Na Auraposter widzimy wyraźnie, że pytania o oszustwa w komunikatorach wracają dziś częściej niż zwykłe tematy technologiczne. I trudno się dziwić, bo wiadomość od „znajomego” brzmi swojsko, a zarazem potrafi kosztować setki albo tysiące złotych. Przestępcy najpierw przejmują profil, a potem proszą znajomych o szybką pomoc, kod albo przelew. W polskich realiach to nadal jedna z najczęstszych i najbardziej skutecznych metod.
To jednak tylko część problemu. Dziś oszust używa nie tylko linku, lecz także głosówki, kodu QR, fałszywej dopłaty, a czasem nawet sztucznej inteligencji. Dlatego nie wystarczy „uważać trochę bardziej”. Trzeba wiedzieć, jak wygląda schemat, jak brzmi presja i jak zatrzymać atak, zanim przejdzie z czatu do banku.
Jak dziś wygląda oszustwo w komunikatorach w Polsce
Najczęściej wszystko zaczyna się od czegoś prostego. Ktoś pisze, że potrzebuje kodu BLIK, prosi o szybkie głosowanie, wysyła link do dopłaty albo podaje kod QR do płatności. Wiadomość wygląda zwyczajnie, ale działa tak dobrze właśnie dlatego, że brzmi zwyczajnie. Policja podkreśla, że przy oszustwie „na BLIK” sprawcy przejmują konto i potem kontaktują się ze znajomymi ofiary przez komunikator. Z kolei CERT Polska od lat ostrzega, że wiele ataków prowadzi do fałszywego panelu płatności lub strony udającej bank.
W praktyce chodzi o jedno: oszust chce przejąć pieniądze albo konto. Czasem robi to od razu, a czasem buduje zaufanie i dopiero potem prosi o kod, login, potwierdzenie w aplikacji lub dane karty. I właśnie dlatego te wiadomości są tak groźne, bo nie wyglądają jak klasyczny atak, lecz jak zwykła prośba.
„Oszustwo metodą ‘na BLIK’ polega na włamaniu się i przejęciu konta”.
Aby łatwiej rozpoznać ryzyko, warto najpierw spojrzeć na najczęstsze schematy w jednym miejscu.
| Schemat | Jak działa | Co powinno zapalić lampkę ostrzegawczą | Co zrobić od razu |
|---|---|---|---|
| Na BLIK od znajomego | Przejęte konto prosi o kod i szybką pomoc | Presja czasu, nowy numer konta, dziwny ton | Zadzwoń do tej osoby |
| „Zagłosuj proszę” | Link prowadzi do fałszywego logowania | Prośba o SMS, numer telefonu albo hasło | Nie klikaj, sprawdź adres |
| Fałszywy bank | Oszust podszywa się pod konsultanta | Żąda kodu, CVV albo potwierdzenia operacji | Rozłącz się i zadzwoń do banku samodzielnie |
| Głosówka z AI | Znajomy „brzmi” prawdziwie, ale to oszust | Nietypowa prośba i pilny ton | Oddzwoń i zadaj pytanie kontrolne |
| Quishing | Kod QR kieruje na fałszywą stronę | Nieznany kod, podejrzeczny link po skanie | Sprawdź adres przed płatnością |
| Fałszywa dopłata lub paczka | Link udaje sklep, kuriera albo płatność | Mała kwota, a duża presja | Wejdź na stronę firmy ręcznie |
Ta tabela pokazuje ważną rzecz. Oszust nie wygrywa dlatego, że pisze lepiej. Wygrywa dlatego, że uruchamia pośpiech, a potem odcina ofiarę od chwili namysłu. Dlatego każda skuteczna obrona zaczyna się od jednej reakcji: zatrzymaj się, a potem sprawdzaj.
Oszustwo w Messengerze, WhatsAppie i Telegramie nadal zbiera żniwo
W Polsce ten mechanizm wraca wyjątkowo często, bo BLIK jest szybki, wygodny i codzienny. A skoro ludzie korzystają z niego odruchowo, to oszust próbuje ten odruch przejąć. Policja od lat opisuje ten sam model: sprawca włamuje się na konto społecznościowe albo komunikator, a potem pisze do znajomych z prośbą o pożyczkę lub opłacenie zamówienia. Takie zgłoszenia wciąż pojawiają się regularnie, także w 2026 roku.
