Jak rozpoznać nawet najbardziej przekonujące oszustwo?

Wyobraź sobie, że otrzymujesz wiadomość e-mail. Jej nadawca zna Twoje imię, Twój adres i, co najbardziej przerażające, podaje hasło, którego faktycznie używasz. Twierdzi, że włamał się na Twój komputer i nagrał Cię przez kamerę. Domaga się zapłaty w bitcoinach. Masz na to 48 godzin.

Nowoczesne oszustwa nie wyglądają już jak nigeryjskie e-maile z literówkami i obietnicami przelania Ci milionów dolarów ze spadku. Są precyzyjne, personalizowane i zaprojektowane tak, aby wywołać panikę, zanim zdążysz na chłodno przeanalizować, co właśnie się stało.

Oto jak rozpoznać nawet najbardziej przekonujące oszustwo online.

Sextortion – gdy znają Twoje hasło

Jednym z najbardziej skutecznych oszustw ostatnich lat jest tzw. sextortion – e-mail z szantażem, którego nadawca twierdzi, że nagrał Cię przez kamerę internetową podczas oglądania treści dla dorosłych. Żąda zapłaty, grozi ujawnieniem nagrania rodzinie i znajomym.

To, co sprawia, że ta wiadomość wydaje się wiarygodna, to jedno zdanie: „Twoje hasło to XXXXXX”. I to rzeczywiście Twoje hasło – albo przynajmniej takie, którego używałeś w przeszłości.

Jak to możliwe, że cyberprzestępca wszedł w posiadanie Twojego hasła? Internetowi szantażyści kupują bazy skradzionych danych uwierzytelniających zawierające tysiące loginów i haseł dostępnych w darknecie. Później wysyłają masowe e-maile z hasłami przypisanymi do odpowiednich adresów.

Nikt Cię nie nagrywał. Nikt nie włamał się na Twój komputer. Jedyne, co mają, to wyciekłe hasło ze starego wycieku danych.

Jak się bronić przed sextorion?

  1. Sprawdź, czy Twoje dane były częścią wycieku na stronie haveibeenpwned.com.
  2. Zmień hasło wszędzie tam, gdzie wydaje Ci się, że było używane.
  3. Pod żadnym pozorem nie odpowiadaj na e-mail i nie płać.

Twój dom na zdjęciu z Google Maps

Nowy poziom personalizacji oszustwa online sięga dalej niż hasło. Cyberprzestępcy, korzystając z danych osobowych dostępnych w darknecie po wyciekach, wysyłają ofiarom e-maile zawierające zdjęcia ich prawdziwych domów pobrane z Google Street View – tworząc wrażenie, że naprawdę są obserwowani.

Wiadomość zawiera imię i nazwisko odbiorcy, numer telefonu, adres i groźbę w stylu: „Wiem, gdzie mieszkasz. Mogę do Ciebie przyjść”. Żądania okupu wzrosły z setek do tysięcy dolarów, a przestępcy ułatwiają płatność, dołączając kody QR prowadzące bezpośrednio do portfela kryptowalutowego.

To nie znaczy, że ktoś Cię śledzi. To znaczy, że Twoje dane wyciekły kiedyś z jakiegoś serwisu i trafiły do bazy sprzedawanej w darknecie. Widok własnego domu na ekranie sprawia, że zagrożenie nagle staje się realne i właśnie na to liczą oszuści.

Spersonalizowany phishing – gdy oszuści wiedzą za dużo

Klasyczny phishing, który zapewne kojarzysz sprzed paru lat, to e-mail od banku z prośbą o zmianę hasła, pisany łamaną polszczyzną z podejrzanym linkiem. Nikt już się na to nie nabiera.

Współczesny spear phishing to coś zupełnie innego. Narzędzia oparte na sztucznej inteligencji potrafią przeszukać publicznie dostępne informacje o danej osobie w mediach społecznościowych, LinkedInie, bazach wycieków i skomponować wiadomość, która brzmi jakby napisał ją ktoś, kto Cię zna.

