Dzwoni "pracownik banku"? Powiedz to jedno zdanie, a zdemaskujesz oszusta
- Ktoś właśnie próbuje wziąć kredyt na pani/pana dane, możemy te pieniądze jeszcze uratować, ale musimy działać szybko – taka groźnie brzmiąca wiadomość sprawia, że zaniepokojeni wchodzimy wprost pułapkę oszustów czyhających na pieniądze na naszych kontach. Jest prosty i sprawdzony sposób, żeby odróżnić złodzieja od rzeczywistego pracownika banku. Wystarczy powiedzieć to jedno zdanie i sprawdzić reakcję rozmówcy.
2025-10-07, 12:04
Najważniejsze informacje w skrócie:
- Przestępcy wykorzystują socjotechnikę zwaną vishingiem, łącząc poczucie nagłego, wielkiego zagrożenia (np. "włamanie na konto") z presją czasu, aby ofiara nie miała chwili na weryfikację połączenia
- Kluczem jest przejęcie kontroli nad rozmową i stanowcze oświadczenie: "Rozłączam się i dzwonię na oficjalną infolinię". Oszust zareaguje paniką i desperackimi próbami zatrzymania, grożąc utratą środków, natomiast prawdziwy konsultant pochwali ostrożność
- Skala finansowa oszustw jest masowa, sięgając setek milionów złotych rocznie. Średnia strata przy pojedynczym oszustwie, które ofiara sama autoryzuje, wynosi aż 9000 zł, a skuteczność odzyskania skradzionych środków i wykrycia sprawców jest niestety bardzo niska i oscyluje wokół 2%
Oszustwa telefoniczne, określane mianem vishingu (połączenie angielskich słów voice i phishing), polegają na mistrzowskim podszywaniu się pod godne zaufania instytucje, głównie banki, w celu zmanipulowania osoby do ujawnienia danych lub samodzielnego dokonania przelewu. Dzisiaj niemal każdy posiadający konto bankowe, powinien być przygotowany na takie połączenie, ponieważ skala tego zjawiska w Polsce jest masowa. Zespół CERT Polska, odpowiedzialny za reagowanie na incydenty cyberbezpieczeństwa, zarejestrował w 2024 roku ponad 100 tysięcy incydentów, a oszustwa stanowiły niemal 95% wszystkich zgłoszeń, co dobitnie świadczy o tym, że próby wyłudzeń są na porządku dziennym.
Oszustwa "na pracownika banku" w liczbach
Skala, metody i straty finansowe Polaków w wyniku vishingu są alarmujące. Oto kluczowe dane.
Jak często dochodzi do prób oszustw?
Zarejestrowane incydenty (2024)
>100 tys.
wzrost o 29% r/r (CERT Polska)
Zablokowane fałszywe domeny (2024)
>51 tys.
(CSIRT KNF)
Zgłoszenia od obywateli (2024)
>600 tys.
średnio 50 tys. miesięcznie (CERT Polska)
Ile pieniędzy tracą ofiary?
Miesięczna skala strat
~50 mln zł
w wyniku oszustw socjotechnicznych
Roczna skala strat
>650 mln zł
szacowana kwota rocznie
Średnia kwota pojedynczego oszustwa
9000 zł
gdy ofiara sama wykonuje przelew (NBP)
Przestępcy zazwyczaj opierają swoje ataki na danych, które wcześniej pozyskali. Choć rzadko dzwonią w ciemno, często korzystają z numerów telefonów, imion i nazwisk uzyskanych z licznych wycieków baz danych z serwisów internetowych, które można łatwo nabyć na czarnym rynku. Ponadto, oszuści automatycznie zbierają informacje, tzw. scraping, z mediów społecznościowych, albo wykorzystują wstępne kampanie phishingowe (np. SMS-y o dopłacie do paczki), w których ofiara, klikając w link, sama podaje im swój numer telefonu. Choć nie muszą wiedzieć, w którym banku trzymamy pieniądze, często dzwonią, podając się za pracownika jednej z największych instytucji finansowych, a jeśli trafią, natychmiast budują wiarygodność.
