Oszustwo na BLIK: jak działa i jak się chronić przed podszywaniem się pod znajomych

O co chodzi w oszustwie „na BLIK” i dlaczego wszyscy o nim mówią

Oszustwo na BLIK „na znajomego” to schemat, w którym złodziej podszywa się pod osobę z twojej listy znajomych na komunikatorze albo w mediach społecznościowych i pod pretekstem nagłej sytuacji wyłudza kod BLIK lub przelew. Pieniądze nie znikają z „systemu BLIK” ani z banku w magiczny sposób – są wypłacane lub przelewane przez przestępcę, który wykorzystuje to, co sam mu zatwierdzasz w aplikacji.

Mechanizm działa głównie dlatego, że uderza w zaufanie do konkretnych osób. Nasz mózg w komunikacji online często „widzi” awatar, imię i historię rozmów i automatycznie zakłada, że po drugiej stronie jest rzeczywiście znajomy. Do tego dochodzi pośpiech, presja, chęć pomocy – i często brak nawyku sprawdzania szczegółów transakcji przed zatwierdzeniem w aplikacji bankowej.

Metody złodziei zmieniły się w ostatnich latach. Kiedyś dominowały masowe SMS-y z linkami do „dopłaty do przesyłki” czy fałszywych faktur. Obecnie oszuści coraz częściej idą w ukierunkowane ataki przez komunikatory: Messenger, WhatsApp, Instagram, a nawet Slack czy komunikatory firmowe. Tam łatwiej o osobisty kontakt i wywołanie wrażenia, że to normalna prośba od kogoś bliskiego. Do tego dochodzi wykorzystywanie przejętych kont – im więcej prawdziwych danych o ofierze i jej znajomych, tym bardziej wiarygodna historia.

Wiele osób wciąż myśli o tych atakach w kategoriach „włamali mi się do banku”. W typowym scenariuszu jest dokładnie odwrotnie: bank i BLIK działają tak, jak zostały zaprojektowane, a przestępcy włamują się co najwyżej na twoje konto na Facebooku czy w komunikatorze. Podstawą jest socjotechnika – przekonanie cię, żebyś samodzielnie autoryzował operację, którą oni przygotowali. Z punktu widzenia systemu bankowego wszystko wygląda jak normalna, zlecona przez ciebie transakcja.

Różnica między mitem a rzeczywistością jest kluczowa. Jeżeli zakładamy, że problemem jest „dziurawy BLIK”, możemy zignorować to, co naprawdę nas naraża: słabe hasła, brak dwuskładnikowego uwierzytelniania, bezrefleksyjne zatwierdzanie powiadomień w aplikacji bankowej oraz brak prostego nawyku – zadzwonić do znajomego, zanim wyśle się mu pieniądze.

Jak krok po kroku wygląda typowe oszustwo na BLIK „na znajomego”

Etap 1 – przejęcie konta w komunikatorze lub mediach społecznościowych

Żeby podszyć się pod „znajomego”, przestępca najpierw potrzebuje jego prawdziwego konta. Najczęściej nie jest to hollywoodzki „hakerski atak”, tylko banalne wykorzystanie czyichś błędów. Wektorów wejścia jest kilka, ale najczęstsze to: kliknięcie w fałszywy link do logowania (phishing), ponowne użycie tego samego hasła w wielu serwisach i brak dodatkowego zabezpieczenia (2FA).

Standardowy scenariusz phishingu wygląda tak: ofiara dostaje wiadomość rzekomo od Facebooka/Instagrama (czasem od znajomego już wcześniej zhakowanego) o rzekomym złamaniu regulaminu, blokadzie konta albo konieczności „weryfikacji”. W wiadomości znajduje się link łudząco podobny do prawdziwego adresu serwisu. Po wejściu na stronę ofiara widzi formularz logowania, który z wyglądu praktycznie nie różni się od oryginału. Gdy wpisze login i hasło – przestępca ma już dane i loguje się bezpośrednio na prawdziwym portalu.

Drugi typowy wariant to wykorzystanie wycieków haseł. Jeśli ta sama kombinacja e-mail + hasło była używana w jakimś mniejszym serwisie, który padł ofiarą ataku i baza wyciekła do sieci, przestępcy próbują tych danych masowo w dużych platformach (Facebook, Google, Instagram). Jeśli trafiają – mają gotowe konto do nadużyć. Ofiara może nawet nie kojarzyć, że „kiepskie forum sprzed lat” ma dziś wpływ na bezpieczeństwo jej Messengera.

Po wejściu do przejętego konta złodziej często od razu zmienia adres e‑mail lub numer telefonu przypisany do profilu, żeby utrudnić odzyskanie dostępu. Zdarza się, że wylogowuje aktywne sesje, usuwa część wiadomości lub ustawień bezpieczeństwa. Nie zawsze robi to agresywnie – czasem zależy mu, żeby prawdziwy właściciel jak najdłużej się nie zorientował. Taki „cichy” dostęp pozwala spokojnie pisać do kolejnych osób z listy znajomych.

W bardziej prymitywnych przypadkach przestępcy korzystają z fizycznego dostępu do sprzętu: pozostawiony odblokowany telefon na imprezie, otwarta sesja na cudzym komputerze, wspólny rodzinny laptop z zapisanymi hasłami. Dla osoby, która ma już w ręku zalogowaną przeglądarkę z dostępem do Messengera, podszycie się pod właściciela jest kwestią kilku kliknięć.

Etap 2 – nawiązanie kontaktu i budowanie presji

Kiedy przestępca ma już przejęte konto, przechodzi do kontaktu ze znajomymi ofiary. Schemat rozmowy prawie zawsze jest podobny, bo opiera się na kilku prostych zasadach psychologii. Najpierw pojawia się neutralne, krótkie pytanie typu „hej”, „jesteś?”, „masz chwilę?”. Celem jest rozpoczęcie dialogu bez wzbudzania podejrzeń. Ludzie rzadko analizują styl takiej pierwszej wiadomości, szczególnie jeśli wcześniej zdarzało im się wymieniać z daną osobą podobne, zwykłe komunikaty.

