wrażenie, więc chcę się nimi z Tobą podzielić.
W 2025 roku CERT Polska, czyli nasz polski zespół reagowania na cyberzagrożenia w Internecie, zarejestrował 658 300 zgłoszeń dotyczących incydentów cyberbezpieczeństwa. Z tej liczby potwierdzono aż 260 800 rzeczywistych incydentów, co oznacza wzrost o 152 procent rok do roku. Żeby to zobrazować: jeszcze w 2024 roku takich potwierdzonych przypadków było nieco ponad 100 tysięcy. W ciągu jednego roku liczba więcej niż się podwoiła.
W samym grudniu 2025 roku oszustwa komputerowe stanowiły 98 procent wszystkich obsłużonych incydentów. To pokazuje, że mamy do czynienia z rozwiniętą działalnością cyberprzestępczą, której ofiarami zostają zwykli ludzie.
Po stronie organów ścigania też widać wyraźnie zwiększone działania. Centralne Biuro Zwalczania Cyberprzestępczości zatrzymało w 2025 roku 1 177 osób, a zarzuty karne usłyszało 1 374 podejrzanych i był to wzrost we wszystkich kategoriach o około 30 procent w porównaniu do roku 2024. Co ważne, śledczy z CBZC w ciągu roku zabezpieczyli od podejrzanych ponad 80 mln złotych, z czego niemal 25 mln udało się odzyskać dla poszkodowanych.
Tak jak wspomniałam – Polska jest przy tym jednym z najczęściej atakowanych krajów w Europie, co potwierdza zarówno skala zgłoszeń do CERT Polska, jak i dane o liczbie blokowanych szkodliwych domen. W 2025 roku wpisano ich na Listę Ostrzeżeń przed niebezpiecznymi stronami ponad 250 tysięcy, a sam CERT zablokował ponad 140 milionów prób wejścia na niebezpieczne strony.
Te liczby nie są więc abstrakcją. Za każdym incydentem stoi konkretna osoba, która straciła pieniądze, dane lub własne poczucie bezpieczeństwa. Cyberprzestępczość przestała być problemem korporacji i wielkich firm, a stała się cyfrową epidemią codziennych użytkowników Internetu.
Jak działają fałszywe sklepy internetowe?
Chciałabym się podzielić z Tobą moją własną historią. Choć działam w Girls Money Club niemal od pięciu lat, znam praktycznie wszystkie publikowane przez nas treści i uważam się za osobę, która potrafi poruszać się w cyfrowym świecie – sama dałam się złapać w pułapkę. 🙂
Jesienią 2025 roku w mojej rodzinie planowany był ślub, więc musiałam znaleźć odpowiedni strój. Wszystkie znane i popularne sklepy nie miały nic, co przykułoby moją uwagę, więc w momencie, gdy w instagramowej reklamie zobaczyłam idealną sukienkę – od razu w nią kliknęłam. W opisie szyfon, bardzo realistyczne zdjęcia, żadnych podejrzanych treści, cena gdzieś w okolicach 200 zł, czyli w sumie nic, co mogło wzbudzić moje podejrzenia. Sklep wyglądał normalnie, więc będąc w trybie “robię 5 rzeczy na raz i tylko szybko ją kupię” przelałam pieniądze bez większego sprawdzania.
Przyszedł mail z potwierdzeniem, kolejny z przyciskiem kierującym do bezpośredniego zakupu następnej rzeczy z rabatem, więc w teorii wszystko było okej. Zorientowałam się dopiero w momencie, gdy po kilku dniach przyszła wiadomość z kodem śledzenia paczki… od chińskiego przewoźnika. Od tego czasu zastanawiałam się, czy sukienka w ogóle dojdzie, a jeśli tak – to jak będzie wyglądała. Po kilkunastu dniach przyszła, ale jak możesz się spodziewać – nie była szyfonowa, tylko poliestrowa i jedynie zbliżona do oryginalnego wyglądu ze zdjęć. Można było ją uznać za “jednorazową” i tylko pieniędzy szkoda. 🙂 Dałam się więc nabrać na klasyczny dropshippingowy scam – chińska, stuprocentowo poliestrowa rzecz, która warta jest maksymalnie kilka złotych. Rozczarowanie było tym większe, że naprawdę mam spore rozeznanie w zagrożeniach online, a dałam się nabrać, bo działałam szybko i w nieodpowiednim momencie. Można więc uznać, że jest to największa broń takich sklepów – działają i wykorzystują momenty, w których jesteśmy rozkojarzone i zajęte innymi sprawami.
