Pieniądze z konta znikają błyskawicznie. Przyłożyli kartę do telefonu i stracili wszystko

Wystarczyło kilka minut, jedno kliknięcie w link i jeden telefon. Przestępcy opróżnili konta setek Polaków, nie ruszając się z miejsca. CERT Polska ostrzega przed nową falą oszustw, które wykorzystują technologię płatności zbliżeniowych.

Grafika poglądowa (generowana automatycznie przy użyciu Gemini)

Telefon od „pracownika” banku. Klasyczny początek. Potem robi się ciekawie

CERT Polska, rządowy zespół reagowania na incydenty bezpieczeństwa komputerowego, zaobserwował w ostatnich miesiącach nowe próbki złośliwego systemu wymierzonego w klientów polskich banków. Mechanizm oszustwa jest prosty, ale skuteczny – przestępcy nie muszą choćby kraść fizycznej karty płatniczej, żeby wypłacić gotówkę z bankomatu.

Wszystko zaczyna się od wiadomości. Email lub SMS informuje o rzekomym problemie technicznym w banku, incydencie bezpieczeństwa lub konieczności pilnej weryfikacji konta. Wiadomość wygląda profesjonalnie, zawiera logo banku, odpowiednie kolory, czasem choćby stopkę z numerami kontaktowymi. Link prowadzi na stronę, która nakłania do instalacji aplikacji na Androida.

Kluczowy moment nadchodzi kilka minut później. Dzwoni „pracownik banku” – uprzejmy, konkretny, znający niektóre dane klienta. Prosi o potwierdzenie tożsamości i uwiarygodnia instalację aplikacji. Ofiara często dostaje też SMS z potwierdzeniem, iż dzwoni rzeczywiście przedstawiciel banku. Wszystko wydaje się legalne.

Przyłóż kartę, wpisz PIN. To zajmie minutę

Zainstalowana aplikacja wygląda jak prawdziwa apka bankowa. Po otwarciu użytkownik widzi ekran z prośbą o weryfikację karty płatniczej. Instrukcja jest prosta – przyłóż kartę do tyłu telefonu, jakbyś płacił w sklepie, a następnie wpisz PIN na klawiaturze. To wszystko. Cała operacja trwa dosłownie minutę.

W tym momencie telefon zamienia się w czytnik kart. Aplikacja przechwytuje te same dane, które normalnie przepływają między kartą a terminalem w sklepie lub bankomatem – numer karty, datę ważności, identyfikatory bezpieczeństwa. Dodatkowo zapisuje wpisany przez ofiarę kod PIN. Wszystkie te informacje natychmiast trafiają przez internet do przestępcy.

CERT Polska wykrył, iż złośliwe oprogramowanie łączy się z serwerem pod adresem 91.84.97.13 na porcie 5653. To tam przesyłane są wszystkie przechwycone dane. Przestępca może znajdować się w dowolnym miejscu na świecie – przy bankomacie w Warszawie stoi jego wspólnik z urządzeniem, które odtwarza przesłane dane karty.

Bankomat myśli, iż to prawdziwa karta

Mechanizm oszustwa wykorzystuje technologię płatności zbliżeniowych NFC, którą większość Polaków używa na co dzień. Przestępca przy bankomacie ma specjalne urządzenie, które odbiera dane przesłane z telefonu ofiary i odtwarza je tak, jakby to była prawdziwa karta. Bankomat nie widzi różnicy – otrzymuje poprawne dane karty i poprawny PIN.

Wypłata następuje w ciągu kilku minut od momentu, gdy ofiara przyłożyła kartę do telefonu. Czasem jest to kilka tysięcy złotych, czasem cały dostępny limit dzienny. Wszystko dzieje się automatycznie, bez żadnego opóźnienia. Ofiara zwykle dowiaduje się o kradzieży dopiero po otrzymaniu SMS-a z banku o wypłacie lub gdy sprawdzi saldo w aplikacji.

Santander zablokował, policja przyjęła 200 zgłoszeń

Skala problemu jest poważna. Santander Bank Polska poinformował, iż jego monitoring wykrył przestępcze transakcje przy użyciu kart płatniczych klientów. Bank wdrożył rozwiązania, które uniemożliwiły przestępcom dalsze działania, a skradzione środki zwrócił automatycznie wszystkim poszkodowanym. Klienci nie musieli choćby składać reklamacji.

Policja przyjęła około 200 zgłoszeń w tej sprawie. To tylko oficjalne dane – prawdopodobnie część osób choćby nie zgłosiła oszustwa lub nie wie jeszcze, iż padła ofiarą. Analiza CERT Polska pokazuje, iż ataki wymierzone były w klientów różnych polskich banków, w tym Spółdzielczej Grupy Bankowej, PKO Banku Polskiego i ING.

