Pierwsze minuty po kliknięciu w podejrzany link – jak się zachować
Krok 1: przerwij wszystko i nie podawaj żadnych danych
Pierwsza zasada po kliknięciu w podejrzany link na telefonie: przestań robić cokolwiek dalej. Najgroźniejsze skutki nie wynikają z samego kliknięcia, ale z kolejnych kroków – wpisania loginu, numeru karty, kodu BLIK, zainstalowania aplikacji.
Jeśli pojawiła się strona z formularzem, komunikat z prośbą o dane lub zachęta do instalacji pliku – niczego nie wpisuj i niczego nie instaluj. Nawet jeśli komunikat wygląda bardzo wiarygodnie, straszy blokadą konta, dopłatą do paczki, karą czy wyłączeniem numeru telefonu. Takie emocjonalne naciski są typowe dla phishingu i oszustw.
Jeżeli zdążyłeś już wpisać jakiekolwiek dane (loginy, hasła, PESEL, numer karty, kody SMS, kody BLIK), zapamiętaj to – przyda się w dalszych krokach. Nie cofaj się setki razy w przeglądarce, nie odświeżaj strony, nie próbuj „sprawdzić, czy działa”. Każde dodatkowe działanie może tylko pogorszyć sytuację.
Co sprawdzić na tym etapie:
Czy na podejrzanej stronie zdążyłeś cokolwiek wpisać?
Czy kliknąłeś przyciski typu „Dalej”, „Potwierdź”, „Zaloguj” po wpisaniu danych?
Czy strona prosiła o instalację aplikacji lub pobrała plik?
Krok 2: zamknij przeglądarkę lub aplikację i odłącz internet
Kolejny krok po kliknięciu w podejrzany link na telefonie to odcięcie połączenia, aby zatrzymać ewentualną komunikację z serwerem atakującego.
Praktycznie:
Zamknij kartę w przeglądarce, a najlepiej całą aplikację (Chrome, Safari, Firefox, Samsung Internet itd.).
Jeśli link otworzył się w innej aplikacji (Messenger, WhatsApp, aplikacja pocztowa), zamknij i ją.
Wyłącz na chwilę Wi‑Fi i dane komórkowe z szybkich ustawień telefonu.
Odłączenie internetu jest szczególnie ważne, jeśli widziałeś próbę pobrania pliku, nietypowy komunikat systemowy lub telefon zaczął nagle działać wolniej. To prosta bariera, która może przerwać działanie ewentualnego złośliwego oprogramowania, zanim połączy się z serwerem przestępców.
Po kilku–kilkunastu minutach, gdy wykonasz pierwsze kroki bezpieczeństwa, połączenie można przywrócić – ale nie wcześniej, niż upewnisz się, co dokładnie się stało.
Krok 3: odtwórz przebieg zdarzenia – co dokładnie się stało po kliknięciu
Żeby dobrze zareagować, trzeba możliwie precyzyjnie ustalić, co się wydarzyło po kliknięciu w podejrzany link na telefonie. W pamięci zachowaj możliwie dużo szczegółów, a najlepiej od razu je zapisz.
Zastanów się krok po kroku:
Skąd był link? SMS, e‑mail, Messenger, WhatsApp, Telegram, DM na Instagramie, reklama?
Jak wyglądała strona po kliknięciu – logo banku, firmy kurierskiej, operatora, portalu społecznościowego?
Czy pojawiło się okno logowania, formularz z prośbą o dane osobowe, numer karty lub kody SMS/BLIK?
Czy telefon zgłosił pobieranie pliku (np. APK na Androidzie) lub instalację profilu (na iOS)?
Czy strona wymagała nadania dziwnych uprawnień (np. „dostęp do SMS”, „dostęp do ustawień systemu”)?
Im dokładniej odtworzysz przebieg, tym łatwiej ocenisz, z jakim typem zagrożenia masz do czynienia: phishing (wyłudzenie danych) czy malware (złośliwe oprogramowanie). Od tego zależą dalsze działania.
Pierwsza decyzja: phishing czy możliwe zainstalowanie złośliwego oprogramowania
Po krótkim „śledztwie” trzeba postawić wstępną diagnozę:
Phishing – jeśli strona:
podszywała się pod bank, firmę kurierską, sklep, serwis społecznościowy, operatora,
prosiła o login, hasło, PESEL, numer karty, kody SMS lub BLIK,
nie pytała o instalację aplikacji, nie pobrała pliku,
miała dziwny adres (np. literówki w nazwie, końcówki typu .top, .xyz, link skrócony bit.ly itp.).
Możliwe malware – jeśli:
zaraz po kliknięciu zaczął się pobierać plik (np. coś.apk na Androidzie),
system iOS zaproponował instalację profilu konfiguracji, certyfikatu lub „aplikacji zaufanego dewelopera”,
strona poprosiła o nadanie nietypowych uprawnień (czytanie SMS, dostęp do ekranu, administrator urządzenia).
Często te elementy się łączą – atak zaczyna się phishingiem (wyłudzenie danych), a kończy instalacją złośliwej aplikacji. Dlatego w wątpliwych przypadkach lepiej założyć gorszy scenariusz i zabezpieczyć się szerzej.
Dokumentacja zdarzenia: co zapisać i zachować
Od razu po opanowaniu pierwszych emocji dobrze jest zebrać dowody, które przydadzą się przy zgłaszaniu incydentu do banku, operatora, policji czy CERT.
Zrób kilka prostych kroków:
Zapisz datę i godzinę kliknięcia w link oraz godzinę ewentualnego wpisania danych.
