Cyberprzestępcy coraz częściej przejmują konta w aplikacji Messenger, aby wyłudzać pieniądze od znajomych ofiary, prosząc o kody BLIK. To połączenie włamania do systemu informatycznego i oszustwa finansowego powoduje realne straty – od kilkuset do nawet kilkunastu tysięcy złotych. Mechanizm jest prosty: oszust wykorzystuje zaufanie i presję czasu, by skłonić do wygenerowania oraz potwierdzenia transakcji BLIK. Zgłoszeń przybywa w całym kraju, a odzyskanie środków bywa trudne, bo banki często uznają operacje za autoryzowane. Warto znać schemat działania, możliwe kroki prawne i procedury zgłaszania, aby ograniczyć straty i zabezpieczyć się na przyszłość.
- Charakterystyka zjawiska oszustw na Messengerze z wykorzystaniem kodów BLIK
- Mechanizmy działania przestępców i metody przejmowania kont
- Natychmiastowe działania po wykryciu włamania lub oszustwa
- Procedury zgłaszania przestępstwa do odpowiednich instytucji
- Aspekty prawne włamań na konta społecznościowe i wyłudzeń przez BLIK
Charakterystyka zjawiska oszustw na Messengerze z wykorzystaniem kodów BLIK
Atak ma zwykle dwa etapy: najpierw przejęcie konta, a następnie wyłudzenia pieniędzy od kontaktów ofiary. Oszust, podszywając się pod właściciela konta, wysyła prośby o szybkie wsparcie finansowe, licząc na odruchową pomoc i brak weryfikacji.
Najczęściej wykorzystywane scenariusze wiadomości oszustów są podobne i odwołują się do emocji oraz presji czasu:
- „Zgubiłem portfel” – prośba o drobną „pożyczkę” na szybki powrót lub zakup biletu;
- „Pilne leki dla bliskiej osoby” – apel do empatii, prośba o natychmiastową płatność;
- „Brakuje mi na powrót do domu/awaria auta” – presja czasu i poczucie bliskości;
- „Okazja zakupowa, muszę zapłacić teraz” – prośba o BLIK i obietnica szybkiego zwrotu;
- „Wygrana w konkursie” – rzekoma nagroda możliwa do odebrania po podaniu kodu BLIK.
BLIK jest atrakcyjny dla przestępców, bo łączy prostotę i natychmiastowość. 6‑cyfrowy kod ważny zwykle około 2 minut pozwala szybko zrealizować wypłatę z bankomatu lub płatność online – po potwierdzeniu w aplikacji bankowej środki znikają natychmiast.
Dane z różnych regionów pokazują skalę strat i dynamikę zjawiska:
- w powiecie sierpeckim 22‑letnia kobieta straciła 1400 zł po przejęciu jej konta,
- w Mrągowie w krótkim czasie zgłoszono kilkanaście przypadków, z pojedynczymi stratami po 2000 zł,
- w Mielcu łączna wartość strat sięgnęła kilkunastu tysięcy zł, a jedna osoba przekazała kody BLIK na łączną kwotę 10 tys. zł.
Mechanizmy działania przestępców i metody przejmowania kont
Poniżej kluczowe techniki używane do przejmowania kont i utrzymywania dostępu do nich:
- Słabe i powtarzalne hasła – proste kombinacje (daty urodzenia, imiona) oraz to samo hasło w wielu serwisach ułatwiają atak, zwłaszcza po wycieku danych;
- Phishing – fałszywe strony logowania i wiadomości „o pilnej weryfikacji” wyłudzają dane do Facebooka i innych platform;
- Złośliwe oprogramowanie (malware) – instalowane przez zainfekowane pliki lub strony, rejestruje klawisze, kradnie hasła i przejmuje sesje;
- Wyciekłe dane logowania – masowe testy (credential stuffing) skradzionych haseł na popularnych serwisach pozwalają automatyzować włamania;
- Socjotechnika – podszywanie się pod wsparcie Facebooka lub znajomych w celu wyłudzenia haseł i kodów weryfikacyjnych;
- Brak uwierzytelniania dwuskładnikowego (2FA) – po zdobyciu hasła logowanie z nowego urządzenia odbywa się bez dodatkowej bariery;
- Nieaktualne oprogramowanie i słaba higiena cyfrowa – otwarte Wi‑Fi, pozostawanie zalogowanym na współdzielonych komputerach czy nieszyfrowane zapisy haseł zwiększają ryzyko ataku.
Prawdziwe instytucje i platformy nigdy nie proszą o hasło ani kody uwierzytelniające w rozmowie lub wiadomości.
Natychmiastowe działania po wykryciu włamania lub oszustwa
Po zidentyfikowaniu incydentu liczy się każda minuta. Postępuj według poniższych kroków:
- Zmień hasło do Facebooka na silne i unikalne (min. 12 znaków, duże/małe litery, cyfry i znaki specjalne). Zmiana hasła natychmiast kończy aktywne sesje przestępcy.