Kolejny krok to przedstawienie nagłej, emocjonalnej sytuacji. Przykładowe komunikaty: „Słuchaj, mam mega problem”, „Możesz mi pomóc? Wstyd się przyznać, ale nie działa mi bankowość”, „Muszę pilnie zapłacić kurierowi / za lekarza / za hotel, a zablokowali mi kartę”. Motyw jest zawsze ten sam: problem finansowy, który trzeba rozwiązać natychmiast, najlepiej w kilka minut. Jeśli rozmówca ma wątpliwości, oszust dorzuca argumenty: „Zaraz mi to przepadnie”, „Będzie kara”, „To naprawdę pilne”.

Kluczowe jest wykorzystanie wszystkiego, co widać w profilu ofiary lub w poprzednich rozmowach. Jeżeli z postów wynika, że ma dzieci – historia może brzmieć: „Młody zachorował, siedzę na SOR, karta nie działa”. Jeżeli z profilu wynika praca w konkretnej branży – oszust może dopasować opowieść do realiów: „Stoję z klientem, muszę opłacić dostęp do narzędzia, a nie mogę się zalogować do banku”. Takie szczegóły sprawiają, że prośba wydaje się bardzo „życiowa” i prawdopodobna.

Presja czasu to podstawowa broń. Gdy rozmówca proponuje, że zadzwoni – przestępca często odpowiada: „Nie mogę gadać, jestem na spotkaniu”, „Nie mam głosu”, „Siedzę w tramwaju, nie mogę mówić”. Zdarza się nawet zasłanianie brakiem zasięgu czy „padniętą baterią”, mimo że rozmowa na komunikatorze toczy się normalnie. Celem jest, by ofiara nie miała chwili na chłodne przemyślenie – bo wtedy prawdopodobieństwo odmowy rośnie wykładniczo.

Etap 3 – wyłudzenie kodu BLIK i potwierdzenia w aplikacji

Gdy emocjonalna otoczka jest już gotowa, pada sedno: prośba o pieniądze. Złodziej może zaproponować różne warianty, zależnie od tego, co jest dla niego najprostsze i co wydaje się naturalne dla potencjalnej ofiary. Najpopularniejszy jest oczywiście kod BLIK: „Wyślij mi proszę kod BLIK, ja od razu oddam, jak tylko ogarnę bank”. Innym wariantem jest prośba o bezpośredni przelew na wskazany rachunek – zazwyczaj opisany jako „konto siostry”, „konto firmy kolegi” itd.

W przypadku kodu BLIK przestępca równolegle loguje się do swojego (lub przejętego) konta w banku i przygotowuje transakcję. To, w jaki sposób wykorzysta kod, zależy od jego możliwości i konfiguracji systemu bankowego. Najczęściej scenariusze są trzy:

• wypłata gotówki z bankomatu przy użyciu BLIK,
• płatność BLIK w sklepie internetowym lub stacjonarnym,
• przelew na rachunek techniczny (np. szybka usługa płatności, z której środki są natychmiast wysyłane dalej).

W każdym z tych przypadków, po wpisaniu przez złodzieja kodu, na telefonie ofiary pojawia się prośba o potwierdzenie transakcji w aplikacji banku. I to jest moment, w którym wiele osób wciąż popełnia ten sam błąd: nie czyta, co faktycznie zatwierdza, tylko automatycznie klika „potwierdź”, zakładając, że „przecież to dla Kasi/Tomka”. Tymczasem opis transakcji najczęściej jasno wskazuje: „wypłata z bankomatu”, „płatność w sklepie XYZ”, „przelew na rachunek (…)”, a nie „pomoc znajomemu”.

Niektóre banki dodają przy BLIK-u ostrzeżenia typu: „Nie podawaj kodu osobom trzecim, nawet jeśli proszą cię znajomi”, ale przy intensywnej presji i przekonaniu, że wiadomość faktycznie wysłał ktoś bliski, takie komunikaty bywają ignorowane. W wersjach bardziej zaawansowanych przestępca może nawet poprosić o kilka kodów z rzędu, tłumacząc to limitami kwotowymi lub „błędem systemu”.

Przy przelewach bankowych mechanizm jest podobny, tylko technicznie prostszy dla ofiary. Otrzymuje ona numer konta do przelewu (często wklejony w formie tekstu), wpisuje go ręcznie w swojej bankowości i autoryzuje operację. Złodziej nie potrzebuje wtedy BLIK-a, ale musi liczyć na to, że ofiara „przełknie” wysyłanie pieniędzy na obcy rachunek – dlatego tak często używa wytłumaczeń typu „pożycz mi na konto żony/męża, moje jest zablokowane”.

Etap 4 – wyprowadzenie pieniędzy i zacieranie śladów

Kiedy przestępca ma już potwierdzoną transakcję, jego celem jest jak najszybsze wyprowadzenie pieniędzy w sposób, który utrudni ich odzyskanie. Przy wypłacie z bankomatu sprawa jest prosta – gotówka znika fizycznie i jej dalszy los jest praktycznie nie do odtworzenia. Przy przelewach BLIK i zwykłych przelewach często w grę wchodzi sieć tak zwanych słupów, czyli osób, które za niewielką prowizję udostępniają swoje rachunki bankowe do „przepuszczania” pieniędzy.

Typowy schemat wygląda tak: środki z BLIK-a trafiają na rachunek pośrednika, z którego natychmiast idą dalej – na kolejne konto, do kantoru kryptowalut, na portfel kryptowalutowy lub do innej usługi pozwalającej szybko „rozmyć” pochodzenie pieniędzy. Każda kolejna warstwa pośredników utrudnia śledczym drogę środków, a dla banku oznacza, że transakcje wydają się zwykłymi przelewami między klientami.

