Wyjaśniamy· Bezpiecznie w sieci
„Na BLIKa", spoofing, fałszywy kurier: cztery oszustwa odegrane scena po scenie
Nikt nie klika w oszustwo dlatego, że jest głupi. Klika, bo scenariusz jest dobrze napisany: gra na emocjach, pośpiechu i zaufaniu. Odgrywamy cztery najpopularniejsze przekręty w Polsce z zatrzymaniem akcji dokładnie w momencie, w którym wszystko się rozstrzyga.

W skrócie
- Wspólny mianownik niemal wszystkich oszustw: presja czasu plus kanał kontaktu zainicjowany przez oszusta. Prawdziwy bank i prawdziwy znajomy zniosą to, że oddzwonisz.
- Kod BLIK podany „znajomemu" z przejętego konta i zatwierdzony w aplikacji to wypłata gotówki, której zwykle nie da się cofnąć.
- Spoofing sprawia, że na wyświetlaczu widnieje prawdziwy numer banku; numer NICZEGO nie dowodzi, rozłącz się i zadzwoń sam na infolinię.
- Po oszustwie działaj w kolejności: bank (natychmiast), zastrzeżenie kart/PESEL, policja, zgłoszenie do CERT Polska (incydent.cert.pl, SMS-y na 8080).
Materiały o cyberoszustwach zwykle kończą się radą „zachowaj czujność", która nie chroni nikogo, bo w chwili ataku ofiara jest przekonana, że pomaga koledze albo rozmawia z bankiem. Skuteczniejsza jest znajomość samych scenariuszy: kto raz zobaczył mechanizm od środka, rozpoznaje go po pierwszych zdaniach. Oto cztery najczęstsze przekręty w polskim internecie, odegrane tak, jak wyglądają naprawdę. Akcję zatrzymujemy w kluczowych momentach.
Scena 1: „pożycz 300 zł, oddam jutro" (oszustwo na BLIKa)
„Hej, głupia sprawa... zablokowali mi kartę, a muszę dziś zapłacić za przedszkole. Pożyczysz 300 zł na dosłownie jeden dzień? Wystarczy, że podasz mi kod BLIK, wypłacę i jutro oddaję z górką". Wiadomość przychodzi z konta znajomej na Messengerze. Zdjęcie się zgadza, sposób pisania prawie też.
— Rekonstrukcja typowej rozmowy; scenariusz opisywany przez CERT Polska
Warianty tej samej mechaniki: prośba o opłacenie „drobnej" płatności linkiem, o głosowanie w konkursie (link kradnie login do Facebooka i konto dołącza do łańcucha) albo o numer telefonu „bo mam nowy". Zatwierdzenie wypłaty BLIK w aplikacji jest jak wręczenie gotówki: bank zwykle nie ma czego cofać, bo transakcję autoryzował prawowity właściciel konta. Dlatego jedyny skuteczny moment obrony jest PRZED zatwierdzeniem.
Scena 2: telefon z „banku" (spoofing i zdalny pulpit)
„Dzień dobry, dzwonię z departamentu bezpieczeństwa Pana banku. Wykryliśmy próbę zaciągnięcia kredytu na Pana dane. Proszę zachować spokój, zdążymy to zablokować, ale musimy działać natychmiast. Za chwilę wyślę Panu link do aplikacji zabezpieczającej...". Numer na wyświetlaczu: oficjalna infolinia banku. Głos: spokojny, profesjonalny, w tle gwar call center.
— Rekonstrukcja; schemat regularnie opisywany przez CSIRT KNF i banki
Ten scenariusz bywa dopracowany w szczegółach: oszuści znają imię, nazwisko i częściowy numer karty (z wycieków danych), a „na dowód" wysyłają SMS, który dokleja się do prawdziwego wątku wiadomości od banku (spoofing nadawcy SMS). Presja jest zawsze ta sama: coś strasznego dzieje się TERAZ i nie ma czasu na konsultacje. Prawdziwy bank blokuje podejrzane operacje sam i poczeka, aż oddzwonisz.
Scena 3: SMS o dopłacie 2,50 zł (fałszywy kurier i bramka płatności)
„InPost: Twoja paczka nr 6640081 oczekuje. Z powodu błędnego adresu wymagana dopłata 2,50 zł. Opłać: [link], w przeciwnym razie zwrot do nadawcy". Link prowadzi do strony łudząco podobnej do bramki płatności, z logo banków do wyboru.
— Rekonstrukcja typowego SMS-a phishingowego
Scena 4: „kupię, wysyłam kuriera" (oszustwo na sprzedającego)
Wystawiasz na OLX kurtkę za 120 zł. Po kwadransie WhatsApp: „Dzień dobry, biorę. Zapłaciłem już przez OLX z dostawą, pieniądze czekają. Musi Pani tylko odebrać środki, wysyłam instrukcję". W załączniku link do strony z logo OLX i formularzem: numer karty, data ważności, CVV, „aby przyjąć przelew".