PS. Obecnie ta strona nie istnieje, jednak po kliknięciu przycisku, który miałam w mailu (tego z kodem rabatowym), przekierowuje mnie na stronę z… artykułami dla zwierząt. I to też znany schemat działania takich sklepów – kiedy format się wyczerpuje, ale sklep ma zbudowaną historię i ruch, staje się towarem na czarnym rynku. Gotowa infrastruktura zostaje sprzedana innej grupie, która rozkręca kolejną kampanię. Często też same sklepy są celowo tymczasowe – otwierają się przed konkretnymi okazjami: świętami, Walentynkami, latem (np. stroje kąpielowe!), następnie zbierają zamówienia przez kilka tygodni, po czym znikają lub zmieniają profil przed falą reklamacji.
Moja uwaga: sama długość istnienia domeny nie jest już obecnie wystarczającym sygnałem bezpieczeństwa. Sklep może posiadać domenę np. z 2019 roku i mieć dzisiaj zupełnie inną ofertę niż w momencie założenia. Dlatego zawsze warto sprawdzić nie tylko czy sklep istnieje, ale co o nim mówią opinie z ostatnich kilku miesięcy i czy te opinie w ogóle dotyczą produktów, które obecnie oferuje.
Jak konkretnie działa mechanizm takich sklepów
Fałszywy sklep internetowy zazwyczaj działa według jednego z dwóch scenariuszy, a oba zaczynają się często tak samo – od sklonowania estetyki dobrze znanych marek lub stworzenia strony wyglądającej jak prawdziwy butik. Reklamy, najczęściej na Facebooku lub Instagramie, są kierowane precyzyjnie do grup o określonych zainteresowaniach, z pięknie dopracowanymi zdjęciami produktów skradzionymi z innych stron lub wygenerowanymi przez AI.
Scenariusz pierwszy to scam całkowity, czyli Ty płacisz, towar nigdy nie przychodzi, sklep znika lub ignoruje kontakt. Dane Twojej karty mogą trafić do przestępców i zostać użyte do dalszych transakcji.
Scenariusz drugi, który wystąpił właśnie w moim przypadku, to dropshipping z Chin, który funkcjonuje w szarej strefie. Sklep technicznie istnieje, towar przychodzi, ale jakość jest zupełnie inna niż na zdjęciach. Sprzedawca zamawia produkt bezpośrednio od chińskiego dostawcy, pakuje go w Chinach i wysyła do Ciebie, zarabiając na różnicy. Reklamacja jest praktycznie niemożliwa, bo sklep ma siedzibę gdzieś poza Polską, regulaminu brak lub jest totalnie niezrozumiały, a zwrot wymagałby odesłania paczki do Azji na własny koszt.
Różnica między tymi scenariuszami jest też istotna prawnie – w scamie całkowitym masz większe szanse na chargeback (cofnięcie transakcji przez bank), bo nie otrzymałaś żadnego towaru. W dropshippingowym scamie bank może odmówić zwrotu, bo formalnie towar do Ciebie dotarł.
10 sygnałów ostrzegawczych, które warto, abyś poznała
Poniżej znajdziesz tabelkę z sygnałami, które sprawdzone w odpowiednim momencie mogą uchronić Cię przed utratą pieniędzy na fałszywej stronie. Każdy z nich osobno nie musi oznaczać oszustwa, ale im więcej z nich zauważysz na jednej stronie, tym większą czujność powinnaś zachować.
