TL;DR: Smishing to phishing prowadzony przez SMS. Przestępcy podszywają się pod kuriera, bank, sklep internetowy albo urząd, żeby wyłudzić dane karty, login do konta lub kod autoryzacyjny. W Polsce liczba takich ataków rośnie z roku na rok, a ich ofiarą pada nie tylko konsument, ale także marka, pod którą oszust się podszywa. Z tego artykułu dowiesz się, jak rozpoznać fałszywy SMS, jakie mechanizmy ochrony wdrożyć po stronie firmy i dlaczego zweryfikowany nadawca RCS ogranicza pole do nadużyć skuteczniej niż klasyczny, anonimowy numer SMS.
Wyobraź sobie, że Twój klient dostaje SMS-a: „Paczka czeka na dopłatę 3,67 zł, kliknij aby odebrać”. Nadawca wygląda znajomo. Wiadomość trafia do wątku, który przypomina komunikację z Twoją firmą. Klient klika link, podaje dane karty albo login do konta i traci pieniądze. A później traci zaufanie do marki.
Nawet jeśli Twoja firma nie wysłała tej wiadomości, w oczach odbiorcy problem zaczyna się od Twojej nazwy. To właśnie sprawia, że smishing jest groźny nie tylko dla konsumentów, ale też dla firm, pod które podszywają się przestępcy. Smishing, czyli phishing SMS, to atak, w którym oszust wykorzystuje wiadomość tekstową, żeby podszyć się pod zaufaną instytucję i nakłonić odbiorcę do kliknięcia w złośliwy link, podania danych albo wykonania płatności.
W 2025 roku do CERT Polska trafiło prawie 300 tysięcy zgłoszeń podejrzanych SMS-ów, a operatorzy na tej podstawie zablokowali blisko 2 miliony złośliwych wiadomości.
Skala problemu rośnie. Najczęściej podszywanymi markami są firmy kurierskie, banki i sklepy internetowe – czyli organizacje, od których klienci regularnie dostają wiadomości transakcyjne, statusy zamówień, kody autoryzacyjne albo powiadomienia o płatnościach.
W tym artykule pokazujemy, jak rozpoznać smishing, jak zbudować ochronę po stronie organizacji i które technologie realnie zmniejszają ryzyko podszycia się pod nadawcę. Wyjaśniamy też, dlaczego zweryfikowany nadawca RCS daje firmom większą kontrolę nad tożsamością marki niż klasyczna komunikacja SMS.
Czym jest smishing i czym różni się od phishingu?
Smishing to odmiana phishingu prowadzona przez SMS. Przestępca podszywa się pod zaufaną firmę, bank, kuriera albo instytucję publiczną, żeby wyłudzić dane logowania, numer karty płatniczej lub kod autoryzacyjny. Sama nazwa powstała z połączenia słów „SMS” i „phishing”.
Cel jest taki sam jak w klasycznym phishingu: nakłonić odbiorcę do działania pod wpływem emocji, zanim zdąży zweryfikować nadawcę. Różni się jednak kanał i sposób wywierania presji.
W phishingu mailowym przestępcy najczęściej podszywają się pod znaną markę w wiadomości e-mail i prowadzą użytkownika na fałszywą stronę logowania. W smishingu wykorzystują SMS, czyli kanał, który odbiorca kojarzy z krótkimi, pilnymi komunikatami: kodem dostawy, potwierdzeniem płatności, alertem bankowym albo powiadomieniem z urzędu.
To właśnie dlatego smishing bywa tak skuteczny. Wiadomość trafia bezpośrednio na telefon, jest krótka, wygląda jak pilna informacja i często zawiera link skracany, który ukrywa prawdziwy adres fałszywej strony.
Odbiorca ma mało czasu na analizę, a przestępca liczy na szybką reakcję: kliknięcie, wpisanie danych albo potwierdzenie transakcji.

Jak działa atak smishingowy krok po kroku?
Atak zwykle zaczyna się od numeru telefonu. Przestępcy mogą pozyskać go z wycieku danych, starej bazy kontaktów albo serwisu, w którym użytkownik kiedyś się zarejestrował.
