Alior Bank ostrzega. Komunikat dla najmłodszych
Ataki na młodych użytkowników bankowości elektronicznej często opierają się na pośpiechu i silnych emocjach, które mają skłonić do natychmiastowej decyzji. Alior Bank ostrzega, że przestępcy celowo zasypują informacjami i stawiają ultimatum, by ofiara nie zdążyła niczego sprawdzić.
Pierwszym celem oszustów bywa wymuszenie szybkiego działania: kliknięcia w link, podania danych logowania, przekazania kodu BLIK albo wykonania przelewu. Mechanizm jest podobny niezależnie od kanału kontaktu, bo napastnicy grają na tym, że młode osoby często funkcjonują w trybie "tu i teraz" i reagują odruchowo na wiadomości z komunikatorów czy SMS-y.
W opisywanych schematach powtarzają się cztery elementy:
- pośpiech i odliczanie, np. komunikaty sugerujące, że to "ostatnia szansa"
- emocje, takie jak strach, wstyd albo ekscytacja związana z "łatwymi pieniędzmi" czy bonusami
- potrzeba natychmiastowej odpowiedzi (DM w mediach społecznościowych, czaty w grach, SMS)
- granie autorytetem, czyli podszywanie się pod bank, platformę zakupową, kuriera albo pomoc techniczną
Presja czasu jako główne narzędzie ataku
Najbardziej charakterystyczny sygnał to narzucanie tempa i tworzenie wrażenia, że decyzja musi zapaść teraz. W poradniku jako przykład pojawia się wiadomość: "Masz 10 minut, inaczej konto zostanie zablokowane".
W praktyce taka narracja ma jeden cel: odciąć ofiarę od weryfikacji. Oszust potrafi równocześnie dodać kilka wątków, dopytywać, ponaglać i zniechęcać do przerwania rozmowy, żeby nie było przestrzeni na spokojne sprawdzenie numeru telefonu, adresu strony lub sensu "pilnej" dopłaty.
Najczęstsze scenariusze: od "pracy za lajki" po oszustwa w grach
Jednym z powtarzalnych schematów jest propozycja współpracy lub prostego zarobku. Zaczyna się od komplementu i obietnicy, a kończy na prośbie o dopłatę "weryfikacyjną", instalację aplikacji albo przekazanie danych, co może skutkować utratą pieniędzy, przejęciem konta lub wykorzystaniem ofiary jako tzw. słupa.
Kolejny wariant to phishing mobilny. W wiadomościach prywatnych na komunikatorze lub w SMS-ie przychodzi link do strony łudząco podobnej do serwisu płatności, sklepu, portalu ogłoszeniowego czy firmy dostawczej. Na telefonie łatwiej przeoczyć adres i detale, a konsekwencją bywa kradzież hasła, danych karty lub przejęcie profilu.
Fałszywe mogą być też obietnice "darmowych skinów", wymiany waluty czy kodów do dodatków, które mają prowadzić do fałszywego logowania albo pobrania pliku. Skutek to przejęcie konta, utrata przedmiotów albo niechciane płatności.
Jak rozpoznać próbę wyłudzenia?
Za sygnały ostrzegawcze uznaje się m.in. sytuacje, gdy rozmówca wywiera presję i zniechęca do konsultacji (np. sugeruje, by "nie mówić nikomu"), prosi o kod BLIK, przelew "testowy" albo instalację aplikacji z linku. Ryzykowne są również prośby o hasło, kody z SMS, kody 2FA lub umożliwienie zdalnego dostępu.
W przypadku podejrzeń kluczowa jest prosta zasada: zrobić przerwę i nie działać pod naciskiem. Zalecane działania obejmują przerwanie kontaktu (bez klikania kolejnych linków), zabezpieczenie kont (wylogowanie sesji, zmiana hasła, włączenie lub weryfikacja 2FA), a także kontakt z bankiem lub operatorem płatności, by zgłosić incydent i zablokować instrumenty płatnicze.
Istotne jest też nieudostępnianie kodów BLIK, kodów z SMS i 2FA, stosowanie silnych i unikalnych haseł, ograniczanie widoczności profilu oraz aktualizowanie oprogramowania. Przewagą oszustów atakujących młodych użytkowników jest tempo: potrafią doprowadzić do skutku cały scenariusz w kilkanaście minut.