| Sygnał ostrzegawczy | Co możesz sprawdzić? |
|---|---|
| Cena o 70-90% niższa niż rynkowa | Staraj się korzystaj z porównywarek np. Ceneo lub Allegro. Jeśli cena wygląda nieprawdopodobnie, zazwyczaj jest nieprawdopodobna 🙂 |
| Brak NIP / danych firmy | Sprawdź w CEIDG lub KRS. Każdy legalnie działający sklep musi podać swoje dane sprzedawcy |
| Domena .xyz, .shop lub literówka w nazwie | Jeśli zobaczysz ofertę w reklamie → wpisz nazwę sklepu w przeglądarce i dokładnie sprawdź jej adres url |
| Brak polskiego regulaminu i polityki zwrotów | Przejrzyj stopkę strony – to zazwyczaj tam wklejane są linki do regulaminów. Jeśli ich nie ma → zazwyczaj jest to duży red flag |
| Tylko przelew, BLIK bezpośredni lub nieznana bramka płatności | Sprawdź, czy są dostępne znane bramki płatności → PayU, tPay, Przelewy24. Blik przez standardową bramkę jest ok (choć często występuje już na scamowych stronach jako dostępna opcja płatności), podejrzany jest natomiast BLIK bezpośredni, czyli kod wysyłany do osoby, a nie bezpośrednio przez sklep |
| Błędy językowe, maszynowe tłumaczenie | Czytaj dokładnie opisy, czy są literówki, składania zdań jest kiepska → sklepy z chińskim dropshippingiem często mają automatycznie tłumaczony tekst |
| Brak opinii lub wyłącznie 5-gwiazdkowe recenzje | Sprawdź Opineo, Trustpilot, Google Reviews → zablokowane komentowanie to też sygnał ostrzegawczy |
| Niedawno założone konto w mediach społecznościowych | Sprawdź datę założenia profilu → fałszywe sklepy tworzą konta zazwyczaj przed kampanią reklamową |
| Adres e-mail na Gmailu lub Hotmailu | Legalne sklepy mają zazwyczaj firmową pocztę (zweryfikowaną domenę), a nie np. sklep_xyz@gmail.com |
| Presja czasowa: „tylko dziś!”, „ostatnie sztuki!” | Jest to klasyczny trick manipulacyjny stosowany przez oszustów, by wyłączyć Twój krytyczny osąd |
Proponuję Ci wprowadzenie jednego praktycznego nawyku, który może zmniejszyć ryzyko oszustwa – zanim klikniesz “zapłać” w nowym sklepie, wpisz jego nazwę w przeglądarce z dopiskiem “scam” lub “opinie”. Pięć minut weryfikacji przed zakupem, może uchronić Cię przed zakupem chińskiej podróby. 🙂
Inne oszustwa, przez które Polacy tracą pieniądze
Fałszywe sklepy to tylko jedno ze źródeł ataków. Cyberprzestępstwo jest obecnie rozwinięte na bardzo wysokim poziomie → firmy posiadają wyspecjalizowane działy, procesy i narzędzia, które są dostosowane do różnych grup odbiorców. Do obecnie najczęstszych zagrożeń można zaliczyć:
Smishing, czyli fałszywe smsy od kuriera
To jeden z najpowszechniejszych ataków na polskich użytkowników w ostatnich latach, który wciąż nie traci na popularności. Wiadomość przychodzi rzekomo od InPostu, DHL lub Poczty Polskiej i informuje o „wstrzymanej paczce”. Do jej odblokowania wystarczy dopłata 2,99 zł. Kliknięcie w link prowadzi do fałszywej bramki płatności, która wygląda identycznie jak prawdziwa, ale zamiast przetworzyć transakcję, kradnie dane Twojej karty płatniczej. Kwota 2,99 zł jest też celowo niska. Przestępcy wiedzą, że nikt nie będzie długo się zastanawiał nad tak drobną opłatą. Tymczasem skutek skorzystania z takiej bramki może być dużo poważniejszy, bo Twoje kompletne dane trafiają do rąk przestępców.
Pamiętaj, że żaden kurier nigdy nie wymaga dopłaty przez link lub w SMS-ie. Jeśli masz wątpliwości co do swojej paczki, wejdź na stronę kuriera bezpośrednio w swojej przeglądarce lub aplikacji i sprawdź ją w systemie.
Vishing i spoofing, czyli dzwoni Twój bank
Telefoniczne odmiany oszustw są dzisiaj wyjątkowo niebezpieczne, ponieważ przestępcy stosują tzw. spoofing. Jest to technika podrabiania numerów telefonów. Widzisz przychodzące połączenie, na ekranie wyświetla się numer infolinii Twojego banku, a głos po drugiej stronie słuchawki brzmi profesjonalnie i spokojnie. Po odebraniu słyszysz natomiast całą bankową, oficjalną formułkę i stwierdzenie, że “Zidentyfikowaliśmy podejrzaną transakcję na Pani koncie. Aby ją zablokować, proszę podać kod autoryzacyjny lub przelać środki na konto techniczne”. Ktoś niemający obycia w tego typu sprawach, w łatwy sposób może zostać oszukany.
