Oszuści nie zniknęli — zmienili narzędzia
Oszustwa telefoniczne i internetowe nie są już tylko problemem „cyfrowego świata”. Dziś zaczynają się bardzo zwyczajnie: od telefonu z rzekomego banku, SMS-a o dopłacie do paczki, wiadomości o konieczności „weryfikacji danych”, reklamy inwestycji z udziałem celebryty albo od internetowej znajomości, która z czasem zamienia się w prośbę o pieniądze. Przestępcy łączą stare techniki manipulacji z nowymi kanałami komunikacji, a ich celem nie jest wyłącznie wyłudzenie danych — coraz częściej chodzi o przejęcie pełnej kontroli nad urządzeniem, kontem bankowym albo emocjami ofiary.
Najczęstsze scenariusze oszustw
Bardzo groźną kategorią są oszustwa telefoniczne wykorzystujące spoofing, czyli podszywanie się pod numer telefonu banku, Policji lub innej zaufanej instytucji. Sam numer na wyświetlaczu nie jest dziś dowodem autentyczności rozmowy. Sprawcy potrafią sfałszować numer dzwoniącego. Spoofing polega właśnie na zmianie numeru lub nazwy, którą widzi odbiorca. Typowy scenariusz brzmi: „na pani koncie wykryto podejrzaną transakcję”, „ktoś zaciąga kredyt”, „trzeba zabezpieczyć środki”, „proszę pozostać na linii i nie rozłączać się”. Potem pojawia się żądanie przelewu na „konto techniczne” albo podania kodów autoryzacyjnych. Przypominamy, że policjant lub prawdziwy pracownik banku nigdy nie prosi o wypłacanie pieniędzy, przelewanie ich na inne rachunki ani wpłacanie gotówki do wpłatomatu w celu „zabezpieczenia środków”.
Drugą powszechną metodą jest smishing, czyli phishing za pomocą SMS-ów. Wiadomości dotyczą najczęściej paczek, dopłat do przesyłki, zatrzymanych przesyłek, brakującego adresu, blokady konta bankowego, niezapłaconego rachunku lub pilnej weryfikacji danych. Oszuści podszywają się pod firmy kurierskie, banki, dostawców energii i instytucje publiczne. Ich celem jest skierowanie ofiary na fałszywą stronę płatności lub logowania, gdzie przejmują dane karty, login, hasło albo skłaniają do instalacji aplikacji.
Kolejny scenariusz to fałszywe alerty bankowe i phishing bankowy. Głównym celem takich kampanii jest skłonienie ofiary do podania danych logowania do bankowości internetowej. Fałszywe wiadomości informują o „nowych zabezpieczeniach”, „konieczności weryfikacji danych” lub „nietypowym logowaniu”. Często użytkownik widzi stronę niemal identyczną z prawdziwą, dlatego sam wygląd serwisu nie wystarcza — kluczowa jest weryfikacja domeny i brak korzystania z linków przesłanych przez obcą osobę lub z podejrzanego SMS-a.
Dlaczego AnyDesk i TeamViewer są tak niebezpieczne w rękach oszustów
AnyDesk czy TeamViewer nie są z natury „złośliwymi programami” — to legalne narzędzia zdalnego dostępu. Problem zaczyna się w chwili, gdy ofiara instaluje je na polecenie nieznajomego i nadaje mu uprawnienia. Tego typu program może dawać pełną kontrolę nad urządzeniem, a także obsługuje transfer plików i współdzielenie schowka. W praktyce oznacza to, że oszust może obserwować ekran, widzieć wpisywane dane, pomagać „na niby”, a w rzeczywistości przejmować dostęp do banku, poczty, komunikatorów czy giełd kryptowalut. Dlatego ostrzegamy, że prośba o instalację AnyDesk lub TeamViewer ze strony „pracownika banku”, „doradcy inwestycyjnego” albo „informatyka banku” jest sygnałem alarmowym.
Fałszywe inwestycje, kryptowaluty i oszustwa romantyczne
Szczególnie agresywnie rozwijają się oszustwa inwestycyjne, często reklamowane jako „łatwy zysk” z akcji, surowców, AI lub kryptowalut. Oszuści wykorzystują chęć szybkiego wzbogacenia się i socjotechnikę, a sponsorowane reklamy w mediach społecznościowych są jedną z głównych dróg dotarcia do ofiar. W 2024 r. CSIRT KNF zidentyfikował 45 985 domen związanych z fałszywymi inwestycjami, a najczęściej wykorzystywano w reklamach wizerunki polityków, celebrytów i spółek Skarbu Państwa. Czerwone flagi są powtarzalne: gwarantowany lub nierealistycznie wysoki zysk, presja czasu, „opiekun inwestycyjny” dzwoniący po zostawieniu numeru telefonu, żądanie szybkiej wpłaty, prośba o instalację zdalnego pulpitu, namawianie do kolejnych dopłat rzekomo potrzebnych do „odblokowania wypłaty”, „zapłaty podatku” albo „odzyskania środków”.
W przypadku kryptoaktywów przypominamy, że poziom ochrony inwestora pozostaje niższy niż przy tradycyjnych instrumentach finansowych, a same projekty mogą być nieprzejrzyste albo wręcz oszukańcze. Dodatkowo na tym rynku łatwo o manipulację cenami typu pump and dump. Dla przeciętnego odbiorcy wniosek jest prosty: jeżeli ktoś obiecuje „pewne” zyski na kryptowalutach, używa wizerunku znanej osoby, nie daje czasu na spokojne sprawdzenie firmy lub próbuje przenieść rozmowę na komunikator i zdalnie „pomóc” w transakcji — to bardzo silne sygnały ostrzegawcze.
Najważniejsze zasady ochrony i działania po oszustwie
Najskuteczniejsze zasady prewencji są proste, ale trzeba stosować je konsekwentnie:
- nie klikamy w linki z nieoczekiwanych SMS-ów i e-maili;
- nie podajemy kodów, loginów, haseł, numeru karty ani CVV/CVC przez telefon;
- nie instalujemy oprogramowania do zdalnego dostępu na polecenie rozmówcy;
- nie przelewamy środków na „konto bezpieczne”, „techniczne” lub „tymczasowe”;
- każdą pilną sprawę weryfikujemy innym kanałem — samodzielnie wyszukanym numerem banku, aplikacją bankową lub przez osobisty kontakt;
- warto włączyć uwierzytelnianie dwuskładnikowe tam, gdzie to możliwe, i rozważyć zastrzeżenie numeru PESEL.
Jeśli jednak doszło już do oszustwa lub jego usiłowania, trzeba działać natychmiast. Najpierw kontakt z bankiem przez oficjalną infolinię: zgłoszenie nieautoryzowanej transakcji, zastrzeżenie karty, zmiana danych logowania i zabezpieczenie dostępu do konta. Jeżeli wyciekły dane osobowe, warto od razu zastrzec numer PESEL w mObywatelu lub w urzędzie miasta czy gminy. Oszustwo trzeba również zgłosić Policji — zawiadomienie można złożyć w dowolnej jednostce Policji. Pamiętajmy aby zachować dowody: SMS-y, e-maile, numery telefonów, potwierdzenia przelewów, zrzuty ekranu i historię rozmów.