Co ważne, ofiara rzadko myśli wtedy o ataku. Myśli raczej: „pomogę szybko, a potem odda”. I właśnie dlatego ta metoda działa tak dobrze. Policjanci przypominają też, że sam kod nie zamyka sprawy, bo trzeba jeszcze potwierdzić transakcję. Problem polega na tym, że wiele osób robi to bez czytania treści autoryzacji. CERT Polska podkreśla, że komunikat w aplikacji lub SMS-ie pokazuje rodzaj operacji i kwotę, więc jeśli coś się nie zgadza, ktoś właśnie próbuje oszukać użytkownika.
Tutaj dobrze działa krótka lista sygnałów ostrzegawczych. Najpierw warto ją znać, a potem stosować bez wyjątku.
Najczęstsze sygnały oszustwa „na BLIK” to:
- nagła prośba o pieniądze;
- wiadomość z dużą presją czasu;
- tłumaczenie, że „nie mogę teraz rozmawiać”;
- prośba o kolejny kod;
- dziwna składnia albo inny styl pisania;
- naleganie, by nie dzwonić.
Po takiej liście nie warto kończyć na teorii. Trzeba jeszcze zapamiętać najważniejszą zasadę. Jeśli ktoś prosi o kod BLIK, nie odpowiadaj w tym samym czacie. Po prostu zadzwoń. Policja pisze wprost, że czasem „wystarczy na przykład do niej zadzwonić”.
Wiadomość głosowa od znajomego też może być fałszywa
Jeszcze niedawno wiele osób ufało głosowi bardziej niż tekstowi. Dziś to już za mało. Komenda Główna Policji ostrzega, że sprawcy coraz częściej wykorzystują narzędzia AI, a także podszywają się pod znajomych, instytucje i pracowników banków, używając realistycznych obrazów, głosów i wiadomości. To oznacza, że nawet głosówka nie daje już pełnej pewności.
Policja ostrzega, że oszuści wykorzystują „realistyczne obrazy, głosy i wiadomości”.
Dlatego przy podejrzanej prośbie o pieniądze najlepiej zrobić dwie rzeczy. Po pierwsze, oddzwonić na znany numer. Po drugie, zadać pytanie, na które odpowie tylko prawdziwa osoba. To może być proste wspomnienie, nazwisko albo sytuacja, o której wiecie tylko wy dwoje. I choć brzmi to banalnie, właśnie takie pytanie często zatrzymuje atak szybciej niż najlepsza aplikacja.
W tym miejscu warto dodać jedną uwagę. AI nie tworzy zagrożenia samo. Ono tylko wzmacnia stary mechanizm. Najpierw pojawia się zaufanie, potem presja, a na końcu pieniądze. Z tego powodu obrona musi być równie prosta, ale za to konsekwentna. Nie pomagaj „na słowo”. Sprawdzaj „poza czatem”.
Fałszywe linki, dopłaty i strony banków
Phishing w komunikatorach nie musi wyglądać groźnie. Często zaczyna się od dopłaty 1,99 zł, od potwierdzenia przesyłki albo od rzekomej promocji. Policja opisuje phishing jako podszywanie się pod firmę lub instytucję w celu wyłudzenia danych logowania, numeru karty, konta bankowego albo innych poufnych informacji. Taki link zwykle prowadzi do strony stworzonej przez oszustów, chociaż wizualnie przypomina prawdziwy serwis.
CERT Polska zwraca uwagę, że nawet jeśli ofiara nie rozpozna fałszywej strony, to oszust nadal potrzebuje potwierdzenia operacji. I właśnie tam widać, co naprawdę zatwierdzasz. Jeżeli aplikacja pokazuje nowego odbiorcę zaufanego, dziwną kwotę albo inną operację niż zakup, trzeba przerwać transakcję. To moment, w którym można jeszcze zatrzymać kradzież.
W polskich realiach ten typ oszustwa często łączy się z kurierem, dopłatą, bankiem, sklepem albo fikcyjną sprzedażą. Dlatego przed każdą płatnością dobrze sprawdzić trzy rzeczy:
- adres strony;
- nazwę odbiorcy;
- treść komunikatu autoryzacji.
Po tej krótkiej kontroli widać znacznie więcej. I właśnie dlatego oszust tak bardzo liczy na pośpiech. Jeśli użytkownik czyta spokojnie, atak często się rozpada.
Quishing, czyli oszustwo przez QR-kod, rośnie, bo kod wygląda niewinnie
Kod QR kojarzy się z wygodą. I właśnie dlatego bywa skuteczną przynętą. Rządowa baza wiedzy o cyberbezpieczeństwie wyjaśnia, że quishing polega na użyciu spreparowanego kodu QR, który po zeskanowaniu prowadzi do fałszywej witryny albo uruchamia szkodliwe działanie. Problem polega na tym, że w samym kodzie „nie widać, co się za nimi kryje”.
W kodach QR „nie widać, co się za nimi kryje”.