Następnie wysyłają masową kampanię SMS podszywającą się pod znaną markę. Często wykorzystują spoofing, czyli podmianę nazwy nadawcy widocznej na ekranie telefonu. Dzięki temu wiadomość może wyglądać tak, jakby pochodziła od kuriera, banku, sklepu internetowego albo instytucji publicznej.
W SMS-ie znajduje się link do fałszywej strony. Taka strona często wygląda niemal identycznie jak oryginalna: ma logo marki, podobny układ, formularz płatności albo ekran logowania.
Ofiara wpisuje dane karty, login i hasło albo kod z aplikacji bankowej. Informacje trafiają bezpośrednio do przestępcy, który może wykorzystać je w ciągu kilku minut – do wykonania transakcji, przejęcia konta albo dalszego wyłudzenia.

Coraz częściej atak nie kończy się na samym SMS-ie. Scenariusz bywa hybrydowy: po wiadomości dzwoni fałszywy konsultant, który pod pretekstem pomocy technicznej prowadzi ofiarę przez kolejny etap oszustwa.
Taka wielokanałowość zwiększa wiarygodność ataku. Odbiorca widzi SMS, potem odbiera telefon od „konsultanta” i ma coraz mniej czasu na spokojną weryfikację sytuacji.
Najczęstsze scenariusze fałszywego SMS-a w Polsce
Jeden z najpopularniejszych schematów w Polsce to fałszywy SMS od firmy kurierskiej z informacją o rzekomej dopłacie do przesyłki. Wiadomość może podszywać się pod InPost, DPD, DHL albo Pocztę Polską. Link prowadzi do strony, która wygląda jak prawdziwa strona płatności danego przewoźnika. Odbiorca myśli, że dopłaca kilka złotych do paczki, a w rzeczywistości przekazuje przestępcom dane karty albo dostęp do środków na koncie.
Drugi częsty wariant to SMS podszywający się pod bank. Wiadomość informuje o podejrzanym logowaniu, zablokowanym koncie albo konieczności „potwierdzenia tożsamości”. Link prowadzi do fałszywej strony logowania, na której ofiara wpisuje dane dostępowe.
Trzeci scenariusz wykorzystuje zaufanie do urzędów i dostawców usług. Przestępcy podszywają się na przykład pod ZUS, urząd skarbowy, dostawcę energii albo operatora telekomunikacyjnego. Grają na strachu przed karą finansową, odcięciem usługi albo utratą dostępu do konta.
Każdy z tych scenariuszy działa według tego samego schematu: oszust podszywa się pod markę, której odbiorca ufa, tworzy presję czasu i próbuje doprowadzić do szybkiej reakcji bez weryfikacji nadawcy.
Jak rozpoznać fałszywy SMS? 7 sygnałów ostrzegawczych
Fałszywy SMS zwykle zdradza kilka powtarzalnych sygnałów: presję czasu, podejrzany link, nietypową prośbę o dane albo brak kontekstu. Rozpoznanie tych wzorców pozwala uniknąć większości ataków smishingowych.
Najważniejsza zasada jest prosta: jeśli wiadomość zmusza Cię do szybkiej reakcji i prowadzi do linku, najpierw zweryfikuj nadawcę poza SMS-em – na oficjalnej stronie, w aplikacji albo przez infolinię.
1. Presja czasu
Hasła takie jak „ostatnia szansa”, „konto zostanie zablokowane w 24h” albo „dopłać teraz, inaczej paczka wróci do nadawcy” to klasyczna technika manipulacji. Przestępcy chcą skrócić czas na zastanowienie. Im większy pośpiech, tym większa szansa, że odbiorca kliknie link bez sprawdzenia, dokąd prowadzi.
2. Podejrzany adres domeny
W fałszywych SMS-ach domena często przypomina prawdziwy adres marki, ale zawiera drobną zmianę.
Zamiast inpost.pl może pojawić się inp0st-pay.pl, inpost-doplata.net albo domena z nietypowym rozszerzeniem, np. .xyz.
Zanim wpiszesz jakiekolwiek dane, sprawdź dokładnie adres strony. Jedna litera, cyfra albo dodatkowy człon w domenie mogą oznaczać fałszywą witrynę.

