Najważniejsze informacje w skrócie:

• Przestępcy wykorzystują socjotechnikę zwaną vishingiem, łącząc poczucie nagłego, wielkiego zagrożenia (np. "włamanie na konto") z presją czasu, aby ofiara nie miała chwili na weryfikację połączenia
• Kluczem jest przejęcie kontroli nad rozmową i stanowcze oświadczenie: "Rozłączam się i dzwonię na oficjalną infolinię". Oszust zareaguje paniką i desperackimi próbami zatrzymania, grożąc utratą środków, natomiast prawdziwy konsultant pochwali ostrożność
• Skala finansowa oszustw jest masowa, sięgając setek milionów złotych rocznie. Średnia strata przy pojedynczym oszustwie, które ofiara sama autoryzuje, wynosi aż 9000 zł, a skuteczność odzyskania skradzionych środków i wykrycia sprawców jest niestety bardzo niska i oscyluje wokół 2%

Oszustwa telefoniczne, określane mianem vishingu (połączenie angielskich słów voice i phishing), polegają na mistrzowskim podszywaniu się pod godne zaufania instytucje, głównie banki, w celu zmanipulowania osoby do ujawnienia danych lub samodzielnego dokonania przelewu. Dzisiaj niemal każdy posiadający konto bankowe, powinien być przygotowany na takie połączenie, ponieważ skala tego zjawiska w Polsce jest masowa. Zespół CERT Polska, odpowiedzialny za reagowanie na incydenty cyberbezpieczeństwa, zarejestrował w 2024 roku ponad 100 tysięcy incydentów, a oszustwa stanowiły niemal 95% wszystkich zgłoszeń, co dobitnie świadczy o tym, że próby wyłudzeń są na porządku dziennym.

Oszustwa "na pracownika banku" w liczbach

Skala, metody i straty finansowe Polaków w wyniku vishingu są alarmujące. Oto kluczowe dane.

📞 Jak często dochodzi do prób oszustw?

Zarejestrowane incydenty (2024)

>100 tys.

wzrost o 29% r/r (CERT Polska)

Zablokowane fałszywe domeny (2024)

>51 tys.

(CSIRT KNF)

Zgłoszenia od obywateli (2024)

>600 tys.

średnio 50 tys. miesięcznie (CERT Polska)

💸 Ile pieniędzy tracą ofiary?

Miesięczna skala strat

~50 mln zł

w wyniku oszustw socjotechnicznych

Roczna skala strat

>650 mln zł

szacowana kwota rocznie

Średnia kwota pojedynczego oszustwa

9000 zł

gdy ofiara sama wykonuje przelew (NBP)

Przestępcy zazwyczaj opierają swoje ataki na danych, które wcześniej pozyskali. Choć rzadko dzwonią w ciemno, często korzystają z numerów telefonów, imion i nazwisk uzyskanych z licznych wycieków baz danych z serwisów internetowych, które można łatwo nabyć na czarnym rynku. Ponadto, oszuści automatycznie zbierają informacje, tzw. scraping, z mediów społecznościowych, albo wykorzystują wstępne kampanie phishingowe (np. SMS-y o dopłacie do paczki), w których ofiara, klikając w link, sama podaje im swój numer telefonu. Choć nie muszą wiedzieć, w którym banku trzymamy pieniądze, często dzwonią, podając się za pracownika jednej z największych instytucji finansowych, a jeśli trafią, natychmiast budują wiarygodność.

Rozmowa, która rozpoczyna się na przykład od: "Dzień dobry, Jan Kowalski, starszy analityk działu bezpieczeństwa banku", jest starannie zaplanowanym scenariuszem, często z numerem infolinii wyświetlającym się na ekranie dzięki technice spoofingu. Siła vishingu tkwi w wywołaniu u ofiary dwóch skrajnych emocji: nagłego poczucia ogromnego zagrożenia (np. "Ktoś włamuje się na Pana konto w tej chwili!") oraz natychmiastowego zaufania do dzwoniącego, który jawi się jako jedyny ratunek w kryzysie.

Anatomia vishingu

Jak przebiega typowy atak "na pracownika banku"?

1

Uwiarygodnienie

Oszust używa twojego imienia i nazwiska, dzwoni z numeru podszywającego się pod bank (spoofing) i przedstawia się w profesjonalny sposób.

2

Stworzenie kryzysu

Informuje o pilnym zagrożeniu, np. o próbie kradzieży z konta, zaciągnięciu pożyczki na twoje dane lub o rzekomym ataku hakerskim na sam bank.

3

Izolacja i presja

Kategorycznie zabrania ci się rozłączać, tłumacząc, że przerwanie "chronionego połączenia" jest równoznaczne z utratą pieniędzy. Wszelkie próby weryfikacji są natychmiast torpedowane.

4

Kradzież pod pozorem pomocy

Gdy ofiara jest przerażona, oszust przedstawia "rozwiązanie", które w rzeczywistości jest metodą kradzieży. Może to być:

• Prośba o instalację aplikacji do zdalnego pulpitu (np. AnyDesk).
• Wyłudzenie kodu BLIK jako "kodu do anulowania transakcji".
• Przekonanie do przelania oszczędności na "bezpieczne konto techniczne".

Oszuści są coraz bardziej wyrafinowani. W skomplikowanych przypadkach, aby uśpić czujność ofiary, mogą nawet zasugerować "weryfikację na policji", prosząc o wybranie numeru 997 na klawiaturze telefonu bez rozłączania się z nimi. Ponieważ telefon nie jest w stanie nawiązać drugiego, niezależnego połączenia podczas trwania pierwszego, ofiara pozostaje na linii z oszustem, a po chwili w słuchawce odzywa się wspólnik udający "aspiranta Nowaka" z Komendy Stołecznej Policji, potwierdzający całą legendę oszustwa i nakazujący stosowanie się do poleceń "pracownika banku".