Prawdziwy bank nigdy nie poprosi Cię o podanie kodu BLIK, przekazania środków na “konto techniczne”, czy też “konto bezpieczeństwa” ani też o zainstalowanie jakiegokolwiek zewnętrznego oprogramowania. Jeśli odbierzesz taki telefon, rozłącz się i zadzwoń na numer banku samodzielnie, wpisując go ręcznie.
Sama skala tego typu przestępstw jest w Polsce ogromna. W 2025 roku policjanci z Poznania rozbili grupę przestępczą, która tą metodą wyłudziła ponad 3 mln złotych od około 1 300 osób na terenie całego kraju.
Fałszywe platformy inwestycyjne
„Sprawdzona metoda na 30% miesięcznie”, „Elon Musk poleca kryptowaluty”, „Zainwestuj 500 zł i zarabiaj jak ekspert na rynku finansowym” – takie reklamy fałszywych platform inwestycyjnych zalewają media społecznościowe, często z twarzami znanych osób wygenerowanymi lub zmanipulowanymi cyfrowo. Po kliknięciu trafiasz na elegancką stronę, która wygląda jak profesjonalna platforma brokerska. Konsultant dzwoni, pomaga z Twoim pierwszym krokiem, a Ty widzisz, jak Twoje inwestycje rosną.
Pieniądze znikają razem z platformą w momencie, gdy próbujesz wypłacić zyski. Prokuratura Krajowa i CBZC prowadzą w Polsce liczne postępowania w sprawach takich oszustw. Ofiary tracą często kilkanaście lub kilkadziesiąt tysięcy złotych. Jeśli jakakolwiek platforma inwestycyjna obiecuje gwarantowane zyski lub niezwykłe stopy zwrotu, to powinna Ci się zapalić w głowie czerwona lampka. Każda inwestycja wiąże się z ryzykiem i nikt nie jest w stanie zagwarantować Ci potencjalnych zysków.
My same w Girls Money Club widzimy to na własne oczy. Regularnie dostajemy od Was wiadomości w stylu: „hej, czy to Wasz profil na Instagramie?” albo „cześć, czy to Wasza grupa na WhatsAppie?”. Odpowiedź brzmi: nie. Ktoś podszywa się pod GMC, aby dotrzeć do kobiet zainteresowanych finansami i inwestowaniem, czyli dokładnie do tej grupy, którą przestępcy uważają za wdzięczny cel dla oszustw inwestycyjnych. Jeśli masz wątpliwości, zawsze sprawdzaj bezpośrednio przez nasze oficjalne kanały lub napisz do nas na kontakt@girlsmoneyclub.pl
Era deepfake-ów
Rozwój sztucznej inteligencji umożliwił oszustom tworzenie realistycznych nagrań wideo i audio z wizerunkiem i głosem dowolnej osoby. Przytoczę Ci tu przypadek firmy Arup z 2024 roku, gdzie pracownik przelał 20 milionów funtów po wideokonferencji z „zarządem”, który okazał się wygenerowany przez AI i który stał się głośnym przykładem w skali globalnej. W Polsce deepfake jest na razie stosowany głównie w fałszywych reklamach inwestycyjnych z twarzami celebrytów, ale zasięg tej technologii będzie się na pewno rozszerzał.
Na jakie elementy powinnaś zwrócić uwagę? Dziwna mimika twarzy, nienaturalne ruchy ust, problemy z dźwiękiem lub ostrością przy obrzeżach twarzy. Jeśli cokolwiek budzi Twój niepokój, i cokolwiek wymaga szybkiej decyzji finansowej na podstawie nagrania, nie warto w to wchodzić.
Oszustwa na OLX i WhatsApp
Jeśli wystawiasz na sprzedaż rzeczy przez OLX lub Vinted musisz też uważać. Znanym sposobem oszustwa jest sytuacja, gdzie na WhatsApp zgłasza się do Ciebie kupujący i chce zapłacić za daną rzecz, przesyłając Ci specjalny link do odbioru pieniędzy. Strona wygląda jak serwis płatności, prosi o dane karty do weryfikacji lub potwierdzenia odbioru przelewu. Po wpisaniu swoich danych tracisz pieniądze, a towar zostaje przy Tobie.
