Nigdy nie klikaj w podejrzane linki

Phishing 2026 wygląda jak Twoja codzienność

Już nie chodzi o nigeryjskich książąt z błędami w mailu. Współczesne kampanie phishingowe imitują kuriera, bank, ZUS, biuro maklerskie, urząd skarbowy. Tekst jest poprawny, polski, kontekstowy. Link prowadzi na stronę, która wygląda dokładnie jak prawdziwa.

Najczęstszym wektorem nie jest dziś e-mail, tylko SMS i komunikator. Krótki, bez nadmiernej presji, czasem nawet z fałszywym przyciskiem „Weryfikuję” i „Nie ja”.

Co realnie pomaga

Włącz MFA wszędzie, gdzie możesz. Klucz sprzętowy, aplikacja TOTP albo passkey. SMS jako MFA jest lepszy niż nic, ale słabszy od pozostałych. W Sejfie Życia MFA jest standardem od pierwszego logowania.

Sprawdzaj domenę przed logowaniem. Nie tytuł strony, tylko adres w pasku. Jeśli logujesz się do banku, koniecznie sprawdź, czy domena jest dokładnie ta sama, której używasz na co dzień.

Loguj się z zakładek, nie z linków. Zwłaszcza do banku, bankowości firmowej, biura maklerskiego, ZUS. Linki z maila, nawet od „znajomego”, nie nadają się do logowania.

Nie potwierdzaj transakcji „bo tak”. Każdy kod w aplikacji bankowej zawiera opis operacji. Jeśli go nie rozumiesz albo nie pasuje do Twojej intencji – odmów.

Co bywa teatrem bezpieczeństwa

• „Klikalność” linków antyphishingowych. Wiele „skanerów” to gadżety, które nie zastąpią zdrowej rezerwy.
• Hasła zmieniane co 30 dni. To stare zalecenie, dziś już niezalecane przez NIST – prowadzi do haseł słabszych, łatwiejszych do zapamiętania i powtarzanych.
• Krótkie hasła z „dziwnymi znakami”. Lepsze są długie, łatwiejsze do zapamiętania – byle nie powtarzane między serwisami.

Jeden test mentalny przed kliknięciem

Zatrzymaj się na trzy sekundy i odpowiedz sobie: czy ja czegoś takiego oczekiwałem? Jeśli nie – nie klikaj. Sprawdź samodzielnie, w aplikacji, do której logujesz się z zakładki.