Zanim klikniesz podejrzany link, najedź na niego kursorem (na komputerze) lub przytrzymaj go palcem (na telefonie) – zobaczysz pełny adres URL, do którego prowadzi. Przyjrzyj się domenie: literówki, dziwne końcówki (.tk, .xyz, .top) i zbędne myślniki to najczęstsze sygnały fałszywego odnośnika. Jeżeli nadal masz wątpliwości, skopiuj link (nie klikaj go) i wklej do narzędzia takiego jak VirusTotal lub Google Safe Browsing – w kilka sekund sprawdzisz, czy adres jest znany z phishingu lub rozpowszechniania złośliwego oprogramowania.
Na co zwrócić uwagę w sprawdzając link?
Większość fałszywych linków zdradza się już na poziomie samego adresu. Trzeba tylko wiedzieć, które elementy odnośnika sprawdzić i jak to zrobić – zarówno na komputerze, jak i na telefonie.
Podgląd linku przed kliknięciem
Nie zawsze widać pełny adres – na stronach internetowych linki często ukryte są pod kotwicą, czyli klikalnym tekstem (np. „kliknij tutaj”, „potwierdź płatność”) lub grafiką. Tekst kotwicy może mówić cokolwiek, dlatego przed kliknięciem zawsze warto podejrzeć prawdziwy adres docelowy. Na komputerze wyświetli się on w lewym dolnym rogu przeglądarki po najechaniu kursorem. Na telefonie – w oknie, które pojawi się po przytrzymaniu palcem odnośnika przez sekundę.
Tę samą technikę stosuj wobec linków w e-mailach i wiadomościach SMS. Nawet jeśli nadawca wydaje się znany, a tekst odnośnika wygląda normalnie, podgląd pozwala wychwycić fałszywą domenę, zanim przeglądarka ją otworzy.
Analiza domeny i struktury adresu
Najważniejsza część adresu to domena, czyli fragment między „https://” a pierwszym ukośnikiem. To ona decyduje, na czyjej stronie się znajdziesz. Przestępcy modyfikują domeny na kilka sposobów.
Literówki i podmiana znaków – cyfra „0” zamiast litery „O”, „1” zamiast „l”, dodatkowe myślniki rozdzielające fragmenty nazwy. Przykłady: a11egro.com-p1.pl, go0gle.me czy peka0.pl-p11.ru. Przy szybkim czytaniu na telefonie łatwo przeoczyć te różnice.
Bardziej zaawansowana wersja tego triku to ataki homograficzne, w których przestępcy rejestrują domeny z literami z innych alfabetów (np. pisane cyrylicą „а” wygląda identycznie jak łacińskie „a”). Nowoczesne przeglądarki na komputerze chronią przed tym, wyświetlając takie domeny w formie kodu punycode (zaczynającego się od xn--). Aplikacje mobilne nie zawsze mają takie zabezpieczenie.
Obce końcówki domeny – rozszerzenia .tk, .top, .xyz, .ru w kontekście polskiej firmy lub banku to natychmiastowy sygnał ostrzegawczy. Większość polskich organizacji korzysta z domen .pl, .com lub .eu. Przestępcy wybierają egzotyczne końcówki, bo łatwiej zarejestrować tam wolną domenę i trudniej namierzyć właściciela.
Skrócone linki – narzędzia typu bit.ly, tiny.pl czy tinyurl.com ukrywają prawdziwy adres docelowy. Skracacze mają swoje legalne zastosowania (marketing, media społecznościowe), ale przestępcy chętnie z nich korzystają, bo odbiorca nie widzi, dokąd prowadzi odnośnik. Skrócony link można „rozwinąć” za pomocą darmowych narzędzi online (np. ExpandURL) i zobaczyć prawdziwy adres bez klikania.
Brak HTTPS – strony banków, sklepów internetowych i serwisów społecznościowych powinny korzystać z HTTPS. Najprostszy sposób weryfikacji: sprawdź, czy adres w pasku przeglądarki zaczyna się od „https://”. Chrome na stronach bez HTTPS wyświetla ostrzeżenie „Niezabezpieczona” obok adresu. Sam brak HTTPS nie oznacza automatycznie oszustwa – wiele prostych stron hobbystycznych wciąż działa na HTTP. Jednocześnie certyfikat SSL mówi wyłącznie o tym, że połączenie jest szyfrowane – nie o tym, kto stoi za stroną. Wdrożenie HTTPS jest darmowe i proste, więc coraz częściej mają go też strony spreparowane przez przestępców.
Treść wiadomości z linkiem
Fałszywy link rzadko pojawia się w próżni – towarzyszy mu wiadomość, która ma skłonić do szybkiego kliknięcia. Literówki, dziwne błędy gramatyczne i nienaturalna składnia to częsty sygnał, że treść została automatycznie przetłumaczona. Presja czasu („Twoje konto zostanie zablokowane w ciągu 24 godzin”, „ostatnia szansa na odbiór paczki”) to kolejny sygnał alarmowy – prawdziwe instytucje nie zmuszają do natychmiastowego działania pod groźbą utraty dostępu.