Żadnych pieniędzy nie odbiera się przez dziwnie linki. Jeśli sprzedajesz coś w internecie, czekasz na przelew na swoje konto bankowe, płatność BLIKiem lub oficjalną informację z aplikacji, że pieniądze zostały przekazane.
BLIK na messengerze, czyli znajomy w tarapatach
To jedno z najdłużej działających i nadal jedno z najskuteczniejszych oszustw w Polsce. Działa dlatego, że uderza w naszą bardzo ludzką część, czyli chęć pomocy bliskim i znajomym w trudnej sytuacji. Przestępcy w tym przypadku włamują się na konto ofiary na Facebooku, a następnie z jej profilu piszą do wszystkich znajomych na Messengerze. Wiadomość wygląda oczywiście na taką, którą mógł wysłać Twój znajomy / znajoma, np.: “Hej, przydarzyła mi się strasznie głupia sytuacja, stoję przy kasie w sklepie i okazało się, że zapomniałam karty. Możesz mi podesłać 200 zł BLIKiem? Oddam jutro wieczorem”. Piszący zna Twoje imię, ma zdjęcie profilowe Twojej znajomej / znajomego, a wiadomość jest napisana naturalnie i bez błędów.
Gdy podasz kod BLIK, oszust stoi przy bankomacie i wypłaca pieniądze w ciągu kilkudziesięciu sekund i to zanim zdążysz cokolwiek zweryfikować. Kwoty są zazwyczaj niewielkie, bo jest to około 200, 300, max 500 złotych. Takie działanie jest też celowe, aby nie budzić podejrzeń i żeby ofiara nie zastanawiała się zbyt długo. Jeden sprawca może w ten sposób jednocześnie pisać do dziesiątek lub setek osób z listy znajomych przejętego konta.
Historia, która wyskoczyła mi przy scrollowaniu Facebooka – dziewczyna otrzymała prośbę o BLIKA od swojego taty… który zmarł kilka dni wcześniej. Po bardzo emocjonalnej wymianie wiadomości, oszust przyznał, że konto zostało skradzione i “poleca” tej dziewczynie napisać do METY o zamknięcie konta.
Zanim dasz komukolwiek kod BLIK na prośbę z dowolnego komunikatora, zadzwoń do tej osoby. Nie odpisuj na żadne wiadomości. Jeśli osoba odbierze telefon i potwierdzi tę wersję, to zaproponuj jej przelew BLIKA na telefon. Kilkanaście sekund rozmowy wystarczy, abyś uchroniła siebie i innych.
ClickFix
Na koniec zostawiłam coś, co w 2025 roku było najszybciej rosnącym źródłem ataków. Według danych z zeszłego roku, wykorzystanie tego typu oszustw wzrosło o ponad 500% w ciągu pół roku! Stanowi to zatem drugi najpopularniejszy sposób ataków zaraz po phishingu.
Polega na tym, że sama (nieświadomie z resztą) uruchamiasz złośliwe oprogramowanie na własnym komputerze. Mechanizm wygląda dość niewinnie – wchodzisz na stronę, która wyświetla komunikat w stylu “Twoja przeglądarka wymaga aktualizacji” lub “Zweryfikuj, że nie jesteś robotem”, klikasz przycisk, ale zamiast zwykłej weryfikacji, strona która otwiera się w tle bez Twojej wiedzy kopiuje do schowka złośliwe polecenie systemowe. Następnie otrzymujesz cykl instrukcji: naciśnij Win+R (otwiera się okienko Uruchom), potem Ctrl+V (wklejasz polecenie ze schowka, którego treści nawet nie widzisz), na końcu wciskasz Enter. W tym momencie uruchamia się skrypt instalujący oprogramowanie szpiegujące, kradnące hasła, dane do bankowości i zawartości portfeli kryptowalutowych.
I choć przez długi czas oszustwo to było wykorzystywane praktycznie wyłącznie w przypadku osób korzystających z Windowsa, użytkownicy Mac-ów od pewnego czasu również muszą zachować czujność. Instrukcje są aktywnie dostosowywane do macOS, gdzie zamiast polecenia Win+R pojawia się prośba o wciśnięcie Command+Spacja (otwiera się w tym przypadku Spotlight), a następnie wpisanie komendy Terminal i wklejenie polecenia.
