BLIK
Finanse

Jak działa oszustwo na BLIK przez Messengera i Facebook?

Radosław Walus
Radosław Walus
ByRadosław Walus
Pasjonat nowych technologii i biznesu, z doświadczeniem w prowadzeniu własnej działalności od 2017 roku. Ukończył studia magisterskie na kierunku Globalny Biznes, Finanse i Zarządzanie w Szkole...
Obserwuj:

Współczesne oszustwa finansowe w sieci coraz częściej wykorzystują media społecznościowe jako główny kanał dotarcia do ofiar. Zjawisko wyłudzeń za pomocą kodów BLIK przez Messengera i Facebooka należy dziś do najpoważniejszych zagrożeń dla użytkowników polskiego internetu.

Spis treści

W 2024 roku CERT Polska odnotował ponad 600 tysięcy zgłoszeń cyberzagrożeń (wzrost o 62% r/r), z czego phishing – często powiązany z wyłudzaniem kodów BLIK – odpowiadał za 40 120 incydentów. 37% Polaków zetknęło się z metodami wyłudzeń opartymi na socjotechnice, a prawie co czwarta próba kończy się sukcesem. Straty w pojedynczych przypadkach sięgają zwykle od 200 do 2000 zł. Złożoność procederu wymaga analizy technik przejmowania kont, psychologicznych mechanizmów manipulacji oraz praktycznych metod przeciwdziałania.

Techniczny mechanizm przejmowania kont i wysyłania fałszywych próśb

Najczęściej spotykanym sposobem przejęcia konta jest phishing – fałszywe strony logowania łudząco podobne do Facebooka. W 2024 roku Facebook był trzecim najczęściej atakowanym celem phishingu w Polsce (3871 przypadków). Po zdobyciu loginu i hasła przestępcy logują się na konto, nierzadko natychmiast zmieniając hasło i wykorzystując listę znajomych do rozsyłania próśb o BLIK.

Brak dwuskładnikowego uwierzytelniania (2FA) na koncie istotnie ułatwia atak. Gdy 2FA nie jest włączone, przestępcom wystarczają tylko login i hasło. Włączenie 2FA blokuje większość prób logowania nawet po wycieku hasła.

Najczęstsze wektory przejęcia kont, o których warto pamiętać:

  • phishingowe strony logowania podszywające się pod Facebooka,
  • złośliwe linki w Messengerze, e‑mailach i SMS-ach, prowadzące do malware lub formularzy phishingowych,
  • linki w fałszywych ofertach pracy, konkursach i „ekskluzywnych” promocjach,
  • aplikacje i gry powiązane z kontem Facebook, żądające nadmiernych uprawnień,
  • ponowne użycie tego samego hasła w wielu serwisach (wykorzystanie wycieków danych).

Treści wysyłanych wiadomości są projektowane tak, by wywoływać emocje i presję czasu. Często pojawiają się obietnice szybkiego zwrotu środków i próby przeniesienia rozmowy na SMS, by ominąć zabezpieczenia platformy. Kod BLIK to sześciocyfrowy numer ważny ok. 120 sekund, którym autoryzuje się płatności i wypłaty z bankomatów.

Przykładowe wiadomości, które pojawiają się w rozmowach:

„Hej, pilnie potrzebuję 150 zł, oddam jutro. Możesz podać kod BLIK?”

„Zgubiłem portfel, muszę kupić leki dla mamy. Wyślij BLIKa – oddam jeszcze dziś.”

„Mam awarię konta, nie mogę zrobić przelewu. Daj kod na 200 zł, proszę.”

Po otrzymaniu kodu przestępcy błyskawicznie wypłacają gotówkę z bankomatu lub opłacają transakcję na terminalu. Transakcje BLIK po autoryzacji w aplikacji bankowej są nieodwracalne. Ofiara – przekonana, że pomaga znajomemu – sama potwierdza operację PIN-em lub biometrią, nieświadomie autoryzując wypłatę oszusta.