Takie kody mogą pojawić się w mailach, w wiadomościach, w reklamie, a nawet na wydruku. Czasem ktoś nakleja nowy kod na stary, a czasem wysyła obrazek przez komunikator i prosi o szybką płatność. W obu przypadkach cel jest ten sam: użytkownik ma przejść na podstawioną stronę i sam wpisać dane.
Żeby ograniczyć ryzyko, warto stosować kilka prostych reguł:
- skanuj tylko kody z zaufanego źródła;
- po skanie czytaj adres, zanim klikniesz dalej;
- nie podawaj danych karty po wejściu z nieznanego QR;
- nie instaluj aplikacji z linku ukrytego w kodzie;
- jeśli to płatność, sprawdź odbiorcę i kwotę.
To nie brzmi efektownie, ale działa. Quishing wygrywa wtedy, gdy kod traktujemy jak niewinny skrót. Przegrywa wtedy, gdy traktujemy go jak zwykły link, tylko zapisany inaczej.
Jak zabezpieczyć konto w komunikatorze, żeby nie oddać go oszustowi
Ochrona nie zaczyna się od antywirusa. Zaczyna się od ustawień konta. Ministerstwo Cyfryzacji i NASK przypominają, że uwierzytelnianie dwuskładnikowe wyraźnie zwiększa bezpieczeństwo, bo nawet gdy ktoś pozna hasło, nadal nie wejdzie na konto bez drugiego składnika. To jedna z tych funkcji, które nie robią wrażenia, ale regularnie ratują profile, skrzynki i pieniądze.
2FA to „proste zabezpieczenie”, które „wyraźnie zwiększa nasze bezpieczeństwo”.
Oprócz 2FA warto uporządkować kilka codziennych nawyków. Najpierw lista, a potem krótka zasada: im mniej danych pokazujesz publicznie, tym mniej materiału dostaje oszust.
Ustawienia, które warto zmienić dziś:
- włącz 2FA w komunikatorze, mailu i banku;
- ustaw silne i różne hasła;
- sprawdź aktywne sesje i wyloguj obce urządzenia;
- ukryj numer telefonu, jeśli aplikacja to umożliwia;
- ogranicz, kto może dodawać cię do grup;
- ogranicz widoczność zdjęcia i ostatniej aktywności.
Po takich zmianach konto nie staje się „nie do złamania”, ale staje się trudniejszym celem. A przestępca zwykle wybiera drogę łatwiejszą, nie trudniejszą.
Co zrobić, gdy klikniesz link albo przelejesz pieniądze
W takiej chwili liczą się minuty, a nie wstyd. Najpierw trzeba przerwać kontakt z oszustem, a potem działać w konkretnej kolejności. CERT Polska przypomina, że podejrzane SMS-y można przesłać na numer 8080, a fałszywe strony zgłosić przez formularz incydent.cert.pl. To nie cofnie od razu szkody, ale może pomóc zablokować kampanię i ochronić innych.
Najlepiej zrobić to tak:
- natychmiast skontaktuj się z bankiem;
- zablokuj kartę lub sporną operację;
- zmień hasło do komunikatora i do maila;
- wyloguj wszystkie obce urządzenia;
- włącz 2FA, jeśli jeszcze go nie masz;
- zgłoś stronę do CERT Polska;
- zgłoś sprawę Policji;
- uprzedź znajomych, że ktoś może pisać z twojego konta.
Taki plan jest prosty, ale właśnie dlatego działa. Najgorsze, co można zrobić, to czekać, aż „może samo minie”. W cyfrowych oszustwach zwłoka zwykle działa na korzyść sprawcy, a nie ofiary.
Co warto zapamiętać, zanim przyjdzie kolejna wiadomość
Dzisiejsze oszustwa w komunikatorach nie są skuteczne dlatego, że są bardzo techniczne. Są skuteczne dlatego, że są bardzo zwyczajne. Prośba o kod, szybka dopłata, głosówka od znajomego, link do głosowania albo QR do płatności nie wyglądają groźnie. I właśnie dlatego trzeba reagować spokojnie, ale stanowczo.
Najlepsza zasada pozostaje niezmienna: nie ufaj samej wiadomości, nawet jeśli przyszła od kogoś znanego. Najlepsza zasada pozostaje niezmienna: nie ufaj samej wiadomości, nawet jeśli przyszła od kogoś znanego. Najpierw sprawdź, potem zadzwoń, a dopiero na końcu podejmij decyzję. Przed każdą autoryzacją warto też uważnie przeczytać komunikat banku do końca. Właśnie te trzy ruchy najczęściej oddzielają zwykły czat od bardzo drogiego błędu.
