Oszustwa na smartfonach w 2026 roku są bardziej dopracowane: przestępcy kopiują styl banków, firm kurierskich, a nawet usług publicznych i grają na pośpiechu, strachu oraz przyzwyczajeniach. Dobra wiadomość jest taka, że nowoczesne telefony z Androidem i iOS oferują solidne narzędzia ochrony, a kilka praktycznych ustawień potrafi znacząco zmniejszyć ryzyko utraty pieniędzy lub przejęcia kont. Ten poradnik skupia się na trzech realnych zagrożeniach, które dotykają zwykłych użytkowników: podszywaniu numeru telefonu, oszustwach z kodami QR oraz fałszywych aplikacjach, a także na konkretnych ustawieniach, które mają największe znaczenie.
Podszywanie numeru i fałszywe SMS-y: jak wygląda to w 2026 roku
Podszywanie numeru telefonu (caller ID spoofing) polega na tym, że oszust wykonuje połączenie wyglądające tak, jakby pochodziło z zaufanego numeru, np. banku lub firmy dostawczej. Celem jest obejście ostrożności: widzisz znajomą nazwę albo numer i zakładasz, że rozmówca jest wiarygodny. W 2026 roku atakujący często łączą takie połączenia z kolejnymi SMS-ami, które mają „potwierdzić” historię, na przykład fałszywym alertem o oszustwie lub rzekomą informacją o problemie z doręczeniem.
Częstym schematem jest presja i pilność. Możesz usłyszeć, że „właśnie teraz” trwa podejrzany przelew i musisz natychmiast „zweryfikować” dane albo kliknąć link, aby „anulować” transakcję. Inną popularną techniką jest „dopasowanie numeru”: oszust dzwoni z podszytego numeru banku, a następnie prosi o odczytanie jednorazowego kodu, który bank właśnie wysłał. Taki kod zwykle służy do logowania, a nie do zatrzymania oszustwa.
Najpewniejsza zasada jest prosta: nazwa lub numer wyświetlany na ekranie nie stanowi dowodu. Każde połączenie lub SMS, który zmusza do szybkiego działania, traktuj jako podejrzany, szczególnie jeśli prosi o kody, dane karty, hasła albo zdalny dostęp do telefonu. Jeśli masz wątpliwości, zakończ rozmowę i skontaktuj się z instytucją, korzystając z oficjalnego numeru z karty bankowej, oficjalnej aplikacji lub prawdziwej strony firmy.
Praktyczne sposoby ochrony przed podszytymi połączeniami i smishingiem
Zacznij od filtrowania połączeń i SMS-ów. Na iPhonie włącz „Wycisz nieznanych rozmówców” (Ustawienia → Telefon), aby ograniczyć połączenia spoza kontaktów, oraz „Filtruj nieznanych nadawców” (Ustawienia → Wiadomości), żeby oddzielać podejrzane wiadomości. Na Androidzie uruchom ochronę przed spamem w aplikacjach Telefon i Wiadomości (dokładna ścieżka zależy od producenta, ale zwykle znajduje się w ustawieniach aplikacji jako „Spam i identyfikacja rozmówcy” lub „Ochrona przed spamem”). Takie filtry nie są idealne, ale eliminują dużą część oczywistych prób oszustwa.
Następnie skup się na tym, czego oszuści naprawdę potrzebują. Większość ataków telefonicznych ma na celu przechwycenie jednorazowego kodu, hasła albo dostępu do urządzenia. Nigdy nie podawaj kodów 2FA przez telefon, nawet jeśli rozmówca twierdzi, że jest „pracownikiem banku”. Banki i firmy dostawcze nie potrzebują Twoich kodów. Jeśli dostajesz kod bezpieczeństwa, o który nie prosiłeś, potraktuj to jako sygnał, że ktoś próbuje zalogować się na Twoje konto.
Na koniec wzmocnij odzyskiwanie kont i zabezpieczenia karty SIM. Ustaw silny PIN do karty SIM (operator może podpowiedzieć, jak to zrobić), i zabezpiecz konto e-mail, bo często służy do resetowania haseł. Jeżeli operator oferuje dodatkowe zabezpieczenia, takie jak blokada przeniesienia numeru lub hasło do obsługi, włącz je. Te kroki zmniejszają ryzyko ataków typu SIM swap, które często idą w parze z podszytymi połączeniami i fałszywymi SMS-ami.
Oszustwa z kodami QR: jak przestępcy wykorzystują „wygodne” kody
Kody QR są wszędzie: w kawiarniach, parkomatach, wypożyczalniach hulajnóg, na plakatach, ulotkach, a czasem nawet przy wejściach do budynków. Ta powszechność jest właśnie tym, co wykorzystują przestępcy. Oszustwo QR zwykle polega na podmianie prawdziwego kodu na złośliwy albo na naklejeniu fałszywej etykiety na oryginalny kod. Po zeskanowaniu trafiasz na fałszywą stronę płatności, stronę logowania lub link do pobrania, który instaluje złośliwe oprogramowanie.
W 2026 roku oszustwa QR są często powiązane z drobnymi, codziennymi płatnościami. Parkomaty bywają typowym celem: fałszywy kod QR prowadzi do strony łudząco podobnej do lokalnej usługi parkingowej i prosi o dane karty. Innym schematem jest kod QR na „awizo” lub plakacie informującym, że trzeba „zweryfikować adres” albo „opłacić małą kwotę”, aby przełożyć dostawę. Ta kwota bywa niska celowo, ponieważ ludzie są mniej ostrożni przy niewielkich płatnościach.
