Ułatwienia dostępu

Przejdź do głównej treści
  • Bezpieczeństwo elektronicznych kanałów dostępu

    Bezpieczeństwo elektronicznych kanałów dostępu

    Poniżej przedstawiamy najważniejsze zasady bezpieczeństwa oraz realne scenariusze ataków obserwowane w sektorze bankowym

    Korzystanie z bankowości internetowej i aplikacji mobilnej jest wygodne i bezpieczne – pod warunkiem zachowania podstawowych zasad ostrożności

    Cyberprzestępcy nie atakują systemów bankowych wprost. Najczęściej atakują… użytkownika. Manipulują, wywołują presję, podszywają się pod bank, firmę kurierską lub kupującego. Wykorzystują nieuwagę i pośpiech. Dlatego przygotowaliśmy dla Państwa najważniejsze zasady bezpieczeństwa – zgodne z rekomendacjami instytucji zajmujących się cyberbezpieczeństwem, m.in. CERT Polska.

    5 fundamentów bezpiecznego dostepu do usług Bankowych

    Ochrona danych
    Przejdź do zakładki
    Bezpieczny telefon
    Przejdź do zakładki
    Bezpieczny komputer
    Przejdź do zakładki
    Rozpoznawanie oszustw
    Przejdź do zakładki
    Świadome operacje
    Przejdź do zakładki

    Ochrona danych - chroń swoje dane dostępowe

    Zasady bezpieczeństwa:

    • nie udostępniaj nikomu loginu i hasła – nawet członkom rodziny
    • nie podawaj kodów SMS ani kodów z aplikacji podczas rozmowy telefonicznej
    • nie wpisuj danych logowania na stronach otwartych z linków otrzymanych w wiadomościach
    • nie zapisuj haseł w przeglądarce, szczególnie na współdzielonym komputerze
    • nie przechowuj loginu i hasła w jednym miejscu (np. kartka w portfelu)
    • stosuj silne, unikalne hasła – inne do banku, inne do poczty i portali społecznościowych
    • regularnie zmieniaj hasło, jeżeli masz podejrzenie, że mogło zostać ujawnione

    Bank nigdy nie prosi o podanie pełnego hasła ani o przekazanie kodu autoryzacyjnego.

    Jak budować silne hasła?

    Poczta elektroniczna, konto bankowe, platformy społecznościowe… Cyberprzestępcy będą próbowali dotrzeć wszędzie tam, gdzie znajdują się nasze dane, wrażliwe informacje czy pieniądze. Jak się przed nimi bronić? I czy to w ogóle możliwe?

    Zachęcamy do zapoznania się z plakatem informacyjnym (kliknij aby wyświetlić) oraz nagraniem przygotowanym przez CERT Polska!

    Bezpieczny telefon - zapewnij bezpieczeństwo dla swoich danych

    Dbaj o:

    • blokadę ekranu (PIN, hasło, odcisk palca, rozpoznawanie twarzy)
    • automatyczną blokadę po krótkim czasie bezczynności
    • regularne aktualizacje systemu operacyjnego
    • instalowanie aplikacji wyłącznie z oficjalnego sklepu (Google Play / App Store)
    • usuwanie nieużywanych aplikacji
    • wyłączanie nieznanych uprawnień aplikacji

    Czego unikać:

    • instalowania aplikacji do „zdalnej pomocy” na prośbę osoby podającej się za pracownika banku
    • klikania w linki z SMS-ów o „blokadzie konta” lub „dopłacie do przesyłki”
    • instalowania aplikacji pobieranych spoza oficjalnych dystrybucji 

    Coraz częściej przestępcy próbują przejąć kontrolę nad telefonem poprzez instalację oprogramowania zdalnego dostępu – o czym ostrzega m.in. CERT Polska.

    Bezpieczny komputer - zapewnij bezpieczeństwo dla swoich danych

    Podstawowe zasady:

    • korzystaj z aktualnego i wspieranego systemu operacyjnego
    • instaluj wszystkie poprawki bezpieczeństwa
    • używaj legalnego oprogramowania
    • stosuj aktualny program antywirusowy
    • korzystaj z zapory sieciowej (firewall)
    • aktualizuj przeglądarkę internetową

    Podczas logowania:

    • zawsze sprawdź, czy adres rozpoczyna się od https://
    • zweryfikuj certyfikat bezpieczeństwa (symbol kłódki)
    • upewnij się, że domena jest prawidłowa (brak literówek)

    Dodatkowo:

    • unikaj logowania na komputerach publicznych (np. w hotelach, kawiarniach)
    • nie korzystaj z nieznanych sieci Wi-Fi bez odpowiednich zabezpieczeń
    • po zakończeniu pracy zawsze używaj przycisku „Wyloguj”

    Większość zagrożeń rozpoczyna się od kliknięcia w złośliwy link lub otwarcia nieznanego załącznika – dlatego zachowuj ostrożność przy odbieraniu wiadomości e-mail i SMS.

