Czekasz na kuriera? Dostałeś SMS? W ten sposób wyczyszczą konto do zera

Świąteczna gorączka sięga zenitu. Siedzisz przy stole, ale myślami jesteś przy tej jednej paczce, która wciąż nie dotarła. Może to prezent dla dziecka, może sukienka na Sylwestra. Nerwowo sprawdzasz status śledzenia. Wtem – dźwięk powiadomienia w telefonie. Zerkasz na ekran. SMS od „Kurier”: „Twoja paczka nr PL3920… została wstrzymana z powodu niedopłaty. Prosimy uregulować należność 2,50 PLN, aby wznowić dostawę. Link ważny 24h”. Oddychasz z ulgą. To tylko dwa złote pięćdziesiąt groszy! Pewnie paczka była za ciężka albo zmienił się cennik. Bez zastanowienia klikasz w link, wybierasz ikonę swojego banku, logujesz się, zatwierdzasz kodem SMS… i właśnie w tym momencie tracisz oszczędności całego życia. W 2026 roku cyberprzestępcy nie włamują się do banków w kominiarkach. Włamują się do twojej głowy, wykorzystując twój pośpiech i stres.

Mechanizm oszustwa „na dopłatę” jest stary jak e-commerce, ale jego skuteczność wciąż poraża. Dlaczego? Bo opiera się na najprostszych instynktach: lęku przed stratą (paczka wróci do nadawcy) i bagatelizowaniu małych kwot. Gdyby oszust poprosił cię w SMS-ie o przelew 500 złotych, zapaliłaby ci się czerwona lampka. Ale 2,50 zł? Lub 4,99 zł za „dezynfekcję paczki”? To kwota, którą wydajemy na bułkę. Nasz mózg kategoryzuje ją jako „nieistotną”. W świątecznym chaosie, gdy czekamy na 5 różnych przesyłek, łatwo uznać, że „pewnie coś pomyliłam przy zamówieniu”. To właśnie na ten moment nieuwagi czekają złodzieje. W 2026 roku ich ataki są dopracowane do perfekcji. Strony, na które trafiasz po kliknięciu w link (np. „https://www.google.com/search?q=inpost-doplata-szybka.com” zamiast „inpost.pl”), są wiernymi kopiami prawdziwych bramek płatniczych (PayU, Przelewy24, BLIK). Mają kłódkę przy adresie (co nic nie znaczy!), mają logo operatora, a nawet chatbota, który „pomaga” w płatności.

Fałszywa bramka – jak działa cyfrowy włam?

Co dzieje się, gdy klikasz w link z SMS-a? Trafiasz na stronę, która wygląda jak panel logowania do twojego banku. Wpisujesz login i hasło. W tym momencie przestępca, siedzący często na drugim końcu świata (lub w zautomatyzowanym centrum oszustw), otrzymuje te dane w czasie rzeczywistym. Ale to za mało, by ukraść pieniądze. Potrzebuje jeszcze drugiego składnika autoryzacji (2FA). Dlatego na twoim ekranie pojawia się komunikat: „Wprowadź kod SMS, aby potwierdzić dopłatę 2,50 zł”. W tym samym czasie na twój telefon przychodzi PRAWDZIWY SMS z banku. I tu następuje kluczowy moment, w którym 90% ofiar popełnia błąd. Nie czytamy treści SMS-a z banku. Patrzymy tylko na kod cyfrowy. Gdybyśmy przeczytali, zobaczylibyśmy: „Kod autoryzacyjny do zdefiniowania zaufanego odbiorcy” albo „Kod do zmiany limitów transakcyjnych”, a nie „Kod do przelewu 2,50 zł”. Wpisując ten kod na fałszywej stronie, dajesz złodziejowi klucz do skarbca. On nie przelewa sobie 2,50 zł. On właśnie dodał swoje konto jako „zaufane” i w ciągu kilku minut wyczyści twój rachunek do zera, nie potrzebując już żadnych dodatkowych kodów.

