Dlaczego to ważne?
Oszustwa na BLIK, „na kuriera”, „na dopłatę”, a ostatnio także z użyciem generatywnej AI, są w Polsce na rekordowym poziomie. Tylko we wrześniu 2025 r. CSIRT NASK zarejestrował 26,4 tys. incydentów bezpieczeństwa (57,3 tys. zgłoszeń) – ogromna część to phishing i wyłudzenia danych bankowych. CERT i policja ostrzegają przed kampaniami podszywającymi się pod BLIK (SMS/e-maile o „blokadzie BLIK” i link do „odblokowania”), których celem jest wyłudzenie danych i kodów.
Dla kogo jest ten poradnik?
Dla każdego, kto używa bankowości mobilnej w PL (BLIK), sprzedaje/kupuje na marketplace’ach, korzysta z Messengera/WhatsAppa czy e-maila.
Checklista, która pomoże zwiększyć bezpieczeństwo:
- Włącz powiadomienia push i biometrię w aplikacji banku.
- Ustaw dzienne limity BLIK (wypłaty, przelewy na telefon) jak najniżej.
- Wyłącz BLIK na kontach używanych rzadko / na urządzeniach, których nie kontrolujesz.
- Nigdy nie wpisuj loginu/hasła przez link z SMS/e-maila. Zawsze wchodź do banku z aplikacji lub wpisując adres ręcznie.
- Nie podawaj kodów BLIK „na prośbę znajomego” (Messenger/WhatsApp). Zadzwoń i potwierdź tożsamość.
- Po incydencie: natychmiast zastrzeż dostęp, zgłoś do banku (reklamacja), na policję i do CERT Polska (szablony dalej).
Jak wygląda obecnie atak „na BLIK” (2025)?
Wariant A: „Blokada BLIK / konieczna weryfikacja” (SMS/e-mail)
– Dostajesz wiadomość „od BLIK” o blokadzie i link do „odblokowania”. Po kliknięciu trafiasz na fałszywą stronę i podajesz dane/kody. To klasyczny phishing – nazwa nadawcy może wyglądać wiarygodnie.
Wariant B: „Na znajomego” (Messenger/WhatsApp)
– Ktoś przejmuje konto Twojego znajomego i prosi o kod BLIK „na szybko”. Dołącza presję czasu, często błędną polszczyznę / nienaturalne frazy. (Ostrzeżenia regularnie publikują policja i media lokalne).
Wariant C: AI deepfake (głos/wideo)
– Podszycie głosowe/wideo z prośbą o „zweryfikowanie płatności”. Policja notuje dynamiczny wzrost takich przypadków w 2025 r.
Ustawienia w aplikacji banku: „hardening” w 7 minut
Cel: ograniczamy skutki ewentualnego ataku i szybciej go wykrywamy.
- Włącz biometrię (Face/Touch ID) i blokadę aplikacji hasłem/PIN-em.
- Włącz powiadomienia push dla wszystkich transakcji (BLIK, przelewy, logowania).
Ustaw niskie limity dzienne:
- BLIK wypłata z bankomatu: 0 zł (jeśli nie używasz) lub symbolicznie.
- BLIK płatności i przelewy na telefon: np. 100–300 zł dziennie (zależnie od potrzeb).
- Osobny limit dla „szybkich przelewów” (natychmiastowe/Express Elixir).
- Włącz konieczność potwierdzania transakcji biometrią lub PIN-em (nawet dla BLIK).
- Wyłącz BLIK na kontach/urządzeniach używanych sporadycznie.
- Zdefiniuj „zaufane urządzenie” – i usuń stare/nieznane z listy.
- Włącz listę zaufanych odbiorców – transakcje poza listą wymagają dodatkowego potwierdzenia.
Tip: większość banków oferuje te ustawienia w sekcji Ustawienia → Bezpieczeństwo lub BLIK/Przelewy. Warto też przejrzeć logi: „ostatnie logowania/zdarzenia”.
10 czerwonych flag — jak rozpoznać oszustwo w 5 sekund
1. SMS/e-mail o „blokadzie BLIK” z linkiem „odblokuj teraz”. (CERT ostrzega przed takimi kampaniami).
2. Link do „panelu bezpieczeństwa” pisany dziwną domeną (jedna litera różnicy).
3. Wiadomość „od znajomego”, który nagle prosi o kod BLIK.
4. Presja czasu: „tylko dziś / zaraz zniknie”.
5. Błędy językowe, podejrzane załączniki.
6. Prośba o login/hasło/PESEL/kod SMS/kod BLIK poza aplikacją banku.
7. „Konsultant” każe zainstalować aplikację do zdalnego pulpitu.
8. Nietypowe prośby od „banku” poza oficjalnym kanałem.
9. Brak kłódki HTTPS albo ostrzeżenia przeglądarki.
10. Żądanie tajemnicy: „nie mów nikomu, to pilna weryfikacja”.
Co zrobić, jeśli już podałeś(aś) dane lub kod BLIK?