    Rozpoznawanie oszustw - nie daj się zmanipulować!

    Cyberprzestępcy wykorzystują

    • presję czasu („natychmiastowe działanie”)
    • strach („ktoś próbuje ukraść Twoje pieniądze”)
    • okazję („szybka sprzedaż przedmiotu”)
    • autorytet („dzwoni pracownik banku”)

    Ataki mają wspólny schemat

    1. Kontakt i wzbudzenie emocji
      Strach, okazja, presja czasu.

    2. Przekierowanie na fałszywą stronę lub rozmowę telefoniczną
      Budowanie zaufania.

    3. Uzyskanie danych logowania lub kodu autoryzacyjnego
      Kluczowy moment ataku.

    4. Wykonanie operacji za zgodą klienta
      Zatwierdzenie SMS-em lub w aplikacji.

    Zgodnie z komunikatami publikowanymi przez CERT Polska, zdecydowana większość incydentów dotyczy socjotechniki – a nie technicznego włamania.

    Najczęstsze scenariusze ataków

    Oszustwo przy sprzedaży internetowej

    To obecnie jeden z najczęstszych ataków.

    Jak działa schemat?
    1. Klient wystawia przedmiot na portalu ogłoszeniowym.
    2. Oszust szybko zgłasza chęć zakupu.
    3. Informuje, że „opłacił już przesyłkę” lub „środki są zablokowane”.
    4. Wysyła link do rzekomego „formularza odbioru płatności”.
    5. Strona do złudzenia przypomina bank lub operatora płatności.
    6. Klient podaje dane logowania.
    7. Otrzymuje SMS z kodem.
    8. Kod zatwierdza przelew wychodzący lub dodanie nowego odbiorcy.
    Na co zwrócić uwagę?
    • Sprzedający nie musi wykonywać żadnego przelewu, aby otrzymać pieniądze.
    • Kupujący nie wysyła linku do banku.
    • Nie istnieje coś takiego jak „potwierdzenie odbioru środków przelewem”.
    • Kod SMS może zatwierdzać operację wychodzącą – zawsze czytaj jego treść.

    Jeżeli ktoś wymaga od Ciebie zalogowania się przez przesłany link – to sygnał ostrzegawczy.

    Fałszywy telefon z banku

    Atak opiera się na wzbudzeniu strachu.

    Przebieg:
    1. Dzwoni osoba podająca się za pracownika banku.
    2. Informuje o rzekomej próbie kradzieży środków.
    3. Twierdzi, że „trwa atak na Twoje konto”.
    4. Proponuje „zabezpieczenie środków”.
    5. Prosi o podanie kodu SMS.
    6. Czasem nakłania do instalacji aplikacji do zdalnej obsługi (np. do „pomocy technicznej”).
    7. W rzeczywistości realizuje przelew na rachunek przestępcy.
    Charakterystyczne elementy:
    • presja czasu,
    • zakaz rozłączania się,
    • budowanie zaufania poprzez podanie części prawdziwych danych (np. imienia),
    • polecenie przelania środków na „rachunek techniczny”.

    Pamiętaj!

    Pracownik banku:
    • nie prosi o hasło,
    • nie prosi o pełny kod SMS,
    • nie poleca instalacji dodatkowego oprogramowania,
    • nie każe przelewać pieniędzy na „bezpieczne konto”.

    Jeżeli masz wątpliwości – rozłącz się i samodzielnie zadzwoń na oficjalny numer banku.

    Fałszywe SMS-y i e-maile

    To atak masowy – wysyłany do tysięcy osób.