Zrób zrzuty ekranu:
SMS‑a lub wiadomości z linkiem,
strony, która się otworzyła (jeśli to możliwe – z adresem URL),
formularza, do którego trafiłeś.
Nie kasuj od razu SMS‑a ani e‑maila z linkiem – mogą być potrzebne jako dowód.
Te informacje znacząco ułatwiają pracę działowi bezpieczeństwa w banku, operatorowi czy specjalistom IT. Bez nich często trudno jednoznacznie ustalić, co się stało.
Co sprawdzić po pierwszych minutach: masz zanotowaną godzinę zdarzenia, zachowany SMS/mail z linkiem, kilka zrzutów ekranu oraz wstępną decyzję, czy chodzi raczej o phishing, czy możliwe malware.
Źródło: Pexels | Autor: Lê Minh
Jak rozpoznać, z jakim zagrożeniem masz do czynienia
Spam, phishing, malware – kluczowe różnice
Nie każdy podejrzany link na telefonie kończy się katastrofą. Czasami to zwykły spam, czasami agresywna reklama, a czasami poważne zagrożenie. Dobrze rozumieć różnice:
Zwykły spam – niebezpieczny głównie z punktu widzenia prywatności i irytacji:
reklamy, loterie, „super okazje”,
linki prowadzą do stron z reklamami, nie proszą o loginy/hasła, nie próbują instalować aplikacji,
po zamknięciu strony i nic niepodaniu zwykle nie ma realnych szkód.
Phishing – wyłudzenie danych:
wiadomość straszy lub obiecuje (blokada konta, dopłata, paczka, wygrana),
link prowadzi do fałszywej strony logowania lub formularza,
główny cel: login, hasło, kod SMS, numer karty, dane osobowe.
Malware – złośliwe oprogramowanie:
celem jest zainstalowanie aplikacji lub profilu,
pozwala przestępcom przejąć kontrolę nad telefonem (np. odczyt SMS, podgląd ekranu),
groźny szczególnie, gdy łączy się z phishingiem bankowym.
Po kliknięciu linku odpowiedz sobie na pytanie: czy ktoś próbował coś ode mnie wyciągnąć (dane), czy coś na siłę wcisnąć (aplikację, profil, uprawnienia)? To dobra pierwsza wskazówka.
Jak wygląda typowy phishing SMS i przez komunikatory
Próby phishingu poprzez SMS i komunikatory (Messenger, WhatsApp, Signal) mają powtarzające się schematy. Znajomość tych wzorców ułatwia ocenę ryzyka po kliknięciu.
Charakterystyczne elementy:
Podszywanie się pod znaną markę: bank, InPost, Poczta, Allegro, OLX, operator telefonii, portal społecznościowy.
Silne emocje i presja czasu:
„Twoja paczka została zatrzymana – dopłać 1,23 zł”,
„Konto zostanie zablokowane za 24 godziny”,
„Nieopłacona faktura – odetniemy numer”.
Link z dziwną domeną:
drobną literówką w nazwie banku/firmy (np. „inpost‑polska.com” zamiast „inpost.pl”),
nietypowymi końcówkami (.top, .xyz, .online),
link skrócony (bit.ly, tinyurl) – bez jasnego wskazania, gdzie prowadzi.
Formularz logowania lub płatności:
okno logowania „jak do banku”,
strona udająca bramkę płatniczą (PayU, Przelewy24, Dotpay itp.),
żądanie kodu BLIK lub jednorazowego kodu SMS bezpośrednio na stronie.
Jeśli po kliknięciu link doprowadził do takiej strony i wpisywałeś dane, trzeba je natychmiast traktować jako przejęte. Nawet jeśli strona później wyświetliła błąd lub się zawiesiła – dane najczęściej już trafiły do przestępców.
Objawy możliwej infekcji malware na Androidzie i iOS
Na telefonie z Androidem ryzyko instalacji malware jest większe, bo system pozwala instalować aplikacje spoza sklepu Google Play. iOS jest bardziej zamknięty, ale nie jest całkowicie odporny – są ataki oparte na profilach, konfiguracjach MDM czy fałszywych VPN.
Na Androidzie zwróć uwagę na:
automatyczne pobranie pliku APK po kliknięciu w link,
komunikat systemu o możliwości instalacji aplikacji z nieznanego źródła,
żądanie włączenia opcji „instalacja z nieznanych źródeł” w ustawieniach,
okno instalacji aplikacji, która nie pochodzi z Google Play,
późniejsze objawy:
nagłe spowolnienie telefonu,
szybkie zużycie baterii i nagrzewanie się urządzenia,
dziwny transfer danych w tle,
pojawienie się nowych ikon aplikacji, których nie instalowałeś.
nietypowe komunikaty o „zaufaniu deweloperowi” aplikacji spoza App Store,
prośby o zainstalowanie „aplikacji bankowej” z linku SMS zamiast z App Store,
późniejsze objawy:
dziwne profile w ustawieniach (Ustawienia → Ogólne → VPN i zarządzanie urządzeniem / Profile),
nietypowe przekierowania ruchu (np. przez fałszywy VPN),
komunikaty o zaufaniu dla nieznanych certyfikatów.
Kiedy najpewniej nic się nie stało, a kiedy trzeba bić na alarm
Są sytuacje, w których samo kliknięcie linku jest praktycznie niegroźne – oraz takie, w których trzeba działać natychmiast.
Raczej bez większych skutków (przy zachowaniu ostrożności), jeśli:
link otworzył reklamę lub prostą stronę z tekstem,
nie było żadnego formularza, zachęty do logowania czy płatności,
nie pobrał się żaden plik, nie było prośby o instalację aplikacji czy profilu,
niczego nie wpisywałeś i nie nadawałeś żadnych uprawnień.
