Spis treści

Co to jest phishing? Zrozumieć wroga w cyfrowym świecie

Phishing to jedno z najczęstszych i najbardziej podstępnych oszustw internetowych, z jakimi możemy się dziś spotkać . W najprostszych słowach jest to metoda oszustwa, w której cyberprzestępca podszywa się pod zaufaną osobę, firmę lub instytucję, aby wyłudzić od Ciebie poufne informacje 1. Nazwa nie jest przypadkowa — pochodzi od angielskiego słowa fishing, czyli „wędkowanie”. Oszuści, niczym wędkarze, zarzucają w internecie masowo swoją „przynętę” w postaci fałszywych wiadomości e-mail, SMS-ów czy postów w mediach społecznościowych . Liczą na to, że któraś z potencjalnych ofiar „połknie haczyk” i przekaże im cenne dane, nie zdając sobie sprawy z zagrożenia.

Siła phishingu nie leży w zaawansowanej technologii łamania zabezpieczeń, lecz w umiejętnym wykorzystaniu psychologii i socjotechniki. Ataki te bazują na ludzkich emocjach, nieuwadze oraz zaufaniu do znanych marek i instytucji 2. Przestępcy celowo konstruują swoje wiadomości tak, aby wywołać w nas poczucie pilności („Twoje konto zostanie zablokowane za 24 godziny!”), strach („Wykryto próbę nieautoryzowanego logowania”) lub ciekawość („Wygrałeś nagrodę, odbierz ją teraz!”). Ich nadrzędnym celem jest nakłonienie Cię do wykonania konkretnej, najczęściej pochopnej czynności – kliknięcia w podstawiony link, otwarcia zainfekowanego załącznika lub wpisania swoich danych w fałszywym formularzu 3. Sama nazwa „phishing” jest zresztą grą słów, prawdopodobnie łączącą wspomniane „wędkowanie” ze słowem phony (fałszywy), co idealnie oddaje naturę tego oszustwa 4.

Cele ataków phishingowych są bardzo zróżnicowane, ale zawsze sprowadzają się do zdobycia czegoś, co ma dla przestępcy realną wartość. Nie zawsze chodzi bezpośrednio o natychmiastową kradzież pieniędzy z konta. Poniższa tabela przedstawia najczęstsze cele oszustów i potencjalne konsekwencje dla ofiary.

Cel atakuPrzykład wyłudzanych danychDo czego oszust może to wykorzystać?
Dane logowaniaLogin i hasło do bankowości, mediów społecznościowych, poczty e-mailPrzejęcie kontroli nad kontem, kradzież pieniędzy, szantaż, rozsyłanie spamu, dalsze ataki na Twoich znajomych.
Dane osoboweNumer PESEL, skan dowodu osobistego, imię i nazwisko matkiKradzież tożsamości, zaciąganie pożyczek i kredytów na Twoje nazwisko (tzw. „chwilówek”), zakładanie fałszywych kont.
Dane karty płatniczejPełny numer karty, data ważności, kod CVV/CVCDokonywanie nieautoryzowanych transakcji i zakupów w internecie, obciążenie Twojego rachunku bankowego.
Dostęp do systemów przedsiębiorstwaLogin i hasło do firmowej poczty, sieci VPN lub wewnętrznych aplikacjiKradzież danych firmowych, atak ransomware (zaszyfrowanie danych i żądanie okupu), szpiegostwo przemysłowe.

Wbrew powszechnemu przekonaniu, phishing to zjawisko znacznie szersze niż tylko próby wyłudzenia danych bankowych . Oszuści z równą chęcią podszywają się pod platformy e-commerce (jak Allegro), firmy kurierskie (InPost), instytucje państwowe (ZUS, Urząd Skarbowy), serwisy streamingowe (Netflix) czy portale społecznościowe (Facebook). Ofiarami mogą paść zarówno osoby prywatne, tracące oszczędności życia, jak i całe firmy, które w wyniku jednego kliknięcia pracownika mogą stracić miliony złotych i zaufanie klientów 5. Zrozumienie tej różnorodności jest pierwszym i najważniejszym krokiem do skutecznej obrony, o której dowiecie się z kolejnych części tego poradnika.

Anatomia ataku phishingowego: Jak działają oszuści krok po kroku

Aby skutecznie się bronić, musimy zrozumieć, jak myślą i działają atakujący. Atak phishingowy to nie chaotyczne działanie, a precyzyjnie zaplanowany, wieloetapowy proces. Oszuści, niczym wędkarze, starannie przygotowują sprzęt, zarzucają przynętę i cierpliwie czekają, aż ofiara ją połknie. Cała operacja opiera się na psychologii i wykorzystaniu ludzkich słabości, takich jak pośpiech, strach czy nieuwaga 2. Prześledźmy typowy atak krok po kroku, na przykładzie popularnego oszustwa „na bank”.

Krok 1: Przygotowanie i rekonesans

Na tym etapie cyberprzestępca przygotowuje całą infrastrukturę potrzebną do ataku.

  • Wybór celu: Oszuści najczęściej wybierają popularne, powszechnie znane marki, którym ufają miliony Polaków. Mogą to być banki (PKO BP, mBank), portale aukcyjne (Allegro), firmy kurierskie (InPost) czy instytucje państwowe (ZUS).
  • Utworzenie fałszywej strony: Atakujący tworzą stronę internetową, która jest niemal idealną kopią prawdziwej strony logowania, np. serwisu transakcyjnego banku. Różni się ona jedynie adresem w pasku przeglądarki – często jest to subtelna literówka (np. allegro.pl vs alelgro.pl) lub zupełnie inna domena (np. ipko.pl vs weryfikacja-ipko.net).
  • Przygotowanie „przynęty”: Następnie oszust tworzy fałszywą wiadomość, czyli tzw. przynętę (ang. lure) . Jest to e-mail lub SMS, który ma skłonić ofiarę do działania. Treść jest starannie dobrana, aby wyglądała na oficjalny komunikat od znanej instytucji 6.

Krok 2: Dystrybucja – zarzucenie sieci

Gdy infrastruktura jest gotowa, oszuści masowo rozsyłają przygotowane wcześniej wiadomości do tysięcy, a nawet milionów potencjalnych ofiar. Bazy adresów e-mail i numerów telefonów często pochodzą z wcześniejszych wycieków danych lub są kupowane na czarnym rynku. Atakujący liczą na efekt skali – nawet jeśli tylko niewielki odsetek odbiorców da się nabrać, atak i tak będzie dla nich opłacalny. Wiadomość jest zaprojektowana tak, aby wywołać natychmiastową reakcję emocjonalną i ominąć racjonalne myślenie.