Równolegle oszust dba o zatarcie śladów w komunikatorze. Często po udanym wyłudzeniu usuwa całą rozmowę, a następnie blokuje ofiarę. Dzięki temu, gdy prawdziwy właściciel konta odzyska do niego dostęp, może nie od razu zauważyć, że z jego profilu pisano do kogokolwiek o pieniądze. Zdarza się, że przestępcy działają „seryjnie”: po wyłudzeniu środków od jednej osoby od razu piszą do kolejnej z listy znajomych, ponownie opowiadając historię o pilnej potrzebie.

Scenariusz często kończy się dopiero wtedy, gdy któraś z osób zorientuje się, że coś jest nie tak i kontaktuje się ze znajomym innym kanałem – dzwoni, pisze SMS-a, pyta na innym komunikatorze. Wiele osób dowiaduje się o przejęciu swojego konta dopiero od kogoś, kto dostał podejrzaną prośbę o BLIK lub przelew. Do tego czasu szkody mogą być już duże i rozsiane po kilku osobach.

Jak oszust zdobywa dostęp do twoich kont: najczęstsze wektory ataku

Żeby skutecznie bronić się przed oszustwem na BLIK, trzeba zrozumieć, że kluczowym elementem nie jest sam BLIK ani bank, tylko dostęp przestępcy do twoich kont komunikacyjnych. Tam zdobywa zaufanie twoich znajomych. Tam ma wgląd w twoje relacje. I tam uruchamia całą socjotechniczną machinę.

Phishing i fałszywe strony logowania

Najstarszy, ale wciąż niezwykle skuteczny wektor to klasyczny phishing. Mechanizm jest prosty: ktoś podszywa się pod znaną markę (Facebook, Instagram, WhatsApp, Google), a następnie podsuwa ci fałszywą stronę logowania. Adres URL różni się od prawdziwego o jedną literę, dodany znak, inną domenę najwyższego poziomu (np. .com zamiast .pl). Interfejs wygląda identycznie, logo to samo, niekiedy nawet certyfikat HTTPS jest prawidłowy – przeglądarka pokazuje „kłódkę”, więc wielu użytkowników czuje się bezpiecznie.

Phishing może przyjść różnymi kanałami:

• e-mail z informacją o „blokadzie konta” lub „naruszeniu regulaminu”,
• SMS z linkiem do „weryfikacji” profilu,
• wiadomość w komunikatorze od znajomego, którego konto już wcześniej przejęto,
• reklama lub wynik wyszukiwania w przeglądarce podszywający się pod oficjalną stronę logowania.

Przejęte sesje i logowanie „na klik”

Coraz częściej przestępcy nie potrzebują twojego hasła wprost. Wykorzystują przejęte sesje – czyli sytuację, w której ktoś jest już zalogowany do serwisu, a dane tej sesji (cookies, tokeny) da się wyciągnąć i wykorzystać na innym urządzeniu. Stosują do tego złośliwe rozszerzenia przeglądarek, trojany, a czasem aplikacje podszywające się pod „akceleratory gier” czy „darmowe VPN-y”.

Drugi, prostszy wariant to logowanie „na klik”: użytkownik jest proszony o „zalogowanie przez Facebooka/Google/Apple” na podejrzanej stronie. Gdy klika przycisk, otwiera się prawdziwe okno logowania, więc cały proces sprawia wrażenie bezpiecznego. Problem w tym, że strona pośrednicząca przechwytuje token uwierzytelniający, który później można wykorzystać do dostępu bez znajomości hasła. Dla laika wszystko wygląda „jak zawsze”, a mimo to konto nagle zaczyna wysyłać prośby o BLIK do znajomych.

Z punktu widzenia ofiary objawem bywa nagłe wylogowanie z jednego z urządzeń lub pojawienie się w historii logowań nowej lokalizacji. Nie zawsze oznacza to atak – VPN potrafi wyglądać tak samo podejrzanie jak haker z innego kraju – ale taką zmianę lepiej zweryfikować niż ją zignorować.

Słabe hasła, recykling i brak 2FA

Nudny, ale wciąż zabójczo skuteczny klasyk to proste, powtarzane hasła bez dodatkowego uwierzytelnienia. Atakujący opierają się na kilku faktach: większość ludzi używa jednego hasła (lub jego wariacji) w wielu serwisach, a bazy wycieków haseł krążą po sieci od lat. Jeśli gdzieś kiedyś „spadło” twoje hasło, istnieje spora szansa, że ktoś spróbuje je wykorzystać w innym miejscu.

Typowe scenariusze to:

• logowanie „z marszu” na hasła z poprzednich wycieków (tzw. credential stuffing),
• zgadywanie haseł w stylu „Imię123”, „Miasto2023!”, „NazwaFirmy1”,
• wykorzystanie podobnych haseł – jeżeli w jednym serwisie używasz „MojeHaslo2022!”, ktoś może sprawdzić „MojeHaslo2023!” w innym.

Problem komplikują serwisy, które wciąż nie wymuszają dwuskładnikowego uwierzytelniania (2FA). Bez drugiego składnika (np. kodu SMS, powiadomienia w aplikacji czy klucza sprzętowego) każde odgadnięte hasło równa się pełnemu dostępowi. A gdy przestępca przejmie jedno konto – np. maila – często uzyskuje możliwość resetowania haseł w innych miejscach, budując sobie „łańcuch” wejść aż do komunikatora, z którego pójdą prośby o BLIK.

Malware w aplikacjach i „narzędziach do wszystkiego”

Inny wektor to złośliwe oprogramowanie udające legalne aplikacje. Na komputerach będzie to zwykle „darmowy edytor PDF”, „aktywator licencji”, „gra z crackiem”. Na smartfonach – „aplikacja do oszczędzania baterii”, „klient do oglądania filmów za darmo”, „darmowy VPN bez limitu” czy „monitorowanie telefonu dziecka”.

