Główne rodzaje systemów płatności mobilnych

1. Kody jednorazowe. Użytkownik generuje jednorazowy 6-cyfrowy kod w aplikacji banku. Wprowadza go w terminalu, bankomacie lub na stronie internetowej.
2. Płatności zbliżeniowe (NFC). Smartfon lub smartwatch z funkcją NFC (Near Field Communication) działa jak karta płatnicza. Wystarczy zbliżyć urządzenie do terminala.
3. Przelewy mobilne (np. na numer telefonu). Wysyłanie pieniędzy bez znajomości numeru konta – wystarczy numer telefonu. Odbiorca otrzymuje środki natychmiast, jeśli ma aktywną usługę.
4. Mobilne portfele elektroniczne (digital wallets). Aplikacje, które przechowują dane kart płatniczych i umożliwiają płatności w internecie lub offline. Obsługa wielu kart i kont z jednego miejsca.
5. Aplikacje bankowe z funkcją płatności. Wbudowane w aplikacje bankowe funkcje: płatności zbliżeniowych, przelewów. Połączone z rachunkiem bankowym.

Te rozwiązania są szybkie, wygodne i często bardziej bezpieczne, ponieważ dane są szyfrowane, a każda transakcja potwierdzana biometrycznie lub PIN-em. Niestety, ta wygoda przyciągnęła również cyberprzestępców, którzy nauczyli się wykorzystywać ten mechanizm do szybkiego wyłudzania pieniędzy.

Skala problemu jest alarmująca

Według danych Narodowego Banku Polskiego, tylko od stycznia do października 2024 roku banki odnotowały ponad 32 tys. przypadków oszustw finansowych, z czego znaczną część stanowiły przestępstwa z wykorzystaniem kodów płatności mobilnych. Eksperci szacują, że do końca roku liczba ta mogła wzrosnąć nawet do 50 tys. incydentów, a łączne straty finansowe ofiar przekroczyły 0,5 miliarda złotych.[1]

Z kolei Raport Antyfraudowy BIK 2024 wskazuje, że aż 23% skutecznych prób wyłudzeń dotyczyło wykorzystania kodów płatności mobilnych – to wzrost o 3 punkty procentowe względem roku 2023. [2]

Badania BIK potwierdzają, że ten rodzaj oszustwa należy do najpowszechniejszych i – niestety – skutecznych form wyłudzeń: prawie co czwarta próba kończy się oszustwem.[3]

Jak działają oszustwa z wykorzystaniem systemu płatności mobilnych? Schemat zazwyczaj jest prosty, ale bardzo skuteczny.

Cyberprzestępcy włamują się na konto ofiary w mediach społecznościowych i podszywają się pod nią. Najczęściej dzieje się to po kliknięciu w fałszywy link lub po przejęciu danych logowania np. przez zainfekowaną aplikację. Ofiara często nie zdaje sobie sprawy, że jej konto zostało przejęte. Następnie przestępcy kontaktują się z jej znajomymi, prosząc o szybką pomoc – najczęściej finansową. Typowe wiadomości to np.: „Jestem właśnie przy kasie i zapomniałem portfela”, „Muszę pilnie uregulować rachunek” albo „Prześlij mi tylko kod, oddam wieczorem”. Ufający nadawcy znajomy wykonuje prośbę, np. przesyła kod do płatności mobilnej (np. BLIK), dzięki czemu oszust natychmiast wypłaca pieniądze i urywa kontakt.

W innym wariancie przestępcy zamieszczają fałszywe ogłoszenia na platformach sprzedażowych. Kupujący proszony jest o przesłanie kodu „na rezerwację” lub „dla potwierdzenia”. Kod zostaje wykorzystany do wypłaty gotówki – zamówienie nigdy nie trafia do odbiorcy.

Oszuści wykorzystują też fałszywe wiadomości z różnych firm i instytucji (np. banku czy firmy kurierskiej). Rozsyłają SMS-y i maile o rzekomej blokadzie konta, zaległościach lub konieczności potwierdzenia transakcji. Kliknięcie w link prowadzi do fałszywej strony. Użytkownik, przekonany o konieczności zapłaty lub potwierdzenia tożsamości, podaje dane logowania lub dane karty. Te informacje są natychmiast wykorzystywane do kradzieży pieniędzy.