Alarm najwyższego poziomu, jeśli:
wprowadziłeś login i hasło do banku, poczty, Facebooka, Google, Apple ID itp.,
podałeś numer karty płatniczej (z datą i CVC/CVV),
wpisałeś kod BLIK, kody SMS z banku lub autoryzowałeś coś w aplikacji, myśląc, że to „logowanie testowe”,
zainstalowałeś aplikację z linku, a nie z oficjalnego sklepu,
na iPhonie zatwierdziłeś instalację profilu lub nietypowego VPN‑a.
Co zrobić krok po kroku, gdy podałeś dane na fałszywej stronie
Najważniejsza zasada: działaj szybko, ale bez paniki
Jeżeli na podejrzanej stronie wpisywałeś jakiekolwiek dane – traktuj je jako przejęte. Czas działa na twoją niekorzyść, więc przejdź do konkretów.
Najpierw ustal, jakiego typu dane podałeś:
loginy i hasła (bank, e‑mail, media społecznościowe, Apple ID, Google itp.),
dane karty płatniczej (numer, data ważności, CVC/CVV),
dane osobowe (PESEL, numer dowodu, adres zamieszkania),
kody BLIK lub kody SMS z banku,
inne wrażliwe informacje (odpowiedzi na pytania pomocnicze, PIN do aplikacji).
Gdy podałeś login i hasło (bank, e‑mail, portale społecznościowe)
Tu liczą się minuty. Atakujący często logują się na konto niemal od razu.
Krok 1. Zmień hasło z innego, bezpiecznego urządzenia
Telefon, na którym kliknąłeś link, może być potencjalnie naruszony. Dlatego:
użyj innego urządzenia (drugi telefon, komputer, tablet),
wejdź na oficjalną stronę usługi, wpisując adres ręcznie (np. ing.pl, mBank.pl, gmail.com),
zaloguj się i od razu zmień hasło na zupełnie nowe:
inne niż dotychczasowe,
nieużywane w innych serwisach.
Typowy błąd: zmiana hasła z tego samego, potencjalnie zainfekowanego telefonu. Lepsza jest zmiana z urządzenia, którego nie używałeś przy kliknięciu.
Krok 2. Wyloguj wszystkie aktywne sesje
Większość serwisów ma opcję „wyloguj ze wszystkich urządzeń” albo listę aktywnych sesji/logowań.
w banku – sprawdź ustawienia bezpieczeństwa → aktywne urządzenia / historia logowań,
w Gmailu, Facebooku, Microsoft – ustawienia konta → bezpieczeństwo → sesje/logowania,
wyloguj wszystko, czego nie rozpoznajesz albo od razu wszystkie sesje.
Krok 3. Włącz lub wzmocnij dwuskładnikowe uwierzytelnianie (2FA)
Jeżeli usługa na to pozwala, ustaw drugi składnik logowania:
aplikację typu Authenticator (Google, Microsoft, Authy),
klucz sprzętowy, jeśli korzystasz z niego w pracy lub prywatnie,
SMS – lepsze to niż nic, choć mniej bezpieczne niż aplikacja.
Upewnij się, że numery telefonów i adresy e‑mail do odzyskiwania hasła są poprawne i należą do ciebie.
Krok 4. Sprawdź, czy ktoś już coś zrobił na twoim koncie
Przejrzyj ostatnią aktywność:
w banku – historię transakcji, zlecenia stałe, przelewy oczekujące, listę odbiorców zaufanych,
w poczcie – wysłane wiadomości, filtry, przekierowania (czy e‑maile nie są przekazywane dalej),
w portalach społecznościowych – wysłane wiadomości, posty, zmiany w profilu, nowo dodane aplikacje.
Jeżeli coś wygląda podejrzanie, zgłoś to oficjalnym kanałem wsparcia (infolinia, czat, formularz kontaktowy).
Co sprawdzić po zmianie haseł: czy zalogowałeś się z innego urządzenia, hasła są zmienione wszędzie, sesje wylogowane, 2FA włączone, a na kontach brak nieautoryzowanych działań.
Gdy dane logowania były używane też w innych miejscach
Jeżeli masz nawyk używania tego samego hasła w kilku usługach, sytuacja się komplikuje. Przestępcy często testują przejęte loginy w popularnych serwisach.
Krok 1. Spisz, gdzie mogłeś używać tego samego hasła
Skup się na kluczowych miejscach:
e‑mail główny,
Facebook/Instagram,
Apple ID / Google,
kont a w sklepach internetowych (Allegro, Amazon, OLX, znane e‑sklepy),
serwisy, gdzie masz podpiętą kartę do płatności.
Krok 2. Zmień hasła we wszystkich tych usługach
Idź po kolei, zaczynając od konta e‑mail (przez e‑mail zwykle da się zresetować inne konta). Używaj menedżera haseł, żeby nie wrócić do jednego hasła „do wszystkiego”.
Co sprawdzić: czy lista serwisów z tym samym hasłem jest przejrzana, hasła zmienione, 2FA ustawione przynajmniej na poczcie, głównych portalach i kontach z płatnościami.
Gdy podałeś dane osobowe: PESEL, dowód, adres
Dane osobowe są wykorzystywane głównie do wyłudzeń kredytów, pożyczek i usług na twoje nazwisko. Ochrona jest tu bardziej „maratonem” niż sprintem.