Krok 3: Manipulacja psychologiczna (socjotechnika)

To kluczowy moment ataku, w którym oszuści wykorzystują socjotechnikę, aby nakłonić ofiarę do wykonania pożądanej akcji – najczęściej kliknięcia w link 3. Bazują na kilku podstawowych emocjach i schematach myślowych, wiedząc, że najsłabszym ogniwem w łańcuchu bezpieczeństwa jest człowiek .

Technika ManipulacjiPrzykład Komunikatu OszustaCel Psychologiczny
Presja czasu„Twoje konto zostanie zablokowane za 2 godziny. Zaloguj się, aby to anulować.”Wywołanie paniki, uniemożliwienie racjonalnej analizy i sprawdzenia wiadomości.
Strach„Wykryliśmy podejrzaną próbę logowania z innego kraju. Zweryfikuj swoją tożsamość.”Wzbudzenie lęku o bezpieczeństwo środków i skłonienie do pochopnego działania.
Autorytet„Zgodnie z nową dyrektywą unijną, musisz zaktualizować swoje dane w bankowości.”Powołanie się na rzekomy obowiązek prawny lub regulamin, aby uwiarygodnić żądanie.
Chciwość / Ciekawość„Masz niedopłatę za przesyłkę w wysokości 1,20 zł. Opłać, aby ją otrzymać.”Wykorzystanie chęci otrzymania paczki lub uniknięcia problemów dla niewielkiej, pozornie niegroźnej kwoty.

Krok 4: Kradzież danych i monetyzacja

Ofiara, działając pod wpływem emocji, klika w link i trafia na przygotowaną wcześniej fałszywą stronę. Ponieważ witryna wygląda identycznie jak prawdziwa, ofiara bez wahania wpisuje swój login i hasło. Czasami oszuści idą o krok dalej i proszą również o podanie kodu z SMS-a autoryzacyjnego pod pretekstem „weryfikacji tożsamości”. W rzeczywistości w tym samym momencie logują się na prawdziwe konto ofiary, używając jej danych, a przechwycony kod SMS służy im do autoryzacji przelewu lub dodania „zaufanego odbiorcy”, co pozwala im w przyszłości kraść pieniądze bez dodatkowej weryfikacji. Wszystkie wpisane dane trafiają prosto do przestępców, którzy natychmiast je wykorzystują do kradzieży środków z konta bankowego, zaciągnięcia pożyczek lub sprzedaży danych na czarnym rynku.

Phishing bankowy: Jak oszuści podszywają się pod PKO BP i inne banki w 2026

Sektor bankowy pozostaje jednym z głównych celów cyberprzestępców, a ataki na klientów największych instytucji, takich jak PKO Bank Polski, są w 2026 roku jeszcze bardziej wyrafinowane 7. Oszuści doskonale wiedzą, że nasze finanse to czuły punkt, dlatego wykorzystują socjotechnikę opartą na strachu i poczuciu pilności, aby skłonić nas do nieprzemyślanych działań. Najczęściej stosowaną metodą są fałszywe wiadomości e-mail oraz SMS, które na pierwszy rzut oka wyglądają jak autentyczna komunikacja z banku 6. Ich celem jest zawsze to samo: wyłudzenie danych, które pozwolą im przejąć kontrolę nad Twoim kontem i ukraść Twoje pieniądze. Scenariusze te ewoluują, a oszuści wykorzystują coraz lepsze narzędzia do tworzenia niemal idealnych kopii powiadomień bankowych.

Wyobraźmy sobie typowy scenariusz ataku SMS, który w 2026 roku jest niezwykle powszechny. Otrzymujesz wiadomość o treści: „PKO BP: Zauwazylismy podejrzana probe logowania na Twoje konto z Warszawy. Jesli to nie Ty, natychmiast zablokuj dostep i zweryfikuj swoje dane pod adresem: [fałszywy link]”. Wiadomość celowo nie zawiera polskich znaków, co oszuści tłumaczą „wymogami systemu”. Link w wiadomości prowadzi do strony, która jest wizualną kopią serwisu transakcyjnego iPKO. Różnica tkwi w adresie URL, który zamiast ipko.pl może brzmieć ipko-bezpieczenstwo.net lub panel-klienta-pko.com. Po wpisaniu loginu i hasła na fałszywej stronie, dane te trafiają prosto do przestępców. W kolejnym kroku strona może prosić o dodatkowe dane, takie jak numer PESEL czy nazwisko panieńskie matki, pod pretekstem „dodatkowej weryfikacji”.

Oszuści nie ograniczają się do SMS-ów. Równie popularne są ataki mailowe, często bardziej rozbudowane. W fałszywym e-mailu od banku możesz przeczytać o konieczności akceptacji nowego regulaminu, aktualizacji systemu zabezpieczeń lub weryfikacji tożsamości w związku z przepisami AML (przeciwdziałanie praniu pieniędzy). Taka wiadomość będzie zawierać logo banku i profesjonalnie wyglądającą stopkę. Jednak kilka elementów powinno wzbudzić Twoją czujność. Po pierwsze, ogólny zwrot powitalny, np. „Drogi Kliencie” zamiast Twojego imienia i nazwiska 8. Po drugie, wezwanie do natychmiastowego działania pod groźbą blokady konta. Po trzecie, i najważniejsze, prośba o podanie poufnych danych po kliknięciu w link. Pamiętaj, że żaden bank nigdy nie poprosi Cię w mailu o podanie pełnego hasła, numeru karty płatniczej wraz z kodem CVV/CVC czy numeru PESEL 9.

Aby skutecznie odróżnić prawdziwą komunikację od oszustwa, warto zapamiętać, jak działają banki, a jak przestępcy. Poniższa tabela zestawia kluczowe różnice.

