Wygląd strony to już za mało, by odróżnić ją od oszustwa. Cyberprzestępcy tworzą dziś wizualnie idealne kopie serwisów bankowych, sklepów internetowych czy portali społecznościowych 1. Kliknięcie w link z maila lub SMS-a może przenieść nas na stronę, która wygląda identycznie jak ta, której ufamy, ale jej celem jest kradzież naszych danych logowania i pieniędzy.

W tej cyfrowej grze w „znajdź różnicę”, gdzie wygląd przestał być wiarygodnym wskaźnikiem, pozostaje nam tylko jedna, ale za to niezwykle skuteczna metoda obrony: analiza adresu w pasku przeglądarki 2. To jedyne źródło prawdy o tym, z kim naprawdę rozmawiamy w sieci. Ten poradnik nauczy Cię, jak w pięciu prostych krokach stać się ekspertem od demaskowania fałszywych stron. To umiejętność kluczowa dla każdego, kto korzysta z internetu 3.

Co potrzebujesz (5 min)

Do przećwiczenia tej umiejętności wystarczą dwie rzeczy:

  • Dowolna nowoczesna przeglądarka internetowa (np. Firefox, Chrome, Safari, Edge).
  • Przykładowy link do analizy. Możesz użyć adresu strony, którą właśnie odwiedzasz, lub adresu z podejrzanego SMS-a czy e-maila (ale nie klikaj go, tylko skopiuj i wklej do notatnika!).

Krok 1: Znajdź prawdziwą domenę (nazwę hosta)

Pierwszym krokiem jest oddzielenie kluczowej części adresu od reszty. Adres URL (Uniform Resource Locator, czyli jednolity lokalizator zasobów) składa się z kilku elementów, ale nas interesuje ten, który identyfikuje właściciela strony.

Aby go znaleźć, zlokalizuj pierwszy ukośnik (/) występujący po http:// lub https:// 4. Wszystko, co znajduje się pomiędzy :// a tym ukośnikiem, to właśnie nazwa hosta, potocznie nazywana domeną 4.

Przykład: https://logowanie.ing-pl.info/karty/aktywacja

  • Nazwa hosta (domena): logowanie.ing-pl.info
  • Reszta (ścieżka): /karty/aktywacja

Na tym etapie ignorujemy wszystko, co znajduje się za pierwszym ukośnikiem. To tylko ścieżka do konkretnego pliku na serwerze i oszuści mogą tam wpisać cokolwiek, np. .../twoj-bank/bezpieczne-logowanie/, by uśpić naszą czujność.

Krok 2: Czytaj domenę od prawej do lewej

To najważniejsza zasada. Oszuści liczą na to, że czytamy od lewej do prawej i skupimy się na znajomych słowach na początku adresu. Prawidłowa analiza domeny wymaga odwrotnego podejścia 5.

Rozbij nazwę hosta na części oddzielone kropkami i analizuj je od końca 5:

Przykład: logowanie.ing-pl.info

  1. Końcówka (TLD): Ostatni segment to tzw. domena najwyższego poziomu (TLD, Top-Level Domain) 6. W naszym przykładzie jest to .info. Może to być też .pl, .com, .org lub jedna z setek innych, w tym często wykorzystywanych do oszustw, jak .xyz, .biz, .cfd 6. W Polsce popularne są też złożone rozszerzenia, np. .com.pl, .waw.pl czy .org.pl 7.
  2. Domena główna: Segment bezpośrednio przed TLD to właściwa, główna domena 8. To ona identyfikuje właściciela. W naszym przykładzie jest to ing-pl. Cała domena główna to ing-pl.info.
  3. Subdomeny: Wszystko na lewo od domeny głównej to subdomeny 9. Właściciel domeny ing-pl.info może stworzyć dowolną subdomenę, np. logowanie, prawdziwy-bank, cokolwiek.chce. Te człony nie świadczą o autentyczności 9.

Analizując od prawej, od razu widzimy, że właścicielem strony jest posiadacz domeny ing-pl.info, a nie ing.pl. Słowo logowanie na początku to tylko subdomena mająca nas zmylić.

Krok 3: Uważaj na pułapki wizualne

Cyberprzestępcy stosują wyrafinowane sztuczki, by adres wyglądał na prawdziwy 10. Dwie najczęstsze to:

  • Typosquatting (literówki): Celowe użycie adresu bardzo podobnego do prawdziwego, różniącego się jednym znakiem. Przykład: mBank vs rnBank (litery ‘r’ i ‘n’ razem wyglądają jak ‘m’), pekao24.pl vs peako24.pl.
  • Homoglify: Użycie znaków z innych alfabetów, które wyglądają identycznie lub bardzo podobnie do liter łacińskich 11. Na przykład litera „a” z cyrylicy (а) wygląda tak samo jak nasza, ale dla komputera to zupełnie inny znak. Oszust może zarejestrować domenę pаypal.com i będzie ona nie do odróżnienia na pierwszy rzut oka.