3. Prośba o kod autoryzacyjny
Żaden bank ani legalny dostawca usług nie powinien prosić o podanie kodu autoryzacyjnego po kliknięciu w link z SMS-a. Jeśli wiadomość prowadzi do strony, która wymaga wpisania kodu z aplikacji bankowej, kodu SMS albo danych karty, potraktuj ją jako sygnał alarmowy.
4. Nietypowe, bardzo niskie kwoty
Symboliczne dopłaty – na przykład kilka złotych za paczkę, przesyłkę albo odblokowanie usługi – mają uśpić czujność. Odbiorca myśli: „to tylko 3,67 zł”, więc łatwiej akceptuje formularz płatności. W rzeczywistości nie chodzi o tę kwotę, ale o przejęcie danych karty albo dostępu do konta.
5. Błędy językowe albo sztywny ton
Literówki, nienaturalne zwroty i dziwna składnia nadal pojawiają się w fałszywych wiadomościach. Nie są jednak już tak pewnym sygnałem jak kiedyś. Nowoczesne kampanie smishingowe coraz częściej są napisane poprawnie, bez widocznych błędów. Dlatego brak literówek nie oznacza, że wiadomość jest bezpieczna.
6. Skrócone linki
Skrócone linki ukrywają prawdziwy adres docelowy. Odbiorca widzi krótki URL, ale nie wie, czy prowadzi do oficjalnej strony, fałszywego formularza płatności czy złośliwej witryny.
W komunikacji transakcyjnej skracanie linków może zwiększać ryzyko nieufności. Jeśli link wygląda niejasno, lepiej nie klikać i wejść na stronę firmy ręcznie.
💡 Chcesz budować zaufanie w komunikacji SMS i skutecznie podnieść CTR kampanii? Dowiedz się więcej o brandowanych skróconych linkach.
7. Brak kontekstu
Fałszywy SMS często dotyczy przesyłki, płatności, blokady konta albo zwrotu, którego odbiorca się nie spodziewa.
Jeśli nie czekasz na paczkę, nie wykonywałeś płatności albo nie zgłaszałeś sprawy w urzędzie, potraktuj wiadomość ostrożnie. Brak kontekstu to jeden z najprostszych sygnałów ostrzegawczych.
Co zrobić, gdy SMS wygląda podejrzanie?
Jeśli pojawia się którykolwiek z tych sygnałów, najbezpieczniej jest nie klikać w link i nie odpowiadać na wiadomość.
Zamiast tego:
- wejdź ręcznie na oficjalną stronę nadawcy,
- sprawdź status sprawy w aplikacji,
- skontaktuj się z infolinią,
- zgłoś podejrzaną wiadomość odpowiednim służbom lub operatorowi.
W smishingu liczy się czas, ale nie po stronie odbiorcy. To przestępca chce, żeby reakcja była natychmiastowa.
Dlaczego smishing to problem nie tylko konsumentów, ale i marek?
Każde podszycie się pod markę osłabia zaufanie do wszystkich kolejnych wiadomości wysyłanych pod tym samym nadawcą. Klient, który raz stracił pieniądze przez fałszywego SMS-a „od kuriera”, może zacząć ignorować także prawdziwe powiadomienia o statusie przesyłki. Może też zgłaszać legalne wiadomości jako spam, kontaktować się z supportem albo całkowicie przestać ufać komunikacji SMS danej marki.
To szczególnie dotkliwe dla firm, dla których SMS jest częścią podstawowego procesu obsługi klienta. Dotyczy to między innymi:
- operatorów kurierskich i paczkomatowych,
- banków,
- ubezpieczycieli,
- e-commerce,
- dostawców usług publicznych i abonamentowych.
Jednocześnie spadające zaufanie do kanału SMS obniża skuteczność każdej kolejnej wiadomości: transakcyjnej, informacyjnej i marketingowej.
💡 Jeśli chcesz sprawdzić, jakich błędów unikać we własnych kampaniach, sprawdź nasz zbiór artykułów o dobrych praktykach w komunikacji SMS.
Jak wdrożyć ochronę przed smishingiem w firmie?
Skuteczna ochrona przed smishingiem powinna działać na trzech poziomach:
- technicznej autoryzacji nadawcy,
- monitoringu ruchu SMS w czasie rzeczywistym,
- edukacji odbiorców.