Cecha komunikacjiPrawdziwy bank (np. PKO BP)Oszust phishingowy
AdresowanieZwraca się do Ciebie po imieniu i nazwisku 8.Używa ogólników: „Drogi Kliencie”, „Szanowny Użytkowniku”.
Prośba o daneNigdy nie prosi o pełne hasło, PIN, PESEL czy dane karty w mailu/SMS 9.Prosi o podanie loginu, hasła, danych karty, kodów SMS po kliknięciu w link.
Adres stronyLinki prowadzą wyłącznie do oficjalnej domeny banku (np. pkobp.pl, ipko.pl).Linki prowadzą do fałszywych domen (np. pko-logowanie.info, ipko-24.com).
Ton wiadomościInformacyjny, spokojny. Komunikaty o bezpieczeństwie są ogólne.Alarmistyczny, wywołujący presję czasu („natychmiast”, „konto zostanie zablokowane”).
WeryfikacjaZachęca do logowania przez oficjalną aplikację mobilną lub wpisując adres ręcznie.Zmusza do kliknięcia w link zawarty w wiadomości.

Jeśli kiedykolwiek otrzymacie wiadomość, która wzbudzi Wasze najmniejsze wątpliwości, nie klikajcie w żadne linki. Zamiast tego, skontaktujcie się ze swoim bankiem za pośrednictwem oficjalnej infolinii lub zalogujcie się do bankowości elektronicznej, wpisując adres strony ręcznie w przeglądarce albo korzystając z aplikacji mobilnej. To najprostszy i najbezpieczniejszy sposób na weryfikację autentyczności komunikatu.

Oszustwa na Allegro i platformach e-commerce: Pułapki dla kupujących i sprzedających

Platformy e-commerce, z Allegro na czele, to dla oszustów niezwykle atrakcyjny cel. Wynika to z ogromnej bazy użytkowników i zaufania, jakim darzymy te marki. Cyberprzestępcy w 2026 roku doskonale opanowali sztukę podszywania się pod znane serwisy, aby wyłudzać nasze dane i pieniądze 7. Ataki te są skierowane zarówno do osób kupujących, jak i sprzedających, a każda z tych grup jest narażona na nieco inne, starannie przygotowane scenariusze oszustwa. Kluczowym elementem jest tu socjotechnika — manipulowanie emocjami, takimi jak pośpiech związany z finalizacją zakupu lub chęć szybkiego otrzymania zapłaty za sprzedany towar.

Dla kupujących najczęstszą pułapką są fałszywe wiadomości SMS oraz e-maile informujące o rzekomych problemach z transakcją 6. Oszuści wysyłają komunikaty o treściach takich jak „Twoja płatność została wstrzymana” lub „Problem z adresem dostawy – zaktualizuj dane”. Celem jest nakłonienie ofiary do kliknięcia w podstawiony link 3. Prowadzi on do strony, która do złudzenia przypomina panel logowania Allegro lub bramkę płatności. W rzeczywistości jest to fałszywa witryna, zaprojektowana wyłącznie w celu przechwycenia Twojego loginu i hasła. Po ich wpisaniu przestępcy uzyskują dostęp do Twojego prawdziwego konta, gdzie mogą zmienić dane, dokonać zakupów na Twój koszt lub wykorzystać zapisane karty płatnicze.

Sprzedający, zwłaszcza na platformach ogłoszeń lokalnych jak Allegro Lokalnie, są celem jeszcze bardziej wyrafinowanych ataków. Schemat działania jest tu niemal zawsze taki sam i wyjątkowo skuteczny:

  1. Przeniesienie rozmowy poza platformę: Chwilę po wystawieniu przedmiotu otrzymujesz wiadomość od rzekomego kupca, najczęściej na komunikatorze typu WhatsApp. To pierwsza i najważniejsza czerwona flaga.
  2. Wysłanie fałszywego linku: Oszust informuje, że już zapłacił za przedmiot i wysyła Ci link, za pomocą którego masz rzekomo „odebrać pieniądze” lub „potwierdzić sprzedaż”.
  3. Wyłudzenie danych karty: Link prowadzi do strony podszywającej się pod Allegro lub firmę kurierską. Formularz prosi o podanie pełnych danych Twojej karty płatniczej – numeru, daty ważności oraz kodu CVV/CVC. Oszuści tłumaczą to koniecznością „weryfikacji konta”, na które mają trafić pieniądze.
  4. Kradzież środków: Po podaniu danych przestępcy natychmiast wykorzystują je do wyczyszczenia Twojego konta bankowego, często autoryzując transakcje za pomocą kodu, który przychodzi na Twój telefon (o który również mogą Cię poprosić pod pretekstem „potwierdzenia operacji”).

Aby skutecznie się bronić, kluczowa jest świadomość tych mechanizmów i stosowanie żelaznych zasad bezpieczeństwa. Poniższa tabela zestawia najczęstsze sygnały ostrzegawcze z właściwymi metodami postępowania.

Czerwona flaga (zagrożenie)Dobra praktyka (bezpieczeństwo)
Kontakt od kupującego poza oficjalnym czatem Allegro (np. na WhatsApp).Prowadź całą komunikację wyłącznie przez centrum wiadomości Allegro. Nie podawaj swojego numeru telefonu w ogłoszeniu.
Otrzymanie linku do „odbioru płatności” lub „potwierdzenia zamówienia”.Nigdy nie klikaj w takie linki. Status płatności i zamówienia sprawdzaj zawsze po zalogowaniu się bezpośrednio na swoje konto Allegro.
Prośba o podanie danych karty (zwłaszcza kodu CVV) w celu otrzymania zapłaty.Pamiętaj, że do otrzymania pieniędzy sprzedający nie musi podawać danych swojej karty. Platforma nigdy nie prosi o kod CVV sprzedającego.
Adres strony w przeglądarce jest inny niż allegro.pl lub allegro.lokalnie.pl.Zawsze dokładnie sprawdzaj adres w pasku przeglądarki przed podaniem jakichkolwiek danych. Szukaj literówek, np. allegro-platnosc.com.

Pamiętaj, że cała obsługa transakcji na renomowanych platformach odbywa się wewnątrz ich ekosystemu. Allegro nigdy nie poprosi Cię o kliknięcie zewnętrznego linku w celu finalizacji płatności ani nie będzie kontaktować się z Tobą przez prywatne komunikatory w sprawie sprzedaży. Każde takie działanie to próba oszustwa.