    Typowe treści:
    • „Twoje konto zostanie zablokowane”
    • „Nieudana płatność”
    • „Dopłata do przesyłki”
    • „Aktualizacja danych”
    Mechanizm:
    1. Klient otrzymuje wiadomość z linkiem.
    2. Kliknięcie prowadzi do strony imitującej bank.
    3. Wpisane dane trafiają do przestępcy.
    4. Następnie wysyłany jest kod SMS.
    5. Klient zatwierdza operację, nie czytając jej treści.
    Na co zwrócić uwagę?
    • nietypowy adres nadawcy,
    • skrócone linki,
    • literówki w adresie strony,
    • komunikaty o natychmiastowej blokadzie.

    Zawsze dokładnie czytaj treść komunikatu autoryzacyjnego – zawiera on kwotę i numer rachunku odbiorcy.

    Jeżeli SMS dotyczy przelewu, którego nie zlecałeś – nie zatwierdzaj operacji.

    Oszustwo „na BLIK” przez komunikator

    Ten schemat opiera się na przejęciu konta w mediach społecznościowych.

    Przebieg:
    1. Przestępca przejmuje konto znajomego w mediach społecznościowych.
    2. Pisze do ofiary: „Potrzebuję pilnie kodu BLIK”.
    3. Twierdzi, że nie może zapłacić w sklepie lub odebrać przesyłki.
    4. Prosi o szybkie podanie kodu.
    5. Ofiara podaje kod.
    6. Przestępca wypłaca gotówkę z bankomatu.
    Na co uważać?
    • nietypowa prośba o pieniądze przez komunikator,
    • presja czasu,
    • brak możliwości rozmowy telefonicznej.

    Zawsze zadzwoń do znajomego i potwierdź prośbę.

    Fałszywe inwestycje (kryptowaluty, akcje, „gwarantowany zysk”)

    To jeden z najbardziej kosztownych schematów oszustw.

    Jak działa mechanizm?
    1. Klient widzi reklamę w mediach społecznościowych lub na stronie internetowej.
    2. Reklama obiecuje szybki i wysoki zysk (np. z kryptowalut, akcji, surowców).
    3. Po wypełnieniu formularza kontaktuje się „doradca inwestycyjny”.
    4. Klient jest proszony o wpłatę pierwszej niewielkiej kwoty.
    5. Na fałszywej platformie widzi „rosnące zyski”.
    6. Aby wypłacić środki, musi:

      • dopłacić „prowizję”,

      • zapłacić „podatek”,

      • zainstalować oprogramowanie do „weryfikacji”.

    7. W rzeczywistości pieniądze trafiają bezpośrednio do przestępców.

    Często oszuści nakłaniają do:
    • instalacji aplikacji do zdalnego pulpitu,
    • wykonania przelewu pod nadzorem telefonicznym,
    • zaciągnięcia kredytu „na inwestycję”.
    Na co zwrócić uwagę?
    • obietnica wysokiego zysku bez ryzyka,
    • presja szybkiej decyzji („tylko dziś”, „ostatnie miejsca”),
    • brak możliwości osobistego spotkania,
    • zagraniczne numery telefonów,
    • prośba o instalację dodatkowego oprogramowania,
    • brak realnych danych firmy w rejestrach.

    Nie istnieją inwestycje gwarantujące szybki i pewny zysk bez ryzyka.

    Jak chronić się przed próbami oszustw?

    ✔ Nie działaj pod presją czasu.
    ✔ Nie klikaj w linki przesyłane przez nieznane osoby.
    ✔ Nie podawaj kodów SMS ani danych logowania.
    ✔ Zawsze czytaj treść komunikatu autoryzacyjnego.
    ✔ W razie wątpliwości – przerwij operację i skontaktuj się z Bankiem.

    Najważniejsza zasada: Cyberprzestępca nie może wykonać przelewu bez Twojej zgody.

    Zanim zatwierdzisz operację – sprawdź, co dokładnie potwierdzasz.

    Świadome operacje - najważniejszym elementem bezpieczeństwa jest Twoja decyzja

    System bankowy wymaga autoryzacji każdej istotnej operacji

    Oznacza to, że żaden przelew, zmiana limitu ani dodanie odbiorcy nie zostanie wykonane bez Twojej zgody.

    Cyberprzestępcy wiedzą o tym

    Dlatego ich celem nie jest „włamanie się do banku”, lecz nakłonienie Cię do zatwierdzenia operacji.

    Dlaczego to takie ważne?

    Każdy komunikat autoryzacyjny (SMS lub powiadomienie w aplikacji) zawiera konkretne informacje:

    • kwotę operacji,
    • numer rachunku odbiorcy,
    • rodzaj operacji (np. przelew, dodanie odbiorcy, zmiana limitu).