[SCREENSHOT: Przykład adresu z homoglifem, np. apple.com z cyrylicą ‘a’, z podkreślonym fałszywym znakiem.]

Zawsze dokładnie przyjrzyj się każdemu znakowi w domenie głównej.

Krok 4: Pozwól przeglądarce sobie pomóc

Nowoczesne przeglądarki internetowe posiadają wbudowane funkcje, które pomagają w identyfikacji prawdziwej domeny 12. Warto wiedzieć, jak z nich korzystać.

Liderem w tej kwestii jest Firefox. Po kliknięciu w pasek adresu, przeglądarka ta wyraźnie podświetla lub izoluje samą domenę główną (np. ing-pl.info), a resztę (subdomeny i ścieżkę) zostawia wyszarzoną 13. To natychmiast demaskuje oszustwo, bo widzimy, że strona nie należy do ing.pl 13.

[SCREENSHOT: Pasek adresu w Firefoxie pokazujący podświetloną domenę główną na fałszywym adresie logowanie.ing-pl.info.]

Inne popularne przeglądarki, jak Chrome, również podświetlają domenę, ale często zaznaczają cały host (np. logowanie.ing-pl.info), co może być mylące 14. Dodatkowo, kontrast podświetlenia bywa niższy, przez co łatwiej je przeoczyć 15.

Mimo różnic, warto wyrobić sobie nawyk klikania w pasek adresu na każdej stronie logowania, by sprawdzić, co przeglądarka podpowiada.

Krok 5: Sprawdzaj adres na urządzeniach mobilnych

Na małym ekranie smartfona analiza adresu jest trudniejsza. Paski adresu są często skracane lub chowane podczas przewijania. Na szczęście twórcy przeglądarek zdają sobie z tego sprawę.

Większość popularnych przeglądarek mobilnych — w tym Firefox, Chrome na Androida i Safari na iOS — implementuje funkcję „inteligentnego przewijania” 16 17. Gdy adres jest bardzo długi (co oszuści wykorzystują, by wypchnąć prawdziwą domenę poza ekran), przeglądarka automatycznie przewija go tak, by widoczna była jego najważniejsza, prawa część — czyli domena główna 18 17.

Należy jednak zachować ostrożność, korzystając z mniej popularnych, niszowych przeglądarek mobilnych. Mogą one nie posiadać tej funkcji bezpieczeństwa, co ułatwia zadanie oszustom 19.

Co dalej / Najczęstsze pułapki

Opanowanie analizy URL to potężna broń, ale należy pamiętać o kilku dodatkowych zasadach i pułapkach, w które wpadają nawet ostrożni użytkownicy.

  • Pułapka nr 1: „Zielona kłódka” nie gwarantuje bezpieczeństwa. Symbol kłódki i protokół https:// oznaczają jedynie, że połączenie z serwerem jest szyfrowane 20. NIE oznaczają, że serwer należy do tego, za kogo się podaje. Oszuści bez problemu uzyskują darmowe certyfikaty SSL dla swoich fałszywych domen. Traktuj brak kłódki jako sygnał alarmowy 21, ale jej obecność nie jest żadną gwarancją autentyczności.
  • Pułapka nr 2: Zaufanie do tekstu linku. Nigdy nie ufaj tekstowi, który widzisz w e-mailu, SMS-ie czy na stronie. Link o treści www.mbank.pl może w rzeczywistości prowadzić do www.logowanie-mbank.xyz. Zawsze należy najechać kursorem na link (na komputerze), by zobaczyć prawdziwy adres w lewym dolnym rogu przeglądarki, a po kliknięciu — zweryfikować adres w pasku przeglądarki.
  • Pułapka nr 3: Pośpiech i presja czasu. Oszuści często konstruują swoje wiadomości tak, by wywołać panikę („Twoje konto zostanie zablokowane!”, „Musisz dopłacić 1,50 zł do paczki!”). Robią to celowo, by działać pod wpływem emocji i zapomnieć o zasadach bezpieczeństwa. Zawsze, gdy czuje się presję, należy zatrzymać się i przeanalizować adres na spokojnie.

Techniki phishingu ciągle ewoluują 22, ale mechanizm działania domen pozostaje ten sam. Zrozumienie zasad ich analizy to fundament cyfrowego bezpieczeństwa, który będzie Ci służył przez lata 3.

Akcja: Twoja checklista weryfikacji linku (do wdrożenia od zaraz)

  1. Otrzymałeś link? Zatrzymaj się. Nie klikaj automatycznie, zwłaszcza jeśli wiadomość wywołuje silne emocje (strach, ciekawość, pośpiech).
  2. Spójrz na pasek adresu. Po wejściu na stronę, to Twój pierwszy i najważniejszy punkt kontrolny 2.
  3. Czytaj od prawej do lewej. Znajdź domenę główną – dwa (lub trzy w przypadku domen funkcyjnych jak .com.pl) ostatnie człony adresu 5 8.
  4. Zadaj sobie pytanie: czy to jest domena, której ufam? Jeśli nie, zamknij stronę i nie podawaj żadnych danych.