Phishing na ZUS i instytucje państwowe: Gdy oszuści podszywają się pod urząd

Autorytet instytucji państwowych, takich jak Zakład Ubezpieczeń Społecznych (ZUS) czy Urząd Skarbowy, czyni je niezwykle skutecznym narzędziem w rękach cyberprzestępców. Oszuści doskonale wiedzą, że oficjalnie wyglądające wezwanie do zapłaty, informacja o zwrocie podatku czy konieczności aktualizacji danych wywołuje u odbiorcy silną reakcję emocjonalną – strach lub chciwość. To sprawia, że wiele osób działa pochopnie, ignorując podstawowe zasady bezpieczeństwa. Przestępcy wykorzystują zaufanie i respekt, jakim darzymy urzędy, aby podszywać się pod nie i wyłudzać nasze dane oraz pieniądze 7. W 2026 roku ataki te są jeszcze bardziej wyrafinowane, a fałszywe komunikaty do złudzenia przypominają te autentyczne.

Schematy działania oszustów są powtarzalne, ale skuteczne, ponieważ bazują na typowych interakcjach obywatela z urzędem. Atakujący często wykorzystują fałszywe wiadomości e-mail i SMS, aby skłonić ofiarę do podjęcia natychmiastowego działania 6. Poniżej znajdują się trzy typowe scenariusze, z którymi możesz się spotkać:

  • Rzekomy zwrot nadpłaty: Otrzymujesz SMS o treści: „ZUS: Zidentyfikowano nadpłatę składki w kwocie 485,15 PLN. Aby zlecić przelew środków, prosimy o weryfikację danych pod adresem: [fałszywy-link]”. Kliknięcie w link prowadzi do strony, która imituje serwis bankowości elektronicznej i ma na celu kradzież Twoich danych logowania.
  • Wezwanie do uregulowania niedopłaty: W skrzynce e-mailowej znajdujesz wiadomość z tematem „Powiadomienie o zaległości w ZUS”. W treści czytasz o niewielkiej niedopłacie, np. 7,80 zł, którą należy pilnie uregulować, aby uniknąć odsetek. Wiadomość zawiera przycisk „Zapłać teraz”, który kieruje do fałszywej bramki płatności, przechwytującej dane Twojej karty lub dane logowania do banku.
  • Konieczność aktualizacji danych na PUE ZUS: Dostajesz e-mail lub SMS z informacją, że ze względów bezpieczeństwa lub z powodu aktualizacji systemu Twoje konto na Platformie Usług Elektronicznych ZUS wymaga pilnej weryfikacji. Link w wiadomości prowadzi do sklonowanej strony logowania PUE ZUS, a wpisane tam dane trafiają prosto do przestępców.

Aby nie paść ofiarą takiego oszustwa, kluczowe jest zrozumienie, w jaki sposób instytucje państwowe naprawdę się z Tobą komunikują. ZUS, Urząd Skarbowy czy ministerstwa do załatwiania spraw wymagających logowania lub podawania danych używają dedykowanych, zabezpieczonych platform, takich jak PUE ZUS, e-Urząd Skarbowy czy profil zaufany (ePUAP). Wiadomości SMS i e-mail od tych instytucji mają niemal zawsze charakter wyłącznie informacyjny – np. powiadamiają, że w Twojej skrzynce na oficjalnej platformie czeka nowy dokument. Nigdy nie zawierają linków do płatności, stron logowania czy formularzy z prośbą o podanie wrażliwych informacji. Pamiętaj o fundamentalnej zasadzie: żaden urząd ani zaufana firma nigdy nie poprosi e-mailem lub SMS-em o podanie pełnego hasła, numeru PESEL czy danych karty kredytowej z kodem CVV/CVC 9.

Gdy otrzymasz wiadomość, która budzi Twoje najmniejsze wątpliwości, zastosuj poniższą procedurę weryfikacyjną. To najskuteczniejszy sposób na uniknięcie pułapki.

KrokDziałanieDlaczego to ważne?
1. Zatrzymaj sięNie klikaj w żadne linki ani załączniki. Nie odpisuj na wiadomość.Oszuści liczą na Twój pośpiech. Chwila refleksji to Twoja pierwsza linia obrony.
2. Sprawdź samodzielnieOtwórz nową kartę w przeglądarce i wpisz ręcznie adres oficjalnej strony internetowej instytucji (np. zus.pl, podatki.gov.pl).Unikasz w ten sposób wejścia na fałszywą stronę podstawioną przez przestępców.
3. Zaloguj się bezpiecznieZaloguj się na swoje konto na oficjalnej platformie (PUE ZUS, e-Urząd Skarbowy).To jedyne bezpieczne miejsce do sprawdzania statusu Twoich spraw urzędowych.
4. Weryfikuj informacjeSprawdź, czy w skrzynce odbiorczej na platformie znajduje się komunikat tożsamy z tym otrzymanym w SMS-ie lub e-mailu.Jeśli w oficjalnym systemie nie ma żadnej informacji o nadpłacie, niedopłacie czy konieczności aktualizacji, oznacza to, że otrzymana wiadomość była próbą oszustwa.
5. Zgłoś i usuńZgłoś próbę phishingu do CSIRT NASK (na stronie incydent.cert.pl lub SMS-em na numer 8080), a następnie usuń fałszywą wiadomość.Pomagasz w ten sposób chronić innych użytkowników i blokować złośliwe strony.

InPost i firmy kurierskie na celowniku: Jak nie dać się złapać na fałszywą przesyłkę

Ogromna popularność zakupów online sprawiła, że usługi kurierskie, a w szczególności paczkomaty InPost, stały się nieodłącznym elementem naszej codzienności. Niestety, tę popularność i nasze zaufanie bezwzględnie wykorzystują cyberprzestępcy. Podszywanie się pod firmy kurierskie to jedna z najskuteczniejszych metod phishingu, ponieważ niemal każdy z nas w danym momencie oczekuje na jakąś przesyłkę 7. Oszuści liczą na nasze roztargnienie i chęć jak najszybszego otrzymania paczki, wysyłając masowo fałszywe wiadomości e-mail i SMS 6. Ich celem jest skłonienie nas do podjęcia natychmiastowej, nieprzemyślanej akcji, która może prowadzić do utraty pieniędzy lub danych.