Sam Mac ma dodatkowe mechanizmy obronne, które chronią użytkowników, a sama liczba wymaganych kroków jest większa, więc daje nam to nieco więcej czasu na zawahanie i ochronę przed atakiem. Specjaliści wskazują jednak, że najnowsze kampanie potrafią obejść te zabezpieczenia, jeśli użytkownik sam uruchomi polecenie w Terminalu, ponieważ system traktuje to jako świadomą decyzję właściciela komputera.
Najnowsze warianty ClickFix są też coraz sprytniejsze. Jeden z nich, opisany w marcu 2026 roku, podszywał się pod stronę weryfikacyjną Cloudflare, czyli usługę, z której korzysta ponad 24 miliony stron internetowych i którą użytkownicy kojarzą właśnie z bezpieczeństwem. Inny wariant wyświetlał pełnoekranowy, realistyczny ekran Windows Update, prosząc o wykonanie poleceń po rzekomym zakończeniu aktualizacji. Jeszcze inny ukrywał się jako rozszerzenie do przeglądarki (adblocker dostępny w oficjalnym sklepie Chrome), który najpierw celowo zawieszał przeglądarkę, a potem proponował jej naprawę.
Rzecz, którą w tym przypadku musisz zapamiętać – żadna strona internetowa, weryfikacja CAPTCHA, czy też żaden serwis aktualizacji nigdy nie poprosi Cię o otwarcie okna Uruchom (Win+R lub Command+Spacja) ani o wklejanie czegokolwiek w wierszu poleceń. Jeśli widzisz taką instrukcję, zamknij stronę.
Jak możesz się uchronić?
Sama wiedza o występujących zagrożeniach to już połowa sukcesu. Drugą połowę stanowią Twoje konkretne działania, które mogą zmniejszyć ryzyko zostania ofiarą oszustwa. Podzieliłam tę sekcję na cztery poziomy trudności, zacznij od pierwszego z nich i sukcesywnie wdrażaj kolejne.
Poziom 1 – podstawowy
Ten poziom zajmie Ci około 30 minut, więc jeśli w momencie czytania tego artykułu dysponujesz taką ilością czasu, zrób to od razu.
- Tam gdzie możesz, włącz uwierzytelnianie dwuskładnikowe (2FA). Dotyczy to wszystkich ważnych kont: poczty, banków, mediów społecznościowych.
- Zainstaluj menadżera haseł. Możesz tu wykorzystać bezpłatne rozwiązania, takie jak Bitwarden (który jest też w opcji płatnej – około 20$ za rok) lub płatne, takie jak np. 1password. Chodzi głównie o to, aby każdy Twój serwis miał inne, długie, trudne do odgadnięcia hasło – bo jeśli jedno wycieknie, reszta pozostaje bezpieczna.
- Sprawdź, czy Twoje dane już nie wyciekły – wejdź na stronę haveibeenpwned.com i wpisz tam swój adres e-mail. Jeśli pojawi się czerwone ostrzeżenie – zmień hasło do wymienionego serwisu i też do każdego innego, do którego używałaś tego samego hasła. Możesz też ustawić alert w BIK (dodatkowo płatny → około 50 zł na rok)
Poziom 2 – bezpieczne zakupy online
- Przed zakupem w jakimkolwiek nowym sklepie: sprawdź NIP sprzedawcy w CEIDG (ceidg.gov.pl), wyszukaj nazwę sklepu z dopiskiem „opinie” lub „scam” w Google, zerknij na datę założenia domeny (whois.domaintools.com).
- Płać kartą kredytową. Masz wtedy możliwość realizacji chargeback, czyli cofnięcia transakcji przez bank, gdy towar nie dotarł lub jest niezgodny z opisem. BLIK przez standardową bramkę sklepu jest wygodny i bezpieczny (nie ujawnia danych karty), ale nie daje automatycznego prawa do chargeback – reklamację rozpatrujesz z bankiem indywidualnie. Przelew na konto osoby fizycznej nie daje żadnej z tych opcji.
- Nigdy nie klikaj w linki z SMS-ów od kurierów. Wejdź na stronę lub aplikację kuriera ręcznie i tam sprawdź status przesyłki.
Poziom 3 – chroń swoją tożsamość
- Zastrzeż swój PESEL na stronie gov.pl/zastrzez-pesel lub w aplikacji “mObywatel”. Zrobisz to bezpłatnie i w kilka minut. Takie działanie może ochronić Cię przed wyłudzeniem kredytu lub pożyczki.