Rozmowa, która rozpoczyna się na przykład od: "Dzień dobry, Jan Kowalski, starszy analityk działu bezpieczeństwa banku", jest starannie zaplanowanym scenariuszem, często z numerem infolinii wyświetlającym się na ekranie dzięki technice spoofingu. Siła vishingu tkwi w wywołaniu u ofiary dwóch skrajnych emocji: nagłego poczucia ogromnego zagrożenia (np. "Ktoś włamuje się na Pana konto w tej chwili!") oraz natychmiastowego zaufania do dzwoniącego, który jawi się jako jedyny ratunek w kryzysie.
Anatomia vishingu
Jak przebiega typowy atak "na pracownika banku"?
Uwiarygodnienie
Oszust używa twojego imienia i nazwiska, dzwoni z numeru podszywającego się pod bank (spoofing) i przedstawia się w profesjonalny sposób.
Stworzenie kryzysu
Informuje o pilnym zagrożeniu, np. o próbie kradzieży z konta, zaciągnięciu pożyczki na twoje dane lub o rzekomym ataku hakerskim na sam bank.
Izolacja i presja
Kategorycznie zabrania ci się rozłączać, tłumacząc, że przerwanie "chronionego połączenia" jest równoznaczne z utratą pieniędzy. Wszelkie próby weryfikacji są natychmiast torpedowane.
Kradzież pod pozorem pomocy
Gdy ofiara jest przerażona, oszust przedstawia "rozwiązanie", które w rzeczywistości jest metodą kradzieży. Może to być:
- Prośba o instalację aplikacji do zdalnego pulpitu (np. AnyDesk).
- Wyłudzenie kodu BLIK jako "kodu do anulowania transakcji".
- Przekonanie do przelania oszczędności na "bezpieczne konto techniczne".
Oszuści są coraz bardziej wyrafinowani. W skomplikowanych przypadkach, aby uśpić czujność ofiary, mogą nawet zasugerować "weryfikację na policji", prosząc o wybranie numeru 997 na klawiaturze telefonu bez rozłączania się z nimi. Ponieważ telefon nie jest w stanie nawiązać drugiego, niezależnego połączenia podczas trwania pierwszego, ofiara pozostaje na linii z oszustem, a po chwili w słuchawce odzywa się wspólnik udający "aspiranta Nowaka" z Komendy Stołecznej Policji, potwierdzający całą legendę oszustwa i nakazujący stosowanie się do poleceń "pracownika banku".
Jak się bronić? Przejęcie inicjatywy i test prawdy
Aby przełamać mechanizm manipulacji, trzeba zniszczyć jedyny atut oszusta: kontrolę nad czasem i rozmową. Kiedy "konsultant" naciska, twierdząc, że każda sekunda jest na wagę złota, należy zastosować test prawdy, który natychmiast ujawni jego prawdziwe zamiary. Zamiast pytać: "Czy mogę sam zadzwonić?", które często jest torpedowane gotowymi odpowiedziami ("Linia jest zajęta!"), należy stanowczo i spokojnie przejąć kontrolę.
Wystarczy powiedzieć: "Rozłączę się teraz i zadzwonię na infolinię". Oszust, którego scenariusz został przerwany, natychmiast wpadnie w panikę. Zanim zdążysz nacisnąć czerwoną słuchawkę, usłyszysz desperackie próby zastraszenia: "Jeśli się pani rozłączy, straci pani wszystkie pieniądze!" lub "Nie będziemy w stanie cofnąć transakcji!". Taka paniczna reakcja i próba zastraszenia są niepodważalnym dowodem, że rozmawiasz z przestępcą.
Prawdziwy pracownik banku, który jest szkolony w zakresie bezpieczeństwa i weryfikacji, zareaguje ze zrozumieniem. Prawdopodobnie pochwali twoją ostrożność, mówiąc: "To bardzo odpowiedzialna decyzja. Oczywiście, proszę się rozłączyć, a następnie samodzielnie wybrać oficjalny numer banku, który znajduje się na naszej stronie internetowej lub z tyłu karty". Prawdziwy pracownik nigdy nie będzie zniechęcał do weryfikacji.