Typowy scenariusz ataku jest prosty, ale niezwykle skuteczny. Otrzymujesz wiadomość SMS, rzekomo od InPost, DPD czy innej firmy, z informacją o problemie z Twoją paczką. Treść jest starannie przygotowana, by wywołać poczucie pilności i zminimalizować podejrzenia. Najczęstsze warianty, które obserwujemy w 2026 roku, to:

  • Konieczność niewielkiej dopłaty: Wiadomość informuje, że paczka została wstrzymana z powodu niedopłaty na symboliczną kwotę, np. 0,99 zł lub 1,49 zł. Niska suma ma uśpić naszą czujność – myślimy, że to drobna opłata manipulacyjna lub celna, a ryzyko wydaje się niewielkie.
  • Aktualizacja adresu dostawy: Oszuści twierdzą, że adres na paczce jest niekompletny lub nieczytelny i proszą o jego „weryfikację” poprzez kliknięcie w link.
  • Przekierowanie paczki: Fałszywe powiadomienie sugeruje, że kurier nie zastał Cię w domu i musisz wybrać nowy termin lub miejsce dostawy.

W każdej z tych wersji znajduje się link, który jest kluczowym elementem oszustwa. Jego kliknięcie jest dokładnie tym, na co liczą przestępcy 3.

Po kliknięciu w link jesteśmy przenoszeni na stronę internetową, która do złudzenia przypomina oficjalną witrynę firmy kurierskiej. Logo, kolory, układ – wszystko jest skopiowane, aby wzbudzić nasze zaufanie. Na stronie znajduje się formularz, najczęściej do dokonania wspomnianej „dopłaty”. To właśnie tutaj zastawiona jest pułapka. Fałszywa bramka płatności nie służy do pobrania symbolicznej złotówki, ale do wyłudzenia pełnych danych logowania do Twojego banku lub danych karty kredytowej (numer, data ważności, kod CVV). Gdy wpiszesz je w fałszywym formularzu, trafiają one prosto w ręce oszustów, którzy mogą natychmiast wyczyścić Twoje konto.

Aby uniknąć katastrofy, kluczowa jest zimna krew i znajomość metod weryfikacji. Zamiast działać pod presją, zastosuj poniższe kroki za każdym razem, gdy otrzymasz podejrzaną wiadomość o przesyłce:

  1. Zasada Zero Zaufania: Nigdy nie klikaj w linki dotyczące statusu paczki lub płatności otrzymane w wiadomościach SMS lub e-mail. Traktuj każdą taką wiadomość jako potencjalną próbę oszustwa.
  2. Weryfikacja tylko w oficjalnych kanałach: Jeśli chcesz sprawdzić, co dzieje się z Twoją paczką, zrób to samodzielnie. Otwórz oficjalną aplikację mobilną (np. InPost Mobile) lub wejdź bezpośrednio na stronę inpost.pl (wpisując adres ręcznie w przeglądarce) i tam podaj numer przesyłki. To jedyne wiarygodne źródła informacji.
  3. Analiza linku (dla zaawansowanych): Jeśli już najedziesz kursorem na link (bez klikania!), sprawdź, dokąd prowadzi. Oficjalny adres to zawsze inpost.pl. Adresy takie jak inpost-doplaty.com, paczka-online.net czy twoja-paczka24.eu to na 100% oszustwo.
  4. Pamiętaj o polityce firmy: InPost i inne duże firmy kurierskie wielokrotnie podkreślają, że nigdy nie proszą o dopłaty poprzez SMS z linkiem do płatności. Wszelkie ewentualne opłaty (np. za pobraniem) reguluje się u kuriera lub w Paczkomacie, a nie przez linki w wiadomościach.

Poniższa tabela podsumowuje kluczowe różnice między fałszywą a prawdziwą komunikacją, pomagając w szybkiej identyfikacji zagrożenia.

Cecha wiadomości🔴 Fałszywy SMS (Phishing)🟢 Prawdziwy komunikat (np. InPost)
Cel wiadomościProśba o dopłatę, weryfikację danych, kliknięcie w linkInformacja o statusie, kod odbioru, potwierdzenie nadania
Zawarte linkiProwadzą do podejrzanych domen (np. inpost-pl.net)Prowadzą wyłącznie do oficjalnej domeny (inpost.pl) lub jej nie zawierają
Ton komunikacjiWywołuje presję czasu, straszy wstrzymaniem paczkiNeutralny, informacyjny
Kwestie finansoweŻądanie niewielkiej opłaty online przez linkBrak próśb o dopłaty przez SMS/e-mail

Rozpoznawanie phishingu: Czerwone flagi, na które musisz zwrócić uwagę

Oszuści phishingowi doskonalą swoje metody, ale niemal zawsze zostawiają po sobie ślady. Kluczem do bezpieczeństwa jest umiejętność ich dostrzegania. Cyberprzestępcy liczą na nasz pośpiech, roztargnienie i automatyczne reakcje, ponieważ wiedzą, że najsłabszym ogniwem w łańcuchu zabezpieczeń jest często człowiek, który działa pod wpływem emocji, a nie rozsądku . Wyrobienie w sobie nawyku krytycznej analizy każdej nieoczekiwanej wiadomości to najskuteczniejsza tarcza. Poniżej znajdziesz listę konkretnych sygnałów alarmowych, które powinny natychmiast zapalić w Twojej głowie czerwoną lampkę.

Checklista czerwonych flag w wiadomościach phishingowych:

  1. Podejrzany adres nadawcy. To pierwsza rzecz, którą należy zweryfikować. Oszuści często tworzą adresy, które na pierwszy rzut oka wyglądają wiarygodnie, ale zawierają drobne błędy, dodatkowe znaki lub korzystają z publicznych domen (np. Gmail, Onet).

    • Przykład: Wiadomość rzekomo od banku PKO BP wysłana z adresu powiadomienia.pkobp@gmail.com jest fałszywa. Prawdziwy bank używa wyłącznie własnej domeny, np. @pkobp.pl. Uważaj też na subtelne literówki, jak allegro@alleqro.pl lub zamianę liter na cyfry, np. inpost@inp0st.pl. Zawsze dokładnie sprawdzaj cały adres, a nie tylko wyświetlaną nazwę nadawcy.

  2. Presja czasu i negatywne emocje. Oszuści chcą, abyś działał szybko i bez zastanowienia. Dlatego ich wiadomości często zawierają groźby lub ponaglenia. Zwroty takie jak „Twoje konto zostanie zablokowane w ciągu 24 godzin”, „Wykryto nieautoryzowaną transakcję, kliknij, aby anulować” czy „Ostatnia szansa na odbiór nagrody” mają wywołać panikę i skłonić Cię do natychmiastowego kliknięcia w link. Prawdziwe instytucje komunikują się w sposób spokojny i dają czas na reakcję.

