Pieniądze znikają z konta, a ty nic nie wiesz. Nowa pułapka na kod BLIK już w Polsce

Miliony Polaków każdego dnia korzystają z wygody, jaką oferuje system płatności BLIK. Niestety, tam gdzie są pieniądze, pojawiają się również oszuści, którzy nieustannie doskonalą swoje metody. Eksperci ds. cyberbezpieczeństwa alarmują o nowej, niezwykle groźnej metodzie ataku, która pozwala przestępcom na potwierdzenie transakcji na wysoką kwotę praktycznie bez Twojej świadomej zgody. To już nie jest prosta prośba o kod od „znajomego” na Facebooku – to zaawansowana pułapka, która wykorzystuje zaufanie do aplikacji bankowej i chwilę naszej nieuwagi. Zagrożenie jest realne i dotyczy każdego użytkownika telefona w Polsce. Zrozumienie mechanizmu tego oszustwa to pierwszy i najważniejszy krok, by nie stracić swoich oszczędności w 2025 roku. Stawką są nie tylko pieniądze, ale również poczucie bezpieczeństwa w cyfrowym świecie.

Jak działa nowe oszustwo „na BLIK”? To już nie jest prośba od znajomego

Większość z nas nauczyła się już ignorować wiadomości z prośbą o „pożyczenie” pieniędzy dzięki kodu BLIK. Jednak nowa metoda jest znacznie bardziej wyrafinowana. Przestępcy nie proszą już o kod – oni sprawiają, iż sam go wpisujesz, a następnie nieświadomie zatwierdzasz kradzież. Mechanizm opiera się na złośliwym oprogramowaniu lub zaawansowanym phishingu, który infekuje Twój telefon.

Wszystko zaczyna się niewinnie – od fałszywego SMS-a o niedopłacie za prąd, linku do śledzenia paczki lub atrakcyjnej oferty w mediach społecznościowych. Kliknięcie w link prowadzi do strony, która do złudzenia przypomina witrynę banku, firmy kurierskiej lub sklepu internetowego. Tam jesteś proszony o zainstalowanie „nowej wersji aplikacji” lub podanie danych. W rzeczywistości instalujesz na swoim telefonie złośliwe oprogramowanie typu „overlay”. To ono staje się kluczem do Twoich pieniędzy. Od tego momentu oszust ma narzędzie, by podmienić ekran potwierdzenia płatności w Twojej aplikacji bankowej.

Krok po kroku: Scenariusz ataku, który może cię kosztować oszczędności

Aby w pełni zrozumieć zagrożenie, prześledźmy typowy scenariusz ataku. Jest on przemyślany tak, aby uśpić czujność ofiary i wykorzystać jej pośpiech lub rozkojarzenie. Cały proces może trwać zaledwie kilkadziesiąt sekund, a jego skutki mogą być katastrofalne dla domowego budżetu.

Oto jak przebiega atak:

• Etap 1: Infekcja. Otrzymujesz wiadomość (SMS, Messenger, e-mail) z linkiem. Po jego kliknięciu instalujesz złośliwą aplikację lub udzielasz niebezpiecznych uprawnień na fałszywej stronie.
• Etap 2: Kradzież kodu. W pewnym momencie (np. podczas fałszywej „weryfikacji” na zainfekowanej stronie) jesteś proszony o podanie kodu BLIK, rzekomo w celu potwierdzenia tożsamości lub opłacenia symbolicznej kwoty 1 zł.
• Etap 3: Przejęcie kontroli. Gdy wpisujesz kod, oszust w tym samym czasie inicjuje na swoim urządzeniu transakcję na znacznie wyższą kwotę, np. wypłatę 2000 zł z bankomatu lub zakupy w sklepie internetowym.
• Etap 4: Fałszywe potwierdzenie. Na Twoim telefonie pojawia się prośba o potwierdzenie transakcji w aplikacji bankowej. I tu dzieje się kluczowa rzecz: złośliwe oprogramowanie „overlay” nakłada na prawdziwy ekran potwierdzenia swoją fałszywą planszę. Widzisz na niej informację „Potwierdź weryfikację” lub „Zatwierdź opłatę 1 zł”, podczas gdy w tle kryje się prawdziwe polecenie zatwierdzenia transakcji na 2000 zł.
• Etap 5: Utrata pieniędzy. Klikasz „Potwierdź”, myśląc, iż autoryzujesz symboliczną kwotę. W rzeczywistości dajesz zielone światło dla kradzieży. Pieniądze znikają z Twojego konta w ciągu kilku sekund.