- Ustaw alert w BIK (bik.pl) – dostaniesz powiadomienie e-mailem lub SMS-em, gdy ktokolwiek sprawdzi Twoją zdolność kredytową lub złoży wniosek na Twoje dane.
- Regularnie sprawdzaj historię logowań w banku i na skrzynce e-mail. Większość serwisów pokazuje, z jakich urządzeń i miejsc ostatnio się logowałaś, więc łatwo jest to zweryfikować.
Poziom 4 – zaawansowana ochrona
- Używaj VPN w publicznych sieciach Wi-Fi, czyli np. na lotniskach, w kawiarni, w hotelu, bo są to miejsca, gdzie Twój ruch sieciowy może być podsłuchiwany.
- Zainstaluj antywirusa z modułem antyphishingowym → Bitdefender, ESET lub podobne narzędzia aktywnie ostrzegają przed szkodliwymi stronami, zanim na nie wejdziesz.
- Aktualizuj system operacyjny i aplikacje. Zdecydowana większość skutecznych ataków wykorzystuje znane luki w oprogramowaniu, które producenci już dawno łatają. Odkładanie aktualizacji to zaproszenie dla przestępców.
Co zrobić, jeśli zostałaś oszukana?
Wiele osób, które padły ofiarą cyberprzestępcy, czeka tygodniami zanim cokolwiek zrobi. Dzieje się tak z powodu wstydu, niedowierzania lub przekonania, że „i tak nic z tego nie będzie”. Tymczasem czas ma tu najważniejsze znaczenie. Oto co możesz zrobić krok po kroku.
- Natychmiast. Zablokuj kartę przez aplikację bankową (nie szukaj numeru telefonu, zrób to przez aplikację, bo to najszybsza droga). Zmień hasła do poczty i banku, jeśli podałaś gdziekolwiek dane logowania.
- W ciągu 24 godzin. Zgłoś sprawę do swojego banku i złóż wniosek o chargeback. Im szybciej zadziałasz, tym masz większe szanse na odzyskanie środków. Zgłoś incydent na incydent.cert.pl lub wyślij podejrzaną wiadomość SMS na numer 8080 (bezpłatny, działa całą dobę).
- Złóż zawiadomienie na policji. Bez tego kroku trudno będzie odzyskać pieniądze i trudniej organom ścigania ścigać sprawców. Cyberprzestępcy liczą na to, że ofiara się wstydzi i nie zgłosi.
Jeśli podałaś swoje dane osobowe (PESEL, numer dowodu), od razu zastrzeż PESEL w aplikacji mObywatel lub na stronie gov.pl. Możesz też zgłosić utratę kontroli nad danymi do Urzędu Ochrony Danych Osobowych.
I na samym końcu – nie masz tu powodu do wstydu. Oszustwa w 2026 są tak dopracowane i psychologicznie wyrafinowane, że dają się na nie nabrać osoby z doświadczeniem w branży technologicznej, prawnicy, lekarze czy też osoby z wykształceniem finansowym. Cyberprzestępcy szukają osób, które są rozproszone, zmęczone i zajęte codziennymi sprawami. Samo zgłoszenie sprawy to nie jest dowód Twojej słabości tylko jeden z elementów, który może uchronić kolejne osoby.
Podsumowanie
Wracając do mojej sukienkowej historii – jeśli poświęciłabym nieco więcej czasu na weryfikację sklepu, z pewnością ochroniłabym się przed oszustwem. Ale wiem też, że moje działanie wynikało głównie z pośpiechu, zbyt dużego zaufania i robienia zbyt wielu rzeczy jednocześnie – i może się to zdarzyć każdej z nas.
Bycie ostrożną w sieci, może dziś stanowić element naszej cyfrowej higieny – w Internecie znajdziesz mnóstwo wartości i możliwości, ale jest też pełen zastawionych pułapek, które są coraz trudniejsze do rozpoznania. Im wcześniej zbudujemy sobie kilka wartościowych nawyków → np. weryfikacja przed kliknięciem, tym mniej nerwów i pieniędzy możemy stracić.
Jeśli chcesz regularnie zwiększać swoją wiedzę z zakresu finansów i bezpieczeństwa w sieci, zapraszam Cię do naszego Klubu Inwestorek, czyli miejsca, gdzie porządkujemy finanse i świadome korzystanie z cyfrowego świata krok po kroku.
