Wyjaśniamy· Bezpiecznie w sieci

„Na BLIKa", spoofing, fałszywy kurier: cztery oszustwa odegrane scena po scenie

Nikt nie klika w oszustwo dlatego, że jest głupi. Klika, bo scenariusz jest dobrze napisany: gra na emocjach, pośpiechu i zaufaniu. Odgrywamy cztery najpopularniejsze przekręty w Polsce z zatrzymaniem akcji dokładnie w momencie, w którym wszystko się rozstrzyga.

Ilustracja · fot. Nenad Stojkovic / CC BY 2.0, Wikimedia Commons
Materiał własny redakcjiZaktualizowano 16 lipca 20264 min czytania

W skrócie

  • Wspólny mianownik niemal wszystkich oszustw: presja czasu plus kanał kontaktu zainicjowany przez oszusta. Prawdziwy bank i prawdziwy znajomy zniosą to, że oddzwonisz.
  • Kod BLIK podany „znajomemu" z przejętego konta i zatwierdzony w aplikacji to wypłata gotówki, której zwykle nie da się cofnąć.
  • Spoofing sprawia, że na wyświetlaczu widnieje prawdziwy numer banku; numer NICZEGO nie dowodzi, rozłącz się i zadzwoń sam na infolinię.
  • Po oszustwie działaj w kolejności: bank (natychmiast), zastrzeżenie kart/PESEL, policja, zgłoszenie do CERT Polska (incydent.cert.pl, SMS-y na 8080).

Materiały o cyberoszustwach zwykle kończą się radą „zachowaj czujność", która nie chroni nikogo, bo w chwili ataku ofiara jest przekonana, że pomaga koledze albo rozmawia z bankiem. Skuteczniejsza jest znajomość samych scenariuszy: kto raz zobaczył mechanizm od środka, rozpoznaje go po pierwszych zdaniach. Oto cztery najczęstsze przekręty w polskim internecie, odegrane tak, jak wyglądają naprawdę. Akcję zatrzymujemy w kluczowych momentach.

Scena 1: „pożycz 300 zł, oddam jutro" (oszustwo na BLIKa)

„Hej, głupia sprawa... zablokowali mi kartę, a muszę dziś zapłacić za przedszkole. Pożyczysz 300 zł na dosłownie jeden dzień? Wystarczy, że podasz mi kod BLIK, wypłacę i jutro oddaję z górką". Wiadomość przychodzi z konta znajomej na Messengerze. Zdjęcie się zgadza, sposób pisania prawie też.

Rekonstrukcja typowej rozmowy; scenariusz opisywany przez CERT Polska

Warianty tej samej mechaniki: prośba o opłacenie „drobnej" płatności linkiem, o głosowanie w konkursie (link kradnie login do Facebooka i konto dołącza do łańcucha) albo o numer telefonu „bo mam nowy". Zatwierdzenie wypłaty BLIK w aplikacji jest jak wręczenie gotówki: bank zwykle nie ma czego cofać, bo transakcję autoryzował prawowity właściciel konta. Dlatego jedyny skuteczny moment obrony jest PRZED zatwierdzeniem.

Scena 2: telefon z „banku" (spoofing i zdalny pulpit)

„Dzień dobry, dzwonię z departamentu bezpieczeństwa Pana banku. Wykryliśmy próbę zaciągnięcia kredytu na Pana dane. Proszę zachować spokój, zdążymy to zablokować, ale musimy działać natychmiast. Za chwilę wyślę Panu link do aplikacji zabezpieczającej...". Numer na wyświetlaczu: oficjalna infolinia banku. Głos: spokojny, profesjonalny, w tle gwar call center.

Rekonstrukcja; schemat regularnie opisywany przez CSIRT KNF i banki

Ten scenariusz bywa dopracowany w szczegółach: oszuści znają imię, nazwisko i częściowy numer karty (z wycieków danych), a „na dowód" wysyłają SMS, który dokleja się do prawdziwego wątku wiadomości od banku (spoofing nadawcy SMS). Presja jest zawsze ta sama: coś strasznego dzieje się TERAZ i nie ma czasu na konsultacje. Prawdziwy bank blokuje podejrzane operacje sam i poczeka, aż oddzwonisz.

Scena 3: SMS o dopłacie 2,50 zł (fałszywy kurier i bramka płatności)

„InPost: Twoja paczka nr 6640081 oczekuje. Z powodu błędnego adresu wymagana dopłata 2,50 zł. Opłać: [link], w przeciwnym razie zwrot do nadawcy". Link prowadzi do strony łudząco podobnej do bramki płatności, z logo banków do wyboru.