— Rekonstrukcja; najczęstszy schemat na platformach sprzedażowych wg CERT Polska
Stało się. Kolejność ratowania pieniędzy
- 1
Natychmiast: bank
Zadzwoń na infolinię lub użyj przycisku alarmowego w aplikacji: zgłoś oszustwo, zablokuj dostęp do bankowości, zastrzeż karty. Przy przelewie na cudze konto bank może spróbować zatrzymać środki, każda minuta się liczy. Wypłaconego BLIK-a zwykle nie da się cofnąć, ale zgłoszenie i tak jest konieczne.
- 2
Zaraz potem: odetnij dalsze szkody
Zmień hasło do bankowości i skrzynki e-mail, wyloguj sesje, a jeśli podano dane osobowe, zastrzeż PESEL (mObywatel). Jeśli instalowano program zdalnego pulpitu: odinstaluj i przeskanuj telefon, a najbezpieczniej przywróć ustawienia fabryczne.
- 3
Tego samego dnia: policja
Złóż zawiadomienie o przestępstwie (oszustwo, art. 286 KK) na dowolnym komisariacie lub online. Protokół z policji bywa potrzebny bankowi do procedury reklamacyjnej i chargebacku przy płatności kartą.
- 4
Domknięcie: CERT i platforma
Zgłoś incydent na incydent.cert.pl (fałszywe strony są dzięki temu blokowane na krajowej liście ostrzeżeń), a oszukańcze konto zgłoś platformie (OLX, Facebook), by nie łowiło kolejnych ofiar.
Na koniec mechanizm nadrzędny, który spina wszystkie cztery sceny: oszust zawsze kontroluje kanał kontaktu. To on dzwoni, on pisze, on podsyła link. Dlatego uniwersalna technika obrony nazywa się „przerwij i wróć oficjalną drogą": rozłącz się i zadzwoń na infolinię ze strony banku, otwórz aplikację przewoźnika zamiast linku, zadzwoń do znajomego. Oszustwo niemal nigdy nie przetrwa zmiany kanału. Tę samą zasadę niezależnego potwierdzania stosuje się zresztą do informacji w sieci, o czym piszemy w tekście o potwierdzeniu krzyżowym.
Najczęstsze pytania
- Czy bank zwróci pieniądze po oszustwie na BLIKa?
- Jeśli sam zatwierdzono wypłatę w aplikacji, szanse są niewielkie: formalnie to autoryzowana transakcja. Mimo to zawsze zgłaszaj sprawę bankowi i policji: przy transakcjach nieautoryzowanych (np. po przejęciu telefonu) bank ma obowiązek zwrotu w terminie D+1, chyba że udowodni rażące niedbalstwo klienta.
- Jak rozpoznać fałszywy telefon z banku?
- Po presji czasu i nietypowych prośbach: instalacja aplikacji, podanie pełnego hasła, przelew na „konto techniczne", podanie kodu z SMS. Numer na wyświetlaczu niczego nie dowodzi (spoofing). Rozłącz się i sam zadzwoń na oficjalną infolinię; prawdziwy bank nie ma z tym problemu.
- Gdzie zgłosić oszustwo internetowe?
- Trzy adresy: bank (natychmiast, telefonicznie), policja (zawiadomienie o przestępstwie, także online) i CERT Polska (incydent.cert.pl, a podejrzane SMS-y bezpłatnie na numer 8080). Fałszywe ogłoszenie lub konto zgłoś dodatkowo platformie, na której działa oszust.
- Co to jest spoofing?
- Technika podszywania się pod cudzy numer telefonu lub nadawcę SMS: ofiara widzi na wyświetlaczu prawdziwy numer banku czy urzędu, choć dzwoni przestępca. Dlatego tożsamości rozmówcy nigdy nie potwierdza numer, z którego dzwoni, tylko to, że TY oddzwaniasz na numer z oficjalnej strony.
Źródła i dalsza lektura
Materiał własny redakcji, oparty na oficjalnych i renomowanych źródłach:
- CERT Polska, aktualne kampanie oszustw, CERT Polska / NASK
- CSIRT KNF, ostrzeżenia, CSIRT KNF
- Policja, zgłoś cyberprzestępstwo, Policja
- ZBP, kampania Bezpieczny Bank, Związek Banków Polskich
Czytaj dalej
Twoje hasło wyciekło? Sprawdź to w 2 minuty i posprzątaj w 10
Menedżer haseł i weryfikacja dwuetapowa: zabezpiecz się na trzech poziomach
Dlaczego jedna informacja to za mało: na czym polega potwierdzenie krzyżowe
Ile prądu zużywa lodówka, pralka i klimatyzacja? Policz koszt każdego urządzenia
Burmistrz San Francisco nalega na zaostrzenie przepisów po fiasku drogowym w Waymo
Według doniesień operator telepromptera w Białym Domu wygrał duże zakłady na przemówienia prezydenckie




