Vishing to oszustwo telefoniczne, w którym przestępca dzwoni do ofiary, podszywa się pod pracownika banku, ZUS, policji lub innej instytucji i próbuje wyłudzić dane logowania, kody BLIK, PIN lub nakłonić do przelewu pieniędzy na „bezpieczne konto”. Przeciętna strata w jednym zdarzeniu waha się od kilku do kilkudziesięciu tysięcy złotych, a w skrajnych przypadkach ofiary tracą oszczędności całego życia – jedna z udokumentowanych spraw dotyczyła 71-letniej kobiety, która straciła blisko 200 tysięcy złotych. Globalne straty z vishingu szacuje się na ponad 40 miliardów dolarów rocznie. W 2026 roku vishing nie jest już wyłącznie domeną prymitywnych telefonicznych naciągaczy. Przestępcy korzystają z deepfake’ów głosowych tworzonych przez sztuczną inteligencję, zaawansowanego spoofingu numerów telefonu, który sprawia że na wyświetlaczu widzisz prawdziwy numer banku, i precyzyjnie skryptowanych scenariuszy rozmów. Jeśli do tej pory myślałeś, że to rodzaj oszustwa, na który nabrać się mogą tylko starsze osoby, ten artykuł może Cię zaskoczyć – i potencjalnie uchronić przed stratą.
Czym jest vishing i jak różni się od phishingu?
Vishing (z angielskiego: voice phishing) to oszustwo realizowane przez rozmowę telefoniczną. Nazwa jest połączeniem słów „voice” (głos) i „phishing”, który oznacza wyłudzanie danych przez fałszywe e-maile lub strony internetowe. W vishingu kanałem ataku jest rozmowa – żywa lub zautomatyzowana.
W Polsce vishing najczęściej przyjmuje postać telefonu od osoby podającej się za:
- pracownika działu bezpieczeństwa banku
- konsultanta infolinii bankowej
- pracownika ZUS lub urzędu skarbowego
- policjanta lub prokuratora
- konsultanta technicznego dużej firmy (Microsoft, Orange, Play)
Kluczem do skuteczności vishingu nie jest zaawansowana technologia – to socjotechnika. Przestępcy są mistrzami manipulacji emocjonalnej. Wywołują strach, poczucie zagrożenia i presję czasu, które wyłączają racjonalne myślenie i skłaniają do działania bez zastanowienia.
Vishing, phishing, smishing – czym się różnią?
| Rodzaj ataku | Kanał | Co wyłudza |
|---|---|---|
| Vishing | Rozmowa telefoniczna | Dane logowania, kody, pieniądze przez przelew |
| Phishing | E-mail lub fałszywa strona | Dane logowania, dane karty, hasła |
| Smishing | SMS z linkiem | Dane logowania, dane karty, instalacja złośliwego oprogramowania |
| Spoofing | Podszywanie pod numer telefonu | Wspiera vishing – sprawia że numer wygląda wiarygodnie |
Jak działa oszustwo „na konsultanta banku”? Typowy scenariusz
To najczęstszy wariant vishingu w Polsce. Poniżej rekonstrukcja rozmowy, którą tysiące Polaków odbiera każdego roku.
Etap 1: Nawiązanie kontaktu i budowanie wiarygodności
Telefon. Na wyświetlaczu widzisz numer banku – taki sam, jaki masz zapisany w kontaktach lub widnieje na odwrocie Twojej karty. Głos brzmi profesjonalnie i spokojnie. Mężczyzna lub kobieta wita się, podaje imię i przedstawia się jako pracownik działu bezpieczeństwa banku.
„Dzień dobry, nazywam się Marcin Kowalski, jestem z departamentu bezpieczeństwa Banku XYZ. Dzwonię, ponieważ na Pana/Pani koncie odnotowaliśmy podejrzaną aktywność.”