Złodziej, który dzwoni i… mówi głosem pracownika banku

Rok 2026 przyniósł nową, przerażającą modyfikację tego oszustwa: vishing połączony ze spoofingiem. Załóżmy, że kliknąłeś w link, ale w ostatniej chwili się zawahałeś i zamknąłeś stronę. Myślisz, że jesteś bezpieczny? Niekoniecznie. Złodzieje widzą, że zacząłeś wpisywać dane, ale przerwałeś. Za 15 minut dzwoni twój telefon. Na ekranie wyświetla się napis: „Infolinia Banku PKO BP” lub „mBank – Bezpieczeństwo”. Odbierasz. W słuchawce słyszysz profesjonalny, spokojny głos: „Dzień dobry, z tej strony starszy specjalista ds. bezpieczeństwa, Jan Kowalski. Nasz system odnotował próbę logowania z nietypowej lokalizacji oraz podejrzany link z SMS-a. Czy potwierdza pani te działania?”. Wpadasz w panikę. „Nie! To oszustwo!”. „Spokojnie, proszę pani. Zablokowaliśmy ten ruch. Ale pieniądze są zagrożone. Musimy przelać je na techniczny rachunek rezerwowy, aby je ochronić przed hakerami”. To jest pułapka psychologiczna. Oszust (często wspierany przez modulator głosu AI) buduje w tobie poczucie zagrożenia, a potem oferuje „ratunek”. Każe ci zainstalować aplikację (np. AnyDesk, TeamViewer) do „zdalnej pomocy” lub samemu wykonać przelew na „bezpieczne konto”. Ofiary, przekonane, że rozmawiają z bankiem (bo przecież numer telefonu się zgadzał!), przelewają po 50, 100 tysięcy złotych prosto w ręce przestępców.

Kredyt w 5 minut – kradzież na „słupa”

Często na koncie nie mamy milionów. Może tam być 500 złotych do wypłaty. Czy wtedy oszust odpuszcza? Skądże. Mając dostęp do twojego konta bankowego, przestępca ma dostęp do twojej zdolności kredytowej. Większość banków oferuje „kredyt na klik” dostępny w 3 minuty. Złodziej, będąc zalogowanym jako ty, składa wniosek o kredyt gotówkowy na 20, 30, a nawet 50 tysięcy złotych. System bankowy przyznaje go automatycznie. Pieniądze lądują na koncie. Chwilę później znikają przelane na konta kryptowalutowe lub wypłacone BLIK-iem w bankomacie. Budzisz się rano nie tylko bez pieniędzy na życie, ale z gigantycznym długiem, który bank każe ci spłacać. Argument banku będzie brutalny: „Pożyczka została wzięta po poprawnym logowaniu i autoryzacji. To pani wzięła kredyt”.

Bank umywa ręce – „Rażące niedbalstwo”

Największym dramatem ofiar phishingu (oszustwa na link) jest to, że odzyskanie pieniędzy od banku jest drogą przez mękę. Zgodnie z prawem, bank musi zwrócić środki ukradzione z konta (nieautoryzowane transakcje) w ciągu 24h, CHYBA ŻE… klient dopuścił się rażącego niedbalstwa. Prawnicy bankowi bezlitośnie wykorzystują ten zapis. „Klientka sama podała dane logowania na fałszywej stronie. Klientka sama podała kod SMS, ignorując jego treść. To jest rażące niedbalstwo”. Sądy coraz częściej przyznają rację bankom. Uznają, że w 2026 roku, przy tylu kampaniach ostrzegawczych, klikanie w linki z SMS-ów i podawanie haseł jest zachowaniem skrajnie nieodpowiedzialnym. Zostajesz sama. Bez pieniędzy, z kredytem i z poczuciem winy, które niszczy psychicznie.

Plaga fałszywych e-maili i kodów QR

Oszustwo ewoluuje. Dziś to nie tylko SMS. W skrzynkach mailowych lądują wiadomości z perfekcyjną grafiką firm kurierskich. „Twoja paczka utknęła w terminalu celnym”. „Błędny adres doręczenia – zaktualizuj dane”. W treści jest kod QR. Skanujesz go telefonem (bo tak jest wygodnie) i… lądujesz na tej samej fałszywej stronie płatności. Skanowanie kodów QR z nieznanych źródeł to nowa zmora cyberbezpieczeństwa. Kod QR jest nieczytelny dla oka ludzkiego – nie widzisz, jaki adres URL się pod nim kryje, dopóki go nie klikniesz. A wtedy może być już za późno, bo na telefonie w tle zainstaluje się złośliwe oprogramowanie (malware), które będzie wykradać hasła.

Wigilia to czas dawania prezentów, ale nie dajmy prezentu złodziejom. Twoje 2,50 zł dopłaty to przynęta. Nie połykaj haczyka. Lepiej, żeby paczka wróciła do nadawcy, niż żebyś ty została z pustym kontem na Nowy Rok.