    To nie jest formalność. To moment weryfikacji.

    Jeżeli dane nie są zgodne z Twoją intencją — nie zatwierdzaj.

    Jakie są najczęstsze błędy klientów?

    • zatwierdzanie operacji „automatycznie”, bez czytania treści,
    • działanie pod presją rozmówcy,
    • traktowanie kodu SMS jako „formalności technicznej”,
    • zatwierdzanie powiadomień tylko po to, by „przestały się wyświetlać”.

      Przestępca może przygotować operację, ale bez Twojego potwierdzenia nie może jej zrealizować.

      Zanim zatwierdzisz — sprawdź trzy elementy!

      1. Czy to ja zlecam tę operację? Jeżeli nie — przerwij.
      2. Czy kwota jest zgodna z moją dyspozycją? Nawet drobna różnica powinna wzbudzić czujność.
      3. Czy numer rachunku należy do właściwej osoby lub firmy? Sprawdź pierwsze i ostatnie cyfry.

      Jeżeli otrzymujesz powiadomienie o operacji, której nie zlecałeś — to sygnał ostrzegawczy.

      Podsumowanie
      10 czerwonych flag – przerwij działanie natychmiast

      • 1. „Zabezpiecz środki na bezpiecznym koncie”

        Ktoś podaje się za pracownika banku, policji lub innej instytucji i informuje o rzekomym zagrożeniu Twoich środków. Następnie poleca wykonanie przelewu na „rachunek techniczny”.

        • Bank nigdy nie wymaga przelewania pieniędzy w celu ich ochrony.
        • Nie istnieją „bezpieczne konta” do tymczasowego przechowywania środków.
      • 2. Otrzymujesz link do logowania

        SMS lub e-mail zawiera link do „aktualizacji danych”, „odblokowania konta” lub „potwierdzenia płatności”.

        • Bank nie wysyła linków do logowania.
        • Strony z takich linków często są fałszywe i służą wyłudzeniu danych.
      • 3. Masz podać kod SMS przez telefon

        Rozmówca twierdzi, że kod jest potrzebny do „weryfikacji tożsamości” lub „anulowania operacji”.

        • Kod SMS służy do zatwierdzania operacji.
        • Podanie go osobie trzeciej umożliwia wykonanie przelewu.
      • 4. Strona logowania wygląda inaczej

        Zmiana szaty graficznej, brak polskich znaków, inny układ pól logowania.

        • Oszuści często kopiują stronę Banku, ale nie odwzorowują jej idealnie.
        • Każda nietypowa różnica powinna wzbudzić czujność.
      • 5. Adres strony zawiera literówki

        Np. dodatkową literę, myślnik, cyfrę zamiast litery.

        • To jedna z najczęstszych metod phishingu.
        • Zawsze sprawdzaj dokładnie adres przed wpisaniem loginu i hasła.
      • 6. Sprzedaż przedmiotu wymaga „odbioru płatności”

        Kupujący przesyła link do strony, na której masz się zalogować, aby „otrzymać środki”.

        • Sprzedający nie musi potwierdzać odbioru przelewu.
        • Pieniądze trafiają bezpośrednio na rachunek.
        • Logowanie przez taki link prowadzi do przejęcia danych.
      • 7. Prośba o instalację dodatkowego oprogramowania

        Rozmówca prosi o instalację aplikacji do „zdalnej pomocy” lub „zabezpieczenia konta”.

        • Programy typu zdalny pulpit pozwalają przejąć kontrolę nad urządzeniem.
        • Bank nie wymaga instalowania dodatkowego oprogramowania.
      • 8. Powiadomienie o operacji, której nie zlecałeś

        Otrzymujesz SMS lub powiadomienie w aplikacji z informacją o przelewie lub dodaniu odbiorcy.

        • To może oznaczać próbę wykonania operacji.
        • Nie zatwierdzaj komunikatu i skontaktuj się z Bankiem.
      • 9. Presja czasu i emocji

        „To ostatnia szansa.” „Środki zostaną zablokowane.” „Musimy działać natychmiast.”

        • Presja to podstawowe narzędzie socjotechniki.
        • W sytuacjach finansowych zawsze masz prawo przerwać rozmowę i zweryfikować informacje.
      • 10. „Przelew testowy” lub „weryfikacyjny”

        Masz wykonać drobną płatność, aby „potwierdzić tożsamość” albo „aktywować usługę”.

