Masz konto w banku lub słuchasz muzyki? Możesz stracić wszystko w kilka sekund

Jeśli myślisz, iż Twoje pieniądze są bezpieczne, bo nie klikasz w podejrzane linki, jesteś w ogromnym błędzie. Przestępcy weszli na poziom, który do tej pory znaliśmy tylko z filmów science-fiction. Największy polski bank oraz eksperci od cyberbezpieczeństwa biją na alarm. Trwa zmasowany atak, w którym oszuści wykorzystują sztuczną inteligencję do preparowania dokumentów, a popularne serwisy muzyczne stają się pułapką. Jeden telefon lub niewinny e-mail o „błędzie płatności” może sprawić, iż Twoje oszczędności życia wyparują w mgnieniu oka.

Zdjęcie poglądowe. Fot. Warszawa w Pigułce

Scenariusz, który realizuje się właśnie na naszych oczach, przeraża swoją precyzją. To już nie są nieudolne SMS-y pisane łamaną polszczyzną „o dopłacie do paczki”. Teraz po drugiej stronie stoi zaawansowana technologia i bezwzględna inżynieria społeczna. PKO Bank Polski wydał pilne ostrzeżenie dotyczące metody „na legitymację”, w której oszuści posiłkują się grafikami generowanymi przez AI, by uśpić czujność ofiary. Z kolei CERT Polska ostrzega przed falą phishingu uderzającą w użytkowników serwisów streamingowych. Nikt nie jest bezpieczny.

Dzwoni telefon: „Ktoś wziął na Ciebie kredyt”. Początek koszmaru

Wyobraź sobie, iż odbierasz telefon. Głos w słuchawce brzmi profesjonalnie, a na ekranie wyświetla się numer, który wygląda na bankowy. Dowiadujesz się, iż na Twoje dane właśnie wpłynął wniosek o gigantyczną pożyczkę. Serce podchodzi Ci do gardła. Wpada panika. I dokładnie o to chodzi przestępcom.

Schemat, przed którym ostrzega PKO BP, jest wieloetapowy. Najpierw otrzymujesz informację o rzekomym zaciągnięciu pożyczki. Kiedy jesteś już przerażony, następuje drugi akt dramatu. Dzwoni kolejna osoba – „wybawiciel”. Przedstawia się jako pracownik banku, często z działu bezpieczeństwa, i oferuje pomoc w zabezpieczeniu Twoich środków przed złodziejami.

Współczesny klient jest jednak podejrzliwy. Wiemy, iż nie należy ufać nieznajomym. Oszuści o tym wiedzą, dlatego wyciągają asa z rękawa. Aby się uwiarygodnić, przesyłają Ci – SMS-em, mailem lub na komunikatorze – zdjęcie swojej legitymacji służbowej. Dokument wygląda perfekcyjnie: logo banku, zdjęcie pracownika, pieczątki. Problem w tym, iż to fałszywka stworzona przez sztuczną inteligencję.

AI preparuje dowody. Twoje oczy Cię oszukają

To jest ten moment, w którym większość ofiar traci czujność. PKO Bank Polski podkreśla w swoim komunikacie: oszuści wykorzystują narzędzia sztucznej inteligencji do tworzenia fałszywych legitymacji bankowych. Dzięki generatywnej AI stworzenie wiarygodnego wizerunku nieistniejącego pracownika i wklejenie go w szablon dokumentu trwa sekundy. Dla przeciętnego człowieka weryfikacja autentyczności takiej grafiki na ekranie telefona jest niemożliwa.

Gdy uwierzysz, iż rozmawiasz z prawdziwym pracownikiem, wpadasz w sidła. Fałszywy konsultant sugeruje zainstalowanie aplikacji, która rzekomo ma pomóc w „skanowaniu telefonu” lub „zabezpieczeniu konta”. W rzeczywistości są to aplikacje typu zdalny pulpit (remote desktop). Instalując je, oddajesz złodziejowi pełną kontrolę nad swoim urządzeniem. Widzi on wszystko, co robisz, łącznie z logowaniem do banku i kodami SMS.