Krok 1. Zastrzeż dokument tożsamości (jeśli padły jego dane)
Jeśli na fałszywej stronie podałeś:
serię i numer dowodu osobistego,
PESEL + dane z dowodu,
dane paszportu / prawa jazdy,
skontaktuj się z bankiem (telefonicznie lub w oddziale) i poproś o zastrzeżenie dokumentu w systemie dokumentyzastrzezone.pl (bank zrobi to w centralnej bazie). Możesz też zgłosić utratę dokumentu w urzędzie gminy, który wydał dowód.
Krok 2. Włącz bezpłatne powiadomienia z BIK / usług antywyłudzeniowych
Jeżeli korzystasz z BIK lub podobnej usługi monitorowania, aktywuj alerty o:
nowych zapytaniach kredytowych,
nowych umowach zawieranych na twoje dane.
Przy pierwszych podejrzanych informacjach reaguj natychmiast, kontaktując się z instytucją, która zrobiła zapytanie.
Krok 3. Zabezpiecz dostęp do e‑PUAP, Profilu Zaufanego i innych usług państwowych
Jeśli to możliwe, zmień hasło i włącz dodatkowe zabezpieczenia tam, gdzie logujesz się za pomocą numeru PESEL i hasła lub logowania „przez bank”. Przejrzyj historię aktywności, czy nie ma nietypowych operacji.
Co sprawdzić: czy dokument tożsamości jest zastrzeżony, monitorujesz ewentualne próby wyłudzeń, a dostęp do usług państwowych i bankowych jest dobrze zabezpieczony.
Gdy wysłałeś komuś kody SMS lub kody BLIK „do weryfikacji”
Przestępcy często udają konsultantów banku lub „dział bezpieczeństwa” i proszą o przepisanie kodów z SMS‑ów lub BLIK, niby w celu „weryfikacji”. To bezpośrednie autoryzacje operacji na twoim koncie.
Krok 1. Sprawdź historię transakcji w banku
zaloguj się z innego urządzenia na swoje konto bankowe (lub przez infolinię, jeśli wolisz),
przejrzyj transakcje, zaczynając od momentu wpisania kodów,
sprawdź też „operacje oczekujące”, zlecenia stałe, przelewy zaplanowane, nowych odbiorców zaufanych.
Krok 2. Natychmiast skontaktuj się z bankiem
Nawet jeśli nie widzisz nic podejrzanego:
zadzwoń na oficjalny numer infolinii (ze strony banku, aplikacji lub rewersu karty),
opisz sytuację: że kody były podawane na podejrzanej stronie lub przez telefon,
Co sprawdzić: czy bank wie o zdarzeniu, transakcje są przejrzane, limity skorygowane, a twoje dane logowania przywrócone do bezpiecznego stanu.
Gdy podejrzany link trafił do twoich kontaktów
Zdarza się, że po kliknięciu link „sam” wysyła się dalej do znajomych przez Messenger, WhatsApp czy SMS (albo sam, albo po przejęciu konta).
Krok 1. Ostrzeż osoby, które mogły dostać wiadomość
Napisz krótko i konkretnie:
„Dostałeś ode mnie przed chwilą link – nie klikaj, to oszustwo, mój telefon/konto mogło zostać przejęte”.
Dotyczy to zwłaszcza rodziny i mniej technicznych znajomych, którzy częściej ufają takim wiadomościom.
Krok 2. Sprawdź ustawienia bezpieczeństwa konta, z którego link się rozsyłał
zmień hasło do Messengera/Facebooka, WhatsApp (jeśli to konto z hasłem),
włącz weryfikację dwuetapową,
przejrzyj aktywne sesje i wyloguj te, których nie rozpoznajesz.
Co sprawdzić: czy najważniejsze kontakty znają sytuację, rozsyłanie linku ustało, a konto komunikatora jest zabezpieczone nowym hasłem i 2FA.
Źródło: Pexels | Autor: Erik Mclean
Co zrobić, jeśli coś się pobrało lub mogło się zainstalować
Gdy pobrał się plik APK na Androidzie
Na Androidzie sam pobrany plik APK jeszcze nie oznacza infekcji, ale sytuacja jest poważna, jeśli doszło do instalacji.
Krok 1. Sprawdź, czy aplikacja została zainstalowana
wejdź w Ustawienia → Aplikacje → Wszystkie aplikacje,
poszukaj czegoś nowego, zainstalowanego w czasie zdarzenia (dziwna nazwa, brak ikony, „Aktualizacja systemu”, „Bezpieczeństwo”, „Flash Player” itp.),
sprawdź też listę aplikacji po ikonkach na ekranie głównym i w szufladzie aplikacji.
Krok 2. Usuń podejrzaną aplikację
kliknij aplikację w ustawieniach i wybierz „Odinstaluj”,
jeśli przycisk „Odinstaluj” jest wyszarzony, aplikacja może mieć uprawnienia administratora.
Krok 3. Odbierz uprawnienia administratora urządzenia
Wejdź w:
Ustawienia → Zabezpieczenia → Administratorzy urządzenia (lub podobna ścieżka),
odznacz podejrzaną aplikację jako administratora,
wróć do listy aplikacji i spróbuj ją odinstalować ponownie.
Krok 4. Wyłącz instalację z nieznanych źródeł
Po odinstalowaniu:
wejdź w Ustawienia → Zabezpieczenia / Aplikacje → Instalacja z nieznanych źródeł,
upewnij się, że jest wyłączona dla wszystkich aplikacji poza tymi, którym świadomie zaufałeś (np. przeglądarka, menedżer plików – jeśli wiesz, co robisz).