Takie programy często wymagają bardzo szerokich uprawnień: dostępu do SMS-ów, powiadomień, odczytu ekranu, nakładania się na inne aplikacje. Dla osoby nietechnicznej opisy uprawnień brzmią abstrakcyjnie, więc zgadza się na wszystko, byle aplikacja „zadziałała”. W praktyce przestępca może potem:

• odczytywać kody SMS wykorzystywane do logowania,
• podglądać ekran podczas wprowadzania haseł lub kodów BLIK,
• wyświetlać fałszywe okienka logowania „nad” prawdziwą aplikacją banku.

Nie każdy podejrzany program od razu wyciąga wszystkie dane – niektórzy atakujący wolą je „uśpić” i uruchamiać tylko w określonych sytuacjach, na przykład gdy użytkownik faktycznie wchodzi do bankowości. Dla ofiary wszystko wygląda standardowo, a mimo to kody BLIK i potwierdzenia transakcji lądują w rękach kogoś trzeciego.

Przejęta poczta jako centrum dowodzenia

Dla wielu serwisów mail to centralny klucz resetowania haseł. Jeśli ktoś wejdzie na twoje konto e-mail, może:

• wywołać procedurę „nie pamiętam hasła” w komunikatorze czy mediach społecznościowych,
• potwierdzać zmiany haseł i ustawień zabezpieczeń,
• usuwać przy tym ślady – kasować wysłane i odebrane wiadomości.

Dlatego przejęta skrzynka pocztowa często jest pierwszym krokiem do ataku „na znajomych”. Zdarzają się sytuacje, w których ktoś ma bardzo dobrze zabezpieczony komunikator, ale zupełnie „gołą” pocztę z prostym hasłem sprzed lat i bez 2FA. Z perspektywy atakującego wystarczy wtedy jedno słabsze ogniwo, nie musi forsować wszystkich zabezpieczeń naraz.

Czerwone flagi w rozmowie: jak rozpoznać, że „znajomy” to oszust

Najtrudniej wykryć atak, gdy wiadomość przychodzi od osoby, którą naprawdę znamy – ze zdjęciem, historią rozmów, wspólnymi grupami. Tym bardziej przydają się konkretne sygnały ostrzegawcze, które każą zwolnić i zastanowić się, z kim tak naprawdę się pisze.

Nienaturalna presja czasu i unikanie rozmowy głosowej

Przestępcy konsekwentnie budują presję czasu. Pieniądze „muszą być wysłane teraz”, „za 10 minut będzie za późno”, „kurier nie zaczeka”. Okazjonalna prośba znajomego o drobną pożyczkę zwykle wygląda inaczej: ktoś pisze wcześniej, umawia się, tłumaczy sytuację bez histerii. Gdy każde zdanie sprowadza się do „szybko, bo inaczej będzie dramat”, warto się zatrzymać.

Charakterystyczne jest też unikanie jakiegokolwiek kontaktu głosowego. Jeżeli rozmówca natychmiast szuka wymówek typu: „nie mogę gadać”, „rozładowuje mi się telefon”, „mam rozwalony mikrofon”, „jestem na spotkaniu i nie mogę odebrać” – i to wszystko przy jednoczesnym intensywnym pisaniu – to sygnał, że coś się nie klei. Owszem, zdarzają się realne sytuacje, gdy ktoś faktycznie nie może zadzwonić, ale przy poważnej prośbie o pieniądze odmowa krótkiej rozmowy powinna zapalić lampkę ostrzegawczą.

Zmiana stylu pisania i dziwne sformułowania

Nikt nie pisze cały czas identycznie, ale styl wypowiedzi to mocny trop. Kilka elementów, na które dobrze zwrócić uwagę:

• nagła zmiana form grzecznościowych – ktoś, kto zwykle pisze „ej, stary”, zaczyna używać „Szanowna”, „proszę cię bardzo”,
• nietypowa interpunkcja i składnia, błędy charakterystyczne dla tłumaczenia automatycznego,
• zbyt oficjalny lub przeciwnie – nagle bardzo „slangowy” język u osoby, która dotąd pisała neutralnie,
• brak nawiązań do wspólnych tematów, mimo że wcześniej regularnie się pojawiały.

Oszust, który przejął konto, rzadko ma czas na analizę całej historii rozmów. Często opiera się na ostatnich kilku wiadomościach lub na publicznych postach, więc rozmowa staje się „płaska” i skupiona tylko na jednym celu: doprowadzeniu jak najszybciej do przelewu lub wysłania kodu BLIK.

Natychmiastowe przejście do pieniędzy

Znajomi zwykle piszą: „co tam?”, „jak leci?”, nawiązują do wcześniejszych tematów albo przynajmniej minimalnie „rozgrzewają” rozmowę. Ataki na BLIK często zaczynają się od bezpośredniej prośby o pomoc finansową albo bardzo krótkiego wstępu i szybko przechodzą do sedna:

• „Hej, możesz mi coś opłacić na BLIK?”
• „Pożyczysz 500? Oddam dzisiaj wieczorem, nie mogę wejść do banku”.

Samo w sobie nie dowodzi oszustwa – nagłe sytuacje się zdarzają – ale jeżeli druga strona nie chce rozmawiać o szczegółach, a każde pytanie kwituje: „nie mam czasu, zaufaj mi, po prostu wyślij”, to bezpieczniej założyć najgorszy wariant, dopóki nie zweryfikujesz tej prośby innym kanałem.

Nieproporcjonalna kwota i brak elastyczności

Gdy ktoś naprawdę ma problem, często jest skłonny negocjować kwotę: „Jeśli nie możesz 500, to daj chociaż 100, dobiję resztę”. Atakujący z reguły stawia sztywną kwotę, która jest dla niego optymalna (na tyle wysoka, by się opłacało, ale nie tak duża, by ofiara natychmiast odmówiła). Gdy próbujesz zaproponować mniej, pojawia się nacisk: „To mi nic nie da”, „Muszę mieć dokładnie tyle”.

Drugim sygnałem jest brak chęci do innych form pomocy. Gdy proponujesz: „Mogę zapłacić bezpośrednio fakturę/kupować kod doładowujący/opłacić usługę ze swojego konta”, a odpowiedzią jest upór: „Nie, musi być BLIK”, „Nie, po prostu przelej na to konto” – zwiększa się prawdopodobieństwo, że nie rozmawiasz z prawdziwym znajomym.