Inny wariant to namowa do przelania pieniędzy na tzw. „konto techniczne”. Przestępca przekonuje, iż Twoje obecne konto jest „spalone” i środki muszą trafić do bezpiecznego sejfu. Oczywiście żadne „konta techniczne” dla klientów nie istnieją, a przelew trafia prosto do kieszeni złodziei.

Lubisz muzykę? Twoje dane są celem ataku

Zagrożenie nie płynie jednak tylko ze strony fałszywych bankowców. CERT Polska, zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci, wykrył nową, niebezpieczną kampanię phishingową wymierzoną w miłośników muzyki.

Przestępcy podszywają się pod jeden z najpopularniejszych serwisów streamingowych (np. Spotify, Apple Music czy Tidal). Mechanizm jest prosty, ale skuteczny. Dostajesz maila z informacją, iż wystąpiły problemy z płatnością za subskrypcję i konieczna jest aktualizacja metody płatności.

Wiadomość zawiera link, który prowadzi do fałszywej strony internetowej. Imituje ona panel logowania do serwisu niemal idealnie. jeżeli wpiszesz tam swoje dane logowania lub dane karty płatniczej, przekażesz je bezpośrednio w ręce cyberprzestępców. Pozyskane w ten sposób informacje mogą posłużyć do przejęcia Twojego konta w serwisie, a w przypadku użycia tego samego hasła w innych miejscach – także do włamania na pocztę czy do banku.

Bankowcy nigdy tego nie robią. Zapamiętaj raz na zawsze

W obliczu tak wyrafinowanych metod, PKO Bank Polski przypomina o żelaznych zasadach, których łamanie to proszenie się o tragedię. Przede wszystkim: pracownicy banku nigdy nie wysyłają zdjęć swoich legitymacji ani wizytówek SMS-em czy mailem. jeżeli otrzymasz taką grafikę, możesz być pewien na 100 procent – rozmawiasz z oszustem.

Ponadto prawdziwy pracownik banku nigdy nie poprosi Cię o:

• Podanie danych do logowania (loginu i hasła).
• Podanie kodu BLIK przez telefon.
• Podanie pełnych danych karty płatniczej.
• Zainstalowanie jakiejkolwiek aplikacji na Twoją prośbę.

Każda prośba tego typu powinna skutkować natychmiastowym rozłączeniem się i zgłoszeniem sprawy na infolinię banku.

Co to oznacza dla Ciebie? Twoja tarcza przeciwko oszustom

Zagrożenie jest realne i dotyczy każdego, kto posiada telefon i konto w banku. Oto co musisz zrobić, by nie stać się kolejną statystyką w policyjnych raportach:

• Weryfikuj w IKO: jeżeli jesteś klientem PKO BP, masz potężne narzędzie obrony. Gdy dzwoni do Ciebie pracownik banku, powiedz, iż chcesz go zweryfikować w aplikacji. W IKO otrzymasz powiadomienie push z danymi dzwoniącego. jeżeli dane na ekranie nie zgadzają się z tymi podanymi przez telefon – rozłącz się.
• Nie ufaj „legitymacjom”: Ignoruj wszelkie zdjęcia dokumentów przesyłane na telefon. To fotomontaże tworzone przez AI.
• Uważaj na maile od „Netflixa” czy „Spotify”: Zanim klikniesz w link o „błędzie płatności”, sprawdź dokładnie adres nadawcy. Najlepiej zaloguj się do serwisu samodzielnie, wpisując adres w przeglądarce, a nie klikając w link z maila.
• Zgłaszaj incydenty: Podejrzane wiadomości i strony możesz zgłaszać ekspertom z CERT Polska przez stronę incydent.cert.pl.
• Unikalne hasła: Stosuj różne hasła do różnych usług i włącz weryfikację dwuetapową (2FA) wszędzie, gdzie to możliwe.

Technologia daje nam wygodę, ale w rękach złodziei staje się bronią masowego rażenia. Jedyną skuteczną obroną pozostaje zasada ograniczonego zaufania i chłodna głowa. Nie daj się zastraszyć i nie działaj pod presją czasu.