Bezpieczne klikanie: jak sprawdzić, czy link jest bezpieczny

1) Szybka checklista „klikam czy nie?”

Nadawca: czy znasz osobę/instytucję? Adres wygląda normalnie?
Cel wiadomości: pilne prośby o hasło/kod/płatność = czerwona flaga.
Link: najedź myszką, zobacz prawdziwy adres.
HTTPS: kłódka ≠ gwarancja. Brak kłódki = stop.
Literówki i podróbki domen: np. go0gle.com, polska-bank.pl.co.
Załączniki: nie otwieraj nietypowych plików (np. .exe, .scr).

Masz wątpliwości? Nie klikaj. Zapytaj nauczyciela informatyki

2) Jak sprawdzić link – krok po kroku

Skopiuj link (prawy przycisk → Kopiuj adres linku).
Wklej do skanerów reputacji: VirusTotal, Google Safe Browsing, URLVoid, PhishTank.
Jeśli link jest skrócony (bit.ly, tinyurl) – najpierw go rozwiń.
Oceń wynik: „malicious”, „phishing”, „suspicious” = zagrożenie.
Wpisz ręcznie oficjalny adres w przeglądarce zamiast klikać.

Fałszywe strony mogą mieć kłódkę HTTPS. Liczy się reputacja domeny i treść, nie sama kłódka.

3) Uwaga: nawet 2FA nie zawsze pomoże!

Badacze bezpieczeństwa podkreślają, że nawet uwierzytelnianie dwuskładnikowe (w tym sprzętowe klucze jak YubiKey) nie chroni przed wszystkimi skutkami kliknięcia w złośliwy link. Dlatego zanim klikniesz, zawsze skopiuj adres i sprawdź go w jednym z polecanych narzędzi. Kwestie techniczne zostawiamy wyspecjalizowanym serwisom – najważniejsza jest ostrożność.

4) Przykład: link z Facebooka — jak sprawdzić dokąd prowadzi

Często spotykamy linki z Facebooka zaczynające się od https://l.facebook.com/l.php?u=.... To przekierowanie (tzw. wrapper), które Facebook dodaje, by śledzić kliknięcia. W parametrze u= ukryty jest właściwy adres strony, a w fbclid= — element śledzący (unikalny identyfikator kliknięcia). Ten identyfikator warto usunąć, bo nie jest potrzebny i śledzi aktywność użytkownika.

Przykład

Otrzymany link:

https://l.facebook.com/l.php?u=https%3A%2F%2Flo1.lebork.pl%2Faktualnosci%2F1490-v-edycja-konkursu-szopa-2025-final%3Ffbclid%3D...

Po rozkodowaniu (i usunięciu elementu śledzącego fbclid):

https://lo1.lebork.pl/aktualnosci/1490-v-edycja-konkursu-szopa-2025-final

➡️ Widzimy, że link prowadzi na stronę lo1.lebork.pl – oficjalny serwis szkoły.

Co zrobić?

Skopiuj czysty adres (bez fbclid i bez l.facebook.com).
Wklej go do skanera (np. VirusTotal) lub wpisz ręcznie w przeglądarce.
To bezpieczniejszy i bardziej przejrzysty sposób niż klikanie w przekierowania.

5) Najczęstsze sztuczki oszustów

Pilność: „Konto zostanie zablokowane w 30 minut!”.
Nagrody: „Wygrałeś smartfona!”.
Podszywanie się: e‑Dziennik, ePUAP, bank, kurier, Microsoft, Netflix.
Fałszywe logowanie: strona identyczna, ale inny adres.
Nagłe zdarzenie: „wypadek”, „okazja”.
Załączniki: „faktura”, „lista ocen”, „regulamin”.

Jak rozpoznać fałszywą stronę logowania?

Adres nie kończy się oficjalną domeną.
Błędne hasło „działa”.
Prośby o dane karty, skan dokumentu, BLIK.

6) Dobre praktyki w szkole

Włącz MFA wszędzie, gdzie to możliwe.
Używaj unikalnych haseł i menedżera haseł.
Aktualizuj system i przeglądarkę.
Zasada ograniczonego zaufania.
Zgłaszaj incydenty do szkolnego IT.

7) Co zrobić, jeśli jednak kliknąłem?

Zamknij kartę/stronę.
Zmień hasło do powiązanego konta (i wszędzie, gdzie było użyte).
Włącz/sprawdź 2FA.
Przeskanuj urządzenie antywirusem.
Powiadom szkołę/IT.

8) Materiały i narzędzia

VirusTotal — skan linków i plików
Google Safe Browsing (Transparency Report)
URLVoid — reputacja domeny
PhishTank — bazy phishingu
CheckShortURL — rozwijanie skróconych linków

Zgłoś podejrzane linki do NASK / CERT Polska

Formularz online: incydent.cert.pl
SMS (podejrzane wiadomości): 8080
E‑mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

To oficjalne kanały zgłaszania incydentów w Polsce.

9) Podsumowanie

„Nie klikaj w ciemno!”

Najedź myszką i sprawdź dokładny adres.
Brak kłódki? — podejrzane.
Literówki i dziwne domeny = podejrzane.
Sprawdź link w VirusTotal / Google.
Masz wątpliwości? — Zgłoś do IT.

Informatyka - strona ogólna kategorii