Vishing — co to jest, jak działa i jak się bronić

Q: Czym różni się vishing od phishingu?

Phishing odbywa się przez e-mail lub SMS. Vishing to atak telefoniczny — przestępca dzwoni i manipuluje ofiarą w czasie rzeczywistej rozmowy głosowej.

Q: Czy bank może zadzwonić i poprosić o hasło lub PIN?

Nie. Żaden bank ani instytucja finansowa nigdy nie prosi przez telefon o hasło, PIN, kod SMS ani dane karty. Rozłącz się i sam zadzwoń na infolinię banku z numeru podanego na stronie.

Q: Co to jest spoofing numeru telefonu?

Spoofing to technologia pozwalająca wyświetlić dowolny numer jako numer dzwoniącego — w tym oficjalny numer banku lub policji. Wyświetlony numer nie musi mieć nic wspólnego z rzeczywistym numerem przestępcy.

Q: Czy AI może być użyte do vishingu?

Tak. Modele syntezy głosu potrafią sklonować głos konkretnej osoby na podstawie kilku sekund nagrania. Przestępcy podszywają się pod bliskie osoby prosząc o przelew lub dane.

Q: Jak zastrzec PESEL po ataku vishing?

PESEL zastrzeżesz bezpłatnie przez aplikację mObywatel, stronę obywatel.gov.pl lub w dowolnym oddziale banku. Po zastrzeżeniu nikt nie zaciągnie kredytu na Twoje dane bez dodatkowej weryfikacji.

25/06/2026

Vishing (voice phishing) to atak, podczas którego przestępca dzwoni do ofiary, podszywa się pod bank, policję lub inną zaufaną instytucję i wyłudza dane lub pieniądze. Rozmowa telefoniczna wywiera silniejszą presję niż e-mail — masz mniej czasu na myślenie, nie widzisz linku, który mógłbyś sprawdzić, a głos nadaje rozmowcy pozory autorytetu. Dlatego vishing jest jedną z najskuteczniejszych form oszustwa.

Spis treści

Co to jest vishing

Vishing to połączenie słów voice (głos) i phishing. To forma socjotechniki realizowana przez telefon — atakujący dzwoni, buduje wiarygodny scenariusz i nakłania ofiarę do podania haseł, PIN-u, kodu CVV, danych logowania lub wykonania przelewu na wskazane konto.

Kluczowe narzędzie vishingu to spoofing numeru telefonu — technologia pozwalająca wyświetlić na ekranie ofiary dowolny numer, w tym oficjalny numer infolinii banku. Ofiara widzi znany numer, odbiera — i traktuje rozmowcę jako pracownika danej instytucji.

Jak przebiega atak vishing krok po kroku

Rozpoznanie ofiary — przestępca zbiera dane: imię, nazwisko, numer PESEL, numer konta (z wycieków danych, z social mediów lub kupuje na dark webie). Im więcej wie, tym bardziej wiarygodnie brzmi.
Sfałszowanie numeru (spoofing) — przed połączeniem ustawia wyświetlany numer jako numer banku, policji lub innej instytucji. Weryfikacja przez oddzwonienie na ten numer nie pomoże — trafi z powrotem do przestępcy lub na autoresponder.
Budowanie zaufania — przywołuje dane ofiary (imię, ostatnie transakcje, adres), by uwiarygodnić się jako pracownik instytucji, która te dane posiada.
Wytworzenie presji i strachu — ogłasza problem: podejrzana transakcja, włamanie na konto, dochodzenie, zablokowane konto. Czas na działanie jest „natychmiastowy” — ofiara nie powinna odkładać słuchawki.
Wyłudzenie danych lub przelewu — prosi o kod SMS (do „potwierdzenia tożsamości”), dane karty, login i hasło, zainstalowanie aplikacji do „zdalnej weryfikacji” (AnyDesk, TeamViewer) lub przelew na „bezpieczne konto techniczne”.

Najpopularniejsze scenariusze ataków vishing w Polsce

Pracownik banku

Dzwoni „konsultant działu bezpieczeństwa” i informuje o podejrzanej transakcji na Twoim koncie. Prosi o weryfikację tożsamości podaniem kodu SMS lub loginem. Ewentualnie przekonuje, że „bezpieczne” wyjście to przelanie środków na „konto techniczne banku”.

Policjant lub prokurator

Dzwoni „oficer policji” informujący, że Twoje konto jest „powiązane z praniem pieniędzy” lub że Twoje oszczędności są zagrożone przez „nieuczciwego pracownika banku”. Oferuje pomoc — ale wymaga natychmiastowego działania i zachowania sprawy „w tajemnicy przed rodziną”.

Urzędnik ZUS lub US

Informuje o niezgodnościach w danych emerytalnych lub podatkowych. Prosi o „potwierdzenie” numeru PESEL, numeru konta, danych logowania do e-PIT lub numeru dowodu osobistego.