Etap 2: Wywołanie strachu i presji czasu
Oszust informuje, że ktoś właśnie próbuje zalogować się na Twoje konto z nieznanego urządzenia, albo że chwilę temu zainicjowany został przelew na 3000 zł, którego nie rozpoznajesz. Mówi szybko, z powagą. Sugeruje, że masz mało czasu na reakcję, bo jeśli tego nie zatrzymają „teraz”, pieniądze znikną bezpowrotnie.
Etap 3: Żądanie danych lub działania
Tu następuje właściwy atak. Oszust prosi o:
- potwierdzenie tożsamości przez podanie numeru PESEL, daty urodzenia lub numeru dowodu
- podanie kodu z wiadomości SMS („żeby zablokować podejrzaną transakcję”)
- zalogowanie się do bankowości i wejście w konkretną sekcję
- zainstalowanie aplikacji do „zdalnej weryfikacji” (w rzeczywistości trojana dającego dostęp do telefonu)
- wykonanie przelewu na „bezpieczne konto techniczne” (które jest kontem przestępcy)
Etap 4: Zacieranie śladów
Po uzyskaniu tego, czego potrzebuje, oszust może poprosić Cię o nieinformowanie nikogo o rozmowie „ze względów bezpieczeństwa i trwającego postępowania” lub polecić usunięcie historii logowań.
Kluczowa informacja: Żaden bank – absolutnie żaden – nie prosi klientów o podanie pełnego hasła, kodu PIN, kodu CVV ani kodu SMS przez telefon. Jeśli rozmówca o to pyta, jest to zawsze próba oszustwa.
Jak działa oszustwo „na pracownika ZUS”?
Schemat jest podobny do bankowego, ale scenariusz jest inny. Ten wariant vishingu szczególnie często celuje w starsze osoby, emerytów i rencistów.
Typowy przebieg rozmowy
Dzwoni „pracownik ZUS” lub „urzędu skarbowego”. Informuje, że:
- wystąpił problem z wypłatą emerytury lub renty i konieczna jest „weryfikacja danych”
- ZUS wykrył próbę wyłudzenia świadczeń na dane ofiary i potrzebuje pilnej weryfikacji
- konieczna jest aktualizacja danych bankowych, bo „stary numer konta wygasł”
- ofiara ma niezapłacone zobowiązanie wobec ZUS i grozi jej egzekucja
Następnie oszust prosi o podanie numeru PESEL, numeru konta bankowego, serii i numeru dowodu osobistego, a czasem o przelanie „zaliczki” lub „opłaty weryfikacyjnej”.
Co ZUS nigdy nie robi przez telefon?
- Nie prosi o podanie pełnych danych logowania do konta na PUE
- Nie żąda wpłat ani opłat przez telefon
- Nie prosi o przelewy na „nowe konta weryfikacyjne”
- Nie grozi natychmiastową egzekucją bez wcześniejszego pisemnego wezwania
- Nie prosi o podanie numeru CVV karty płatniczej
Zasada: ZUS, urząd skarbowy ani żadna inna instytucja publiczna nie inicjuje weryfikacji finansowej przez niespodziewany telefon. Wszystkie poważne sprawy są poprzedzone pisemną korespondencją.
Spoofing numerów telefonu – dlaczego widzisz prawdziwy numer banku?
To jeden z najtrudniejszych do zrozumienia aspektów współczesnego vishingu. Wiele osób mówi: „Wiedziałam, że to bank, bo widziałam ich numer.” To właśnie na tym polega pułapka.
Spoofing telefoniczny to technologia, która pozwala przestępcy wyświetlić na wyświetlaczu ofiary dowolny numer telefonu – w tym oficjalny numer infolinii banku, numer na odwrocie karty czy numer ZUS widniejący na jego stronie internetowej. Nie ma żadnej technicznej bariery, która to uniemożliwia w obecnych sieciach VoIP.
Jak rozpoznać, że numer może być sfałszowany?