Brak cierpliwości i nerwowe reakcje na pytania

Drobne pytania kontrolne sporo ujawniają. Propozycje typu: „Zadzwoń do mnie teraz na chwilę”, „Napisz mi ostatnie cztery cyfry mojego numeru, bo nie pamiętam” czy „Przypomnij, kiedy ostatnio się widzieliśmy” często wytrącają przestępcę z rytmu. Naturalną reakcją prawdziwej osoby byłoby krótkie wyjaśnienie czy żart, u oszusta zaś przeważają odpowiedzi agresywne lub uciekające:

• „Co ty, nie ufasz mi?”
• „Nie mam czasu na głupie pytania, chcesz pomóc czy nie?”
• „Serio teraz będziesz robić przesłuchanie?”

Same w sobie takie wypowiedzi nie są dowodem, ale w połączeniu z innymi czerwonymi flagami tworzą wyraźny obraz sytuacji, w której lepiej zaryzykować „obrażenie” znajomego niż stracić pieniądze.

„Dziwne” linki w rozmowie przed prośbą o BLIK

W niektórych kampaniach scenariusz jest dwuetapowy. Najpierw przychodzi link – rzekomo do filmu, zdjęć z imprezy, promocji lub „głosowania w konkursie”. Dopiero po kliknięciu i zalogowaniu (zwykle na fałszywej stronie) zaczyna się prawdziwy atak z prośbą o BLIK. Charakterystyczne są:

• bardzo krótkie wiadomości bez kontekstu, np. „Zobacz to 😂” z samym linkiem,
• domeny wyglądające na przypadkowe, z dziwnymi ciągami znaków,
• prośby o zalogowanie się, mimo że to tylko „filmik” lub „zdjęcia”.

Osoba, której konto już przejęto, często nie wie, że coś takiego wyszło z jej profilu. To częściowo tłumaczy, dlaczego po zapytaniu „czy na pewno to ty?” potrafi odpowiedzieć zdziwieniem – ona też jest ofiarą.

Bezpieczne korzystanie z BLIK-a: ustawienia w banku, limity, nawyki

Sam BLIK nie jest „z natury” niebezpieczniejszy niż karta czy zwykły przelew. Problemy zaczynają się tam, gdzie bankowość jest skonfigurowana według domyślnych, wygodnych ustawień, a użytkownik klika zatwierdzenia bez czytania. Kilka zmian w ustawieniach oraz kilka nawyków potrafi ograniczyć ryzyko i przede wszystkim zmniejszyć skalę potencjalnych szkód.

Limity transakcji BLIK i przelewów – świadome ustawienie

W większości banków można samodzielnie ustawić lub obniżyć:

• limit pojedynczej wypłaty BLIK,
• łączny dzienny limit transakcji BLIK,
• limity przelewów natychmiastowych i zwykłych,
• oddzielne limity dla transakcji bezgotówkowych i gotówkowych.

Domyślne wartości bywają wysokie, bo banki zakładają, że „może się przydać”. Tymczasem z perspektywy bezpieczeństwa często rozsądniej ustawić limity na poziomie odpowiadającym realnym potrzebom. Jeżeli typowo wypłacasz z bankomatu 200–300 zł, limit 2000 zł nie ma większego uzasadnienia. W razie potrzeby zwykle można go doraźnie podnieść, a potem obniżyć z powrotem.

To nie chroni w stu procentach przed wyłudzeniem – ale jeśli dojdzie do oszustwa, ogranicza stratę do kwoty, którą jesteś gotów „zaryzykować” w danym dniu. Dla przestępcy mniejszy limit często oznacza, że atak staje się mniej opłacalny i poszuka łatwiejszego celu.

Powiadomienia push, SMS i e-mail – lepiej mieć za dużo niż za mało

Większość aplikacji bankowych oferuje powiadomienia o transakcjach. Użytkownicy często wyłączają je jako „zbyt spamujące”. To zrozumiałe, ale ma też cenę: gdy nie widzisz na bieżąco, co dzieje się na rachunku, łatwiej przeoczyć nieautoryzowaną operację.

Bezpieczniejszy model to:

• powiadomienia push o każdej transakcji wychodzącej (przelew, BLIK, płatność kartą online),

Oddzielne konto do codziennych płatności

Jednym z prostszych sposobów ograniczania skutków ewentualnego włamania jest „portfel roboczy”, czyli drugie konto, z którego korzystasz na co dzień, a na głównym trzymasz oszczędności. W praktyce wygląda to tak:

• na koncie głównym trzymasz większe środki i masz podniesione limity tylko wtedy, gdy naprawdę potrzebujesz,
• na koncie bieżącym utrzymujesz kwotę, którą realnie wydajesz w ciągu kilku dni,
• BLIK, karta i szybkie przelewy przypisane są głównie do konta „roboczego”.

Jeśli dojdzie do przejęcia telefonu czy wyłudzenia kodu BLIK, napastnik ma dostęp tylko do części pieniędzy, a nie do wszystkich środków życiowych. Nie jest to rozwiązanie idealne – wymaga pewnej dyscypliny – ale ogranicza konsekwencje typowych oszustw „na znajomego”.

Dodatkowe zabezpieczenia aplikacji bankowej

Sama blokada ekranu telefonu to za mało. Warto wykorzystać to, co dają aplikacje bankowe, nawet jeśli oznacza to odrobinę mniej wygody:

• biometria + PIN – odcisk palca lub rozpoznawanie twarzy zamiast samego „przesunięcia palcem” po ekranie,
• blokada dostępu po kilku nieudanych próbach – część banków pozwala włączyć dodatkowe ostrzejsze reguły,
• brak podglądu treści powiadomień na zablokowanym ekranie – utrudnia to podpatrzenie kodów czy fragmentów SMS.

