Jak rozpoznać fałszywą stronę internetową? Praktyczny poradnik analizy URL

TL;DR

Phishing to wciąż ¹ najbardziej rozpowszechniona forma cyberoszustwa. Współczesne ataki ² wykorzystują dokładne kopie wizualne znanych serwisów, co uniemożliwia rozpoznanie oszustwa na podstawie wyglądu strony. Jedynym wiarygodnym źródłem informacji jest adres widoczny w pasku przeglądarki ³. W tym poradniku pokażemy Ci, jak analizować domeny, rozpoznawać triki oszustów i korzystać z funkcji bezpieczeństwa przeglądarek.

---

Dlaczego wygląd strony to za mało?

Jeśli myślisz, że wystarczy spojrzeć na logo i układ strony, aby stwierdzić, czy jesteś na prawdziwej witrynie — to błędne założenie. ⁴ Praktycznie każdy, kto posiada podstawowe umiejętności techniczne, może stworzyć stronę do złudzenia przypominającą tę, którą dobrze znamy.

Oszuści nie oszczędzają wysiłku. Kopiują:

• Logotypy i kolory
• Układ strony
• Czcionki i grafiki
• Nawet komunikaty błędów

Dlatego właśnie ³ jedynym wiarygodnym źródłem informacji jest adres widoczny w pasku przeglądarki. To właśnie w nazwie domeny kryje się odpowiedź na pytanie, gdzie rzeczywiście jesteśmy.

---

Krok 1: Naucz się czytać domenę od prawej do lewej

To najważniejsza umiejętność. ⁵ Domenę należy analizować od prawej do lewej, zaczynając od rozszerzenia domeny najwyższego poziomu (TLD — Top Level Domain), np. .com, .pl, .cfd.

Struktura domeny — przykład

https://secure-mbank.phishing-site.xyz
                    ↑              ↑    ↑
                subdomena      domena  TLD

Czytaj zawsze od prawej:

1. TLD (.xyz, .pl, .com) — to rozszerzenie domeny
2. Domena główna (phishing-site) — to nazwa, którą zarejestrował właściciel
3. Subdomeny (secure-mbank) — to wszystko na lewo od domeny głównej

Praktyczne reguły

• ✅ Prawdziwa domena banku: https://www.mbank.pl — domena główna to mbank, TLD to .pl
• ❌ Fałszywa domena: https://mbank.phishing-site.xyz — domena główna to phishing-site, TLD to .xyz. Subdomena mbank to tylko ozdoba!

Oszuści liczą na to, że przeskanujesz wzrokiem i zatrzymasz się na słowie mbank w adresie. Nie daj się złapać.

---

Krok 2: Uważaj na homoglify — znaki, które się podszywają

⁶ Cyberprzestępcy używają homoglifów – znaków podobnych do typowych symboli, aby zmylić użytkowników. Znak „ん” tylko udaje ukośnik i tyldę, ale jest zupełnie innym znakiem – takie podstawienia mają zmylić nasz wzrok.

Typowe triki z homoglifami

Oszustwo	Rzeczywistość	Problem
а (cyrylica)	a (łacina)	Prawie identyczne, ale to inny kod znaku
0 (zero)	O (litera O)	Zależy od czcionki — trudne do rozróżnienia
1 (jeden)	l (litera L)	W wielu czcionkach wyglądają tak samo
ո (ormiańskie)	o (litera O)	Znaki z innych alfabetów

Rada: Jeśli adres URL wygląda dziwnie lub zawiera znaki spoza standardowego alfabetu łacińskiego — to ostrzeżenie.

---

Krok 3: Szukaj subtelnych trików w adresie

⁷ Oszuści często stosują subtelne triki: literówki, dodatkowe znaki lub nietypowe rozszerzenia domen (np. .cfd, .site czy .xyz zamiast spodziewanego .pl lub .com).

Przykłady oszustw

Fałszywa domena	Prawdziwa domena	Trik
allegro-lokalnie.site	allegro.pl	Nietypowe rozszerzenie + dodatkowe słowo
mbank-logowanie.pl	mbank.pl	Subdomena imitująca funkcję
booking-potwierdzenie.com	booking.com	Subdomena sugerująca akcję
paypa1.com	paypal.com	Literówka: 1 zamiast l

Praktyka: Zawsze wpisz adres ręcznie lub kliknij zakładkę, którą wcześniej dodałeś do ulubionych — nigdy nie klikaj linku z e-maila.

---

Krok 4: Sprawdzaj certyfikat SSL i ikonę kłódki

⁸ Strona internetowa banku zawsze powinna rozpoczynać się od https:// i posiadać ikonę kłódki. Te, które nie mają tego typu zabezpieczeń, zapewne są stronami fałszywymi.