Sfałszowanego numeru nie da się rozpoznać po wyglądzie – tak zaprojektowane jest VoIP. Ale możesz postępować według kilku zasad:
- Nie ufaj wyświetlanemu numerowi przy nieoczekiwanym połączeniu przychodzącym. Bank, który sam do Ciebie dzwoni ze sprawy bezpieczeństwa, zawsze rozumie, że masz prawo się rozłączyć i oddzwonić samodzielnie.
- Rozłącz się i zadzwoń sam. Użyj numeru z oficjalnej strony internetowej banku, z odwrocia karty lub z umowy. Nie oddzwaniaj na numer, z którego ktoś do Ciebie dzwonił.
- Nie ufaj „potwierdzeniom” przez ten sam kanał. Jeśli rozłączysz się i ten sam numer oddzwoni z „potwierdzeniem” – to wciąż może być oszust.
10 sygnałów ostrzegawczych, że rozmawiasz z oszustem
Poniżej lista konkretnych czerwonych flag. Jeden sygnał to powód do czujności. Dwa lub więcej to sygnał, żeby się natychmiast rozłączyć.
| # | Sygnał ostrzegawczy | Co oznacza |
|---|---|---|
| 1 | Nieoczekiwany telefon „od banku” lub „od ZUS” z pilną sprawą | Instytucje rzadko inicjują nagłe telefony bezpieczeństwa |
| 2 | Presja czasu – „musi Pan/Pani zareagować teraz” | Klasyczna technika manipulacji emocjonalnej |
| 3 | Prośba o podanie hasła, PIN, kodu SMS lub CVV | Bank nigdy o to nie pyta |
| 4 | Prośba o przelew na „bezpieczne konto” lub „konto techniczne” | Banki nie mają „kont technicznych” dla klientów |
| 5 | Prośba o instalację aplikacji (AnyDesk, TeamViewer, inne) | To narzędzia zdalnego dostępu – po instalacji oszust widzi Twój ekran |
| 6 | Zakaz informowania rodziny lub innych pracowników banku | Legalny pracownik banku nigdy tak nie mówi |
| 7 | Prośba o wypłacenie gotówki i przekazanie kurierowi | To zawsze oszustwo |
| 8 | Rozmówca zna część Twoich danych (np. imię, część numeru PESEL) | Dane te są łatwo dostępne z wycieków – nie świadczą o autentyczności |
| 9 | Połączenie z „kolejnym specjalistą” lub „oficerem śledczym” | Eskalacja ma zwiększyć wiarygodność i presję |
| 10 | Rozmówca prosi o nie rozłączanie się „ze względów bezpieczeństwa” | To manipulacja – masz prawo rozłączyć się zawsze |
Deepfake głosowy – nowa broń vishera w 2026 roku
To temat, który jeszcze dwa lata temu brzmiał jak science fiction. Dziś to realne zagrożenie, z którym mierzą się nie tylko zwykli użytkownicy, ale i firmy.
Deepfake głosowy to plik audio wygenerowany przez sztuczną inteligencję, który naśladuje głos konkretnej osoby. Narzędzia do klonowania głosu są dziś dostępne online, często za darmo lub za kilkanaście dolarów miesięcznie. Wystarczy kilkanaście sekund nagranego głosu – zaczerpniętego z Instagrama, TikToka, YouTube’a lub nagrania ze spotkania – żeby stworzyć model zdolny wypowiedzieć dowolny tekst brzmiący jak oryginał.
Jak przestępcy wykorzystują deepfake głosowy?
W kontekście vishingu deepfake pojawia się na dwa sposoby:
Podszywanie pod bliskich – do ofiary dzwoni „wnuczek”, „syn” lub „córka” z informacją, że wpadł w tarapaty – wypadek, aresztowanie, dług – i potrzebuje pilnie pieniędzy. Głos brzmi znajomo. Ofiary przesyłają tysiące złotych, nim ktokolwiek sprawdzi, co naprawdę się stało.
Podszywanie pod przełożonych w firmach (CEO Fraud) – do działu księgowości dzwoni głos brzmiący jak prezes lub dyrektor z prośbą o pilny przelew. Liczba takich ataków na firmy wzrosła w 2025 roku globalnie o 442%.