Żadna z tych warstw nie wystarczy sama. Dopiero razem pomagają ograniczyć ryzyko podszywania się pod markę, wykrywać podejrzane wiadomości i zmniejszać liczbę sytuacji, w których klient nie wie, czy może zaufać otrzymanemu SMS-owi.
- Zabezpiecz nazwę nadawcy
Na poziomie technicznym podstawą jest rejestracja i weryfikacja nazwy nadawcy, czyli Sender ID, u dostawcy usług SMS. Dzięki temu firma może ograniczyć ryzyko, że ktoś nieuprawniony użyje tej samej lub łudząco podobnej nazwy nadawcy w kampanii oszustwa.
To ważne szczególnie wtedy, gdy regularnie wysyłacie wiadomości SMS transakcyjne, kody, alerty, statusy zamówień albo powiadomienia o płatnościach. Odbiorca powinien wiedzieć, że wiadomość pochodzi z właściwego źródła, a nie z przypadkowego, anonimowego numeru.
2. Monitoruj linki i ruch SMS w czasie rzeczywistym
Druga warstwa to monitoring treści wiadomości, linków i ruchu SMS.
System powinien analizować kampanie pod kątem wzorców typowych dla oszustw, zanim wiadomości trafią do odbiorców. Dotyczy to między innymi podejrzanych domen, skróconych linków, prób podszycia się pod markę, nietypowych schematów wysyłki i komunikatów przypominających smishing.
💡 W MessageFlow taką ochronę zapewnia antyphishingowa Tarcza 360. Rozwiązanie aktywnie monitoruje i blokuje próby smishingu, złośliwe linki oraz podszywanie się pod markę klienta w czasie rzeczywistym – we współpracy z operatorami GSM.
Dzięki temu ochrona nie kończy się na samej wysyłce. Obejmuje też wykrywanie zagrożeń, które mogą pojawić się wokół komunikacji marki.

3. Edukuj klientów, jak wygląda prawdziwa komunikacja
Technologia ogranicza ryzyko, ale nie zastępuje edukacji odbiorców.
Warto regularnie przypominać klientom:
- z jakiej nazwy nadawcy wysyłacie wiadomości,
- jakie typy linków stosujecie,
- jakich danych nigdy nie prosicie przez SMS,
- gdzie można zweryfikować status przesyłki, płatności albo zgłoszenia,
- jak zgłosić podejrzaną wiadomość.
Im lepiej klient zna zasady Waszej komunikacji, tym łatwiej rozpozna próbę podszycia się pod markę.
4. Bezpieczna wysyłka SMS wymaga kontroli nad całym procesem
Ochrona przed smishingiem nie powinna kończyć się na pojedynczym zabezpieczeniu. Ważne są także bezpośrednie połączenia z operatorami GSM, ochrona przed grey routingiem, kontrola nad nadawcą i monitoring jakości ruchu.
💡 Pełny zestaw zabezpieczeń dostępny w ramach platformy MessageFlow opisujemy na stronie SMS marketing w MessageFlow. To dobry punkt startowy, jeśli zastanawiasz się, jak w praktyce wygląda bezpieczna wysyłka SMS na dużą skalę.

RCS jako odpowiedź na smishing
Największą słabością klasycznego SMS-a jest to, że sam numer telefonu nie jest silnym identyfikatorem nadawcy.
Odbiorca nie ma pewności, czy wiadomość naprawdę pochodzi od marki, która się pod nią podpisuje. Może więc zignorować prawdziwy komunikat z nieufności albo – co gorsza – zaufać fałszywej wiadomości, która podszywa się pod realną firmę.
RCS Business Messaging rozwiązuje ten problem u źródła. Zanim marka zacznie wysyłać wiadomości RCS, przechodzi wieloetapowy proces weryfikacji tożsamości przez operatora komórkowego i integratora.
Dzięki temu każda konwersacja może być opatrzona pełną wizytówką marki:
- logo,
- pełną nazwą firmy,
- zweryfikowanym profilem nadawcy,
- odznaką potwierdzającą autentyczność.
Odbiorca od razu widzi, że rozmawia z realną, zweryfikowaną firmą, a nie z anonimowym numerem, który łatwo podrobić. To znacząco ogranicza przestrzeń do podszywania się pod markę i pomaga odbudować zaufanie do komunikacji mobilnej.
