mezczyzna z telefonem
Bankowość internetowa,  Bankowość mobilna,  Bezpieczeństwo,  Konta osobiste,  Porady

Oszustwo na BLIK i SMS: Jak działają przestępcy i jak się chronić przed wyłudzeniem kodu?

17 lipca, 2024 /

Płatności mobilne BLIK są synonimem wygody i szybkości, jednak ta sama prostota sprawia, że stały się one głównym celem przestępców internetowych. Oszustwa opierające się na wyłudzeniu kodu BLIK oraz na fałszywych wiadomościach SMS to dziś jedne z najgroźniejszych metod ataku. Kluczem do ochrony jest zrozumienie, że przestępcy rzadko kiedy łamią zabezpieczenia banków – zamiast tego atakują najsłabsze ogniwo, czyli użytkownika, wykorzystując zaawansowane techniki socjotechniczne.

Wiedza na temat mechanizmów tych oszustw, zwanych Smishingiem (oszustwo przez SMS) i Vishingiem (oszustwo przez połączenie głosowe), jest niezbędna, aby skutecznie chronić swoje finanse.

Mechanizm oszustwa „na BLIKa od znajomego”

To najpopularniejszy i najprostszy schemat ataku, który wykorzystuje zaufanie między znajomymi.

Krok 1: Przejęcie konta społecznościowego

Przestępca najpierw włamuje się na konto ofiary w mediach społecznościowych (np. Facebook Messenger) lub przejmuje jej skrzynkę mailową. Często wykorzystuje do tego luki w zabezpieczeniach lub pozyskuje hasło z wycieku danych.

Krok 2: Pilna prośba o pomoc

Z przejętego konta wysyłana jest wiadomość do znajomych ofiary z pilną prośbą o pomoc finansową. Typowe historie to:

  • „Mam pilną sprawę, zablokowało mi konto/kartę.”
  • „Muszę szybko zapłacić za kuriera/taksówkę, a nie mam dostępu do bankowości.”
  • „Oddam za godzinę, daj mi szybko 300 zł BLIKIEM.”

Wiadomość jest pisana pod presją czasu, co ma uniemożliwić jej weryfikację.

Krok 3: Wyłudzenie kodu i zatwierdzenie

Osoba prosząca o pomoc (oszust) prosi o podanie kodu BLIK w wiadomości, a następnie naciska na szybkie zatwierdzenie transakcji w aplikacji bankowej. W momencie, gdy ofiara zatwierdzi transakcję, pieniądze trafiają do przestępcy i najczęściej są natychmiast wypłacane z bankomatu lub przesyłane dalej, co uniemożliwia ich odzyskanie.

Jak się chronić przed oszustwem na BLIK?

  1. Zawsze weryfikuj telefonicznie: Otrzymanie prośby o kod BLIK od znajomego to zawsze sygnał alarmowy. Zanim podasz jakikolwiek kod, zadzwoń do tej osoby i upewnij się, że to faktycznie ona potrzebuje pomocy. Nigdy nie poprzestawaj na pisemnej wiadomości.
  2. Używaj silnych haseł i 2FA: Chroń swoje konta społecznościowe silnymi, unikalnymi hasłami i dwuetapową weryfikacją (2FA), aby uniemożliwić ich przejęcie przez przestępców.
  3. BLIK to gotówka: Traktuj kod BLIK jak gotówkę, którą właśnie przekazujesz nieznajomej osobie. Nigdy nie podawaj go niezweryfikowanym źródłom.

Atak Smishing – Oszustwa przez fałszywe wiadomości SMS

Smishing (SMS + phishing) to metoda ataku polegająca na wysyłaniu masowych, fałszywych wiadomości SMS, które podszywają się pod zaufane instytucje. Celem jest skłonienie ofiary do kliknięcia w fałszywy link.

Najczęstsze scenariusze Smishingu

ScenariuszJak działa oszustwo?Cel ataku
„Na dopłatę”Wiadomość o konieczności dopłaty niewielkiej kwoty (np. 1,50 zł) za przesyłkę, energię, fakturę telefoniczną.Wyłudzenie danych karty płatniczej lub danych do logowania do banku (fałszywa bramka płatnicza).
„Na zablokowane konto”SMS informujący, że konto zostało zablokowane z powodu podejrzanej aktywności lub braku aktualizacji danych. Wymaga kliknięcia w link „weryfikacyjny”.Przejęcie pełnych danych logowania do bankowości internetowej.
„Na inwestycje”Wiadomości zachęcające do szybkiego zysku na kryptowalutach lub akcjach.Wyłudzenie danych karty i pieniędzy na „inwestycję”, która jest piramidą finansową.

Jak się chronić przed Smishingiem?

  1. Sprawdzaj adres URL: Po kliknięciu w link z SMS-a należy natychmiast sprawdzić adres strony. Fałszywe strony banków i bramek płatniczych mają zazwyczaj drobne błędy w adresie (np. „bankpolska.pl” zamiast „bankpolski.pl”).
  2. Nie pobieraj niczego: Fałszywe SMS-y mogą sugerować konieczność zainstalowania „certyfikatu” lub „aplikacji”. To próba instalacji złośliwego oprogramowania (malware), które przejmie kontrolę nad telefonem.
  3. Bank nie działa przez SMS: Żaden bank, operator sieci komórkowej czy urząd skarbowy nie będzie wymagał pilnej weryfikacji konta czy dopłaty poprzez kliknięcie w niespodziewany link w SMS-ie.

Vishing – Oszustwo przez fałszywe połączenia głosowe

Vishing (Voice + phishing) jest bardziej zaawansowany i opiera się na bezpośrednim kontakcie telefonicznym, co buduje pozory autentyczności.