Jak bronić się przed deepfake głosowym?
- Ustal z rodziną i bliskimi umówione słowo-kod – proste zdanie lub słowo, którego nie ma w sieci, a które weryfikuje, że rozmawiacie naprawdę ze sobą
- Przy prośbie o pieniądze od „bliskiej osoby” przez telefon – zawsze rozłącz się i oddzwoń na znany numer lub zadzwoń do kogoś innego z rodziny
- W firmach wprowadź procedury wymagające pisemnej autoryzacji dla każdego przelewu powyżej określonej kwoty, niezależnie od telefonicznego polecenia
Jak zweryfikować, że rozmówca jest prawdziwym pracownikiem banku?
Weryfikacja jest prosta, ale wymaga jednej rzeczy: rozłączenia się. To jest krok, którego większość ofiar nie robi, bo boi się, że „straci czas” albo „obrazi konsultanta”. Prawdziwy pracownik banku nigdy nie będzie miał pretensji o to, że chcesz się rozłączyć i oddzwonić samodzielnie.
Krok po kroku: jak sprawdzić tożsamość rozmówcy
Krok 1 – Rozłącz się grzecznie Powiedz: „Dziękuję za informację. Rozłączę się teraz i samodzielnie zadzwonię na infolinię banku, żeby zweryfikować sprawę.” Nie podawaj żadnych danych przed tym krokiem.
Krok 2 – Odczekaj co najmniej minutę Przestępcy korzystają z technik utrzymywania połączenia otwartego. Po rozłączeniu odczekaj chwilę, zanim zadzwonisz pod inny numer.
Krok 3 – Zadzwoń na oficjalny numer Użyj numeru z:
- oficjalnej strony internetowej banku (wpisując adres ręcznie, nie przez wyszukiwarkę)
- odwrocia karty płatniczej
- umowy z bankiem
Krok 4 – Zapytaj wprost Powiedz obsłudze infolinii, że chwilę temu dzwonił „pracownik banku” z informacją o podejrzanej transakcji. Zapytaj, czy to prawda i czy na koncie jest cokolwiek niepokojącego.
Złota zasada: Jeśli rozmówca mówi, żebyś się nie rozłączał – to jest najsilniejszy sygnał, że masz do czynienia z oszustem. Natychmiast się rozłącz.
Co zrobić, jeśli podałeś dane lub przelałeś pieniądze?
Czas jest tu absolutnie kluczowy. Według dostępnych danych tylko 12% ofiar odzyskuje pełną kwotę, 31% odzyskuje ją częściowo, a 57% traci wszystko. Szybka reakcja dramatycznie zwiększa szanse na odzyskanie środków.
Działaj natychmiast – plan krok po kroku
Krok 1 – Zadzwoń do banku i zablokuj konto Skontaktuj się z bankiem telefonicznie lub przez aplikację i poproś o natychmiastowe zablokowanie konta oraz wszelkich transakcji wychodzących. Powiedz wprost, że padłeś ofiarą oszustwa telefonicznego.
Krok 2 – Zablokuj kartę i zmień hasła Zablokuj wszystkie karty powiązane z kontem. Zmień hasło do bankowości internetowej i aplikacji mobilnej. Jeśli zainstalowałeś jakąkolwiek aplikację na prośbę rozmówcy – natychmiast ją usuń i rozważ przywrócenie fabrycznych ustawień telefonu.
Krok 3 – Zgłoś na policję Złóż zawiadomienie o popełnieniu przestępstwa na najbliższym komisariacie lub przez internet (policja.gov.pl). Zachowaj numer sprawy – będzie potrzebny przy reklamacji w banku.
Krok 4 – Złóż reklamację w banku Napisz reklamację opisującą dokładnie przebieg zdarzenia. Bank ma obowiązek ją rozpatrzyć. Dołącz potwierdzenie zawiadomienia złożonego na policji.