Typologie i warianty oszustw na BLIK w mediach społecznościowych

Poniżej zestawienie najczęstszych wariantów, z którymi spotykają się użytkownicy:

  • „Pilna pożyczka” od znajomego – prośba o kod BLIK z przejętego konta, często z obietnicą zwrotu „jeszcze dziś”;
  • Platformy handlowe (Facebook Marketplace, OLX, Vinted) – fałszywe oferty i żądanie kodu BLIK „dla natychmiastowej wysyłki”, po czym towar nigdy nie trafia do kupującego;
  • Kryptowaluty – prośba „pomóż w transakcji na Binance” z obietnicą prowizji i prośbą o kod BLIK;
  • „Szybki zarobek” – atrakcyjne ogłoszenia pracy lub inwestycji prowadzące do stron kradnących dane logowania do Facebooka;
  • „Awaria banku” – rzekoma niemożność wykonania przelewu i prośba o „tymczasowy” BLIK;
  • „Łańcuchowa kradzież” – po wyłudzeniu środków sprawcy idą dalej po sieci kontaktów, wykorzystując zdobyte zaufanie.

Psychologiczne i socjotechniczne mechanizmy manipulacji

Sukces ataków opiera się na emocjach, presji czasu i wykorzystaniu zaufania do „znajomego”. Poniżej najczęściej stosowane techniki:

  • presja czasu – komunikaty „pilne”, „na już”, które ograniczają refleksję;
  • strach i empatia – historie o chorobie, wypadku, zgubionym portfelu;
  • konsekwencja i stopniowanie – po pierwszym kodzie pada prośba o kolejny, zwykle wyższą kwotę;
  • personalizacja – styl pisania dopasowany do wcześniejszych rozmów i publicznych postów ofiary;
  • autorytet i normalizacja – „każdemu się zdarza”, fałszywe potwierdzenia od „innych znajomych”;
  • deepfake audio – realistyczne wiadomości głosowe imitujące głos bliskiej osoby.

Skala zjawiska i liczby, które trzeba znać

W 2024 roku CERT Polska zarejestrował ponad 600 tysięcy zgłoszeń (wzrost o 62% r/r), a miesięczna średnia wyniosła ok. 50 tysięcy. 37% Polaków miało styczność z socjotechniką, a blisko 25% prób kończy się skutecznie. Typowe straty w jednym incydencie to 200–2000 zł.

Najczęściej atakowane platformy phishingowe w 2024 roku wyglądały następująco:

PlatformaLiczba incydentów (2024)
OLX9865
Allegro4053
Facebook3871

System zgłaszania podejrzanych SMS-ów na numer 8080 przyniósł w 2024 roku 355 tysięcy zgłoszeń i pozwolił zablokować blisko 1,5 miliona złośliwych wiadomości. Pełne zgłaszanie incydentów zwiększa skuteczność działań służb i banków.

Metody zabezpieczenia kont na Facebooku i ochrony przed oszustwami

Najważniejsze: włącz dwuskładnikowe uwierzytelnianie (2FA) na Facebooku i nigdy nie podawaj kodu BLIK. W ustawieniach („Centrum kont” → „Hasło i zabezpieczenia” → „Uwierzytelnianie dwuskładnikowe”) wybierz SMS, aplikację uwierzytelniającą lub klucz sprzętowy. Dzięki 2FA samo hasło nie wystarczy do zalogowania.

Najważniejsze praktyki, które warto wdrożyć od razu:

  • używaj długich, unikalnych haseł oraz menedżera haseł,
  • regularnie sprawdzaj i wylogowuj aktywne sesje na Facebooku,
  • nie klikaj podejrzanych linków w wiadomościach, e‑mailach i postach,
  • aktualizuj system i aplikacje na smartfonie oraz zabezpieczaj go PIN-em/biometrią,
  • przed autoryzacją BLIK sprawdzaj szczegóły transakcji (kwota, lokalizacja, typ operacji),
  • zawsze weryfikuj prośbę poza komunikatorem – najlepiej dzwoniąc na znany numer.

Najważniejsza zasada: nigdy nikomu nie podawaj kodu BLIK. Kod działa jak gotówka – po autoryzacji środków nie odzyskasz.