Krok po kroku (kolejność ma znaczenie):
- Natychmiast blokuj dostęp / karty / BLIK w aplikacji banku lub na infolinii.
- Zmień hasło do bankowości i e-maila (jeśli to samo hasło gdzieś indziej – zmień wszędzie).
- Złóż reklamację w banku (wymagaj trybu D+1 dla rozliczenia nieautoryzowanej transakcji – temat głośny w 2025 r., spór UOKiK – banki).
- Zgłoś sprawę na policję (weź potwierdzenie przyjęcia zawiadomienia).
- Zgłoś incydent do CERT Polska / CSIRT NASK – pomaga to blokować fałszywe strony/kampanie.
- Zabezpiecz dowody: zrzuty ekranu, nagłówki e-mail, numery, linki, historia połączeń.
- Poinformuj znajomych/rodzinę – jeśli to był atak „na znajomego”, oszust mógł pisać do innych.
Szablony do pobrania (kopiuj-wklej)
Reklamacja do banku – nieautoryzowana transakcja
Temat: Reklamacja – nieautoryzowana transakcja BLIK z dnia [data]
Treść:
Szanowni Państwo,
w dniu [data] stwierdziłem(am) transakcję BLIK na kwotę [kwota], której nie autoryzowałem(am) świadomie. Zwracam się o niezwłoczny zwrot środków zgodnie z art. 46 ustawy o usługach płatniczych (zasada D+1) oraz o wszczęcie procedury wyjaśniającej. W załączeniu przekazuję dowody (zrzuty ekranu, wiadomości, potwierdzenia).
Pozdrawiam,
[Imię i nazwisko], [nr rachunku], [telefon], [e-mail]
Uwaga: kwestia automatycznych zwrotów i praktyki banków jest przedmiotem głośnej dyskusji regulacyjnej (UOKiK vs. banki) – w reklamacji warto powołać się na ten kontekst.
Zawiadomienie o przestępstwie – policja/prokuratura
Tytuł: Zawiadomienie o podejrzeniu popełnienia przestępstwa (oszustwo teleinformatyczne)
Treść:
Dnia [data] otrzymałem(am) [SMS/e-mail/wiadomość w komunikatorze] podszywającą się pod [BLIK/bank/znajomego]. W wyniku socjotechniki sprawca wyłudził [kody BLIK/dane], co skutkowało utratą [kwota]. Wnoszę o wszczęcie postępowania i zabezpieczenie danych (rachunki docelowe, adresy IP, numery telefonów). Załączam dowody.
Zgłoszenie do CERT Polska / CSIRT NASK
Opis incydentu:
Data i godzina, kanał (SMS/e-mail/komunikator), treść wiadomości, link, dane nadawcy, co kliknięto/co wpisano, straty, zrzuty ekranu, nagłówki e-mail.
Prośba: blokada domeny/fake strony, ostrzeżenie publiczne.
Bezpieczna konfiguracja marketplace’ów i komunikatorów
Allegro/OLX/Vinted:
– Nigdy nie „weryfikuj płatności” poza oficjalnym panelem; nie podawaj danych karty/PESEL.
– Wyłącz przekierowania na zewnętrzne linki w rozmowach (jeśli to możliwe).
Messenger/WhatsApp:
– Włącz 2FA na Facebooku/Instagramie.
– Jeżeli ktoś prosi o pieniądze — zadzwoń do niego, zanim cokolwiek zrobisz.
– Zgłaszaj konta wysyłające masowo linki.
Edukacja w firmie i w domu: darmowe materiały
CERT Polska – seria OUCH! (prosty, cykliczny zestaw porad bezpieczeństwa do wydrukowania/rozsyłki).
Lista ostrzeżeń KNF – sprawdzisz, czy dany „pośrednik” działa legalnie.
Śledzenie stron internetowych poświęconych bezpieczeństwu, np. niebezpiecznik.pl lub sekurak.pl
FAQ — najczęstsze pytania
Czy bank musi oddać pieniądze po oszustwie BLIK?
To zależy od kwalifikacji transakcji (autoryzowana/nieautoryzowana) i oceny należytej staranności. W 2025 r. trwa spór o praktyki banków przy zwrotach; UOKiK oczekuje wypłat „z automatu” w terminie D+1 dla konsumentów, banki się odwołują. Dokumentuj wszystko i składaj reklamację.
Czy link z „nadpisu BLIK” w SMS może być prawdziwy?
Nadpis można sfałszować. Nigdy nie klikaj – wejdź do banku z aplikacji lub wpisz adres ręcznie. (CERT ostrzegał przed taką kampanią).
Mam firmę — czy limity BLIK mają sens?
Tak. Ustaw wyższe limity tylko na koncie firmowym i rozważ oddzielny telefon do bankowości + MDM/antywirus mobilny.
Zalecamy zrobienie 7-minutowego przeglądu bezpieczeństwa w aplikacji banku (biometria, powiadomienia, limity, lista urządzeń).
Udostępnij ten poradnik rodzinie i w pracy — to może realnie zmniejszyć ryzyko utraty środków.