Pamiętaj: Ten poradnik ma charakter edukacyjny. Zawsze zachowaj ostrożność w sieci. Cyberowi.pl nie ponosi odpowiedzialności za ewentualne szkody wynikające z niewłaściwego zastosowania przedstawionych tu informacji.

Źródła

Zobacz też

Footnotes

  1. Współczesne ataki phishingowe wykorzystują dokładne kopie wizualne znanych serwisów, co uniemożliwia rozpoznanie oszustwa na podstawie wyglądu strony. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  2. Jedyną wiarygodną metodą weryfikacji autentyczności strony jest analiza adresu widocznego w pasku przeglądarki. — https://cert.pl/posts/2025/09/analiza-adresow-stron/ 2

  3. Zrozumienie, jak prawidłowo analizować adresy URL i rozpoznawać oszustwa domenowe, jest kluczowe dla bezpieczeństwa online. — https://cert.pl/posts/2025/09/analiza-adresow-stron/ 2

  4. Aby poprawnie przeanalizować adres strony, należy wyizolować domenę, znaleźć pierwszy ukośnik (/) po schemacie „http://” lub „https://”. — https://cert.pl/posts/2025/09/analiza-adresow-stron/ 2

  5. Domenę należy czytać od prawej do lewej, rozbijając ją na części po kropkach. — https://cert.pl/posts/2025/09/analiza-adresow-stron/ 2 3

  6. Najbardziej wysunięty segment domeny to rozszerzenie domeny najwyższego poziomu (TLD), np. .com, .pl, .cfd. — https://cert.pl/posts/2025/09/analiza-adresow-stron/ 2

  7. Niektóre rozszerzenia domen są złożone, np. .waw.pl, .com.pl, .org.pl. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  8. Główna domena składa się z rozszerzenia oraz etykiety bezpośrednio je poprzedzającej. — https://cert.pl/posts/2025/09/analiza-adresow-stron/ 2

  9. Wszystko na lewo od głównej domeny to subdomeny lub wstawki, które nie wskazują na przynależność do rzeczywistej marki. — https://cert.pl/posts/2025/09/analiza-adresow-stron/ 2

  10. Cyberprzestępcy używają wyrafinowanych sztuczek, aby zmylić użytkowników podczas rozpoznawania domeny w adresie URL. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  11. Należy uważać na homoglify, czyli znaki podobne do typowych symboli, które mają zmylić wzrok użytkownika. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  12. Nowoczesne przeglądarki zawierają funkcje bezpieczeństwa pomagające użytkownikom identyfikować rzeczywiste domeny. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  13. Firefox wyróżnia się podświetlaniem głównej domeny w pasku adresu, co natychmiast ujawnia, że strony nie mają związku z oryginalnymi markami. — https://cert.pl/posts/2025/09/analiza-adresow-stron/ 2

  14. Chrome i inne przeglądarki również oferują podświetlanie domen, jednak zazwyczaj podświetlają całą domenę wraz z subdomenami, co może utrudnić wykrycie oszustwa. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  15. Niższy kontrast kolorów w Chrome może sprawić, że podświetlenie będzie mniej zauważalne dla użytkowników. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  16. Większość przeglądarek mobilnych implementuje inteligentne przewijanie, które automatycznie ustawia pasek adresu tak, aby wyświetlić koniec domeny. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  17. Chrome na Androidzie i Safari na iOS wdrożyły to samo podejście ochronne, automatycznie przewijając pasek adresu, aby ujawnić rzeczywistą domenę. — https://cert.pl/posts/2025/09/analiza-adresow-stron/ 2

  18. Firefox na urządzeniach mobilnych dba o to, żeby rzeczywista domena pozostała widoczna, przewijając adres. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  19. Niektóre mniej popularne przeglądarki na urządzenia mobilne mogą nie posiadać funkcji inteligentnego przewijania, co może ukryć rzeczywistą domenę. — https://cert.pl/posts/2025/09/analiza-adresow-stron/

  20. Należy sprawdzić, czy adres strony jest poprawnie napisany oraz czy zawiera zabezpieczenie protokołu HTTPS. — https://jarozante.pl/sposoby-na-rozpoznanie-falszywej-strony-internetowej

  21. Brak litery „S” w protokole HTTP może oznaczać, że strona nie jest wiarygodna. — https://jarozante.pl/sposoby-na-rozpoznanie-f

  22. Techniki phishingu wciąż ewoluują, dlatego znajomość podstawowych kwestii identyfikacji domen i funkcji bezpieczeństwa przeglądarek jest ważna. — https://cert.pl/posts/2025/09/analiza-adresow-stron/