- Jeśli utraciłeś dostęp, użyj procedury „Zgłoś włamanie na konto” (odzyskiwanie bez logowania). Podawaj dane zgodnie z prawdą.
- Ostrzeż rodzinę i znajomych innymi kanałami (telefon, SMS, e‑mail), aby ignorowali prośby o „pożyczkę” i kody BLIK.
- Jeśli podałeś kod BLIK, nie potwierdzaj żadnych powiadomień o autoryzacji w aplikacji bankowej. Odrzuć je natychmiast.
- Skontaktuj się z bankiem w ciągu kilku minut, podaj czas, kwoty i opis zdarzenia – bank może wstrzymać rozliczenie i zablokować instrumenty.
- Zabezpiecz dowody: zrzuty ekranu rozmów, historii transakcji, powiadomień, logów bezpieczeństwa. Zrób kilka kopii (np. chmura + nośnik zewnętrzny).
- Sprawdź inne konta i usługi: e‑mail, Instagram, Twitter/X, LinkedIn, sklepy i konta finansowe; zmień hasła i włącz 2FA.
Procedury zgłaszania przestępstwa do odpowiednich instytucji
Po zabezpieczeniu kont i zebraniu dowodów zgłoś sprawę właściwym podmiotom:
- Policja – złóż zawiadomienie w jednostce Policji lub prokuraturze. Oficjalne zgłoszenie ułatwia zabezpieczenie dowodów i może pomóc w odzyskaniu środków;
- Zawiadomienie online (Gov.pl) – możliwe przez profil zaufany na: https://www.gov.pl/web/gov/zglos-przestepstwo. Dokładnie opisz okoliczności, czas i szkody;
- Dowody do zawiadomienia – dołącz zrzuty ekranu z Messengera/SMS, historię transakcji, reklamację i odpowiedź banku, logi Facebooka, oświadczenia świadków;
- CERT Polska – zgłoś incydent przez https://incydent.cert.pl (zalecane) lub e‑mail cert@cert.pl. Zrób to w ciągu 24 godzin, aby zwiększyć szansę na neutralizację infrastruktury przestępców;
- Facebook – użyj „Pomoc i wsparcie” → „Zgłoś problem”; poproś znajomych o „Zgłoś konto”, by przyspieszyć zabezpieczenie profilu;
- Bank – złóż reklamację jak najszybciej, wskaż sporne transakcje (numery, daty, kwoty), dołącz zawiadomienie na Policję i zebrane dowody.
Należy liczyć się z odmową uznania reklamacji z argumentem, że klient wygenerował kod i potwierdził operację w aplikacji.
Aspekty prawne włamań na konta społecznościowe i wyłudzeń przez BLIK
Przejęcie konta i wyłudzenie środków może wypełniać znamiona kilku przestępstw. Art. 267 § 2 k.k. penalizuje bezprawne uzyskanie dostępu do systemu informatycznego, a art. 286 k.k. – oszustwo (doprowadzenie do niekorzystnego rozporządzenia mieniem). Za czyn z art. 267 § 2 k.k. grozi do 2 lat pozbawienia wolności, za oszustwo – od 6 miesięcy do 8 lat. W określonych sytuacjach może mieć zastosowanie także art. 190a k.k. (uporczywe nękanie).
W relacji z bankiem kluczowe są przepisy ustawy o usługach płatniczych dot. nieautoryzowanych transakcji oraz kwestia rażącego niedbalstwa. Banki często uznają wygenerowanie kodu i potwierdzenie operacji za autoryzację, nawet jeśli zgoda została wyłudzona podstępem, co ogranicza skuteczność reklamacji i bywa przedmiotem sporów sądowych.
Najważniejsze podstawy prawne i sankcje przedstawia tabela:
| Przepis | Opis czynu | Zakres zastosowania | Potencjalna sankcja |
|---|---|---|---|
| Art. 267 § 2 k.k. | Bez uprawnienia uzyskanie dostępu do systemu informatycznego (np. konta w mediach społecznościowych) | Phishing, przełamanie zabezpieczeń, użycie skradzionych haseł | Grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat |
| Art. 286 k.k. | Oszustwo – wprowadzenie w błąd i doprowadzenie do niekorzystnego rozporządzenia mieniem | Wyłudzenie środków BLIK od kontaktów ofiary | Pozbawienie wolności od 6 miesięcy do 8 lat |
| Art. 190a k.k. | Stalking/UPORCZYWE NĘKANIE | Groźby, wymuszanie, nękanie po przejęciu konta | Kara zależna od skutków i okoliczności (typ podstawowy i kwalifikowany) |
| Ustawa o usługach płatniczych | Odpowiedzialność za nieautoryzowane transakcje, obowiązki użytkownika i dostawcy | Spory o autoryzację BLIK, ocena rażącego niedbalstwa | Zwrot środków lub odmowa – w zależności od ustaleń i dowodów |
Autoryzacja powinna oznaczać świadomą zgodę na konkretną transakcję; zgoda wyłudzona oszustwem nie powinna być traktowana jako ważna autoryzacja – ta linia argumentacji bywa kluczowa w sporach z bankami.