Jak działa oszustwo „na pracownika banku/policjanta”?

  1. Podszywanie się (Spoofing): Przestępcy używają specjalnego oprogramowania do fałszowania numeru telefonu, dzięki czemu na ekranie ofiary wyświetla się numer infolinii banku lub numer alarmowy Policji.
  2. Tworzenie presji: Oszust (często mówiący nienaganną polszczyzną, choć zdarzają się błędy) informuje o pilnej sytuacji: np. ktoś próbuje wziąć kredyt na dane ofiary, lub trwa „atak hakerów” na konto, lub następuje „próba kradzieży” środków.
  3. Wymuszenie działania: Aby „zabezpieczyć” środki, oszust nakłania ofiarę do wykonania konkretnych czynności:
    • Zainstalowania oprogramowania do zdalnego dostępu (np. TeamViewer, AnyDesk) pod pretekstem weryfikacji.
    • Zalogowania się do konta i podania haseł autoryzacyjnych rzekomemu pracownikowi banku.
    • Wykonania „przelewu technicznego” na rzekomo bezpieczne „konto techniczne” (które jest kontem przestępców).

Jak się chronić przed Vishingiem?

  1. Nigdy nie instaluj zdalnego oprogramowania: To absolutny zakaz. Pracownik banku nigdy nie poprosi o zainstalowanie programu, który pozwala na przejęcie kontroli nad Twoim pulpitem lub telefonem.
  2. Weryfikuj tożsamość: Jeśli dzwoni „pracownik banku” lub „policjant” z pilną sprawą, należy zakończyć połączenie i samodzielnie oddzwonić na oficjalny numer infolinii banku (widniejący na stronie banku lub karcie) lub na numer 112/997. Dzwoniąc, zyskujesz pewność, że łączysz się z właściwą instytucją.
  3. Zachowaj poufność danych: Prawdziwy pracownik banku ma dostęp do Twoich danych i nie musi Cię pytać o pełne hasło do logowania, numer PESEL czy kody autoryzacyjne.

Podsumowanie i natychmiastowa reakcja

Oszustwa na BLIK i SMS odnoszą sukces wyłącznie dzięki elementom presji czasu, zaufania i niewiedzy. Banki, pomimo najlepszych zabezpieczeń, nie mogą zablokować transakcji, która została zatwierdzona przez klienta (w przypadku BLIK) lub zlecona za pomocą skradzionych haseł (po kliknięciu w fałszywy link).

Co zrobić, jeśli padłeś ofiarą oszustwa?

  1. Natychmiast zablokuj: Skontaktuj się z bankiem (najlepiej za pośrednictwem oficjalnej infolinii) i natychmiast zablokuj konto, kartę płatniczą oraz dostęp do bankowości mobilnej.
  2. Zgłoś na Policję: Niezwłocznie zgłoś próbę oszustwa organom ścigania.
  3. Zmień hasła: Zmień wszystkie hasła do bankowości, poczty elektronicznej i mediów społecznościowych, aby uniemożliwić dalsze wykorzystanie danych.

Najczęściej zadawane pytania (FAQ)

1. Czy bank może zablokować transakcję BLIK po jej zatwierdzeniu w aplikacji?

Zazwyczaj jest to niemożliwe. Kod BLIK jest traktowany jako uwierzytelniona instrukcja płatnicza. Po wpisaniu kodu i zatwierdzeniu transakcji w aplikacji mobilnej, transakcja jest realizowana natychmiastowo. Pieniądze zazwyczaj są wypłacane z bankomatu przez przestępcę w ciągu kilku minut. Dlatego w przypadku BLIK kluczowa jest prewencja i niepodawanie kodu oraz niezatwierdzanie transakcji.

2. Jak banki walczą z fałszowaniem numerów (Spoofingiem)?

Banki, we współpracy z operatorami telekomunikacyjnymi i dostawcami systemów bezpieczeństwa, wdrażają mechanizmy mające na celu identyfikację i blokowanie połączeń z fałszywymi nagłówkami (właśnie zjawisko spoofingu). W Polsce wdrażane są systemy, które mają automatycznie wykrywać numery banków używane w nieautoryzowany sposób. Jednak ze względu na międzynarodowy charakter połączeń, całkowite wyeliminowanie spoofingu jest nadal wyzwaniem.

3. Czy bank odpowiada za pieniądze skradzione w wyniku ataku phishingowego?

Odpowiedzialność banku zależy od tego, czy transakcja została uznana za nieautoryzowaną. Jeśli bank uzna, że klient nieumyślnie ujawnił dane logowania (np. kliknął w fałszywy link i podał je), odpowiedzialność może być ograniczona. Jednak w przypadku, gdy klient padł ofiarą zaawansowanej socjotechniki i transakcja nosi znamiona oszustwa, klient ma prawo do złożenia reklamacji i bank ma obowiązek wszcząć procedurę zwrotu. Kluczowe jest udowodnienie, że klient nie działał umyślnie i podjął wszelkie kroki ostrożności.

Zobacz również

bezpieczeństwo

Phishing, vishing i smishing – jak rozpoznać próby kradzieży pieniędzy z konta

28 sierpnia, 2023
karty wielowalutowe

Konto Revolut czy polska karta wielowalutowa? Ranking najlepszych rozwiązań na wyjazd za granicę 2025

30 czerwca, 2025
dokumenty

Przejrzystość Taryfy Opłat i Prowizji – na co zwrócić uwagę przed podpisaniem umowy?

24 kwietnia, 2024