Jeżeli podejrzewasz przejęcie konta, wykonaj następujące kroki:

  • niezwłocznie zmień hasło do Facebooka i wyloguj wszystkie sesje,
  • włącz 2FA i przejrzyj ustawienia bezpieczeństwa oraz prywatności,
  • zabezpiecz dowody: zrzuty ekranu, linki, numery telefonów,
  • powiadom znajomych o włamaniu, aby nie reagowali na fałszywe prośby,
  • skontaktuj się z bankiem (blokada kanałów, reklamacja) oraz zgłoś sprawę na policję.

Reakcja instytucji finansowych i organów ścigania

Kluczowe podmioty i ich rola w ograniczaniu skali zjawiska:

  • Policja – prowadzi kampanie informacyjne i działania operacyjne; rekomenduje, by przed podaniem BLIK zadzwonić do proszącej osoby;
  • CBZC – analizuje modus operandi, koordynuje śledztwa; wskazuje, że fałszywe prośby o BLIK to ok. 40% zgłoszeń;
  • CERT Polska (NASK-PIB) – monitoruje zagrożenia, edukuje, obsługuje numer 8080 i blokady złośliwych SMS-ów;
  • CSIRT KNF – ostrzega sektor finansowy przed kampaniami phishingowymi i stronami podszywającymi się pod banki;
  • Banki i NBP – prowadzą działania edukacyjne; przypominają, że banki nigdy nie proszą o kody BLIK;
  • BLIK – promuje dobre nawyki i podkreśla, że istotą oszustwa jest manipulacja, a nie luka systemowa.

Skuteczność rośnie dzięki współpracy Policji, CERT Polska, CSIRT KNF, banków i operatorów telekomunikacyjnych. Mimo to przestępcy stale modyfikują techniki (np. deepfake audio), co wymaga ciągłej edukacji i nowych zabezpieczeń.

Aspekty prawne i konsekwencje dla sprawców oraz ofiar

Podstawy prawne i działania, o których należy pamiętać:

  • Art. 286 KK – oszustwo – kara od 6 miesięcy do 8 lat pozbawienia wolności;
  • Art. 267 KK – bezprawne uzyskanie informacji – obejmuje m.in. przejęcie konta i naruszenie tajemnicy komunikacji;
  • Art. 258 KK – zorganizowana grupa przestępcza – surowsza odpowiedzialność dla sprawców działających w strukturze;
  • Środki karne – sąd może orzec m.in. zakazy korzystania z określonych urządzeń lub internetu;
  • Obowiązki ofiary – natychmiast zgłosić na policję, poinformować bank, zabezpieczyć dowody, powiadomić znajomych.

Szybka reakcja zwiększa szanse na ograniczenie strat i identyfikację sprawców, choć transakcje BLIK po autoryzacji co do zasady nie podlegają cofnięciu.

Czytaj też:

  1. Ile kosztuje BLIK w poszczególnych bankach? Opłaty i prowizje
  2. Jak sprawdzić, czy mam aktywny BLIK na telefon w banku?
  3. Jakie sklepy internetowe akceptują płatności BLIK?
  4. Gdzie znaleźć kod BLIK w aplikacjach ING, mBank, PKO i Santander?
  5. Jakie terminale i bankomaty obsługują płatności BLIK?
  6. Kupon BLIK – co to jest i jak go wykorzystać przy zakupach
  7. Kiedy BLIK będzie dostępny w kolejnych bankach i w Revolut?
Udostępnij ten artykuł
ByRadosław Walus
Obserwuj:
Pasjonat nowych technologii i biznesu, z doświadczeniem w prowadzeniu własnej działalności od 2017 roku. Ukończył studia magisterskie na kierunku Globalny Biznes, Finanse i Zarządzanie w Szkole Głównej Handlowej w Warszawie. Lubi kryminalne seriale telewizyjne, i rozwiązywanie zagadek, które często inspiruje do kreatywnego myślenia. Jako samozwańczy dziennikarz, regularnie dzieli się swoimi przemyśleniami i analizami na temat najnowszych trendów w świecie technologii i biznesu, starając się łączyć te dwa fascynujące obszary w swoich publikacjach.
Brak komentarzy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


Kategorie

Musisz przeczytać

Dziękujemy, że czytasz Favicon Media – rzetelne źródło wiedzy na styku biznesu, reklamy, marketingu, technologii i finansów.

Może Cię zainteresować