Fałszywy kurier, BLIK, promocje. Jak reagować, gdy wpadniesz w cyberpułapkę?

Wyobraź sobie sobotni, listopadowy poranek. Pachnie kawa, scrollujesz telefon, a tam – wysyp okazji. "-70%", "ostatnie sztuki", "tylko dziś". Ten miesiąc tak już ma: z jednej strony nie brakuje kuszących promocji, z drugiej – oszustów, którzy świetnie grają na naszym pośpiechu i FOMO (Fear of Missing Out – lęku przed tym, że coś nas omija, np. okazja). Internetowi złodzieje do perfekcji opanowali sposoby, by zachętami typu "kup teraz – ostatnie sztuki!" lub "inwestuj, bo wszyscy już zarabiają" skłaniać ludzi do podejmowania impulsywnych decyzji. I właśnie w tym pośpiechu najczęściej wpadamy w pułapki: klikamy link "do dopłaty za paczkę", wpisujemy dane karty "żeby przyspieszyć wysyłkę", albo podajemy BLIK-a komuś, kto podaje się za naszego znajomego. A potem? Zostają pytania. Co teraz? Do kogo napisać? Czy da się to odkręcić?

Zacznijmy od pozornie niewinnej historii – kupna telefonu. Cena była świetna, strona wyglądała wiarygodnie. Mijają dni. Przychodzi paczka, rozrywasz folię… i czujesz, jak krew odpływa ci z twarzy. Zamiast telefonu jest cegła, albo mydło... To moment, w którym wielu z nas zamiera. Ale to właśnie teraz trzeba przełączyć się w tryb "dokumentuję i zgłaszam". Zdjęcia, zrzuty ekranu oferty, potwierdzenie płatności, cała korespondencja – wszystko gromadzisz w jednym folderze. Piszesz do sprzedawcy (to on odpowiada za dostawę), składasz reklamację na platformie, a przy płatności kartą – dzwonisz do banku i składasz wniosek o chargeback. Nie kasujesz niczego – każdy szczegół może być dowodem. To nie jest wstydliwa porażka, którą trzeba szybko ukryć przed światem, to materiał, który pomaga odzyskać utrcone pieniądze.

– Jeśli padniemy ofiarą oszustwa nie panikujmy. Pierwszym adresem jest najbliższy komisariat policji – mają obowiązek przyjąć zawiadomienie i przekazać dalej. Równolegle zgłaszajmy incydenty do CERT Polska: SMS-y na bezpłatny numer 8080, a podejrzane maile i strony przez incydent.cert.pl. Im więcej zgłoszeń, tym skuteczniejsze blokady i lepsza ochrona dla wszystkich – tłumaczy dr Marlena Kondrat, doktor nauk społecznych z Uniwersytetu Warszawskiego, ekspertka Kampanii Bezpieczne Złotówki.

Druga historia będzie szybsza niż espresso. Zrobiłeś zakupy w sklepie internetowym. Czekasz na paczkę, przychodzi SMS od kuriera o dopłacie 1,99 zł. "Inaczej paczka wróci". Link nie budzi twoich wątpliwości. Klik – i jesteś na stronie, która prosi o dane karty. Zaczynasz wpisywać… Jeśli to się już stało, liczą się minuty. Odłącz internet i przerwij połączenie, zmień hasła – zaczynając od maila i banku – i włącz dwuskładnikowe logowanie. Zadzwoń do banku, aby poinformować o ujawnieniu danych. Zabezpieczasz dowody: numer nadawcy, treść SMS-a, link. W kraju działają instytucje, które ścigają cyberprzestępców, a twoje zgłoszenie pomoże zablokować pułapkę kolejnym osobom. Pamiętaj: kurierzy nigdy nie żądają dopłat przez SMS. Jeśli spodziewasz się przesyłki i obawiasz opóźnień, sprawdź jej status przez oficjalną stronę firmy kurierskiej lub numer śledzenia przesyłki.

– Jeśli podczas zakupów w sieci wchodzimy na strony do płatności, sprawdzajmy adresy tych stron w pasku przeglądarki literka po literce. "Kłódka" nie gwarantuje, że strona jest uczciwa, a wystarczy zmiana jednej literki w adresie strony, by trafić na jej sfałszowaną wersję – ostrzega Paulina Krakowska, ekspertka od cyberbezpieczeństwa z Banku PKO BP.