Narzędzia te nie zatrzymają ataku, gdy sam wpiszesz kod BLIK oszustowi, ale zmniejszają ryzyko w scenariuszu utraty telefonu albo nieautoryzowanego użycia urządzenia przez osoby z otoczenia.

Zdrowy rytuał: sekunda na przeczytanie komunikatu

Większość udanych wyłudzeń ma wspólny mianownik: bezrefleksyjne klikanie „Akceptuj”. W oknie autoryzacyjnym niemal zawsze widać:

• kwotę transakcji,
• rodzaj operacji (wypłata BLIK, przelew, płatność w sklepie),
• często także nazwę odbiorcy lub skrót nazwy sklepu.

Prosty nawyk – zatrzymać się na 2–3 sekundy i świadomie przeczytać, co się zatwierdza – wychwytuje wiele ataków. Jeśli rachunek miał być na 120 zł, a w powiadomieniu pojawia się 1200 zł lub nieznana nazwa odbiorcy, to sygnał, że trzeba przerwać. Bez tego kroku nawet najlepiej ustawione limity niewiele dadzą.

Bezpieczne udostępnianie ekranu i zdalna pomoc „informatyczna”

Oszustwa na BLIK coraz częściej łączą się z podszywaniem pod „pomoc techniczną”: banku, kuriera, operatora. Schemat bywa podobny – rozmówca prosi, by:

• zainstalować aplikację do zdalnego pulpitu (np. AnyDesk, TeamViewer, „narzędzie banku”),
• „na chwilę pokazać ekran” telefonu lub komputera.

W trakcie takiej „pomocy” przestępca może podejrzeć SMS-y, kody BLIK, a czasem nawet samodzielnie wykonać transakcję, korzystając z twojego urządzenia. Kilka prostych zasad zmniejsza ryzyko:

• nie instalować aplikacji zdalnego pulpitu na prośbę kogokolwiek, kto sam się odezwał – niezależnie od tego, za kogo się podaje,
• nie logować się do banku podczas udostępniania ekranu (np. realnej rodzinie),
• wyłączyć powiadomienia na ekranie, jeśli koniecznie trzeba coś pokazać zdalnie.

Jeśli bank faktycznie proponuje zdalne wsparcie, numer i procedurę można samodzielnie sprawdzić na oficjalnej stronie, a nie w linku z czatu czy SMS.

Reakcja na podejrzaną prośbę o BLIK – konkretne kroki

W momencie, gdy rozmowa zaczyna wyglądać podejrzanie, ważna jest kolejność działań. Chaotyczne klikanie w panice często tylko pogarsza sytuację. Sprawdza się prosty schemat:

1. Przerwanie rozmowy tekstowej – bez tłumaczeń, bez „dalszych negocjacji”. Oszust często liczy, że jeszcze coś ugra.
2. Próba kontaktu innym kanałem – telefon, SMS, mail, kontakt przez inną aplikację. Jeśli osoba jest offline, można też zapytać kogoś z rodziny, czy wszystko z nią w porządku.
3. Zgłoszenie przejętego konta – jeśli podejrzenie dotyczy komunikatora lub portalu społecznościowego, warto powiadomić platformę i kilku wspólnych znajomych, by nie wpadli w tę samą pułapkę.

Takie zachowanie może uratować nie tylko twoje pieniądze, lecz także środki innych osób, do których oszust dopiero planuje napisać z przejętego konta.

Co zrobić, gdy jednak wysłałeś kod BLIK oszustowi

Błędy się zdarzają nawet ostrożnym osobom, szczególnie w sytuacji stresowej. Kluczowe jest to, co dzieje się w pierwszych minutach po zorientowaniu się, że coś jest nie tak:

• natychmiast zadzwoń na infolinię banku – numer alarmowy znajdziesz w aplikacji, na karcie płatniczej lub na stronie banku; im szybciej zablokujesz dostęp, tym lepiej,
• zablokuj BLIK i – w razie potrzeby – całą aplikację; często da się to zrobić samodzielnie w panelu internetowym,
• sprawdź historię operacji – nie tylko BLIK, ale też przelewy i płatności kartą; przestępcy nierzadko wykonują kilka transakcji „ciurkiem”,
• złóż reklamację w banku – nawet jeśli czujesz się winny, bo sam podałeś kod, instytucja ma obowiązek przeanalizować sytuację,
• zgłoś sprawę na policję – szczególnie, jeśli kwota nie jest symboliczna; potwierdzenie zgłoszenia bywa też wymagane przez bank.

Przy rozmowie z bankiem opłaca się trzymać faktów: kiedy dokładnie podałeś kod, w jakich okolicznościach, jakie komunikaty widziałeś. Im mniej emocji, tym łatwiej specjalistom ocenić, czy i w jakim zakresie da się cofnąć transakcję.

Ostrożne korzystanie z BLIK-a w sklepach internetowych i ogłoszeniach

Podszywanie się pod znajomych to tylko jedna strona medalu. BLIK jest też chętnie wykorzystywany w oszustwach na portalach z ogłoszeniami, gdzie sprzedający lub kupujący proponują „łatwą płatność BLIK” poza oficjalnymi systemami płatności serwisu. Najczęstsze schematy to:

• „kurier z linku” – fałszywy formularz, który rzekomo „zleca odbiór paczki”, a w praktyce wyłudza dane logowania lub kody,
• „potwierdzenie płatności” – ktoś prosi o podanie kodu BLIK, żeby „odhaczyć transakcję” w systemie, choć platforma sprzedażowa sama nie wymaga takiego kroku,
• „przelew zwrotny na BLIK” – oferta „nadpłaty” i prośba o odesłanie części pieniędzy BLIK-iem.

Bezpieczniejsza praktyka to trzymanie się oficjalnych metod płatności danego serwisu oraz zasady, że kod BLIK nigdy nie służy do „odbierania” pieniędzy. Jeśli ktoś twierdzi, że „musisz podać kod, żeby on mógł ci wysłać przelew”, to prawie na pewno próbuję coś wyłudzić.

