Oszustwa internetowe kosztowały Polaków w 2025 roku ponad pół miliarda złotych, a to tylko sprawy, które trafiły do organów ścigania. Metody zmieniają się szybciej niż kampanie ostrzegawcze banków: obok klasycznego phishingu działają fałszywe bramki płatności na OLX i Vinted, wyłudzenia kodów BLIK oraz reklamy inwestycyjne z deepfake’ami znanych osób. Zebrałem w jednym miejscu najczęstsze schematy i sygnały, po których rozpoznasz każdy z nich, zanim stracisz pieniądze.
W skrócie: według Centralnego Biura Zwalczania Cyberprzestępczości straty w sprawach prowadzonych w 2025 roku sięgnęły 537 mln zł, a odzyskać udało się niecałe 25 mln zł. CSIRT KNF zgłosił do blokady 41 751 niebezpiecznych domen, z czego ponad 96% dotyczyło fałszywych inwestycji. Najczęstsze schematy to podszywanie się pod kurierów i banki (phishing, smishing), fałszywe bramki płatności na platformach sprzedażowych, wyłudzanie kodów BLIK oraz „inwestycje” reklamowane deepfake’ami celebrytów. Wspólny mianownik: presja czasu i link, w który masz kliknąć.
Spis treści
ToggleSkala problemu w liczbach
Statystyki z 2025 roku nie zostawiają złudzeń. Tylko w pierwszych trzech kwartałach odnotowano około 70 tysięcy oszustw przelewowych, w których Polacy stracili ponad 500 mln zł. Do CERT Polska trafiło 295 tysięcy zgłoszeń podejrzanych SMS-ów, a operatorzy na podstawie przygotowanych wzorców zablokowali dostarczenie 1,88 miliona złośliwych wiadomości. Do tego dochodzi 41 751 domen zgłoszonych do blokady przez CSIRT KNF, niemal w całości powiązanych z fałszywymi platformami inwestycyjnymi.
Za tymi liczbami stoi profesjonalny przemysł: gotowe panele phishingowe, call center oszustów i reklamy kupowane w mediach społecznościowych jak zwykłe kampanie marketingowe. Dlatego rozpoznawanie schematów działa lepiej niż zapamiętywanie pojedynczych przykładów.
Podszywanie się pod kurierów, banki i urzędy
Najpopularniejsza rodzina oszustw to wyłudzanie danych logowania i kart płatniczych, czyli phishing. Scenariusz jest powtarzalny: dostajesz wiadomość o paczce wymagającej dopłaty 1-2 zł, nieopłaconym mandacie z e-TOLL albo blokadzie konta bankowego. Link prowadzi do strony łudząco podobnej do prawdziwej, a wpisane tam dane karty trafiają prosto do przestępców.
Ten sam mechanizm działa w SMS-ach (smishing) i w rozmowach telefonicznych (vishing), gdzie „konsultant banku” nakłania do zainstalowania aplikacji zdalnego pulpitu lub przelania środków na „konto techniczne”. Żaden bank nigdy nie prosi telefonicznie o instalację aplikacji ani o kody autoryzacyjne. Rozłączenie się i samodzielne oddzwonienie na numer z oficjalnej strony ucina 100% takich prób.
Fałszywe bramki płatności na OLX i Vinted
Sprzedajesz coś na OLX lub Vinted? „Kupujący” odzywa się na WhatsAppie, twierdzi, że już zapłacił, i przysyła link do „odbioru pieniędzy”. Strona wygląda jak panel platformy, ale służy wyłącznie do kradzieży danych karty i loginu do banku. To obecnie jeden z najskuteczniejszych schematów, bo uderza w emocje sprzedającego, który cieszy się z szybkiej transakcji.
Zasada nie do złamania: OLX, Vinted i Allegro nigdy nie wysyłają linków do płatności przez SMS ani WhatsApp, a sprzedający nie musi podawać danych karty, żeby otrzymać pieniądze. Wystarczy numer konta. Każdy link „do odbioru środków” to oszustwo, bez wyjątków.
Drugi wariant to wyłudzenie kodu BLIK: kupujący prosi o wygenerowanie i podanie kodu, rzekomo potrzebnego do przelewu. Kod BLIK służy wyłącznie do autoryzacji płatności lub wypłaty z bankomatu, więc podanie go obcej osobie kończy się zwykle wyczyszczonym kontem. Więcej sygnałów ostrzegawczych zebrałem w tekście o tym, jak rozpoznać scam.
Fałszywe sklepy i okazje, które nie istnieją
Sklep z elektroniką o 40% taniej niż wszędzie, markowe buty za jedną trzecią ceny, konto na Facebooku założone dwa tygodnie temu. Fałszywe sklepy internetowe żyją krótko i intensywnie: zbierają przedpłaty przez kilka tygodni, po czym znikają razem z domeną. Charakterystyczne cechy to brak danych firmy i adresu, jedynie formy kontaktu przez komunikator, wymuszanie przedpłaty oraz presja czasu w stylu „ostatnie 3 sztuki”.
Przed zakupem w nieznanym sklepie sprawdź NIP w CEIDG lub KRS, poszukaj opinii poza samym sklepem i przyjrzyj się adresowi strony, bo literówka w domenie to klasyka podszywania się, opisana szerzej w artykule o spoofingu. Płatność kartą daje dodatkową ochronę w postaci procedury chargeback, o którą możesz wystąpić w swoim banku.