Trzecia scena może rozegrać się wieczorem. Messenger alarmuje: "Hej, ratuj, nie mogę się zalogować do banku, prześlesz kasę przez BLIK? Za chwilę oddam". Zdjęcie, imię – wszystko się zgadza. Tylko że ten "znajomy" tylko znajomo brzmi, bo jest… botem. Gdy czujesz presję czasu ("teraz, błagam!"), zatrzymaj się. Zadzwoń do tej osoby na numer, który masz w telefonie. Dziewięć razy na dziesięć usłyszysz: " To nie ja". Jeśli już wysłałaś kod i coś zostało zatwierdzone w aplikacji banku, zgłoś sprawę natychmiast w banku i do CERT, a potem na policję. I ustaw sobie na przyszłość limity BLIK i powiadomienia z banku – żeby monitorować działania na koncie.

– Warto mieć w rodzinie "hasło bezpieczeństwa". Kto prosi o pilny przelew, musi je znać – inaczej sprawdzamy tożsamość innym kanałem – radzi Paulina Krakowska z PKO BP. – Dziś, przy tylu telefonicznych podszyciach się pod bliskich, to naprawdę działa – zapewnia ekspertka. Takie rozwiązania są też rekomendowane w materiałach profilaktycznych – często promują je policjanci i kampanie o cyberzagrożeniach.

Czwarta opowieść jest o marzeniach: "Pracuj z domu, inwestuj jak znany celebryta, gwarantujemy 15 proc. miesięcznie". Pachnie wolnością finansową… dopóki nie padnie prośba o "zdalny pulpit", o przelew w krypto "na szybko", albo o skan dowodu. Kiedy poczujesz mieszankę pośpiechu i "gwarancji zysku", zapal czerwoną lampkę. Wstrzymaj wpłaty, zrób kopię korespondencji, zrzuty czatu, zgłoś sprawę do swojego banku, CERT i CSIRT KNF.

Pamiętaj: bankowość elektroniczna jest wielowarstwowo chroniona, ale oszuści uderzają w klienta. Pracownik banku nigdy nie poprosi o logowanie, instalację zdalnego pulpitu, kody BLIK ani o przelanie środków na "konto techniczne". Po wątpliwym telefonie rozłącz się i oddzwoń na oficjalną infolinię. Jeśli pieniądze już wyszły – twój bank jest pierwszym punktem kontaktu: reklamacja, blokady – czasem jeszcze da się zatrzymać przelew w łańcuchu.

Nie wstydź się o tym opowiadać w gronie rodziny i przyjaciół. Ostrzeż ich przed podobnym oszustwem.

– Oszuści grają presją czasu, budują fałszywy autorytet, proszą o dyskrecję i wciągają nas metodą małych kroków. Rozpoznawaj czerwone flagi i zamykaj portfel, a otwieraj umysł – najpierw weryfikuj, potem działaj – radzi dr Konrad Maj, psycholog społeczny, Uniwersytet SWPS.

Jest jeszcze świat ogłoszeń: na popularnych platformach sprzedażowych. Najczęstszy numer, to propozycja wyjścia z platformy czyli kliknięcie w link "do szybkiego odbioru płatności". Skorzystasz z tego, podajesz oszustom dane karty albo loginy na tacy. A wystarczy prosta i bezpieczna zasada: płatności i wysyłki robisz wyłącznie we wbudowanym systemie platformy. Jeśli stało się inaczej – zabezpiecz linki, zgłoś incydent w platformie i w CERT, a przy płatności kartą – natychmiast skontaktuj się z bankiem w sprawie chargebacku.

A co, jeśli to czytasz jako ofiara oszustów, bo to "już się stało" i odczuwasz tylko wstyd? Być może myślisz: "Tyle zachodu… Czy te zgłoszenia coś w ogóle zmieniają?". Tak! Podobnie jak ulice stają się bezpieczniejsze, gdy ktoś zgłasza uszkodzoną latarnię albo dziurę w jezdni. Każdy SMS na 8080, każde zgłoszenie do CERT, każdy spór na platformie i każda reklamacja w banku to cegiełki, z których powstają blokady fałszywych stron, ostrzeżenia dla użytkowników, materiały dla służb. Nie chodzi o "donoszenie", tylko o higienę cyfrowego świata, w którym wszyscy żyjemy.

I teraz ważna, czasem pomijana rzecz: emocje. Po oszustwie przychodzi wstyd. "Jak mogłem? Przecież umiem poruszać się w internecie…". Prawda jest taka: to się zdarza naprawdę każdemu. Nie ma większego znaczenia wiek ani wykształcenie. I to nie twoja wina, że ktoś zawodowo manipuluje ludźmi.

– Każdy jest podatny na manipulację – wiedza i doświadczenie nie dają pełnej odporności – potwierdza dr Konrad Maj.