Co sprawdzić: czy na liście aplikacji nie ma nic nowego z czasu incydentu, czy wszystkie podejrzane programy usunięto, a opcja instalacji z nieznanych źródeł jest wyłączona.
Gdy na iPhonie zaproponowano instalację profilu lub aplikacji
Na iOS złośliwe działania często opierają się na profilach konfiguracji, fałszywych VPN‑ach lub MDM‑ach.
Krok 1. Sprawdź zainstalowane profile i VPN
wejdź w Ustawienia → Ogólne → VPN i zarządzanie urządzeniem (lub „Profile”),
jeśli widzisz profil, którego nie kojarzysz (nazwa firmy, której nie znasz, opis w obcym języku), zaznacz go i wybierz „Usuń profil”,
sprawdź też ustawienia VPN – wyłącz i usuń nieznane konfiguracje.
Krok 2. Usuń podejrzane aplikacje
przejrzyj ekran główny i bibliotekę aplikacji pod kątem nowo zainstalowanych programów,
przytrzymaj ikonę → „Usuń aplikację”,
Gdy przeglądarka „wariuje”, pojawiają się wyskakujące okna i przekierowania
Czasem po kliknięciu w link nic się nie instaluje, ale przeglądarka zaczyna zachowywać się dziwnie: reklamy w nietypowych miejscach, samoczynne otwieranie podejrzanych stron, komunikaty o „wygranej nagrodzie” albo „wirusie na telefonie”. To zwykle efekt złośliwych skryptów, powiadomień push lub dodatków.
Krok 1. Wyłącz podejrzane powiadomienia w przeglądarce
Najczęściej przeglądarka została „zmuszona” do pokazywania powiadomień z podejrzanej strony.
Wejdź w ustawienia przeglądarki (Chrome, Firefox, Samsung Internet itp.).
Znajdź sekcję Powiadomienia lub Uprawnienia stron.
Usuń / zablokuj strony, których nie kojarzysz albo które wyglądają podejrzanie (dziwne domeny, dużo myślników, losowe literki).
Krok 2. Wyczyść dane przeglądania
Usunięcie ciasteczek i cache często „ucina” złośliwe przekierowania.
W przeglądarce wybierz Historia → Wyczyść dane przeglądania.
Zaznacz: cookies/plików cookie i pamięć podręczna (cache); historię możesz wyczyścić według uznania.
Potwierdź czyszczenie i zamknij wszystkie karty.
Krok 3. Sprawdź rozszerzenia i dodatki (jeśli używasz)
Na mobilnych przeglądarkach dodatki są rzadkie, ale na desktopie to częsta droga infekcji.
Otwórz listę rozszerzeń/dodatków.
Wyłącz wszystko, czego nie rozpoznajesz, a następnie usuń podejrzane pozycje.
Zostaw tylko te, których faktycznie używasz i które pochodzą z zaufanych źródeł.
Co sprawdzić: czy przeglądarka przestała sama otwierać podejrzane strony, nowe powiadomienia nie wyskakują, a na liście zaufanych witryn i dodatków nie ma nieznanych pozycji.
Gdy telefon nagle działa wolniej, szybko się nagrzewa lub bateria „topnieje”
Po instalacji złośliwej aplikacji telefon może zacząć zauważalnie zwalniać, przegrzewać się nawet przy prostych czynnościach albo bardzo szybko rozładowywać baterię. To sygnał, że coś intensywnie działa w tle.
Krok 1. Sprawdź zużycie baterii i danych
Wejdź w Ustawienia → Bateria / Ogólne zarządzanie energią.
Przejrzyj listę aplikacji, które zużywają najwięcej energii od czasu incydentu.
Sprawdź też Ustawienia → Sieć komórkowa / Transfer danych → zużycie danych przez aplikacje.
Jeśli widzisz aplikację, której nie kojarzysz, a ma nienaturalnie wysokie zużycie baterii lub danych – to kandydat do dokładnego sprawdzenia.
Krok 2. Odbierz zbędne uprawnienia
Nawet jeśli aplikacja nie jest ewidentnie złośliwa, nie musi mieć dostępu do wszystkiego.
Przejdź do Ustawienia → Aplikacje → [wybrana aplikacja] → Uprawnienia.
Wyłącz dostęp do SMS‑ów, połączeń, kontaktów, aparatu czy lokalizacji, jeśli nie są niezbędne.
W razie wątpliwości aplikację lepiej odinstalować niż ryzykować.
Na Androidzie możesz użyć sprawdzonej aplikacji antywirusowej z oficjalnego sklepu. Unikaj „cudownych boosterów” i „cleanerów”, które same bywają problemem.
Zainstaluj jedną, zaufaną aplikację bezpieczeństwa (nie kilka naraz).
Przeprowadź pełne skanowanie systemu.
Zastosuj się do zaleceń dotyczących usunięcia wykrytych zagrożeń.
Co sprawdzić: czy po usunięciu podejrzanych aplikacji i ograniczeniu uprawnień telefon wrócił do normalnej pracy, bateria trzyma dłużej, a użycie danych wygląda normalnie.
Gdy nie jesteś pewien, czy telefon jest czysty – przywracanie do ustawień fabrycznych
Zdarza się, że po kliknięciu w link i kilku manipulacjach trudno już ocenić, co się zmieniło. Jeśli masz wątpliwości, przywrócenie urządzenia do ustawień fabrycznych jest najpewniejszym sposobem pozbycia się złośliwego oprogramowania.
Krok 1. Zrób kopię zapasową ważnych danych
Zsynchronizuj zdjęcia z chmurą (Google Photos, iCloud lub inna zaufana usługa).