Oszustwa inwestycyjne i deepfake znanych osób
To najdroższa kategoria: pojedyncze ofiary tracą dziesiątki, a bywa, że setki tysięcy złotych. Zaczyna się od reklamy w social mediach, coraz częściej z wygenerowanym przez AI wideo, w którym znana osoba „poleca” platformę inwestycyjną. Po rejestracji dzwoni uprzejmy opiekun, pokazuje spreparowany panel z rosnącymi zyskami i namawia na kolejne wpłaty. Wypłata okazuje się niemożliwa, a kontakt się urywa.
Coraz częstsza jest też druga runda, tak zwany recovery scam: do poszkodowanych odzywa się „kancelaria prawna”, która za opłatą obiecuje odzyskanie straconych środków, po czym znika z kolejnymi pieniędzmi. Legalne instytucje nie dzwonią same z ofertą odzyskania pieniędzy z inwestycji. Listę ostrzeżeń publicznych prowadzi KNF i warto ją sprawdzić przed wpłatą choćby złotówki.
Sześć zasad, które ucinają większość oszustw
- Nie klikaj w linki z SMS-ów i komunikatorów dotyczące płatności. Adres banku czy platformy wpisuj ręcznie.
- Nikomu nie podawaj kodów BLIK ani kodów autoryzacyjnych. Służą tylko Tobie.
- Gdy dzwoni „bank”, rozłącz się i oddzwoń na numer z oficjalnej strony.
- Włącz dwuskładnikowe logowanie, a najlepiej klucz U2F, którego phishing nie obchodzi.
- Weryfikuj sklepy i platformy inwestycyjne poza nimi samymi: NIP, opinie, lista ostrzeżeń KNF.
- Traktuj presję czasu jako sygnał alarmowy. Prawdziwa okazja przeżyje 15 minut sprawdzania.
Co zrobić, gdy już dałeś się oszukać
Liczy się szybkość. Najpierw zadzwoń do banku: zgłoś nieautoryzowaną transakcję, zablokuj kartę i poproś o próbę wstrzymania przelewu, bo w pierwszych godzinach bywa to jeszcze możliwe. Przy płatności kartą złóż reklamację chargeback. Następnie zgłoś sprawę na policji lub przez internet do Centralnego Biura Zwalczania Cyberprzestępczości, a podejrzaną stronę lub SMS przekaż do CERT Polska przez formularz na incydent.cert.pl albo przesyłając SMS na numer 8080.
Zmień też hasła do banku i poczty, jeśli mogły wyciec, i obserwuj konto przez kolejne tygodnie. Zgłoszenie ma sens nawet przy małych kwotach, bo blokady domen i wzorców SMS chronią kolejne osoby.
Najczęstsze pytania o oszustwa internetowe
Jakie są najczęstsze oszustwa internetowe w Polsce?
Najwięcej zgłoszeń dotyczy phishingu, czyli podszywania się pod kurierów, banki i urzędy w celu wyłudzenia danych karty lub loginu. Zaraz za nim plasują się fałszywe bramki płatności na OLX i Vinted, wyłudzanie kodów BLIK, fałszywe sklepy internetowe oraz oszustwa inwestycyjne reklamowane deepfake’ami znanych osób. Te ostatnie generują największe straty na pojedynczą ofiarę.
Jak rozpoznać fałszywy sklep internetowy?
Czerwone lampki to ceny wyraźnie niższe niż wszędzie indziej, brak numeru NIP i adresu firmy, kontakt tylko przez komunikator, świeżo założona domena i profil w social mediach oraz wymuszanie przedpłaty z presją czasu. Przed zakupem sprawdź NIP w CEIDG lub KRS i poszukaj opinii poza samym sklepem. Płatność kartą daje dodatkowo możliwość reklamacji chargeback.
Czy podanie kodu BLIK jest niebezpieczne?
Tak, kod BLIK podany obcej osobie pozwala jej zapłacić Twoimi pieniędzmi albo wypłacić gotówkę z bankomatu. Kod służy wyłącznie do autoryzacji operacji, które sam wykonujesz, i nigdy nie jest potrzebny nikomu, kto chce przelać pieniądze Tobie. Prośba o kod BLIK od kupującego na OLX czy Vinted to zawsze oszustwo.
Gdzie zgłosić oszustwo internetowe?
Najpierw do swojego banku, który może zablokować kartę i spróbować wstrzymać przelew. Przestępstwo zgłasza się na policji lub do Centralnego Biura Zwalczania Cyberprzestępczości, a podejrzane strony i SMS-y do CERT Polska przez formularz incydent.cert.pl lub przekazanie wiadomości na numer 8080. W 2025 roku do CERT trafiło 295 tysięcy zgłoszeń podejrzanych SMS-ów.
Czy da się odzyskać pieniądze po oszustwie?
Bywa trudno, dlatego liczy się czas. Największe szanse daje szybki kontakt z bankiem i chargeback przy płatności kartą. Statystyki studzą optymizm: w sprawach prowadzonych przez CBZC w 2025 roku straty wyniosły 537 mln zł, a odzyskano niecałe 25 mln zł. Uważaj też na „kancelarie”, które same oferują odzyskanie środków za opłatą, bo to kolejny schemat oszustwa, tak zwany recovery scam.