Jak się bronić? Przejęcie inicjatywy i test prawdy

Aby przełamać mechanizm manipulacji, trzeba zniszczyć jedyny atut oszusta: kontrolę nad czasem i rozmową. Kiedy "konsultant" naciska, twierdząc, że każda sekunda jest na wagę złota, należy zastosować test prawdy, który natychmiast ujawni jego prawdziwe zamiary. Zamiast pytać: "Czy mogę sam zadzwonić?", które często jest torpedowane gotowymi odpowiedziami ("Linia jest zajęta!"), należy stanowczo i spokojnie przejąć kontrolę.

Wystarczy powiedzieć: "Rozłączę się teraz i zadzwonię na infolinię". Oszust, którego scenariusz został przerwany, natychmiast wpadnie w panikę. Zanim zdążysz nacisnąć czerwoną słuchawkę, usłyszysz desperackie próby zastraszenia: "Jeśli się pani rozłączy, straci pani wszystkie pieniądze!" lub "Nie będziemy w stanie cofnąć transakcji!". Taka paniczna reakcja i próba zastraszenia są niepodważalnym dowodem, że rozmawiasz z przestępcą.

Prawdziwy pracownik banku, który jest szkolony w zakresie bezpieczeństwa i weryfikacji, zareaguje ze zrozumieniem. Prawdopodobnie pochwali twoją ostrożność, mówiąc: "To bardzo odpowiedzialna decyzja. Oczywiście, proszę się rozłączyć, a następnie samodzielnie wybrać oficjalny numer banku, który znajduje się na naszej stronie internetowej lub z tyłu karty". Prawdziwy pracownik nigdy nie będzie zniechęcał do weryfikacji.

Apel: dziel się wiedzą!

Zagrożenie vishingiem jest powszechne, a oszuści dysponują coraz bardziej zaawansowanymi metodami. Skuteczna obrona wymaga świadomości i przejęcia inicjatywy.

🛡️

Twoja najskuteczniejsza tarcza

Upewnij się, że wszyscy twoi bliscy wiedzą: prawdziwy pracownik banku nigdy nie zabroni ci się rozłączyć. To jedno zdanie jest najskuteczniejszą obroną:

"Rozłączam się i dzwonię sam"

📢

Podziel się tą wiedzą!

Jeśli teraz wiesz, że kluczem jest przejęcie kontroli nad rozmową i natychmiastowe rozłączenie, porozmawiaj z rodziną i znajomymi, zwłaszcza z osobami starszymi. Prześlij im ten artykuł, żeby mogli na spokojnie go przeczytać i zrozumieć, jakie grozi im niebezpieczeństwo.

Nawet jeśli uzyskasz "prawidłową" odpowiedź, ZAWSZE rozłącz się i zadzwoń samodzielnie na oficjalną infolinię swojego banku. Numer infolinii znajdź na stronie banku, nigdy nie oddzwaniaj na numer, z którego otrzymałeś wcześniejsze połączenie. Jest to złota zasada bezpieczeństwa, ponieważ żaden pracownik banku nie będzie wymagał od Ciebie instalowania aplikacji, podawania pełnego hasła czy kodu BLIK, ani nie będzie wywierał presji czasu.

Oszustwo na "pracownika banku". Jest się przed czym bronić

Skala finansowa oszustw socjotechnicznych, do których zalicza się vishing, jest alarmująca. Według szacunków Polacy tracą w ten sposób niemal 50 milionów złotych każdego miesiąca, co w skali rocznej może przekraczać 650 milionów złotych.

Dane Narodowego Banku Polskiego pokazują, że w ponad 86% przypadków oszustw to sama ofiara autoryzuje transakcję, co prowadzi do drastycznych strat. Średnia wysokość pojedynczej takiej transakcji wynosi aż 9000 zł, a w pojedynczych przypadkach straty regularnie sięgają 40-50 tysięcy złotych, a nawet przekraczają 100 tys. zł, zwłaszcza gdy przestępcy dodatkowo zaciągają szybkie pożyczki na dane ofiary.

Niestety, choć Policja regularnie informuje o rozbijaniu siatek przestępczych, odzyskanie skradzionych środków jest niezwykle trudne. Zgodnie z raportem Najwyższej Izby Kontroli (NIK), aż 85% zgłoszonych cyberataków nie zostało wyjaśnionych, a tylko w 2% spraw udaje się wykryć i skazać sprawcę lub odzyskać pieniądze.

Dlaczego jest to tak trudne? Grupy te są wysoce zorganizowane i mają charakter międzynarodowy. "Call center" dzwoniące do Polaków z doskonałym akcentem często znajduje się za naszą wschodnią granicą, co utrudnia jurysdykcję, a skradzione pieniądze trafiają na polskie konta należące do tzw. "słupów". Pieniądze są następnie w ciągu minut wypłacane z bankomatów lub zamieniane na kryptowaluty, co zaciera ślady i uniemożliwia ich cofnięcie.

Czytaj także: 

• Co się stanie, gdy powiesz po zakupach "chargeback"? Tajna broń klientów
• Znasz te 5 ukrytych funkcji BLIK-a? Są superprzydatne, a mało kto o nich wie
• 5 sekretnych funkcji bankomatów. Myśleliście, że służą tylko do wypłat pieniędzy?

Źródło: NASK/PolskieRadio24.pl/Michał Tomaszkiewicz