BLIK to polski system płatności mobilnych, który pozwala płacić i wypłacać gotówkę za pomocą jednorazowego, sześciocyfrowego kodu generowanego w aplikacji bankowej. Kod jest ważny tylko kilka minut i z założenia ma zwiększać bezpieczeństwo, bo nie wymaga podawania danych karty czy logowania na komputerze.
Standardowy scenariusz wygląda tak: logujesz się do aplikacji swojego banku, klikasz w ikonę BLIK, generujesz kod, wpisujesz go na terminalu, w internecie lub bankomacie, a następnie potwierdzasz operację w aplikacji. Za każdym razem widzisz szczegóły transakcji, kwotę oraz – przy przelewach na telefon – nazwę odbiorcy.
Mechanizm został zaprojektowany bezpiecznie, ale cały system ma jedno słabe ogniwo: człowieka. Oszuści nie atakują zwykle samej technologii, tylko próbują skłonić użytkownika, by sam wygenerował kod BLIK, podał go przestępcy i jeszcze potwierdził transakcję w swoim banku. To klasyczny przykład tzw. ataku socjotechnicznego.
Dlaczego BLIK przyciąga przestępców
BLIK jest wygodny, szybki i powszechny – dokładnie z tych samych powodów jest atrakcyjny dla oszustów. Coraz więcej osób płaci telefonem, korzysta z przelewów na numer telefonu i wypłaca gotówkę bez karty. Dla przestępców to sygnał: im więcej użytkowników, tym większa szansa, że ktoś da się nabrać.
Jednorazowy kod BLIK działa natychmiast. Oszust, który zdobędzie kod i nakłoni ofiarę do potwierdzenia transakcji, może w ciągu kilkudziesięciu sekund wypłacić pieniądze z bankomatu, zanim ktokolwiek zdąży zareagować. To sprawia, że czas na reakcję jest bardzo ograniczony, a każda minuta zwłoki działa na korzyść przestępcy.
Dodatkowo BLIK świetnie łączy się z innymi formami cyberprzestępczości: przejętymi kontami w mediach społecznościowych, fałszywymi sklepami internetowymi czy podszywaniem się pod kurierów, urzędy i banki. Dzięki temu oszuści tworzą bardzo wiarygodne scenariusze, w których kod BLIK jest tylko jednym z elementów układanki.
Najważniejsza zasada bezpieczeństwa BLIK
Jeżeli trzeba wskazać jedną nadrzędną zasadę bezpiecznego korzystania z BLIK, brzmi ona tak: nigdy nie wpisuj kodu BLIK „dla kogoś” ani nie potwierdzaj transakcji, której nie rozumiesz od A do Z. Żaden bank, kurier, policjant, „support” z Facebooka czy Allegro nie ma prawa prosić cię o wygenerowanie i podanie kodu BLIK w rozmowie, mailu czy komunikatorze.
Każda prośba o kod BLIK pochodząca od osoby trzeciej powinna zapalić czerwone światło. Kod służy tobie do zapłacenia w sklepie, internecie lub do wypłaty w bankomacie, a nie do „uwierzytelniania konta”, „opłaty 1 zł za weryfikację”, „blokady komornika” czy „odblokowania paczki”. W dalszej części artykułu opisane są najczęstsze oszustwa oraz szczegółowe kroki, jak reagować natychmiast, gdy coś pójdzie nie tak.
Najczęstsze scenariusze oszustw na BLIK
Oszustwo na „znajomego” w komunikatorze
Jedna z najpopularniejszych metod to oszustwo polegające na przejęciu konta na Facebooku, Messengerze, Instagramie czy innym komunikatorze. Przestępca loguje się na cudze konto (np. po włamaniu lub dzięki wyciekowi hasła), po czym zaczyna masowo pisać do znajomych ofiary z prośbą o „pilną pożyczkę na BLIK”.
Scenariusz zwykle wygląda podobnie:
Otrzymujesz wiadomość od znajomego z prośbą o szybką pomoc finansową.