Problemem nie jest sam kod QR, lecz link, który otwiera. Kod QR może zawierać dowolny adres URL, również taki, który wygląda prawie poprawnie, ale ma dodatkowe litery, dziwne subdomeny albo mylące myślniki. Część ataków otwiera też stronę, która prosi o Apple ID, konto Google lub login do banku, aby przejąć dane uwierzytelniające.
Bezpieczne skanowanie i ustawienia telefonu, które mają znaczenie
Zawsze sprawdzaj podgląd linku przed otwarciem. Zarówno iOS, jak i Android zazwyczaj wyświetlają adres po zeskanowaniu kodu. Przeczytaj go uważnie. Szukaj literówek, dziwnych końcówek domeny lub elementów, które nie pasują do oficjalnej nazwy firmy. Jeśli płacisz za parking lub zamawiasz w kawiarni, często bezpieczniej jest użyć oficjalnej aplikacji lub wpisać adres ręcznie, zamiast skanować naklejkę.
Korzystaj z przeglądarki z silną ochroną przed phishingiem i utrzymuj ją aktualną. Nowoczesne przeglądarki potrafią wykrywać wiele znanych stron phishingowych, ale tylko wtedy, gdy są zaktualizowane. Jeśli w ustawieniach masz opcję „Bezpieczne przeglądanie” lub podobną, pozostaw ją włączoną. Unikaj też instalowania przypadkowych aplikacji do skanowania QR; wbudowany aparat i narzędzia systemowe zwykle wystarczają i są bezpieczniejsze niż zewnętrzne skanery żądające nadmiernych uprawnień.
Podchodź podejrzliwie do kodów QR, które uruchamiają pobieranie plików lub od razu każą instalować aplikację. Kod QR do menu w restauracji nie powinien prosić o dostęp do kontaktów ani sugerować instalacji „przeglądarki”. Jeśli kod prowadzi do logowania Apple, Google, banku lub firmy kurierskiej, zatrzymaj się i zweryfikuj sytuację, otwierając oficjalną aplikację albo wchodząc na stronę z zapisanych zakładek.
Fałszywe aplikacje i niebezpieczne uprawnienia: jak je rozpoznać i blokować
Fałszywe aplikacje pozostają jednym z najbardziej szkodliwych zagrożeń mobilnych, bo mogą wykradać hasła, przechwytywać SMS-y, zbierać dane płatnicze lub wyświetlać przekonujące strony logowania. W 2026 roku przestępcy często podszywają się pod banki, portfele kryptowalut, narzędzia śledzenia przesyłek, aplikacje do „opłat celnych” oraz popularne programy użytkowe, jak skanery dokumentów. Wiele takich aplikacji jest rozsyłanych przez reklamy, posty w mediach społecznościowych albo wiadomości z linkiem do pobrania.
Nawet jeśli aplikacja jest w sklepie, warto sprawdzać oznaki autentyczności. Podróbki mogą mieć nazwy bardzo podobne do prawdziwych marek, z niemal identycznym logo. Często bazują na pośpiechu użytkownika, który klika „Zainstaluj” bez sprawdzenia nazwy wydawcy. Najczęstszy sygnał ostrzegawczy to rozbieżność między deklarowaną funkcją aplikacji a uprawnieniami, o które prosi.
Uprawnienia to realny panel sterowania Twoim telefonem. Aplikacja latarki nie potrzebuje dostępu do SMS-ów. Aplikacja „śledzenia paczek” nie potrzebuje uprawnień Ułatwień dostępu. „Narzędzie bezpieczeństwa banku” nie powinno prosić o możliwość odczytu ekranu ani kontrolowania urządzenia. Gdy oszust uzyska dostęp do usług ułatwień dostępu, często może obserwować, co wpisujesz i ingerować w działanie innych aplikacji, w tym bankowych.
Ustawienia bezpieczeństwa: nieznane źródła, menedżer haseł i 2FA
Zablokuj instalacje z nieznanych źródeł, chyba że masz bardzo konkretny powód, aby je włączyć. Na Androidzie trzymaj „Instalowanie nieznanych aplikacji” wyłączone dla przeglądarek i komunikatorów, bo to najczęstsza droga dla oszustów. Jeśli musisz coś zainstalować ręcznie, dokładnie sprawdź źródło, a potem ponownie wyłącz tę opcję. Na iPhonie system jest domyślnie bardziej restrykcyjny i z punktu widzenia bezpieczeństwa to zaleta.
Korzystaj z menedżera haseł i przechodź na silniejsze metody 2FA, gdy to możliwe. Menedżer haseł pomaga na dwa sposoby: tworzy unikalne hasła i zmniejsza ryzyko wpisania danych na fałszywej stronie, bo zwykle nie uzupełnia formularzy na nieprawidłowych domenach. W przypadku 2FA warto wybierać aplikacje uwierzytelniające lub passkeys. Kody SMS są lepsze niż nic, ale łatwiej je przechwycić, a oszuści często atakują je przez manipulacje związane z kartą SIM.
Przeglądaj uprawnienia aplikacji co najmniej raz w miesiącu, szczególnie dla programów, z których rzadko korzystasz. W iOS sprawdzaj Ustawienia → Prywatność i bezpieczeństwo, a w Androidzie Ustawienia → Prywatność → Menedżer uprawnień (nazwy mogą się różnić). Odbieraj uprawnienia, które nie pasują do funkcji aplikacji. Skontroluj też ustawienia Ułatwień dostępu i usuń każdą aplikację, której nie ufasz w 100%, ponieważ to jedna z najczęściej nadużywanych dróg w oszustwach mobilnych.