Edukacja domowników i „łańcuch bezpieczeństwa”

Najsłabszym ogniwem rzadko bywa technologia. Znacznie częściej jest nim ktoś z rodziny, kto nie śledzi na bieżąco ostrzeżeń o nowych metodach oszustw. W praktyce dobrze działa prosta umowa domowa:

• ustalony „kod bezpieczeństwa” – jedno konkretne słowo lub zdanie, które każdy z domowników może podać w razie wątpliwości (nie chodzi o hasło do banku, tylko coś, czego nie ma w sieci, np. przezwisko psa z dzieciństwa),
• zasada, że przy każdej większej kwocie trzeba zadzwonić, jeśli prośba przychodzi mailem lub komunikatorem,
• nawyk dzielenia się informacją o podejrzanych wiadomościach – lepiej raz na jakiś czas „podnieść fałszywy alarm” niż przemilczeć realne włamanie.

Typowy scenariusz z życia: rodzic, który nie używa na co dzień komunikatorów, nagle dostaje wiadomość „od syna” z nowego numeru. Jeśli rodzina ma wcześniej omówione zasady, jeden telefon weryfikacyjny zwykle wystarcza, by zatrzymać oszustwo, zanim dojdzie do jakiejkolwiek transakcji.

Świadome korzystanie z mediów społecznościowych

Oszust, który chce się pod ciebie podszyć lub wyłudzić pieniądze od twoich znajomych, często najpierw zbiera informacje z twoich publicznych profili. Im więcej szczegółów udostępniasz, tym łatwiej jest zbudować wiarygodną, „spersonalizowaną” historię. Kilka prostych modyfikacji ustawień prywatności znacząco utrudnia zadanie przestępcom:

• ograniczenie widoczności listy znajomych tylko do siebie lub do wąskiego grona,
• brak publicznego dostępu do aktualnego numeru telefonu i adresu e-mail,
• ostrożne publikowanie informacji typu: „jestem za granicą”, „wszyscy wyjechaliśmy na tydzień” – to ułatwia ataki na BLIK i włamania fizyczne.

Trzeba też pamiętać, że przejęte konto potrafi wyglądać zupełnie normalnie. Fakt, że widać wspólne zdjęcia sprzed lat, nie oznacza jeszcze, że wiadomość „pożycz 800 na szybko” pochodzi od tej samej osoby, którą pamiętasz z tych zdjęć.

Najczęściej zadawane pytania (FAQ)

Na czym dokładnie polega oszustwo na BLIK „na znajomego”?

Oszust podszywa się pod twojego znajomego na Messengerze, WhatsAppie, Instagramie czy innym komunikatorze. Najpierw przejmuje prawdziwe konto tej osoby (np. przez phishing lub wyciek hasła), a potem pisze do jej kontaktów z prośbą o pilną pomoc finansową.

Prosi o kod BLIK albo przelew „na szybko”, tłumacząc to nagłą sytuacją: choroba, problem z bankowością, blokada karty. Ty sam wpisujesz kod w aplikacji banku i sam zatwierdzasz transakcję – system traktuje to jak zwykłą, zleconą przez ciebie operację. To nie jest „włamanie do banku”, tylko wyłudzenie twojej autoryzacji.

Skąd oszuści biorą dostęp do konta mojego znajomego?

Najczęstsze źródła to:

• fałszywe strony logowania (phishing), np. „ostrzeżenie z Facebooka” z linkiem do podszytej domeny,
• ponowne użycie tego samego hasła w wielu serwisach i jego wyciek z jednego z nich,
• brak dodatkowego zabezpieczenia konta (brak 2FA),
• pozostawiony zalogowany komunikator na cudzym komputerze lub odblokowanym telefonie.

Zwykle nie ma tu „magicznym hakerów”, tylko wykorzystanie powtarzalnych, ludzkich błędów. Regułą jest to, że przestępca najpierw przejmuje konto społecznościowe, a dopiero potem atakuje znajomych tej osoby.

Jak rozpoznać, że prośba o BLIK od „znajomego” może być oszustwem?

Nie ma jednego stuprocentowego znaku, ale kilka sygnałów często pojawia się razem:

• nagła, emocjonalna prośba o pieniądze, najlepiej „na już” i „tylko na chwilę”,
• odmowa rozmowy telefonicznej („nie mogę gadać, jestem na spotkaniu”, „padł mi głos”),
• presja czasu: groźba kary, utraty rezerwacji, „kurier czeka pod drzwiami”,
• prośba o wysłanie kodu BLIK lub przelew na „konto siostry/kolegi” zamiast normalnego numeru konta tej osoby.

Jeśli styl pisania „znajomego” nagle się zmienia, pojawiają się dziwne błędy, a temat rozmowy od razu schodzi na pieniądze – to mocny sygnał, żeby się zatrzymać i zweryfikować, z kim naprawdę rozmawiasz.

Jak się zabezpieczyć przed oszustwem na BLIK „na znajomego”?

Kluczowe jest zabezpieczenie kont społecznościowych i nawyk sprawdzania transakcji. W praktyce oznacza to przede wszystkim:

• mocne, unikalne hasło do każdego serwisu (żadnego „to samo hasło wszędzie”),
• włączenie dwuskładnikowego uwierzytelniania (2FA) na Facebooku, Instagramie, Google itp.,
• nieklikanie w linki z „pilnymi” prośbami o zalogowanie się czy weryfikację konta,
• blokowanie telefonu i niepozostawianie zalogowanych sesji na cudzych urządzeniach.

Druga warstwa to zachowanie przy płatnościach: dokładne czytanie ekranu potwierdzenia w aplikacji bankowej (kwota, typ operacji, miejsce płatności) oraz zasada żelazna – przed wysłaniem pieniędzy znajomemu zawsze skontaktuj się z nim innym kanałem (telefon, SMS) i upewnij, że faktycznie o to prosi.

Czy BLIK jest bezpieczny, skoro tyle osób pada ofiarą takiego oszustwa?