Kto jest na celowniku? Eksperci ostrzegają: zagrożony jest każdy

Błędem jest myślenie, iż tego typu oszustwa są skierowane wyłącznie do osób starszych lub mniej obeznanych z technologią. Wręcz przeciwnie, przestępcy celują w szerokie grono odbiorców, licząc na pośpiech i rutynę. Osoba, która robi kilka transakcji BLIK dziennie, może mechanicznie zatwierdzić kolejną, nie przyglądając się szczegółom – i właśnie na to liczą oszuści. CERT Polska regularnie ostrzega przed kampaniami phishingowymi, które stanowią pierwszy krok do tego typu ataków.

Zagrożenie potęguje fakt, iż fałszywe ekrany potwierdzeń są przygotowywane bardzo starannie i mogą być niemal nie do odróżnienia od oryginału. Wykorzystują logotypy banków i standardowe komunikaty. Kluczowym czynnikiem jest tutaj inżynieria społeczna – oszuści tworzą presję czasu (np. „Twoja paczka zostanie zwrócona, jeżeli nie dopłacisz 1 zł w ciągu 5 minut”), co skłania do szybkiego i nieprzemyślanego działania. W rzeczywistości zagrożony jest każdy aktywny użytkownik bankowości mobilnej.

Jak się chronić przed nową metodą oszustów? najważniejsze zasady bezpieczeństwa

Chociaż nowa metoda jest groźna, nie jesteśmy wobec niej bezbronni. Stosowanie kilku fundamentalnych zasad cyberbezpieczeństwa może skutecznie zminimalizować ryzyko utraty pieniędzy. Najważniejsza jest świadomość i wyrobienie sobie nawyków, które staną się Twoją pierwszą linią obrony.

Oto najważniejsze kroki, które musisz podjąć, aby chronić swoje finanse:

• Zawsze weryfikuj kwotę w aplikacji banku. To absolutnie kluczowe. Niezależnie od tego, co widzisz na stronie internetowej, finalny, prawdziwy ekran potwierdzenia w aplikacji bankowej zawsze pokazuje prawdziwą kwotę transakcji. Poświęć dodatkowe dwie sekundy, by upewnić się, iż kwota się zgadza.
• Nie klikaj w podejrzane linki. Nigdy nie otwieraj linków z nieoczekiwanych SMS-ów czy e-maili dotyczących dopłat, przesyłek czy wygranych. Zawsze loguj się na strony usługodawców, wpisując adres manualnie w przeglądarce.
• Instaluj aplikacje tylko z oficjalnych źródeł. Korzystaj wyłącznie ze sklepów Google Play i Apple App Store. Unikaj instalowania aplikacji z nieznanych plików .apk.
• Czytaj uprawnienia aplikacji. Zanim zainstalujesz nową aplikację, sprawdź, jakich uprawnień żąda. jeżeli latarka prosi o dostęp do kontaktów i SMS-ów, powinna zapalić Ci się czerwona lampka.
• Używaj systemu antywirusowego. Dobry program antywirusowy na telefonie może wykryć i zablokować złośliwe oprogramowanie, zanim zdąży ono wyrządzić szkodę.

Pamiętaj, iż w cyfrowym świecie najlepszą obroną jest Twoja czujność. Oszuści bazują na pośpiechu i braku uwagi. Spowolnienie i dokładne sprawdzenie każdej transakcji BLIK to najprostszy i najskuteczniejszy sposób, by nie stać się ich kolejną ofiarą.