  3. Ogólne, bezosobowe zwroty. Prawdziwe firmy i urzędy, z którymi masz relację (np. Twój bank, dostawca prądu czy ZUS), niemal zawsze zwracają się do Ciebie imiennie 8. Wiadomość zaczynająca się od „Drogi Kliencie”, „Szanowny Użytkowniku” lub po prostu „Witaj” jest bardzo podejrzana. To znak, że oszust wysłał tę samą wiadomość masowo, licząc, że trafi na klienta danej firmy.

  4. Błędy językowe i stylistyczne. Chociaż ataki stają się coraz bardziej wyrafinowane, wiele wiadomości phishingowych wciąż zawiera błędy gramatyczne, ortograficzne, interpunkcyjne lub dziwnie brzmiące, nienaturalne sformułowania. Często są to nieudolne tłumaczenia z języka obcego. Jeśli wiadomość od rzekomo polskiej firmy wygląda, jakby została przetłumaczona przez automatycznego tłumacza, potraktuj ją jako oszustwo.

  5. Prośba o podanie poufnych danych. To absolutnie kluczowa czerwona flaga. Pamiętaj o złotej zasadzie: żaden bank, urząd, portal aukcyjny ani firma kurierska nigdy nie poprosi Cię w mailu lub SMS-ie o podanie pełnego hasła, numeru PESEL, danych karty płatniczej wraz z kodem CVV/CVC ani kodu BLIK 9. Jeśli wiadomość zawiera link do strony, na której masz wpisać takie informacje – to na 100% jest phishing.

  6. Podejrzane linki i załączniki. Nigdy nie ufaj linkom w nieoczekiwanych wiadomościach. Zanim klikniesz, najedź kursorem myszy na link (ale nie klikaj!), a w lewym dolnym rogu przeglądarki lub w małym dymku pojawi się prawdziwy adres, na który on prowadzi. Oszuści często maskują fałszywe adresy pod pozornie bezpiecznym tekstem.

Tekst widoczny w wiadomościPrawdziwy adres docelowy (widoczny po najechaniu)
Przejdź do swojego konta na allegro.plhttp://konto-zabezpieczenia.net/allegro/login
Pobierz fakturęhttp://faktury-online.biz/pobierz.php

Podobnie postępuj z załącznikami. Nie otwieraj plików, których się nie spodziewałeś, nawet jeśli wyglądają na dokumenty Word (.docx) czy PDF. Szczególnie niebezpieczne są archiwa (.zip, .rar) oraz pliki wykonywalne (.exe) 10. Mogą one zawierać złośliwe oprogramowanie, które zainfekuje Twój komputer. Jeśli masz wątpliwości co do autentyczności wiadomości, skontaktuj się z daną firmą, dzwoniąc na oficjalną infolinię lub logując się na swoje konto przez wpisanie adresu w przeglądarce ręcznie, a nie przez link z maila.

Skuteczna obrona przed phishingiem: Praktyczne strategie i narzędzia

Samo rozpoznawanie phishingu to połowa sukcesu. Druga, równie ważna, to budowa solidnych cyfrowych fortyfikacji, które oprą się próbom ataku, nawet jeśli nasza czujność na chwilę osłabnie. Skuteczna obrona to nie pojedyncza akcja, lecz system nawyków i narzędzi, które razem tworzą szczelną tarczę chroniącą nasze dane i pieniądze. Poniżej znajdziesz konkretne, praktyczne strategie, które możesz wdrożyć od zaraz.

Fundament bezpieczeństwa: Hasła i uwierzytelnianie dwuskładnikowe (2FA)

Zacznijmy od kluczy do naszego cyfrowego życia – haseł. W 2026 roku używanie prostych haseł lub tego samego hasła w wielu serwisach jest proszeniem się o kłopoty. Silne hasło to podstawa, a jego siła zależy od trzech czynników: długości, unikalności i złożoności. Zamiast próbować zapamiętać skomplikowane ciągi znaków, skorzystaj z menedżera haseł (np. Bitwarden, 1Password). To program, który działa jak cyfrowy sejf: generuje i bezpiecznie przechowuje unikalne, bardzo trudne do złamania hasła dla każdej witryny, a Ty musisz pamiętać tylko jedno, główne hasło do sejfu. Jednak nawet najlepsze hasło może zostać wykradzione. Dlatego absolutnie kluczowe jest włączenie uwierzytelniania dwuskładnikowego (2FA) wszędzie, gdzie to możliwe – w banku, mediach społecznościowych, na poczcie e-mail. 2FA to dodatkowa warstwa ochrony. Po wpisaniu hasła, system prosi o drugi, niezależny składnik, np. jednorazowy kod z aplikacji na telefonie (np. Google Authenticator, Authy) lub powiadomienie push. Dzięki temu, nawet jeśli oszust zdobędzie Twoje hasło, nie zaloguje się na konto bez fizycznego dostępu do Twojego telefonu.

Higiena cyfrowa: Aktualizacje i oprogramowanie ochronne

Twoje urządzenia i programy to pole bitwy. Zaniedbane, stają się łatwym celem. Cyberprzestępcy nieustannie szukają luk w zabezpieczeniach systemów operacyjnych, przeglądarek internetowych i aplikacji. Producenci oprogramowania regularnie wydają aktualizacje, które te dziury łatają. Ignorowanie powiadomień o aktualizacji jest jak zostawianie otwartych drzwi do domu. Włącz automatyczne aktualizacje dla swojego systemu (Windows, macOS, Android, iOS) oraz kluczowych programów, zwłaszcza przeglądarki internetowej. Równie ważne jest korzystanie z renomowanego oprogramowania antywirusowego i antymalware. Działa ono jak strażnik, który skanuje pliki i strony internetowe w poszukiwaniu zagrożeń. Jeśli przez nieuwagę klikniesz w phishingowy link prowadzący do pobrania złośliwego oprogramowania, dobry antywirus może zablokować zagrożenie, zanim wyrządzi ono szkodę. Warto również zadbać o filtry antyspamowe w swojej skrzynce e-mail – to pierwsza linia obrony, która odsieje większość masowo wysyłanych oszustw.