        • Bank nie wymaga przelewów weryfikacyjnych.
        • Każdy przelew zatwierdzony przez Klienta jest realnym przekazaniem środków.

      Ważne informacje dla klientów MBS Giżycko

      Logowanie do bankowości internetowej:

      • Loguj się wyłącznie poprzez ręczne wpisanie adresu strony Banku w przeglądarce lub wybranie strony z zapisanych zakładek,

      • Nie zapisuj hasła ani loginu w przeglądarce,

      • Sprawdzaj, czy adres rozpoczyna się od https://

      • Zawsze weryfikuj treść komunikatu autoryzacyjnego przed zatwierdzeniem operacji.

      Podczas gdy pracownik Banku kontaktuje się z klientem to:

      • nie prosi o podanie hasła, kodów SMS ani kodów autoryzacyjnych,

      • nie wysyła linków do logowania w wiadomościach e-mail ani SMS,

      • nie prosi o instalowanie dodatkowego oprogramowania w celu „zabezpieczenia środków”,

      • nie wymaga wykonywania „przelewów testowych” ani „zwrotów weryfikacyjnych”.

      Najczęściej zadawane pytania

      Czy bank może zadzwonić i poprosić o kod SMS?

      Nie. Kod autoryzacyjny służy wyłącznie do zatwierdzania operacji przez klienta.

      Czy muszę wykonać przelew, aby odebrać pieniądze?

      Nie. Odbiór środków nie wymaga wykonywania przelewu ani podawania kodu.

      Otrzymałem wiele powiadomień o logowaniu. Co robić?

      Nie zatwierdzaj żadnego z nich. Spróbuj wykonać operację zmiany hasła i skontaktuj się z bankiem.

      Czy aplikacja do „zdalnej pomocy” jest bezpieczna?

      Jeżeli instalujesz ją na polecenie osoby, która do Ciebie zadzwoniła – nie. Może umożliwić przejęcie kontroli nad urządzeniem.

      Czy Bank może anulować przelew po jego zatwierdzeniu?

      Po autoryzacji operacji przelew jest realizowany zgodnie z dyspozycją Klienta.
      W przypadku podejrzenia oszustwa należy natychmiast skontaktować się z Bankiem – czas reakcji ma kluczowe znaczenie.

      Otrzymałem SMS z kodem, ale niczego nie zlecałem. Co to oznacza?

      Może to oznaczać próbę logowania do bankowości lub próbę wykonania operacji. Nie podawaj kodu nikomu i skontaktuj się z Bankiem.

      Stan bezpieczeństwa w Polsce – styczeń 2026 wg. CERT Polska

      18100

      Szkodliwych domen wpisanych na listę ostrzeżeń

      Na Listę Ostrzeżeń CERT Polska wpisano 18 100+ nazw szkodliwych domen w styczniu 2026 r. – wykorzystywanych m.in. do phishingu i wyłudzania danych.

      16600

      Zarejestrowanych SMS‑ów z zagrożeniami

      Zarejestrowano ok. 16,6 tys. podejrzanych SMS‑ów w styczniu 2026 r. Spośród nich ok. 9 % to fałszywe wiadomości, podszywające się pod instytucje lub zachęcające do niebezpiecznych działań (np. logowania).

      6400

      Zarejestrowanych incydentów phishingowych

      W styczniu 2026 r. odnotowano 6,4 tys. przypadków phishingu.

      Liczby nie kłamią

      Phishing, smishing i fałszywe domeny to najczęstsze zagrożenia w sieci, z którymi spotykają się zarówno firmy, jak i klienci indywidualni.
      Świadomość zagrożeń i odpowiedzialne korzystanie z bankowości internetowej i aplikacji mobilnej to najskuteczniejsza ochrona Twoich środków.

      Podziel się wiedzą o bezpieczeństwie!

      Bezpieczne korzystanie z bankowości internetowej i mobilnej to umiejętność, którą warto dzielić się z rodziną, przyjaciółmi i współpracownikami. Udostępnij tę stronę dalej — niech więcej osób wie, jak rozpoznawać oszustwa, chronić dane i świadomie decydować o operacjach finansowych.

      Każdy, kto przeczyta i zastosuje zasady, zmniejsza ryzyko utraty środków oraz wpływa na bezpieczeństwo całej społeczności klientów Banku.

      Udostępnij stronę na:

      Serdecznie dziękujemy!