Wyeksportuj kontakty do chmury lub pliku.
Sprawdź, które aplikacje same robią kopie (komunikatory, notatki) i zainicjuj backup ręcznie.
Unikaj kopiowania „na ślepo” całych katalogów z plikami APK lub aplikacjami – możesz przenieść problem z powrotem.
Krok 2. Wyloguj się z ważnych kont
Wyloguj konto Google/Apple ID, e‑mail, komunikatory, media społecznościowe.
Upewnij się, że masz dostęp do tych kont z innego urządzenia (lub zapisane hasła).
Krok 3. Przywróć ustawienia fabryczne
Na Androidzie: Ustawienia → System / Ogólne zarządzanie → Reset / Przywróć ustawienia fabryczne.
Na iOS: Ustawienia → Ogólne → Przenieś lub wyzeruj [iPhone] → Wymaż zawartość i ustawienia.
Podłącz ładowarkę i poczekaj, aż proces się zakończy, nie przerywaj go.
Krok 4. Po resecie instaluj tylko niezbędne aplikacje z oficjalnego sklepu
Przywracając urządzenie, zrób „porządek przy okazji”.
Zainstaluj tylko te programy, których naprawdę używasz.
Na nowo skonfiguruj blokadę ekranu i weryfikację dwuetapową na ważnych kontach.
Co sprawdzić: czy po resecie nie przywróciłeś aplikacji z podejrzanego okresu, hasła do usług zostały zaktualizowane, a telefon działa przewidywalnie i bez nietypowych komunikatów.
Specjalny przypadek: dane bankowe, BLIK, karty płatnicze
Gdy wpisałeś dane logowania do banku na podejrzanej stronie
Podanie loginu i hasła do bankowości internetowej na fałszywej stronie to sytuacja wysokiego ryzyka. Nawet jeśli nic „nie zniknęło” z konta, dane mogły już trafić do przestępców.
Krok 1. Zabezpiecz dostęp – zmień hasło z innego urządzenia
Użyj innego, zaufanego urządzenia (np. komputera, który nie brał udziału w incydencie).
Wejdź na stronę banku, wpisując adres ręcznie lub używając zapisanej zakładki.
Zaloguj się i natychmiast zmień hasło do bankowości internetowej.
Krok 2. Sprawdź historię i ustawienia bezpieczeństwa
Przejrzyj historię transakcji za ostatnie dni.
Sprawdź listę zaufanych odbiorców, urządzeń, przeglądarek i aplikacji mobilnych.
Usuń te, których nie rozpoznajesz lub których nie używasz.
Krok 3. Skontaktuj się z bankiem i zgłoś incydent
Zadzwoń na infolinię (numer z oficjalnej strony lub z rewersu karty).
Powiedz wprost, że dane logowania mogły trafić na stronę wyłudzającą.
Poproś o:
blokadę starych danych dostępowych (jeśli to możliwe),
nowe dane / reset dostępu,
monitoring nietypowych transakcji.
Co sprawdzić: czy login/hasło do banku zostały zmienione, profil został zweryfikowany przez bank, a w historii transakcji i w zaufanych urządzeniach nie ma nic obcego.
Gdy podałeś dane karty płatniczej (numer, data, CVC)
Numer karty, data ważności i kod CVC to zestaw, który pozwala na płatności internetowe bez twojej dalszej zgody. Trzeba reagować od razu.
Krok 1. Zablokuj lub zastrzeż kartę
Wejdź do aplikacji bankowej lub bankowości internetowej.
Od razu:
zablokuj kartę (czasowo), lub
od razu zastrzeż ją trwale, jeśli bank tego wymaga.
Jeśli nie masz dostępu online – zadzwoń na infolinię banku lub ogólnopolski numer zastrzegania kart.
Krok 2. Zamów nową kartę
Złóż dyspozycję wydania nowej karty z nowym numerem.
Sprawdź, czy bank nie dodał starych danych karty do cyfrowych portfeli (Google Pay, Apple Pay) – usuń je.
Krok 3. Przejrzyj i ogranicz płatności cykliczne
Jeśli kartą płaciłeś za subskrypcje (VOD, muzyka, aplikacje), wiele z nich ma zapisane dane starej karty.
Sprawdź listę subskrypcji w sklepie z aplikacjami (Google Play, App Store) i kluczowych serwisach.
Usuń dane starej karty lub wyłącz automatyczne odnawianie.
Po otrzymaniu nowej karty dodaj ją tylko tam, gdzie jest to niezbędne.
Co sprawdzić: czy karta została formalnie zastrzeżona, nowa jest w drodze, a żadne podejrzane obciążenia nie pojawiły się w historii transakcji kartowych.
Gdy przekazałeś kody BLIK lub jednorazowe kody SMS
Podanie kodu BLIK, hasła SMS lub potwierdzenie w aplikacji „bo dzwonił bank” prawie zawsze oznacza, że autoryzowałeś cudzą transakcję. Nawet jeśli konsultant brzmiał wiarygodnie.
Krok 1. Zatrzymaj dalsze autoryzacje
Wyłącz na chwilę Internet w telefonie (dane komórkowe i Wi‑Fi), żeby przerwać kolejne potwierdzenia w aplikacji.
Nie wpisuj żadnych kolejnych kodów, nie klikaj w powiadomienia bankowe bez pełnego zrozumienia ich treści.
Krok 2. Skontaktuj się z bankiem w trybie pilnym
Zadzwoń na infolinię z innego telefonu, jeśli to możliwe (żeby w trakcie rozmowy nikt nie przejął połączenia).