Czujność na co dzień: Twoje nawyki są najważniejsze

Najlepsze narzędzia nie pomogą, jeśli sami otworzymy drzwi złodziejowi. Kluczowe są proste, ale żelazne zasady postępowania. Po pierwsze, nigdy nie otwieraj załączników z wiadomości, których się nie spodziewałeś, nawet jeśli nadawca wygląda znajomo. Szczególną ostrożność zachowaj przy plikach z rozszerzeniami takimi jak .zip, .exe, a nawet pozornie niewinnych .pdf czy .docx, które mogą zawierać złośliwe makra 10. Po drugie, pamiętaj o złotej regule: żaden bank, urząd, portal aukcyjny ani firma kurierska nigdy nie poprosi Cię w mailu czy SMS-ie o podanie pełnego hasła, całego numeru karty płatniczej wraz z kodem CVV/CVC, numeru PESEL czy danych logowania do bankowości 9. Jeśli otrzymasz taką prośbę, to na 100% oszustwo. Zamiast klikać w link z wiadomości, wejdź na stronę instytucji, wpisując jej adres ręcznie w przeglądarce lub korzystając z oficjalnej aplikacji mobilnej.

Zgłaszaj i blokuj: Jak pomóc sobie i innym

Gdy rozpoznasz próbę phishingu, nie kasuj jej po prostu. Twoje zgłoszenie może uchronić setki innych osób i pomóc w zablokowaniu fałszywej strony. Proces jest prostszy, niż myślisz:

  1. Zgłoś do CERT Polska: To zespół reagowania na incydenty w polskiej sieci.
    • Fałszywe strony WWW: Przejdź na stronę incydent.cert.pl i wklej link do podejrzanej witryny.
    • Podejrzane SMS-y: Prześlij treść całego SMS-a na numer 799 448 084. To bezpłatny i prosty sposób na szybkie zgłoszenie.
  2. Oznacz w programie pocztowym: Użyj opcji „Zgłoś phishing” lub „Oznacz jako spam” w swojej skrzynce (np. w Gmailu czy Outlooku). To uczy filtry Twojej poczty i pomaga chronić innych użytkowników tej samej usługi.
  3. Poinformuj firmę, pod którą podszywa się oszust: Wiele firm (banki, portale) ma specjalne adresy e-mail do zgłaszania nadużyć. Przesłanie im podejrzanej wiadomości jako załącznika pomaga im w walce z oszustami wykorzystującymi ich markę.

Każde takie zgłoszenie to mała cegiełka budująca bezpieczniejszy internet dla nas wszystkich.

Co zrobić, gdy padniesz ofiarą phishingu? Plan działania po ataku

Świadomość, że właśnie kliknąłeś w złośliwy link i podałeś swoje dane oszustom, jest paraliżująca. W tej chwili kluczowe są jednak spokój i natychmiastowe, metodyczne działanie. Panika to najgorszy doradca. Pamiętaj, że ofiarami phishingu padają nie tylko osoby prywatne, ale również pracownicy dużych firm, a konsekwencje mogą obejmować utratę pieniędzy czy wrażliwych danych 5. Poniższy plan działania krok po kroku pomoże Ci zminimalizować szkody i odzyskać kontrolę nad sytuacją. Potraktuj go jak cyfrową apteczkę pierwszej pomocy.

Krok 1: Natychmiast zabezpiecz swoje konta

Twoim absolutnym priorytetem jest odcięcie cyberprzestępcom dostępu do Twoich zasobów. Działaj szybko, zanim zdążą wykorzystać zdobyte informacje.

  1. Zmień hasło do skompromitowanego konta. Jeśli podałeś dane logowania do bankowości, poczty e-mail czy Allegro, natychmiast wejdź na tę stronę (korzystając z oficjalnej aplikacji lub wpisując adres ręcznie w przeglądarce) i ustaw nowe, silne hasło.
  2. Zmień hasła na innych kontach. Czy używałeś tego samego lub podobnego hasła w innych serwisach? Oszuści często stosują technikę zwaną credential stuffing, która polega na automatycznym testowaniu skradzionych danych logowania na dziesiątkach popularnych stron (Facebook, Gmail, Netflix itp.). Zmień hasła wszędzie tam, gdzie mogły się powtarzać, nadając priorytet kontom finansowym, poczcie e-mail i mediom społecznościowym.
  3. Włącz uwierzytelnianie dwuskładnikowe (2FA). To najważniejsza bariera, jaką możesz postawić. Uwierzytelnianie dwuskładnikowe to dodatkowa warstwa zabezpieczeń, która wymaga podania jednorazowego kodu (np. z aplikacji na telefonie lub z SMS-a) podczas logowania, oprócz hasła. Nawet jeśli oszust zna Twoje hasło, bez dostępu do Twojego telefonu nie będzie w stanie zalogować się na konto. Włącz 2FA na wszystkich kontach, które na to pozwalają, zwłaszcza w banku i na głównej skrzynce e-mail.

Krok 2: Skontaktuj się z kluczowymi instytucjami

Po zabezpieczeniu kont czas poinformować podmioty, pod które podszywali się oszuści lub których dane mogły wyciec. Kolejność ma znaczenie.

  • Bank lub instytucja finansowa: Jeśli atak dotyczył Twoich finansów, jest to krok o najwyższym priorytecie. Niezwłocznie zadzwoń na oficjalną infolinię swojego banku (numer znajdziesz na jego stronie internetowej, w aplikacji mobilnej lub na odwrocie karty płatniczej). Poinformuj konsultanta, że podejrzewasz wyłudzenie danych logowania w ataku phishingowym. Pracownik banku poinstruuje Cię, co robić dalej – najczęściej zaleci tymczasowe zablokowanie karty, konta lub dostępu do bankowości internetowej i pomoże zweryfikować ostatnie transakcje.
  • Inne serwisy (Allegro, ZUS, InPost): Jeśli oszustwo dotyczyło innej platformy, znajdź jej oficjalny kanał kontaktu (formularz na stronie, infolinia) i zgłoś incydent. Pomoże to nie tylko w zabezpieczeniu Twojego konta, ale również umożliwi administratorom serwisu podjęcie działań przeciwko fałszywej stronie.

Krok 3: Zgłoś incydent odpowiednim organom

Twoje zgłoszenie ma realny wpływ na walkę z cyberprzestępczością w Polsce. Pomaga śledzić kampanie phishingowe i ostrzegać innych użytkowników.

