Przejdź do treści
Breachroad
Wróć do bloga
Vishing

„Dzwoni pracownik banku” — vishing i spoofing numeru

Telefon z numeru banku, spokojny „konsultant” i rzekome włamanie na konto. Rozkładamy oszustwo na pracownika banku i pokazujemy, jak je przerwać.

KR
Karol Rapacz
1 czerwca 2026 · 6 min czytania
„Dzwoni pracownik banku” — vishing i spoofing numeru

Dzwoni telefon. Na wyświetlaczu — numer infolinii Twojego banku. Miły „konsultant” informuje, że wykryto próbę nieautoryzowanej transakcji i trzeba „zabezpieczyć środki”. To vishing — phishing głosowy — i jedno z najgroźniejszych oszustw, bo rozgrywa się na żywo, pod presją i z pełną kontrolą narracji po stronie przestępcy.

Spoofing numeru: dlaczego wyświetla się bank

Podobnie jak w SMS-ach, numer dzwoniącego można podrobić. Przestępca ustawia, że na Twoim telefonie wyświetli się prawdziwy numer banku, policji czy prokuratury. To najsilniejszy element socjotechniczny — widzimy znany numer i automatycznie ufamy. Dlatego numer na wyświetlaczu nie jest dowodem tożsamości rozmówcy.

Scenariusze, które się powtarzają

  • „Pracownik banku” — „wykryliśmy włamanie, aby ratować pieniądze, przelej je na konto techniczne / bezpieczne”. Konto „techniczne” należy do przestępcy.
  • „Policjant / CBŚP” — „bierze Pan udział w akcji zatrzymania nieuczciwego pracownika banku, prosimy o współpracę i dyskrecję”. Element tajności odcina ofiarę od bliskich, którzy mogliby ją otrzeźwić.
  • Instalacja „aplikacji zabezpieczającej” — w rzeczywistości narzędzia do zdalnego dostępu, które oddaje ekran i bankowość w ręce oszusta.

Wspólny mianownik: presja, tajność i pośpiech. Przestępca nie daje czasu na myślenie i utrzymuje ofiarę na linii, żeby nie zdążyła zweryfikować historii.

Zasady, które rozbrajają vishing

  • Bank nigdy nie prosi o przelew „na bezpieczne konto”, pełne hasło, kod PIN karty ani o zainstalowanie aplikacji do zdalnego dostępu. Nigdy.
  • Rozłącz się i oddzwoń na numer z odwrotu karty lub oficjalnej strony banku — wpisany ręcznie, nie „oddzwoń” z historii połączeń. Prawdziwy bank to zrozumie.
  • Żadna prawdziwa instytucja nie wymaga tajemnicy przed rodziną. Prośba o dyskrecję to sygnał alarmowy.

Co zrobić w praktyce

Jeśli odbierzesz taki telefon: nie podawaj żadnych danych, zakończ rozmowę i samodzielnie zadzwoń do banku. Nie instaluj niczego na polecenie rozmówcy. Jeśli już przekazałeś dane lub zainstalowałeś aplikację — natychmiast odetnij urządzenie od sieci, zadzwoń do banku z innego telefonu i zastrzeż dostęp.

W organizacjach warto szkolić zespoły finansowe pod kątem weryfikacji drugim kanałem przy każdej nietypowej dyspozycji telefonicznej — to ta sama dyscyplina, która chroni przed phishingiem. Technologia spoofingu jest tania i dostępna; jedyną skuteczną obroną jest nawyk: nie ufaj wyświetlonemu numerowi, oddzwoń sam.

Chcesz sprawdzić, jak Twój zespół finansowy zareaguje na taki telefon? Prowadzimy kontrolowane testy socjotechniczne i szkoleniaskontaktuj się z nami.

Źródła i dalsza lektura: CERT Polska, Niebezpiecznik, CSIRT KNF.

Udostępnij artykuł

Usługi Umów konsultację