Powiedz, że kody BLIK/SMS mogły posłużyć do nieautoryzowanych operacji.
Poproś o:
natychmiastową blokadę BLIK lub czasowe wyłączenie tej funkcji,
weryfikację ostatnich transakcji BLIK i przelewów natychmiastowych,
ewentualną blokadę bankowości internetowej do czasu wyjaśnienia.
Bank poprosi cię o opisanie zdarzenia – jak wyglądał kontakt, jakie komunikaty otrzymywałeś.
Przygotuj:
datę i przybliżoną godzinę przekazania kodów,
treści SMS‑ów (jeśli je masz),
informację, jakie działania sam wykonywałeś w tym czasie w bankowości.
Złóż reklamację wszystkich transakcji, których nie rozpoznajesz.
Co sprawdzić: czy BLIK jest zablokowany/ograniczony, wszystkie nietypowe transakcje zostały zidentyfikowane i zgłoszone, a nowe hasło do bankowości zostało ustawione.
Gdy ktoś podszył się pod pracownika banku lub policjanta
Scenariusz jest podobny: telefon, pilne ostrzeżenie o „włamaniu na konto”, prośba o instalację aplikacji do zdalnego pulpitu, podanie kodów BLIK lub danych logowania. Konsekwencje bywają poważne, bo napastnik często steruje telefonem ofiary.
Krok 1. Odinstaluj aplikacje do zdalnego dostępu
Sprawdź listę aplikacji pod kątem programów typu AnyDesk, TeamViewer, QuickSupport, „pomoc techniczna”, „remote” itp.
Odinstaluj je natychmiast.
Jeżeli mają uprawnienia dostępności lub administratora – najpierw je odbierz, a dopiero potem usuń.
Krok 2. Zabezpiecz nie tylko bank, ale też skrzynkę e‑mail
Najczęściej zadawane pytania (FAQ)
Kliknąłem podejrzany link w SMS‑ie na telefonie – co zrobić jako pierwsze?
Krok 1: przestań robić cokolwiek dalej – nie wpisuj loginu, haseł, numeru karty, PESEL, kodów SMS ani BLIK. Jeśli strona prosi o instalację aplikacji lub pliku, nic nie pobieraj i nie zatwierdzaj żadnych komunikatów.
Krok 2: zamknij kartę i całą przeglądarkę, a jeśli link otworzył się w Messengerze, WhatsAppie czy aplikacji pocztowej – zamknij również tę aplikację. Następnie wyłącz na chwilę Wi‑Fi i dane komórkowe.
Krok 3: zapisz godzinę kliknięcia i zapamiętaj, czy zdążyłeś wpisać jakiekolwiek dane lub coś pobrać. Co sprawdzić: czy podałeś jakiekolwiek dane, czy kliknąłeś „Zaloguj”/„Potwierdź”, czy telefon coś pobrał.
Czy samo kliknięcie podejrzanego linku na telefonie jest niebezpieczne?
Najczęściej największe ryzyko pojawia się dopiero po kliknięciu – gdy wpiszesz dane lub zainstalujesz aplikację. Samo otwarcie strony z podejrzanego SMS‑a czy e‑maila, bez podawania informacji i instalacji czegokolwiek, zwykle kończy się na poziomie spamu lub prób phishingu.
Groźniej jest wtedy, gdy po kliknięciu:
pojawił się formularz logowania lub płatności i coś w nim wpisałeś,
telefon zgłosił pobieranie pliku (np. pliku .apk na Androidzie),
na iPhonie wyskoczyła propozycja instalacji „profilu konfiguracji” lub „zaufanej aplikacji”.
Krok 1: oceń, czy strona próbowała wyłudzić dane czy „wcisnąć” aplikację. Co sprawdzić: czy ktoś chciał Twoich danych, czy instalacji czegokolwiek.
Jak rozpoznać, czy to był tylko spam, phishing czy złośliwe oprogramowanie?
Po kliknięciu zadaj sobie dwa pytania: czy ktoś chciał ode mnie dane, czy chciał zainstalować coś na telefonie. To pozwala szybko zawęzić ryzyko.
Typowe scenariusze:
Spam: reklamy, „promocje”, loterie, brak próśb o loginy/kody, brak instalacji – po zamknięciu strony skutki zwykle kończą się na irytacji.
Phishing: fałszywe logowanie do banku, firmy kurierskiej, portalu społecznościowego; presja czasu („blokada konta”, „dopłać do paczki”); główny cel – login, hasło, numer karty, kody SMS/BLIK.
Malware: automatyczne pobieranie pliku, propozycja instalacji aplikacji lub profilu, żądanie nietypowych uprawnień (dostęp do SMS, ekranu, ustawień systemu).
Co sprawdzić: wygląd strony (logo banku/kurierskie?), adres (literówki, dziwne końcówki), czy coś się pobrało lub instalowało, jakie dane były wymagane.
Co zrobić, jeśli po kliknięciu linku podałem login, hasło lub dane karty?
Krok 1: niezwłocznie zaloguj się ręcznie na prawdziwej stronie banku lub serwisu (wpisując adres samodzielnie), zmień hasło i wyloguj wszystkie urządzenia, jeśli jest taka opcja. Nie wchodź ponownie przez żaden link z SMS‑a czy e‑maila.
Krok 2: jeśli podałeś dane karty lub kody BLIK/SMS:
skontaktuj się z bankiem (najlepiej telefonicznie z oficjalnego numeru ze strony banku),
poproś o zastrzeżenie karty lub blokadę podejrzanych transakcji,
zapisz godzinę, kiedy podałeś dane – bank o to zapyta.