OrganKiedy zgłaszać?Jak zgłosić?
CERT PolskaZawsze. Każdy przypadek phishingu, nawet jeśli nie doszło do straty.Wypełnij prosty formularz na stronie: incydent.cert.pl. Możesz tam zgłosić fałszywą stronę, wiadomość SMS lub e-mail.
PolicjaGdy doszło do straty finansowej lub kradzieży tożsamości.Udaj się na najbliższy komisariat policji, aby złożyć oficjalne zawiadomienie o popełnieniu przestępstwa. Zabierz ze sobą wszystkie dowody (zrzuty ekranu, treść wiadomości, potwierdzenia transakcji).

Zgłoszenie do CERT Polska (Computer Emergency Response Team) to Twój wkład w ogólnokrajowy system cyberbezpieczeństwa. Zgłoszenie na policję jest natomiast niezbędne, aby rozpocząć formalne dochodzenie i mieć podstawę do ewentualnych roszczeń, np. w ramach procedury chargeback w banku.

Krok 4: Monitoruj sytuację i wyciągnij wnioski

FAQ: Najczęściej zadawane pytania o phishing

Na koniec zebraliśmy odpowiedzi na najczęściej pojawiające się pytania dotyczące phishingu. To esencja wiedzy, która pomoże Ci utrwalić najważniejsze informacje z naszego poradnika.

Czy phishing to tylko fałszywe maile z banku?

Absolutnie nie. Chociaż phishing bankowy jest bardzo popularny, to tylko wierzchołek góry lodowej. Phishing to ogólne określenie na oszustwa polegające na podszywaniu się pod kogoś w sieci w celu kradzieży danych 1. Oszuści mogą podszywać się pod firmy kurierskie, portale e-commerce, urzędy państwowe, serwisy streamingowe, a nawet pod Twoich znajomych w mediach społecznościowych. Kanały ataku również są zróżnicowane – od e-maili, przez SMS-y, po wiadomości na komunikatorach .

Jak mogę skutecznie zgłosić próbę phishingu?

Każda próba oszustwa powinna być zgłoszona, ponieważ pomaga to w ochronie innych użytkowników. Najprostszym sposobem jest skorzystanie z narzędzi udostępnionych przez państwowy zespół CERT Polska.

  • Podejrzane strony internetowe: Zgłoś przez formularz na stronie incydent.cert.pl.
  • Podejrzane wiadomości e-mail: Prześlij je jako załącznik na adres cert@cert.pl.
  • Podejrzane wiadomości SMS: Prześlij treść SMS-a na bezpłatny numer 8080.

Czy jest szansa na odzyskanie pieniędzy po ataku phishingowym?

Tak, ale kluczowa jest natychmiastowa reakcja. Jeśli zorientujesz się, że Twoje dane bankowe lub pieniądze zostały skradzione, wykonaj trzy kroki: 1) natychmiast skontaktuj się ze swoim bankiem, aby zablokować konto i karty, 2) zmień wszystkie hasła, które mogły zostać ujawnione, 3) zgłoś przestępstwo na policji. Banki mają procedurę chargeback (obciążenie zwrotne) dla transakcji kartowych oraz mogą podjąć próbę odzyskania środków z przelewu, ale im szybciej zadziałasz, tym większe masz szanse.

Czym różni się phishing od smishingu i vishingu?

Wszystkie te terminy opisują ten sam rodzaj oszustwa – socjotechnikę polegającą na podszywaniu się pod zaufaną osobę lub instytucję. Różnica leży w kanale komunikacji, za pomocą którego atak jest przeprowadzany.

  • Phishing: Ogólny termin, najczęściej używany w kontekście wiadomości e-mail.
  • Smishing: Połączenie słów „SMS” i „phishing”, oznacza ataki realizowane za pomocą wiadomości tekstowych.
  • Vishing: Połączenie słów „voice” (głos) i „phishing”, dotyczy oszustw przeprowadzanych podczas rozmów telefonicznych.

Czy otworzenie samego maila phishingowego jest już niebezpieczne?

W większości przypadków samo otwarcie i przeczytanie wiadomości w nowoczesnej i zaktualizowanej aplikacji pocztowej nie stanowi bezpośredniego zagrożenia. Współczesne programy blokują automatyczne uruchamianie skryptów czy pobieranie obrazków śledzących. Prawdziwe niebezpieczeństwo pojawia się, gdy wykonasz akcję, do której zachęca oszust: klikniesz w link, pobierzesz i otworzysz załącznik lub odpiszesz na wiadomość, potwierdzając, że Twój adres e-mail jest aktywny.

Kto jest celem ataków phishingowych?

Celem może stać się absolutnie każdy, bez względu na wiek, zawód czy biegłość technologiczną. Oszuści stosują zarówno ataki masowe, wysyłając miliony identycznych wiadomości i licząc na to, że ktoś się nabierze, jak i precyzyjnie celowane (tzw. spear phishing), wymierzone w konkretne osoby lub pracowników firm. Ofiarami phishingu mogą być zarówno osoby prywatne, jak i całe organizacje, co może prowadzić do utraty pieniędzy, danych, a w przypadku firm – także reputacji 5.

Źródła

Zobacz też

Footnotes

  1. pillar — https://www.malwarebytes.com/pl/phishing 2

  2. corroborating — https://www.ing.pl/wiem/bezpieczenstwo/co-to-jest-phishing 2

  3. corroborating — https://www.malwarebytes.com/pl/phishing 2 3 4

  4. corroborating — https://[nordvpn](/vpn-dla-polski-2026-kompletny-przewodnik/).com/pl/blog/co-to-jest-phishing/

  5. corroborating — https://businessinsider.com.pl/technologie/nowe-technologie/rodzaje-oszustw-bankowych-co-to-jest-phishing-vishing-i-smishing/6576rem 2 3

  6. corroborating — https://kamk.pl/blog/phishing-co-to-jest-jak-rozpoznac-i-gdzie-zglaszac/ 2 3 4 5

  7. corroborating — https://nflo.pl/baza-wiedzy/co-to-jest-phishing-i-jak-sie-przed-nim-ochronic-dzialanie-rozpoznanie-dobre-praktyki-i-co-robic-po-ataku/ 2 3 4

  8. corroborating — https://ith.eu/blog/co-to-jest-atak-phishing-wszystko-co-musisz-wiedziec/ 2 3

  9. corroborating — https://www.ascocyber.pl/phisihing-co-to-jest-i-jak-sie-przed-nim-chronic/ 2 3 4 5

  10. corroborating — https://chronpesel.pl/wyludzenia-i-kradzieze/phishing-co-to-jest-i-jak-nie-dac-sie-zlowic%E2%80%9D-k 2