Uzasadnienie bywa różne: „zablokowała mi się karta”, „jestem przy kasie i brakuje mi 100 zł”, „nie mogę się zalogować do banku”, „potrzebuję na pilne leki”.
Nadawca naciska na pośpiech i proponuje: „wygeneruj mi BLIK, oddam ci jutro/przeleję od razu na konto”.
Po otrzymaniu kodu przestępca natychmiast wypłaca pieniądze z bankomatu i znika.
W tym schemacie największym zagrożeniem jest presja czasu i emocje. Słyszysz o kłopotach osoby, którą znasz z prawdziwego życia. Nie zastanawiasz się długo, bo sytuacja wygląda na nagłą. Przestępcy doskonale o tym wiedzą i często podszywają się pod osoby, które naprawdę mogą potrzebować pomocy (np. młodsze rodzeństwo, dzieci znajomych, studenci).
Fałszywe ogłoszenia i sprzedaż na portalach typu OLX
Drugi, bardzo popularny schemat to oszustwa powiązane z serwisami ogłoszeniowymi i sprzedażowymi. Ofiarami padają zarówno kupujący, jak i sprzedający:
Oszustwo na kupującego – widzisz atrakcyjną ofertę, kontaktujesz się ze sprzedawcą, a ten proponuje wygodną płatność BLIK „na szybko”, często z rzekomą rezerwacją towaru. Po podaniu kodu i potwierdzeniu transakcji towar nigdy nie przychodzi.
Oszustwo na sprzedającego – ktoś „kupuje” twój przedmiot i wysyła link do „płatności OLX / Allegro / InPost”. Na stronie trzeba rzekomo podać dane karty lub zalogować się do banku, by „otrzymać pieniądze”. Strona jest fałszywa, dane trafiają do oszustów, którzy później wyłudzają kod BLIK lub robią przelewy.
Z BLIK-iem często łączą się także fałszywe panele szybkich płatności. Strona wygląda identycznie jak prawdziwy operator (np. Przelewy24, PayU), ale adres www jest inny, a formularz danych trafia bezpośrednio do przestępców. Kolejnym krokiem jest telefon lub wiadomość „z banku”, który prosi o potwierdzenie podejrzanych transakcji, namawiając do wygenerowania kodu BLIK „w celu zablokowania oszustwa”. To już kolejny etap ataku.
Podszywanie się pod kuriera, urzędy i operatorów
BLIK wykorzystywany jest również w oszustwach, w których przestępcy podszywają się pod firmy kurierskie, banki, urzędy, a nawet policję czy prokuraturę. Typowe przykłady:
Fałszywy SMS od kuriera: informacja o konieczności dopłaty kilku złotych za „przekierowanie paczki” lub „dopłatę do przesyłki”. Po kliknięciu w link trafiasz na fałszywą stronę płatności, gdzie podajesz dane karty lub logujesz się do banku. Potem oszuści proszą o kod BLIK „do weryfikacji”.
Podszywanie się pod bank: telefon z „działu bezpieczeństwa”, który informuje o rzekomym ataku na twoje konto. Oszust proponuje „ratunek” – prosi o zainstalowanie aplikacji do zdalnego pulpitu, zalogowanie do banku i wygenerowanie kodu BLIK, aby „przelać środki na bezpieczne konto techniczne”.
Fałszywe urzędy i komornicy: mail lub SMS o „zadłużeniu”, „blokadzie konta”, „karze administracyjnej”, które można uniknąć, opłacając niewielką kwotę BLIK-iem. Po wygenerowaniu kodu pieniądze znikają, a żadnego postępowania oczywiście nie było.
W tych scenariuszach przestępcy intensywnie straszą: utratą pieniędzy, blokadą konta, konsekwencjami prawnymi. Celem jest wywołanie paniki i poczucia, że trzeba działać natychmiast, najlepiej bez zastanowienia i konsultacji z kimkolwiek.