Krok 5 – Zgłoś do CERT Polska CERT Polska (cert.pl) to instytucja zajmująca się cyberbezpieczeństwem w Polsce. Zgłoszenia pomagają ostrzec innych i umożliwiają blokowanie szkodliwych numerów.
Ważne: Nie niszcz dowodów. Nie usuwaj wiadomości SMS, historii połączeń ani aplikacji, zanim nie skonsultujesz się z policją. Mogą być dowodem w sprawie.
Kto najczęściej pada ofiarą vishingu?
Powszechne przekonanie mówi, że vishing to zagrożenie wyłącznie dla seniorów. To niebezpieczny mit, który fałszywie uspokaja młodszych dorosłych.
Profil ofiar vishingu
| Grupa | Dlaczego jest narażona | Typowy scenariusz ataku |
|---|---|---|
| Seniorzy (65+) | Mniejsza znajomość technologii, zaufanie do instytucji, lęk przed utratą emerytury | Fałszywy ZUS, policjant, wnuczek |
| Osoby 40-65 | Posiadają znaczące oszczędności, aktywni użytkownicy bankowości | Fałszywy konsultant bezpieczeństwa banku |
| Młodzi dorośli (20-40) | Szybkie, impulsywne decyzje, zaufanie do technologii | Fałszywy support techniczny, oszustwo „na inwestycje” |
| Pracownicy firm | Presja hierarchii, odpowiedzialność służbowa | CEO Fraud, fałszywy helpdesk IT, fałszywy klient |
Socjotechnika działa na każdego – różnią się tylko scenariusze. Osoby, które uważają się za „niemożliwe do oszukania”, są paradoksalnie bardziej narażone, bo ich czujność jest uśpiona.
Czy banki zwracają pieniądze po vishingu?
To jedno z najczęstszych pytań zadawanych po zdarzeniu. Krótka odpowiedź brzmi: to zależy, i nie jest to prosta sprawa.
Kiedy bank może zwrócić pieniądze?
Banki rozpatrują każdy przypadek indywidualnie. Szanse na odzyskanie środków są wyższe, gdy:
- Przelew zlecił sam pracownik banku (bez udziału klienta) po wyłudzeniu danych logowania
- Klient nie podał danych autoryzacyjnych, ale oszust uzyskał dostęp przez złośliwe oprogramowanie
- Klient niezwłocznie zgłosił sprawę i zablokował konto
Szanse są niższe lub zerowe, gdy:
- Klient samodzielnie autoryzował przelew kodem SMS (świadomie lub nieświadomie)
- Klient zainstalował aplikację zdalnego dostępu i aktywnie współpracował z oszustem
- Zgłoszenie nastąpiło po kilku dniach
Dyrektywa PSD2 a odpowiedzialność banku
Dyrektywa PSD2 przewiduje, że bank odpowiada za nieautoryzowane transakcje, chyba że udowodni, że klient działał rażąco niedbale. „Rażące niedbalstwo” to właśnie podanie kodu SMS osobie trzeciej. To dlatego reklamacje po vishingu bywają odrzucane – klient technicznie autoryzował transakcję, nawet jeśli zrobił to w wyniku manipulacji.
Mimo to warto zawsze złożyć reklamację i – jeśli bank odmówi – odwołać się do Rzecznika Finansowego.
Jak chronić bliskich – seniorów – przed vishingiem?
Rozmowa z rodzicem lub dziadkiem na ten temat bywa trudna. Nikt nie chce sugerować, że bliska osoba może dać się oszukać. Ale ta rozmowa może uchronić ją przed utratą życiowych oszczędności.
Praktyczne wskazówki dla rodzin
Ustal słowo-kod z rodziną Zdecydujcie razem na jedno słowo lub zdanie, którego użyjecie, jeśli ktokolwiek będzie chciał zweryfikować, że naprawdę rozmawia z Wami. Nie mówcie o nim publicznie. Jeśli „wnuczek” dzwoni z prośbą o pieniądze i nie zna słowa-kodu – to nie wnuczek.