Fałszywa inwestycja

Dzwoni „doradca inwestycyjny” oferujący wyjątkowe zwroty (15–30% miesięcznie). Prosi o wpłatę na platformę inwestycyjną — która jest fikcją. Po wpłacie pieniądze znikają.

Jak rozpoznać atak vishing

Sygnały ostrzegawcze, które powinny natychmiast wzbudzić czujność:

Rozmowa wymaga działania teraz — „za godzinę będzie za późno”, „nie rozłączaj się”.
Proszą o kod SMS, PIN, CVV lub hasło — żaden bank ani policja nigdy o to nie prosi.
Proszą o zainstalowanie aplikacji (AnyDesk, TeamViewer, AnyDesk) do zdalnego dostępu.
Proszą o zachowanie rozmowy w tajemnicy przed rodziną lub pracownikami banku.
Mowa rozmowcy jest niepłynna, z chwilowymi przerwami — może to być synteza AI.
Wyświetlany numer jest oficjalny, ale rozmowa nie pasuje do standardowych procedur instytucji.

Jak się bronić przed vishingiem

Rozłącz się i oddzwoń na numer z oficjalnej strony instytucji (nie na numer, który wyświetlił się w połączeniu). To najskuteczniejsza ochrona.
Nie podawaj loginu, hasła, PIN-u, CVV, kodu SMS ani danych karty przez telefon — nigdy i nikomu.
Nie instaluj żadnych aplikacji na polecenie dzwoniącego.
Nie rób przelewów pod wpływem rozmowy telefonicznej — „bezpieczne konto techniczne banku” nie istnieje.
Powiedz bliskim — szczególnie starszym członkom rodziny — jak wyglądają te ataki. Scenariusze z policjantem i bankierem uderzają nieproporcjonalnie często w osoby 60+.

Co zrobić, gdy padłeś ofiarą vishingu

Natychmiast zablokuj kartę i dostęp do bankowości online — przez aplikację lub gorącą linię banku.
Zmień hasła do kont, do których mogłeś podać dane.
Zgłoś sprawę na policję (numer 112) i złóż zawiadomienie o popełnieniu przestępstwa.
Powiadom bank o zdarzeniu — bank może zablokować przelew lub wszcząć procedury odzysku.
Zastrzeż numer PESEL na stronie mObywatel lub w dowolnym banku.

Źródła:

finhack.pl — Czym jest vishing i jak się bronić?
BNP Paribas — Co to jest vishing i jak się przed nim bronić?
Keeper Security — Czym jest Vishing?

Najczęściej zadawane pytania o vishing

Czym różni się vishing od phishingu?

Phishing odbywa się przez e-mail lub SMS — ofiara klika link lub pobiera załącznik. Vishing to atak telefoniczny — przestępca dzwoni i manipuluje ofiarą w czasie rzeczywistej rozmowy. Vishing jest skuteczniejszy w wyłudzaniu danych bankowych, bo rozmowa tworzy większą presję niż wiadomość.

Czy bank może zadzwonić i poprosić o hasło lub PIN?

Nie. Żaden legalny bank ani instytucja finansowa nigdy nie prosi przez telefon o hasło, PIN, kod SMS ani dane karty. Jeśli dzwoniący prosi o te dane — rozłącz się i sam zadzwoń na infolinię banku z numeru podanego na karcie lub stronie internetowej.

Co to jest spoofing numeru telefonu?

Spoofing to technologia pozwalająca wyświetlić na ekranie odbiorcy dowolny numer jako numer dzwoniącego — w tym oficjalny numer banku, policji lub urzędu. Wyświetlony numer nie musi mieć nic wspólnego z rzeczywistym numerem, z którego dzwoni przestępca. Dlatego nie można ufać wyświetlanemu numerowi.

Czy AI może być użyte do vishingu?

Tak. Modele syntezy głosu (ang. voice cloning) potrafią sklonować głos konkretnej osoby na podstawie kilku sekund nagrania. Przestępcy używają ich, by podszyć się pod bliską osobę dzwoniącą „w nagłej sytuacji” i prosić o przelew lub dane. Jeśli coś wydaje się podejrzane — rozłącz się i zadzwoń na znany numer tej osoby.

Jak zastrzec PESEL po ataku vishing?

PESEL można zastrzec bezpłatnie przez aplikację mObywatel (zakładka Zastrzeżenie PESEL), przez stronę obywatel.gov.pl lub w dowolnym oddziale banku. Po zastrzeżeniu PESEL nikt nie zaciągnie kredytu ani nie otworzy konta na Twoje dane bez dodatkowej weryfikacji.

Narzędzia

Tomasz Zieliński

Tomasz zajmuje się tematyką SEO, sztucznej inteligencji i automatyzacji pracy w marketingu internetowym. W swoich artykułach analizuje zmiany w algorytmach wyszukiwarek, rozwój narzędzi AI oraz nowe sposoby tworzenia i optymalizacji treści. Interesuje go przede wszystkim to, jak technologia wpływa na codzienną pracę specjalistów SEO, marketerów i twórców internetowych.