Ale uwaga! ⁹ Certyfikat SSL mogą wyrobić również przestępcy – bezpłatnie i w kilka minut.

Dlatego ikonka kłódki to warunek konieczny, ale nie wystarczający. Zawsze połącz ją z analizą adresu URL.

Co sprawdzić

1. ✅ Czy adres zaczyna się od https://?
2. ✅ Czy jest ikonka kłódki?
3. ✅ Czy domena główna (czytana od prawej) to rzeczywiście domena banku?

Jeśli którykolwiek punkt zawodzi — nie loguj się.

---

Krok 5: Szukaj polityki prywatności i informacji o RODO

¹⁰ Zgodnie z przepisami RODO (Rozporządzenie o Ochronie Danych Osobowych — polska i unijna regulacja prywatności), każda legalnie działająca strona internetowa powinna jasno informować o sposobie przetwarzania danych osobowych.

¹¹ Brak polityki prywatności lub ogólnej klauzuli informacyjnej może wskazywać na oszustwo lub rażące zaniedbanie obowiązków administratora danych.

Gdzie szukać

• Stopka strony (zwykle link „Polityka prywatności” lub „RODO”)
• Sekcja „Regulamin” lub „O nas”
• Formularz logowania (czasem tam jest link)

Ostrzeżenie: Jeśli strona, która prosi o dane logowania, nie ma żadnej informacji o ochronie danych — to oszustwo.

---

Krok 6: Korzystaj z funkcji bezpieczeństwa przeglądarek

Nowoczesne przeglądarki mają wbudowane narzędzia do ochrony. Ale działają różnie — warto wiedzieć, jak je wykorzystać.

Firefox — najlepszy dla bezpieczeństwa

¹² Firefox wyróżnia się podświetlaniem głównej domeny w pasku adresu. Oznacza to, że domena główna (ta, którą zarejestrował właściciel) jest wyróżniona, a subdomeny są wygaszone.

Praktyka: W Firefoxie szybko zobaczysz, czy mbank to domena główna czy subdomena.

Chrome i inne przeglądarki

¹³ Chrome i inne przeglądarki również oferują podświetlanie domen. Zazwyczaj jednak podświetlają całą domenę wraz z subdomenami, co może utrudnić wykrycie oszustwa.

Rada: Jeśli używasz Chrome’a, bardziej polegaj na własnej analizie adresu niż na podświetlaniu.

Przeglądarki mobilne — inteligentne przewijanie

¹⁴ Na szczęście większość przeglądarek mobilnych implementuje inteligentne przewijanie, które automatycznie ustawia pasek adresu tak, aby wyświetlić koniec domeny — najważniejszą część do weryfikacji.

¹⁵ Firefox na urządzeniach mobilnych na przykład dba o to, żeby rzeczywista domena pozostała widoczna, przewijając adres. Chrome na Androidzie i Safari na iOS wdrożyły to samo podejście ochronne.

Jednak: ¹⁶ Użytkownicy powinni być świadomi, że niektóre mniej popularne przeglądarki na urządzenia mobilne mogą nie posiadać tej funkcji bezpieczeństwa.

---

Checklist: 7 kroków przed zalogowaniem się

Zanim wpiszesz hasło na jakiejkolwiek stronie, przejdź przez tę listę:

1. ✅ Czytaj domenę od prawej do lewej — czy domena główna to rzeczywiście nazwa serwisu?
2. ✅ Szukaj homoglifów — czy znaki wyglądają dziwnie?
3. ✅ Sprawdzaj TLD — czy rozszerzenie domeny to .pl/.com, a nie .site/.xyz?
4. ✅ Kliknij zakładkę z ulubionych — nigdy nie klikaj linku z e-maila.
5. ✅ Sprawdzaj https:// i kłódkę — ale to nie wystarczy samo
6. ✅ Szukaj polityki prywatności — czy strona ma informacje o RODO?
7. ✅ Wpisz adres ręcznie — jeśli masz wątpliwości, wpisz go sam zamiast klikać link

---

Co zrobić, jeśli znalazłeś fałszywą stronę?

¹⁷ Fałszywe witryny możesz zgłaszać do CERT Polska poprzez formularz online: https://incydent.cert.pl

¹⁸ W Polsce głównym organem zajmującym się analizą i neutralizowaniem zagrożeń w sieci jest CERT Polska (Computer Emergency Response Team — zespół specjalistów reagujący na incydenty bezpieczeństwa). To zespół specjalistów, który monitoruje cyberprzestrzeń i reaguje na zgłoszenia dotyczące oszustw internetowych.