Co sprawdzić: które konkretnie dane ujawniłeś (login, hasło, PESEL, karta, kody) i czy po wpisaniu danych potwierdzałeś jakiekolwiek operacje (np. kodem SMS).
Jakie sygnały wskazują, że link próbował zainstalować złośliwe oprogramowanie na telefonie?
Najczęstsze czerwone flagi to:
automatyczne pobranie pliku po kliknięciu (szczególnie „coś.apk” na Androidzie),
komunikat systemu z prośbą o instalację aplikacji spoza sklepu (Android) lub „profilu konfiguracji” / „certyfikatu” (iOS),
żądanie nadania uprawnień typu: dostęp do SMS, odczyt ekranu, bycie administratorem urządzenia.
Jeśli coś takiego widziałeś, przerwij instalację, zamknij aplikację i odłącz internet.
Co sprawdzić: czy kliknąłeś „Zainstaluj”, „Zaufaj”, „Nadaj uprawnienia”, czy tylko zobaczyłeś komunikat i go zamknąłeś; czy plik faktycznie trafił do pamięci telefonu.
Czy muszę od razu resetować telefon do ustawień fabrycznych po kliknięciu podejrzanego linku?
Jeżeli tylko otworzyłeś stronę i:
nie instalowałeś żadnej aplikacji ani profilu,
nie nadawałeś nietypowych uprawnień,
nie podałeś haseł, numeru karty ani kodów,
zazwyczaj wystarcza zamknięcie przeglądarki, odłączenie internetu na chwilę i dalsza obserwacja (np. wylogowanie z ważnych kont i zmiana haseł).
Reset do ustawień fabrycznych ma sens głównie wtedy, gdy:
zainstalowałeś podejrzaną aplikację lub profil i nie możesz jej/usunąć,
telefon zachowuje się nietypowo (sam wysyła SMS‑y, pojawiają się nieznane aplikacje),
specjalista ds. bezpieczeństwa lub bank tego wymaga.
Co sprawdzić: listę ostatnio instalowanych aplikacji, profile konfiguracji (na iOS), uprawnienia aplikacji (szczególnie dostęp do SMS i ekranu).
Jakie informacje zachować po incydencie z podejrzanym linkiem, żeby móc to zgłosić do banku lub policji?
Krok 1: zapisz dokładną datę i godzinę kliknięcia oraz moment, w którym ewentualnie wpisałeś dane czy potwierdziłeś transakcję. Krok 2: zrób zrzuty ekranu SMS‑a lub wiadomości z linkiem, strony, która się otworzyła, oraz formularza, do którego trafiłeś (z widocznym adresem, jeśli się da).
Nie usuwaj od razu wiadomości z linkiem – bank, operator lub policja mogą o nią poprosić. Co sprawdzić: czy masz zachowane:
treści SMS‑ów/e‑maili z linkiem,
screeny strony i formularzy,
spisane godziny i opis własnych działań krok po kroku.
Te dane ułatwiają ocenę szkód i ewentualne zablokowanie kolejnych ataków.
Co warto zapamiętać
Krok 1: po kliknięciu w podejrzany link natychmiast przerwij wszystkie działania – nie wpisuj loginów, haseł, numerów kart, kodów BLIK ani nie instaluj żadnych aplikacji, nawet jeśli strona straszy blokadą konta czy dopłatą.
Krok 2: zamknij przeglądarkę lub aplikację, w której otworzył się link, a następnie na chwilę wyłącz Wi‑Fi i dane komórkowe, aby przerwać ewentualne połączenie z serwerem atakującego.
Krok 3: odtwórz dokładnie przebieg zdarzenia – skąd był link, jak wyglądała strona, jakie dane próbowała wyłudzić, czy pojawiło się pobieranie pliku lub prośba o nietypowe uprawnienia; najlepiej od razu to zapisz.
Kluczowa decyzja: oceń, czy był to phishing (podszywanie się pod bank/kuriera/serwis, formularze do wpisania danych, brak instalacji plików) czy możliwe malware (automatyczne pobranie pliku, instalacja profilu, prośby o dostęp do SMS lub ustawień systemu).
W sytuacjach wątpliwych przyjmij gorszy scenariusz – że mogło dojść zarówno do phishingu, jak i instalacji złośliwego oprogramowania – i reaguj szerzej, zamiast sprawdzać „czy to działa” lub ponownie odwiedzać stronę.
Od razu zbierz dokumentację: zapisz datę i godzinę kliknięcia oraz wpisania danych, zrób zrzuty ekranu wiadomości z linkiem i stron, które się otworzyły, nie kasuj SMS‑a lub e‑maila – te dowody będą kluczowe dla banku, operatora czy policji.
Bibliografia
Jak reagować na podejrzane wiadomości i linki. NASK – CERT Polska – Zalecenia po kliknięciu w podejrzany link, zgłaszanie incydentów
Poradnik bezpiecznego korzystania z bankowości elektronicznej. Związek Banków Polskich – Zasady ochrony przed phishingiem i utratą danych logowania
Cyberbezpieczeństwo. Poradnik dla użytkowników urządzeń mobilnych. Urząd Ochrony Danych Osobowych – Ryzyka na smartfonach, złośliwe aplikacje, uprawnienia i dane osobowe
Phishing: A Modern Guide to an Age‑Old Problem. SANS Institute – Charakterystyka phishingu, typowe scenariusze ataków i reakcja użytkownika
Mobile Device Security. National Institute of Standards and Technology (NIST) (2020) – Wytyczne NIST dotyczące zabezpieczania smartfonów i reagowania na incydenty