Co ciekawe, jak potwierdzają badania naukowe, jesteśmy bardziej skłonni przekazywać informacje sztucznym systemom niż ludziom. W przeprowadzonych badaniach ludzie chętniej ujawniali maszynom dane, nawet te szczegółowe: adres, numer telefonu czy datę urodzenia. Tymczasem, gdy podobne pytania zadawała im prawdziwa osoba, ostrożność była znacznie większa. Wniosek? Mamy do czynienia z bardzo przebiegłym przeciwnikiem i wsparcie życzliwych ludzi jest nie do przecenienia.

Mechanizmy perswazji są projektowane tak, by obchodzić naszą czujność – grają na czasie, autorytecie, tajemnicy, na naszej chęci bycia pomocnym. Daj sobie prawo do złości, do żalu. Powiedz komuś bliskiemu, spisz fakty "na świeżo". Jeśli czujesz, że sprawa cię przygniata – poszukaj wsparcia. To ważny element odzyskania równowagi.

Piotr Pawłowski, psycholog i psychoterapeuta z Wydziału Psychologii UW zachęca, by nazwać emocje i dać sobie prawo do reakcji – szoku, złości, wstydu.

– Bliscy mogą najbardziej pomóc uważnym słuchaniem, bez oceniania i "dobijania" komentarzami. Warto spisać fakty "na świeżo", zadbać o siebie i – jeśli potrzeba – skorzystać z profesjonalnej pomocy. To proces, a nie test na "odporność".

Gdyby to wszystko skleić w jedną prostą radę, brzmiałaby tak: zatrzymaj się – zabezpiecz – zgłoś. Zatrzymaj się, gdy czujesz presję czasu. Zabezpiecz dowody (zrzuty ekranu, linki, potwierdzenia, numery). Zgłoś tam, gdzie trzeba: do banku (gdy w grę wchodzi płatność), do CERT (8080 i formularz), do platformy (reklamacja), do rzecznika konsumentów/UOKiK (spory zakupowe), na policję (gdy doszło do przestępstwa). Nie musisz znać wszystkich paragrafów – wystarczy trzymać się tej kolejności i nie zamiatać sprawy pod dywan.

Przytoczone tu przykłady pułapek i prób wyłudzeń, których doświadczamy na co dzień, to tylko niewielki wycinek scenariuszy, jakie cyberprzestępcy realizują w internecie.

– Kampania Fundacji Think! oraz strona Bezpieczne Złotówki, na której zgromadziliśmy wiedzę, porady ekspertów oraz historie zaczerpnięte z życia służą edukacji mieszkańcom Polski w zakresie bezpieczeństwa finansowego – mówi Anna Bichta, prezeska Fundacji Think! – Wiedza, którą systematycznie gromadzimy, może pomóc osobom szukającym informacji, jak radzić sobie z tego typu zagrożeniami, także w sytuacji, gdy już staliśmy się ofiarą wyłudzenia – dodaje.

Tymczasem kawa stygnie, świat kusi kolejną obniżką "-70%", ale już wiesz, co zrobić, gdy coś pójdzie nie tak – i jakie rady zachować w pamięci. Porządek wprowadzają drobne, konsekwentne działania: twoje zgłoszenia, twoje limity, twoje "sprawdzam". Dzięki temu Black Friday może zostać świętem udanych okazji – a nie początkiem historii o cegle w pudełku.

● Zrzuty ekranu (pełna treść + nagłówki e-mail).

● Linki/URL, numery telefonów, ID aukcji/ogłoszenia.

● Daty i godziny, kwoty, numery rachunków/karta.

● Potwierdzenia płatności (PDF/zdjęcie).

● Dane firmy/sklepu (NIP, adres z regulaminu). Zasada: niczego nie kasuj, rób kopie.

● 8080 – podejrzane SMS-y (przekaż treść wiadomości).

● CERT (formularz) – phishing, fałszywe strony, kampanie oszustów.

● Bank (infolinia/apka) – blokady, reklamacje, chargeback.

● Rzecznik konsumentów/UOKiK – spory zakupowe, porady.

● Policja – zawiadomienie o przestępstwie, numer sprawy.

● Centralne Biuro Zwalczania Cyberprzestępczości – informacje o zagrożeniach w sieci, poradniki.

● Jeśli chcesz poszerzyć swoją wiedzę o bezpieczeństwie finansowym w Internecie, odwiedź również stronę ogólnopolskiej kampanii "Bezpieczne Złotówki".

Materiał powstał w ramach kampanii społecznej "Bezpieczne Złotówki" sfinansowanej ze środków Funduszu Edukacji Finansowej, którego dysponentem jest Minister Finansów i Gospodarki. Kampanię realizuje Fundacja Think!.