Jak zgłosić

1. Wejdź na https://incydent.cert.pl
2. Wypełnij formularz z opisem oszustwa
3. Podaj adres URL fałszywej strony
4. Opisz, co się stało (np. „dostałem SMS z linkiem podszywającym się pod bramkę płatności i stronę proszono mnie o dane logowania do banku”)

Ważne: Nie klikaj już w link do fałszywej strony — wystarczy adres URL.

---

Podsumowanie dla MŚP

Jeśli zarządzasz małą lub średnią firmą, pamiętaj:

• Edukuj pracowników — phishing to wciąż ¹ najbardziej rozpowszechniona forma cyberoszustwa. Jedna kliknięta zła strona może kosztować firmę tysiące złotych.
• Wdrażaj 2FA (uwierzytelnianie dwuetapowe) — nawet jeśli pracownik wpisze hasło na fałszywej stronie, oszust nie uzyska dostępu bez drugiego czynnika.
• Monitoruj e-maile — jeśli pracownik otrzyma e-mail z linkiem do strony logowania banku lub systemu firmowego, to prawie na pewno phishing.
• Zgłaszaj oszustwa — każde zgłoszenie do CERT Polska pomaga chronić innych użytkowników.

---

Źródła

Zobacz też

• Aliasy email vs phishing: ukryj się przed spamem
• Tailscale — mesh VPN bez port-forwardingu. Poradnik dla MŚP i domu
• Bitwarden krok po kroku: jak skonfigurować menedżer haseł

Footnotes

1. Phishing to wciąż najbardziej rozpowszechniona forma cyberoszustwa — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩ ↩²

2. Współczesne ataki phishingowe wykorzystują dokładne kopie wizualne znanych serwisów, co uniemożliwia rozpoznanie oszustwa na podstawie wyglądu strony — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩

3. Jedynym wiarygodnym źródłem informacji do weryfikacji autentyczności strony jest adres widoczny w pasku przeglądarki — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩ ↩²

4. Każdy, kto posiada podstawowe umiejętności techniczne, może stworzyć stronę do złudzenia przypominającą znaną stronę — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩

5. Domenę należy analizować od prawej do lewej, zaczynając od rozszerzenia domeny najwyższego poziomu (TLD) — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩

6. Cyberprzestępcy używają homoglifów – znaków podobnych do typowych symboli, aby zmylić użytkowników — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩

7. Oszuści często stosują subtelne triki w adresach URL: literówki, dodatkowe znaki lub nietypowe rozszerzenia domen — https://poznanrodo.pl/po-czym-poznac-ze-strona-internetowa-jest-falszywa ↩

8. Strona internetowa banku zawsze powinna rozpoczynać się od https:// i posiadać ikonę kłódki — https://bankiwpolsce.pl/jak-rozpoznac-falszywe-strony-internetowe-bankow ↩

9. Certyfikat SSL mogą wyrobić również przestępcy – bezpłatnie i w kilka minut — https://www.infakt.pl/blog/jak-rozpoznac-falszywa-strone-10-sposbow/ ↩

10. Zgodnie z przepisami RODO, każda legalnie działająca strona internetowa powinna jasno informować o sposobie przetwarzania danych osobowych — https://poznanrodo.pl/po-czym-poznac-ze-strona-internetowa-jest-falszywa ↩

11. Brak polityki prywatności lub ogólnej klauzuli informacyjnej może wskazywać na oszustwo — https://poznanrodo.pl/po-czym-poznac-ze-strona-internetowa-jest-falszywa ↩

12. Firefox wyróżnia się podświetlaniem głównej domeny w pasku adresu — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩

13. Chrome i inne przeglądarki podświetlają całą domenę wraz z subdomenami, co może utrudnić wykrycie oszustwa — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩

14. Większość przeglądarek mobilnych implementuje inteligentne przewijanie, które automatycznie ustawia pasek adresu, aby wyświetlić koniec domeny — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩

15. Firefox, Chrome na Androidzie i Safari na iOS wdrożyły automatyczne przewijanie paska adresu na urządzeniach mobilnych — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩

16. Niektóre mniej popularne przeglądarki na urządzenia mobilne mogą nie posiadać funkcji automatycznego przewijania paska adresu — https://cert.pl/posts/2025/09/analiza-adresow-stron/ ↩

17. Fałszywe strony można zgłaszać do CERT Polska poprzez formularz online — https://poznanrodo.pl/po-czym-poznac-ze-strona-internetowa-jest-falszywa ↩

18. CERT Polska to zespół specjalistów, który monitoruje cyberprzestrzeń i reaguje na zgłoszenia dotyczące oszustw internetowych — https://poznanrodo.pl/po-czym-poznac-ze-strona-internetowa-jest-falszywa ↩