Kolejny sposób to telefon „z banku”. Oszuści podszywają się pod pracowników instytucji finansowych, twierdząc, że potrzebują kodu do „testów” lub „zatrzymania transakcji”. Ofiara przekazując kod nieświadomie umożliwia wypłatę pieniędzy.

W sklepach z aplikacjami (szczególnie spoza Google Play i App Store) pojawiają się fałszywe aplikacje bankowe lub finansowe, które zbierają dane użytkownika, hasła i kody autoryzacyjne. Często działają w tle, nie wzbudzając podejrzeń.

Jeszcze inną metodą jest manipulacja emocjonalna przez aplikacje randkowe. Oszuści działający w internecie coraz częściej podszywają się pod zakochanych, tworząc fałszywe profile i wyrafinowane historie, by wzbudzić zaufanie a potem proszą o pomoc: „nie mogę wypłacić pieniędzy, podeślij mi kod, jutro oddam” i wyłudzić pieniądze. Ofiara, zafascynowana rozmówcą, przesyła kod – i traci środki.

 Dlaczego to działa?

Bo oszuści operują na emocjach – wykorzystują presję czasu, chęć pomocy bliskim, zaufanie i brak chwili na refleksję. Coraz częściej używają też sztucznej inteligencji (AI), by personalizować wiadomości, naśladować sposób pisania, a nawet generować głosy i deepfake’i. AI umożliwia analizę informacji z social mediów, co czyni oszustwa jeszcze bardziej przekonującymi i trudniejszymi do wykrycia.

 

Jak się chronić?

• Zawsze weryfikuj prośby o kod do płatności mobilnej – zadzwoń do osoby proszącej o kod, zanim go wyślesz.
• Nie działaj impulsywnie – zatrzymaj się i pomyśl, nawet jeśli sytuacja wydaje się nagląca.
• Zabezpiecz konta – stosuj silne hasła i włącz uwierzytelnianie dwuskładnikowe (2FA) wszędzie tam, gdzie jest to możliwe.
• Czytaj komunikaty – przed zatwierdzeniem transakcji sprawdź kwotę, odbiorcę i lokalizację (np. adres bankomatu).
• Zachowaj ostrożność – nZawsze wpisuj adres ręcznie, gdy logujesz się do ważnej strony (bank, urząd, sklep).
• Korzystaj tylko z oficjalnych aplikacji – pobieraj aplikacje z Google Play lub App Store. Unikaj plików z nieznanych źródeł
• Regularnie aktualizuj oprogramowanie. Nowe wersje aplikacji często zawierają poprawki zabezpieczeń.

Co zrobić, jeśli padniesz ofiarą?

• Niezwłocznie skontaktuj się ze swoim bankiem, aby zablokować transakcję i zabezpieczyć konto.
• Zgłoś sprawę na policję – nawet jeśli nie uda się odzyskać pieniędzy, zgłoszenie pomoże innym i ułatwi ściganie sprawców.
• Zgłoś incydent do CERT Polska – incydent.cert.pl, a nietypowe wiadomości SMS zawierające link przekaż na bezpłatny numer 8080.
• Poinformuj znajomych, jeśli Twoje konto zostało przejęte – by nie padli ofiarą kolejnego oszustwa.

 

Systemy płatności mobilnych to ogromne ułatwienie, ale też nowe pole do działania dla przestępców. Kody jednorazowe, NFC, portfele cyfrowe czy aplikacje bankowe są bezpieczne – pod warunkiem, że użytkownik sam zachowa ostrożność. Nie udostępniaj danych, nie działaj impulsywnie, nie ufaj bez sprawdzania. To Twoje pieniądze – broń ich mądrze.

 

[1] rozwiazania-antyfraudowe.bik.pl, pb.pl

[2] Tamże

[3] media.bik.pl

 

Artykuł wyraża jedynie poglądy autorów i nie może być utożsamiany
z oficjalnym stanowiskiem Ministra Cyfryzacji.