Apel: dziel się wiedzą!
Zagrożenie vishingiem jest powszechne, a oszuści dysponują coraz bardziej zaawansowanymi metodami. Skuteczna obrona wymaga świadomości i przejęcia inicjatywy.
Twoja najskuteczniejsza tarcza
Upewnij się, że wszyscy twoi bliscy wiedzą: prawdziwy pracownik banku nigdy nie zabroni ci się rozłączyć. To jedno zdanie jest najskuteczniejszą obroną:
"Rozłączam się i dzwonię sam"
Nawet jeśli uzyskasz "prawidłową" odpowiedź, ZAWSZE rozłącz się i zadzwoń samodzielnie na oficjalną infolinię swojego banku. Numer infolinii znajdź na stronie banku, nigdy nie oddzwaniaj na numer, z którego otrzymałeś wcześniejsze połączenie. Jest to złota zasada bezpieczeństwa, ponieważ żaden pracownik banku nie będzie wymagał od Ciebie instalowania aplikacji, podawania pełnego hasła czy kodu BLIK, ani nie będzie wywierał presji czasu.
Oszustwo na "pracownika banku". Jest się przed czym bronić
Skala finansowa oszustw socjotechnicznych, do których zalicza się vishing, jest alarmująca. Według szacunków Polacy tracą w ten sposób niemal 50 milionów złotych każdego miesiąca, co w skali rocznej może przekraczać 650 milionów złotych.
Dane Narodowego Banku Polskiego pokazują, że w ponad 86% przypadków oszustw to sama ofiara autoryzuje transakcję, co prowadzi do drastycznych strat. Średnia wysokość pojedynczej takiej transakcji wynosi aż 9000 zł, a w pojedynczych przypadkach straty regularnie sięgają 40-50 tysięcy złotych, a nawet przekraczają 100 tys. zł, zwłaszcza gdy przestępcy dodatkowo zaciągają szybkie pożyczki na dane ofiary.
Niestety, choć Policja regularnie informuje o rozbijaniu siatek przestępczych, odzyskanie skradzionych środków jest niezwykle trudne. Zgodnie z raportem Najwyższej Izby Kontroli (NIK), aż 85% zgłoszonych cyberataków nie zostało wyjaśnionych, a tylko w 2% spraw udaje się wykryć i skazać sprawcę lub odzyskać pieniądze.
⛓️ Kim są "słupy"? Smutna prawda o pomocnikach oszustów
W artykule mowa jest o "słupach", na których konta trafiają skradzione pieniądze. To kluczowy element przestępczej siatki. "Słupem" najczęściej zostaje osoba nieświadoma, zmanipulowana lub znajdująca się w trudnej sytuacji finansowej. Przestępcy rekrutują ich przez fałszywe ogłoszenia o pracę (np. "tester przelewów", "pośrednik finansowy"), oferując łatwy zarobek za "jedynie" użyczenie swojego konta do kilku transakcji. Niestety, z punktu widzenia prawa taka osoba popełnia przestępstwo prania brudnych pieniędzy, za co grozi kara do 8 lat pozbawienia wolności, nawet jeśli działała nieświadomie.
Dlaczego jest to tak trudne? Grupy te są wysoce zorganizowane i mają charakter międzynarodowy. "Call center" dzwoniące do Polaków z doskonałym akcentem często znajduje się za naszą wschodnią granicą, co utrudnia jurysdykcję, a skradzione pieniądze trafiają na polskie konta należące do tzw. "słupów". Pieniądze są następnie w ciągu minut wypłacane z bankomatów lub zamieniane na kryptowaluty, co zaciera ślady i uniemożliwia ich cofnięcie.
Czytaj także:
- Co się stanie, gdy powiesz po zakupach "chargeback"? Tajna broń klientów
- Znasz te 5 ukrytych funkcji BLIK-a? Są superprzydatne, a mało kto o nich wie
- 5 sekretnych funkcji bankomatów. Myśleliście, że służą tylko do wypłat pieniędzy?
Źródło: NASK/PolskieRadio24.pl/Michał Tomaszkiewicz