Mechanizm weryfikacji i pełną listę zabezpieczeń kanału opisaliśmy szerzej w tekście RCS Business Messaging w pigułce.
MessageFlow jako partner RCS Business Messaging Google
MessageFlow jest oficjalnym partnerem RCS Business Messaging Google. Oznacza to, że firmy korzystające z MessageFlow zyskują dostęp do brandowanych kart, zweryfikowanego profilu nadawcy i mediów wysokiej rozdzielczości – bez konieczności samodzielnego budowania relacji partnerskiej z Google.
W praktyce firma może uruchomić bezpieczniejszy i bardziej rozpoznawalny kanał komunikacji w ciągu tygodni, korzystając z gotowej infrastruktury. Nie musi przechodzić całego procesu certyfikacji samodzielnie ani budować zaplecza technicznego od zera.
💡 Jeśli zastanawiasz się, który kanał wybrać do konkretnego celu, sprawdź nasze szczegółowe porównanie RCS vs SMS. Potrzebujesz przystępnego wprowadzenia do tego kanału? Zapoznaj się z artykułem Co to jest RCS.
Smishing: jak rozpoznać phishing SMS i chronić przed nim firmę?
Smishing rośnie w Polsce z roku na rok. Firmy kurierskie, banki i sklepy internetowe są jednymi z najczęściej wykorzystywanych „przebrań” w takich atakach, bo klienci regularnie dostają od nich SMS-y: o przesyłkach, płatnościach, kodach, statusach zamówień czy zmianach na koncie.
To problem, który dotyka nie tylko portfela konsumenta. Uderza także w reputację marki, pod którą podszywa się oszust.
Każdy fałszywy SMS może sprawić, że klient zacznie ignorować legalne wiadomości, zgłaszać je jako spam albo kontaktować się z supportem z pytaniem, czy komunikat jest prawdziwy. Dlatego ochrona przed smishingiem nie powinna być traktowana wyłącznie jako temat bezpieczeństwa IT. To także element ochrony zaufania do kanału SMS i całej komunikacji marki.
MessageFlow obsługuje jednych z największych nadawców SMS w Polsce – zarówno w komunikacji transakcyjnej, jak i marketingowej. Wspieramy wielomilionowe wysyłki, dbając o bezpieczeństwo, dostarczalność, zgodność z regulacjami i ochronę reputacji nadawcy.
💡 Jeśli SMS jest ważnym kanałem w Twojej organizacji, warto oprzeć go na partnerze, który zna ryzyka, procesy operatorów i wymagania dużych marek. Porozmawiaj z ekspertem MessageFlow i sprawdź, jak bezpiecznie prowadzić komunikację SMS i RCS na dużą skalę.
Najczęściej zadawane pytania o smishing
Phishing to szeroka kategoria oszustw polegających na podszywaniu się pod zaufaną firmę, instytucję lub osobę w celu wyłudzenia danych.
Smishing to odmiana phishingu prowadzona przez SMS. Przestępca wykorzystuje krótką formę wiadomości, presję czasu i zaufanie do kanału mobilnego, żeby skłonić odbiorcę do kliknięcia w link, podania danych logowania, numeru karty albo kodu autoryzacyjnego.
Najbezpieczniej nie klikać w link z wiadomości.
Zamiast tego wejdź samodzielnie na oficjalną stronę przewoźnika albo użyj jego aplikacji do śledzenia przesyłki. Numer paczki wpisz ręcznie, bez przechodzenia przez link z SMS-a.
Legalna firma kurierska nie powinna prosić o dane karty przez SMS w zamian za drobną dopłatę do przesyłki. Jeśli wiadomość wymusza szybką płatność kilku złotych, potraktuj ją jako sygnał ostrzegawczy.
Nie podawaj żadnych danych na stronie, do której prowadzi link.
Jeśli już wpisałeś dane karty, login, hasło albo kod autoryzacyjny, natychmiast skontaktuj się z infolinią banku. W pierwszej kolejności zablokuj kartę, konto lub dostęp do bankowości elektronicznej, a dopiero potem zgłoś sprawę na policję.
Podejrzany SMS możesz też przekazać na numer 8080, zgodnie z zaleceniami CERT Polska.