Narzędzia do sprawdzania linków
Ręczna analiza adresu URL chroni przed większością prymitywnych ataków, ale nie zastąpi sprawdzenia linku w dedykowanym narzędziu.
VirusTotal
VirusTotal to najpopularniejsze narzędzie do weryfikacji linków. Wklej podejrzany adres URL w pole wyszukiwarki, a serwis sprawdzi go jednocześnie w kilkudziesięciu bazach danych. Wynik pokazuje, ile silników uznało link za niebezpieczny, a także dodatkowe informacje: wiek domeny (świeżo zarejestrowana domena to poważny sygnał ostrzegawczy), historię skanowań i powiązane adresy URL.
VirusTotal jest rozwijany przez Google i stanowi bazę, z której korzysta wiele innych narzędzi od cyberbezpieczeństwa. Jeśli miałbyś zapamiętać tylko jedno narzędzie z tego artykułu – niech to będzie właśnie VirusTotal.
Bezpieczne przeglądanie Google
Bezpieczne przeglądanie Google to prostsza alternatywa – jedno źródło zamiast kilkudziesięciu, ale za to szybki wynik i wysoka wiarygodność. To ten sam mechanizm, który chroni użytkowników przeglądarki Chrome przed phishingiem. Sprawdza, czy strona jest znana Google jako niebezpieczna i wyświetla jednoznaczny komunikat.
Narzędzia do rozszerzania skróconych linków
Jeżeli podejrzany link zaczyna się od bit.ly, tiny.pl, tinyurl.com lub innego skracacza, VirusTotal może nie wskazać zagrożenia – bo sam skrócony adres nie jest złośliwy, złośliwa jest strona, do której prowadzi. Służą do tego narzędzia takie jak ExpandURL – wklejasz skrócony link, a w odpowiedzi dostajesz pełny adres URL bez konieczności klikania. Rozwinięty adres możesz następnie sprawdzić w VirusTotal.
Wirtualna maszyna
Dla bardziej zaawansowanych użytkowników – programy takie jak VirtualBox pozwalają stworzyć na komputerze odizolowane środowisko (osobny „komputer w komputerze”), w którym można bezpiecznie otworzyć podejrzany link. Nawet jeżeli strona okaże się złośliwa, zagrożenie pozostaje zamknięte w wirtualnej maszynie i nie dotknie głównego systemu. To rozwiązanie sprawdza się przy analizie podejrzanych plików do pobrania lub testowaniu linków, co do których żadne narzędzie online nie daje jednoznacznej odpowiedzi.
Żadne narzędzie nie wykryje stu procent zagrożeń – nowo utworzone strony phishingowe mogą jeszcze nie figurować w bazach danych. Dlatego narzędzia warto traktować jako uzupełnienie własnej czujności, nie jej zamiennik.
Dlaczego linki mogą być niebezpieczne?
Samo kliknięcie w podejrzany link z reguły nie wyrządza szkody – niebezpieczne jest to, co użytkownik zrobi na stronie, do której link prowadzi. Fałszywe witryny naśladują wygląd prawdziwych serwisów i próbują wyłudzić dane logowania, numer karty płatniczej lub skłonić do przelewu na konto przestępcy. Strona podszywająca się pod bank czy sklep internetowy może wyglądać niemal identycznie jak oryginał.
Wyjątkiem są ataki typu drive-by download, w których złośliwe oprogramowanie pobiera się na urządzenie automatycznie, bez żadnej interakcji ze strony użytkownika. Wykorzystują one niezałatane luki w przeglądarce lub systemie operacyjnym (tzw. podatności zero-day). Na tej zasadzie działało oprogramowanie szpiegujące Pegasus, które infekowało telefony przez samo otwarcie spreparowanego linku, a w niektórych przypadkach nawet bez kliknięcia (ataki zero-click). Przed tego typu atakami chroni przede wszystkim aktualizowanie przeglądarki i systemu operacyjnego na bieżąco.
Typowe polskie scenariusze phishingu
W Polsce najczęstszym wektorem ataków phishingowych są fałszywe wiadomości podszywające się pod InPost („dopłata do paczki”, „potwierdź adres dostawy”), Allegro („Twoje konto wymaga weryfikacji”) i OLX („potwierdź odbiór płatności za wystawiony przedmiot”). Te scenariusze łączy wspólny schemat: wiadomość SMS lub e-mail z linkiem do strony łudząco podobnej do prawdziwego serwisu, która wyłudza dane logowania lub karty płatniczej. Odnośniki w tych wiadomościach często korzystają z narzędzi do skracania linków lub domen z nietypowymi końcówkami.