Sam system BLIK, technicznie, w typowym scenariuszu działa poprawnie. Transakcja jest realizowana dopiero po tym, jak użytkownik sam wpisze kod w aplikacji banku i potwierdzi operację. Problemem nie jest więc „dziurawy BLIK”, tylko to, że ktoś przekonuje cię, byś autoryzował transakcję przygotowaną przez przestępcę.

Wyjątkiem są sytuacje, gdy dodatkowo dochodzi np. zainfekowane urządzenie lub inne formy zdalnego przejęcia kontroli – to jednak zupełnie inna kategoria ataków. W większości przypadków przy oszustwie „na znajomego” to socjotechnika, a nie luka techniczna, jest główną przyczyną utraty pieniędzy.

Co zrobić, jeśli wysłałem kod BLIK oszustowi i zatwierdziłem transakcję?

Jeśli pieniądze już wyszły z konta, nie ma prostego „anuluj”. Im szybciej zareagujesz, tym większa szansa na ograniczenie strat. Minimalny plan działania to:

• natychmiastowy kontakt z bankiem (infolinia, aplikacja, oddział) i zgłoszenie nieautoryzowanej/wyłudzonej transakcji,
• zablokowanie dostępu do bankowości, jeśli istnieje podejrzenie, że ktoś ma też twoje dane logowania,
• zgłoszenie sprawy na policję, zbierając jak najwięcej dowodów (zrzuty ekranu rozmowy, SMS-y z banku).

Równolegle poinformuj znajomego, pod którego się podszywano, oraz osoby z waszych wspólnych kontaktów – tak, aby przerwać łańcuch kolejnych wyłudzeń. Bank i organy ścigania nie zawsze odzyskają środki, ale bez oficjalnego zgłoszenia twoje szanse są bliskie zera.

Czy bank odda mi pieniądze po oszustwie na BLIK?

To zależy od konkretnej sytuacji i oceny banku. Z perspektywy prawa i regulaminów kluczowe jest to, czy transakcja była autoryzowana przez ciebie (czyli: sam zatwierdziłeś ją w aplikacji), oraz czy nie doszło do rażącego niedbalstwa, np. przekazania kodów i potwierdzeń osobie trzeciej bez żadnej weryfikacji.

W typowych oszustwach „na znajomego” bank często uznaje, że system zadziałał prawidłowo, a użytkownik świadomie (choć wprowadzony w błąd) potwierdził operację. Zdarzają się jednak przypadki, w których – po reklamacji i analizie – bank zwraca środki w całości lub części. Bez złożenia formalnej reklamacji i zawiadomienia policji szansa na odzyskanie pieniędzy zwykle spada praktycznie do zera.

Najważniejsze wnioski

• Oszustwo „na BLIK na znajomego” polega głównie na podszyciu się pod realną osobę w komunikatorze lub mediach społecznościowych i skłonieniu ofiary, by sama zatwierdziła przelew lub wypłatę – technicznie system BLIK i bank działają zgodnie z projektem.
• Atak uderza przede wszystkim w zaufanie i pośpiech: widzimy znane imię, zdjęcie i historię rozmów, więc bez dodatkowej weryfikacji zakładamy, że pisze prawdziwy znajomy, zwłaszcza przy historii „nagły problem, pilna płatność”.
• Przejęcie konta znajomego rzadko wynika z „hakowania banku”, a najczęściej z prostych błędów bezpieczeństwa: phishingowych stron logowania, używania tego samego hasła w wielu serwisach i braku dwuskładnikowego uwierzytelniania.
• Po wejściu na cudze konto przestępca często po cichu przejmuje nad nim kontrolę (zmiana e‑maila, telefonu, sesji), tak aby właściciel jak najdłużej się nie zorientował i by można było spokojnie pisać do kolejnych osób z listy kontaktów.
• Scenariusz rozmowy jest schematyczny: krótka, neutralna zaczepka („hej, jesteś?”), potem nagła, emocjonalna historia z presją czasu („zaraz przepadnie rezerwacja, kurier czeka, lekarz wymaga opłaty”), tak by ofiara nie analizowała szczegółów transakcji przed autoryzacją.
• Źródłem dodatkowej wiarygodności są informacje z profilu i wcześniejszych rozmów – oszust może podchwycić temat pracy, dzieci, wakacji czy niedawnych zakupów, przez co prośba o pomoc finansową brzmi „zbyt normalnie”, by ją kwestionować.

Bibliografia

• Oszustwa z wykorzystaniem kodu BLIK – komunikat i zalecenia bezpieczeństwa. Polski Standard Płatności (BLIK) – Opis typowych scenariuszy oszustw BLIK i zaleceń dla użytkowników
• Ostrzeżenia przed oszustwami „na BLIK” i „na znajomego”. Komenda Główna Policji – Charakterystyka modus operandi oszustów i wskazówki prewencyjne
• Cyberbezpieczeństwo – poradnik dla użytkowników bankowości elektronicznej. Związek Banków Polskich – Zasady bezpiecznego korzystania z bankowości i płatności mobilnych
• Rekomendacje dotyczące bezpieczeństwa płatności zdalnych. Narodowy Bank Polski – Zalecenia NBP dla użytkowników i instytucji w zakresie płatności elektronicznych
• Raport o stanie bezpieczeństwa cyberprzestrzeni RP. NASK Państwowy Instytut Badawczy – Statystyki i analiza incydentów, w tym oszustw finansowych online
• Poradnik: Jak bezpiecznie korzystać z mediów społecznościowych. Urząd Ochrony Danych Osobowych – Zagrożenia związane z przejęciem kont i ochroną tożsamości
• Oszustwa internetowe – poradnik dla konsumentów. Urząd Ochrony Konkurencji i Konsumentów – Przegląd najczęstszych schematów oszustw i praw konsumenta
• Bezpieczeństwo w sieci – poradnik dla użytkowników indywidualnych. Ministerstwo Cyfryzacji – Zasady higieny cyfrowej, silne hasła, 2FA, rozpoznawanie phishingu