Wytłumacz zasadę „rozłącz i oddzwoń” Ćwiczcie to razem. Powiedz: „Jeśli zadzwoni do Ciebie bank lub ZUS z pilną sprawą, rozłącz się i zadzwoń do mnie. Razem oddzwonimy na oficjalny numer.” Prosty nawyk może uratować oszczędności.
Zainstaluj aplikację blokującą spam Aplikacje takie jak Truecaller lub Hiya automatycznie oznaczają podejrzane numery lub je blokują. Na telefonach seniorów mogą być pierwszą linią obrony.
Rozmawiaj otwarcie i bez oceniania Jeśli starszy bliski poinformuje Cię o podejrzanym telefonie – nie reaguj krytyką ani śmiechem. Chcesz, żeby następnym razem też Ci o tym powiedział. Reaguj spokojnie, pomóż sprawdzić sytuację i pochwal za czujność.
Gdzie zgłaszać próby vishingu?
Zgłaszanie prób oszustwa jest ważne nie tylko dla Twojej sprawy. Każde zgłoszenie zasila bazy danych, które pomagają blokować przestępców i chronić kolejnych potencjalnych ofiar.
| Instytucja | Gdzie zgłosić | Co zgłaszać |
|---|---|---|
| CERT Polska | cert.pl / numer 8080 (fałszywe SMS) | Podejrzane połączenia, SMS, linki |
| Policja | Komisariat lub policja.gov.pl | Próba oszustwa, utrata pieniędzy |
| Bank | Infolinia lub oddział | Każda próba wyłudzenia danych |
| UKNF | knf.gov.pl | Podszywanie pod licencjonowane instytucje finansowe |
| Rzecznik Finansowy | rf.gov.pl | Odmowa zwrotu przez bank po oszustwie |
Podsumowanie – jak rozpoznać vishing i co zrobić?
5 zasad, które ochronią Cię przed vishingiem
Zasada 1: Rozłącz się i oddzwoń sam To najskuteczniejsza ochrona. Żaden prawdziwy bank ani instytucja nie będzie miała pretensji o to, że chcesz zweryfikować rozmówcę przez oficjalny kanał.
Zasada 2: Nie podawaj żadnych kodów, haseł ani PIN przez telefon Bank nigdy o to nie pyta. Nigdy. Żadne okoliczności tego nie usprawiedliwiają.
Zasada 3: Nie instaluj aplikacji na prośbę rozmówcy AnyDesk, TeamViewer, QuickSupport – jeśli ktoś prosi Cię o instalację czegokolwiek „w celu weryfikacji”, to próba przejęcia kontroli nad Twoim urządzeniem.
Zasada 4: Ustal słowo-kod z rodziną Jeden umówiony zwrot może uratować oszczędności w sytuacji, gdy dzwoni „bliski w tarapatach”.
Zasada 5: Jeśli coś budzi wątpliwości – to jest właśnie wątpliwość Twój instynkt działa. Jeśli coś w rozmowie wydaje Ci się dziwne, masz pełne prawo się rozłączyć.
Tabela: co robić, a czego unikać
| Co robić | Czego unikać |
|---|---|
| Rozłącz się i oddzwoń na oficjalny numer | Oddzwaniania na numer, z którego dzwonił „bank” |
| Zgłoś próbę oszustwa do banku i CERT | Podawania kodów SMS, PIN, CVV przez telefon |
| Ustal słowo-kod z rodziną | Instalowania aplikacji na prośbę rozmówcy |
| Poinformuj bliskich o próbie oszustwa | Przelewania pieniędzy na „bezpieczne konto” |
| Złóż reklamację i zawiadom policję | Usuwania dowodów (wiadomości, historii połączeń) |
Vishing w 2026 roku to nie oszustwo dla naiwnych. To precyzyjne, psychologicznie dopracowane narzędzie, które działa na każdego, kto w danym momencie nie jest przygotowany. Znajomość schematów ataku, kilka prostych nawyków i otwarta rozmowa z bliskimi to Twoja najskuteczniejsza ochrona.