Nie tylko Polska. Europa też pod ostrzałem

Złośliwe oprogramowanie NGate, jak nazwali je specjaliści, nie jest polskim wynalazkiem. Podobne ataki odnotowano w Czechach, na Węgrzech, w Niemczech, Rosji i Gruzji. Metoda została opracowana na podstawie odkrycia studentów Uniwersytetu Technicznego w Darmstadt, którzy nauczyli się przechwytywać i przekierowywać sygnał NFC z urządzeń mobilnych. Niestety technologia gwałtownie trafiła w ręce przestępców.

Według danych firmy ESET, która zajmuje się bezpieczeństwem cyfrowym, w pierwszym półroczu 2025 roku odnotowano 35-krotny wzrost oszustw opartych o moduły NFC w porównaniu do drugiego półrocza 2024 roku. To pokazuje skalę zagrożenia – przestępcy masowo przechodzą na tę metodę, bo jest skuteczna i trudna do wykrycia.

Dwie zasady, które cię uratują

CERT Polska podaje dwie fundamentalne zasady obrony przed tego typu oszustwami. Pierwsza – pobieraj aplikacje bankowe wyłącznie z oficjalnych sklepów, czyli Google Play Store lub App Store. jeżeli bank prosi o zainstalowanie aplikacji z innego źródła, to oszustwo. Bez wyjątków.

Druga zasada pozostało prostsza – jeśli dzwoni do ciebie bank i informuje o problemie, rozłącz się i oddzwoń na oficjalny numer. Nie na ten, który podał rozmówca. Na numer z karty płatniczej, ze strony banku lub z umowy. Ta metoda w 100 proc. weryfikuje prawdziwość połączenia. Prawdziwy pracownik banku nigdy nie będzie miał problemu z tym, żebyś oddzwonił.

Warto też pamiętać, iż żaden bank nigdy nie poprosi o przyłożenie karty do telefonu w celu weryfikacji. To nie ma sensu technicznego – bank już zna dane twojej karty, wydał ją przecież. Prośba o takie działanie to czerwona lampka, która powinna od razu wzbudzić podejrzenia.

Dlaczego ludzie się nabierają?

Oszustwo działa, bo wykorzystuje presję czasu i autorytet. Przestępca tworzy sytuację pilności – twoje konto jest zagrożone, musisz działać natychmiast, inaczej stracisz dostęp do pieniędzy. Ludzie w stresie podejmują gorsze decyzje, nie zastanawiają się, działają automatycznie. Dodatkowo rozmówca brzmi profesjonalnie, zna niektóre dane, co buduje zaufanie.

Drugi czynnik to technologia. Większość osób korzysta z płatności zbliżeniowych na co dzień, więc przyłożenie karty do telefonu wydaje się normalnym działaniem. NFC to bezpieczna technologia, jeżeli używa się jej zgodnie z przeznaczeniem. Problem zaczyna się, gdy złośliwa aplikacja przechwytuje dane podczas tej operacji.

Eksperci CERT Polska podkreślają, iż aplikacja jest bardzo zaawansowana technicznie. Konfiguracja jest zaszyfrowana, klucz do odszyfrowania pochodzi z certyfikatu podpisującego aplikację, co utrudnia analizę. Dla przeciętnego użytkownika wygląda jak normalna aplikacja bankowa – ma odpowiednią ikonę, ekrany logowania, interfejs zbliżony do prawdziwego.

Co zrobić, jeżeli padłeś ofiarą?

Jeśli podejrzewasz, iż zainstalowałeś złośliwą aplikację i przyłożyłeś kartę do telefonu, działaj natychmiast. Pierwsza rzecz – zadzwoń do banku na oficjalny numer i zablokuj kartę. Im szybciej to zrobisz, tym większa szansa, iż przestępcy nie zdążą wypłacić pieniędzy. Banki mają systemy monitoringu, które mogą zatrzymać podejrzane transakcje, ale muszą wiedzieć, iż karta została skompromitowana.

Następnie odinstaluj podejrzaną aplikację i zresetuj telefon do ustawień fabrycznych. Złośliwe oprogramowanie może działać w tle choćby po odinstalowaniu widocznej aplikacji. Reset to jedyny sposób, żeby mieć pewność, iż telefon jest czysty. Pamiętaj o zrobieniu kopii zapasowej ważnych danych przed resetem.

Zgłoś sprawę na policję. choćby jeżeli bank zwróci pieniądze, zgłoszenie pomoże organom ścigania w tropieniu przestępców. Im więcej zgłoszeń, tym większa szansa na rozbicie grupy oszustów. Santander automatycznie zwrócił środki poszkodowanym klientom, ale nie każdy bank ma taką politykę – warto mieć oficjalne zgłoszenie jako zabezpieczenie.