Zdarza się również, że przestępcy przejmują konto znajomego w mediach społecznościowych i rozsyłają z niego wiadomości z fałszywymi linkami („hej, czy to Twoje zdjęcie?”, „pożycz mi szybko na BLIK-a”). Dlatego nawet odnośnik od bliskiej osoby może okazać się niebezpieczny.
Jeżeli kliknąłeś już w podejrzany link – nie panikuj, ale działaj szybko: zamknij stronę, nie podawaj żadnych danych, a jeśli zdążyłeś wpisać hasło lub dane karty – działaj natychmiast.
Jak się chronić na co dzień
Aktualizuj przeglądarkę i system operacyjny natychmiast po udostępnieniu nowych wersji – zarówno na komputerze, jak i na telefonie. Luki typu zero-day, o których była mowa wyżej, po wykryciu są szybko łatane przez producentów przeglądarek. Ale poprawka chroni tylko wtedy, gdy ją zainstalujesz – każdy dzień zwłoki to okno, przez które przestępcy mogą się dostać do urządzenia.
Włącz wbudowaną ochronę przeglądarki przed niebezpiecznymi stronami. W Chrome na Androidzie znajdziesz ją w ustawieniach przeglądarki (Prywatność i bezpieczeństwo → Bezpieczne przeglądanie). Na iPhonie w Safari aktywuj „Ostrzeżenie o fałszywej stronie” (Ustawienia → Safari). Te mechanizmy automatycznie sprawdzają odwiedzane strony i ostrzegają przed znanymi zagrożeniami.
Stosuj unikalne hasła do każdego konta – menedżer haseł nie tylko pomaga je zapamiętać, ale też chroni przed phishingiem w nieoczywisty sposób: nie wypełni danych logowania na fałszywej stronie, bo jej adres URL nie pasuje do zapisanego wpisu. Wszędzie, gdzie to możliwe, włącz uwierzytelnianie dwuskładnikowe (2FA) – nawet jeśli hasło wycieknie, przestępca nie zaloguje się bez drugiego składnika. Zainstaluj program antywirusowy z funkcją skanowania stron w czasie rzeczywistym.
Najczęstsze pytania
Czy samo kliknięcie w link jest niebezpieczne?
Zwykle nie. Samo kliknięcie w link otwiera stronę, ale to jeszcze nie wyrządza szkody. Niebezpieczeństwo pojawia się, gdy na fałszywej stronie podasz swoje dane, pobierzesz plik lub zainstalujesz oprogramowanie. Wyjątkiem są rzadkie ataki typu drive-by download, które wykorzystują niezałatane luki w przeglądarce – stąd znaczenie regularnych aktualizacji.
Jak sprawdzić podejrzany link na telefonie?
Przytrzymaj palcem link przez około sekundę – wyświetli się okno z podglądem pełnego adresu URL i opcją skopiowania go. Skopiowany adres wklej do VirusTotal (virustotal.com) w przeglądarce telefonu. Nie otwieraj podejrzanego linku bezpośrednio – najpierw skopiuj, potem sprawdź.
Jak bezpiecznie otworzyć podejrzany link?
Jeżeli musisz zobaczyć, co kryje się pod linkiem, skopiuj go i otwórz w trybie incognito przeglądarki. Tryb incognito nie ochroni przed złośliwym oprogramowaniem, ale strona nie będzie miała dostępu do ciasteczek i sesji logowania z normalnego trybu przeglądania. Dla pełnego bezpieczeństwa użyj wirtualnej maszyny lub sprawdź link w VirusTotal, zanim go otworzysz.
Czy skracacze linków (bit.ly, tiny.pl) są bezpieczne?
Same narzędzia do skracania linków nie są złośliwe – bit.ly i tiny.pl to legalne serwisy, z których korzystają też firmy i marketerzy. Problem polega na tym, że skrócony link ukrywa prawdziwy adres docelowy, co wykorzystują przestępcy. Przed kliknięciem skróconego linku rozwiń go za pomocą narzędzia do rozwijania linków, żeby zobaczyć pełny adres.
Co zrobić po kliknięciu w podejrzany link?
Zamknij stronę i nie podawaj na niej żadnych danych. Jeśli zdążyłeś wpisać hasło lub dane karty, natychmiast je zmień i skontaktuj się z bankiem. Przeskanuj urządzenie programem antywirusowym. Szczegółowe instrukcje krok po kroku znajdziesz w artykule „Co zrobić po kliknięciu w podejrzany link”.
Czym jest VirusTotal i czy jest darmowy?
VirusTotal to darmowe narzędzie online (virustotal.com) rozwijane przez Google, które sprawdza linki i pliki jednocześnie w kilkudziesięciu silnikach antywirusowych. Wklejasz podejrzany adres URL, a w kilka sekund dostajesz raport z wynikami skanowania. Serwis jest na tyle wiarygodny, że korzystają z niego również specjaliści ds. bezpieczeństwa.