E-mail może wspominać Twojego szefa z imienia, nawiązywać do projektu, nad którym pracujesz, albo udawać wiadomość od znajomego z prośbą o pilną pomoc. Raport KnowBe4 z 2025 roku wskazuje, że 82,6% analizowanych e-maili phishingowych zawierało elementy generowane przez AI.

Efekt jest taki, że wiadomości wyglądają profesjonalnie, są praktycznie bezbłędne i brzmią znajomo. Tradycyjne sygnały ostrzegawcze, które zdołały wyostrzyć Twoją spostrzegawczość przez ostatnie lata, czyli literówki, dziwna polszczyzna, podejrzany link – po prostu znikają.

Jak rozpoznać atak spear phishing?

  1. Sprawdź adres e-mail nadawcy znak po znaku (nie tylko wyświetlaną nazwę). Zwróć uwagę np. na to, czy literka „m” w adresie e-mail to w rzeczywistości nie „rn”.
  2. Jeśli prośba wydaje się pilna i dotyczy pieniędzy lub danych – zadzwoń do nadawcy bezpośrednio, używając numeru, który sam masz zapisany.

Deepfake – widzisz i słyszysz osobę, której tam nie ma

W 2024 roku pracownik firmy w Hongkongu dołączył do wideorozmowy z osobami, które wyglądały, jak kilku starszych współpracowników, w tym dyrektor finansowy. Ich wizerunki zostały jednak wygenerowane przez AI. Wierząc, że instrukcje są prawdziwe, autoryzował przelew w wysokości 25 milionów dolarów.

Klonowanie głosu i deepfake wideo to już nie science fiction. AI może sklonować głos na podstawie kilku sekund nagrania i wygenerować wideo w czasie rzeczywistym. W oszustwach skierowanych do zwykłych użytkowników najczęściej pojawia się wariant głosowy: „dzwoni” syn, córka lub wnuk z informacją, że jest w niebezpieczeństwie i natychmiast potrzebuje pieniędzy.

Jak rozpoznać deepfake?

  1. Ustal z bliskimi „hasło bezpieczeństwa” – sekretne słowo, którego możesz użyć do weryfikacji w podejrzanej sytuacji.
  2. Przy każdej pilnej prośbie o pieniądze rozłącz się i oddzwoń na znany Ci numer.

Co łączy wszystkie te oszustwa?

Niezależnie od formy, mechanizm oszustw jest zawsze ten sam: wywołać strach lub poczucie pilności, zanim ofiara zdąży się zatrzymać i pomyśleć.

Oto kilka zasad, o których warto pamiętać, aby się chronić:

  1. Nie reaguj pod wpływem emocji. Celem oszusta jest wywołanie w Tobie uczucia paniki. Zanim zareagujesz – zatrzymaj się, odejdź od komputera, porozmawiaj z kimś bliskim.
  2. Zweryfikuj wiadomość innym kanałem. Jeśli ktoś napisał do Ciebie e-mailem z pilną prośbą, zadzwoń pod numer, który sam masz w kontaktach – nie pod ten podany w wiadomości.
  3. Używaj unikalnych haseł i menedżera haseł. Jeśli każde konto ma inne hasło, wyciek z jednego serwisu nie daje dostępu do reszty.
  4. Sprawdzaj swoje dane w internecie. Serwisy takie jak haveibeenpwned.com informują, czy Twoje dane były częścią wycieku.
  5. Ogranicz to, co publikujesz o sobie. Im więcej informacji jest publicznie dostępnych – adres, zdjęcia domu, miejsce pracy, imiona bliskich – tym łatwiej skonstruować wiarygodne, spersonalizowane oszustwo.
  6. Wybierz VPN z najlepszym stosunkiem jakości do ceny i korzystaj z niego szczególnie w publicznych sieciach Wi-Fi. VPN szyfruje Twój ruch i utrudnia śledzenie Twojej aktywności przez osoby trzecie, zmniejszając ryzyko, że Twoje dane trafią do bazy wykorzystywanej przez oszustów.

Najskuteczniejsza ochrona przed oszustwem to wiedza i chwila zatrzymania, zanim klikniesz. Lepiej dmuchać na zimne i sprawdzić dwa razy, niż działać pod wpływem emocji.