Rekonstrukcja typowego SMS-a phishingowego

Scena 4: „kupię, wysyłam kuriera" (oszustwo na sprzedającego)

Wystawiasz na OLX kurtkę za 120 zł. Po kwadransie WhatsApp: „Dzień dobry, biorę. Zapłaciłem już przez OLX z dostawą, pieniądze czekają. Musi Pani tylko odebrać środki, wysyłam instrukcję". W załączniku link do strony z logo OLX i formularzem: numer karty, data ważności, CVV, „aby przyjąć przelew".

Rekonstrukcja; najczęstszy schemat na platformach sprzedażowych wg CERT Polska

Stało się. Kolejność ratowania pieniędzy

  1. 1

    Natychmiast: bank

    Zadzwoń na infolinię lub użyj przycisku alarmowego w aplikacji: zgłoś oszustwo, zablokuj dostęp do bankowości, zastrzeż karty. Przy przelewie na cudze konto bank może spróbować zatrzymać środki, każda minuta się liczy. Wypłaconego BLIK-a zwykle nie da się cofnąć, ale zgłoszenie i tak jest konieczne.

  2. 2

    Zaraz potem: odetnij dalsze szkody

    Zmień hasło do bankowości i skrzynki e-mail, wyloguj sesje, a jeśli podano dane osobowe, zastrzeż PESEL (mObywatel). Jeśli instalowano program zdalnego pulpitu: odinstaluj i przeskanuj telefon, a najbezpieczniej przywróć ustawienia fabryczne.

  3. 3

    Tego samego dnia: policja

    Złóż zawiadomienie o przestępstwie (oszustwo, art. 286 KK) na dowolnym komisariacie lub online. Protokół z policji bywa potrzebny bankowi do procedury reklamacyjnej i chargebacku przy płatności kartą.

  4. 4

    Domknięcie: CERT i platforma

    Zgłoś incydent na incydent.cert.pl (fałszywe strony są dzięki temu blokowane na krajowej liście ostrzeżeń), a oszukańcze konto zgłoś platformie (OLX, Facebook), by nie łowiło kolejnych ofiar.

Na koniec mechanizm nadrzędny, który spina wszystkie cztery sceny: oszust zawsze kontroluje kanał kontaktu. To on dzwoni, on pisze, on podsyła link. Dlatego uniwersalna technika obrony nazywa się „przerwij i wróć oficjalną drogą": rozłącz się i zadzwoń na infolinię ze strony banku, otwórz aplikację przewoźnika zamiast linku, zadzwoń do znajomego. Oszustwo niemal nigdy nie przetrwa zmiany kanału. Tę samą zasadę niezależnego potwierdzania stosuje się zresztą do informacji w sieci, o czym piszemy w tekście o potwierdzeniu krzyżowym.

Najczęstsze pytania

Czy bank zwróci pieniądze po oszustwie na BLIKa?
Jeśli sam zatwierdzono wypłatę w aplikacji, szanse są niewielkie: formalnie to autoryzowana transakcja. Mimo to zawsze zgłaszaj sprawę bankowi i policji: przy transakcjach nieautoryzowanych (np. po przejęciu telefonu) bank ma obowiązek zwrotu w terminie D+1, chyba że udowodni rażące niedbalstwo klienta.
Jak rozpoznać fałszywy telefon z banku?
Po presji czasu i nietypowych prośbach: instalacja aplikacji, podanie pełnego hasła, przelew na „konto techniczne", podanie kodu z SMS. Numer na wyświetlaczu niczego nie dowodzi (spoofing). Rozłącz się i sam zadzwoń na oficjalną infolinię; prawdziwy bank nie ma z tym problemu.
Gdzie zgłosić oszustwo internetowe?
Trzy adresy: bank (natychmiast, telefonicznie), policja (zawiadomienie o przestępstwie, także online) i CERT Polska (incydent.cert.pl, a podejrzane SMS-y bezpłatnie na numer 8080). Fałszywe ogłoszenie lub konto zgłoś dodatkowo platformie, na której działa oszust.
Co to jest spoofing?
Technika podszywania się pod cudzy numer telefonu lub nadawcę SMS: ofiara widzi na wyświetlaczu prawdziwy numer banku czy urzędu, choć dzwoni przestępca. Dlatego tożsamości rozmówcy nigdy nie potwierdza numer, z którego dzwoni, tylko to, że TY oddzwaniasz na numer z oficjalnej strony.

Źródła i dalsza lektura

Materiał własny redakcji, oparty na oficjalnych i renomowanych źródłach:

Czytaj dalej