Wyłudzanie kodów BLIK przez telefon i „pomoc techniczną”
Bardzo groźną odmianą są rozmowy telefoniczne z „konsultantem banku”, „pracownikiem operatora płatności” lub „działem bezpieczeństwa BLIK”. Oszuści często znają część danych ofiary (imię, nazwisko, czasem PESEL lub fragment numeru konta), bo korzystają z wcześniej wykradzionych lub kupionych baz.
Scenariusz zwykle ma kilka kroków:
Telefon z informacją o podejrzanej transakcji lub włamaniu na konto.
Oszuści proszą o potwierdzenie danych, a potem o zainstalowanie aplikacji do zdalnego pulpitu „aby pomóc”.
Podczas rozmowy nakłaniają do zalogowania się do bankowości i wygenerowania kodu BLIK, rzekomo po to, by „zablokować transakcję” lub „przelać środki na bezpieczny rachunek”.
Po uzyskaniu kodu i potwierdzenia transakcji w aplikacji banku natychmiast wypłacają pieniądze lub wykonują przelew.
Żaden prawdziwy bank ani operator BLIK nigdy nie poprosi o wygenerowanie i podanie kodu w rozmowie telefonicznej. Jeśli słyszysz taką prośbę, możesz być pewien, że masz do czynienia z oszustwem, niezależnie od tego, jak wiarygodnie brzmi rozmówca.
Źródło: Pexels | Autor: REINER SCT
Jak rozpoznać, że ktoś próbuje wyłudzić kod BLIK
Typowe czerwone flagi w wiadomościach i rozmowach
Oszustwa na BLIK opierają się na powtarzalnych schematach zachowań. Kilka sygnałów, które niemal zawsze się pojawiają:
Pośpiech i presja czasu – „potrzebuję teraz”, „jestem przy kasie”, „za 5 minut zamykają”, „kurier zaraz odjedzie”, „jak nie zapłacisz w ciągu godziny, zablokują ci konto”.
Brak logicznego powodu – ktoś nie może zrobić przelewu, ale może odebrać BLIK z bankomatu; kurier wymaga dopłaty BLIK, choć normalnie robi się to kartą lub szybkim przelewem; „urzędnik” domaga się kodu do wypłaty gotówki.
Kontakt spoza oficjalnych kanałów – poważna instytucja komunikuje się z tobą przez Messenger, WhatsApp, SMS z dziwnego numeru lub mail z podejrzanej domeny.
Nacisk, by niczego z nikim nie konsultować – „nie mów nikomu”, „to poufne”, „jak wyjdziesz z rozmowy, to przerwiemy blokadę”, „nie rozłączaj się, bo wtedy stracisz pieniądze”.
Jeżeli w jakimkolwiek kontekście pojawia się połączenie: presja + BLIK + prośba osoby trzeciej, zatrzymaj się. Nawet jeżeli sytuacja wydaje się logiczna, warto zrobić chwilę przerwy i sprawdzić, czy ktoś nie próbuje tobą manipulować.
Weryfikowanie tożsamości „znajomego” proszącego o BLIK
Kiedy wiadomość pochodzi od kogoś, kogo znasz, pokusa zaufania jest dużo większa. Da się jednak dość prosto zweryfikować, czy po drugiej stronie naprawdę siedzi twój znajomy:
Oddzwoń lub napisz innym kanałem – jeśli prośba przyszła przez Messenger, zadzwoń na zwykły numer. Jeśli przez WhatsApp, spróbuj SMS-a lub telefonu. Oszust bardzo nie lubi rozmów głosowych.
Zadaj pytanie kontrolne – coś, czego nie wiedziałby przypadkowy włamywacz: „Jak mieli na imię nasi wychowawcy w podstawówce?”, „Gdzie byliśmy razem na ostatnim wyjeździe?”. Jeśli odpowiedź jest wymijająca – przerwij rozmowę.
Obserwuj styl pisania – literówki, dziwne zwroty, bardzo oficjalny język u osoby, która zwykle pisze swobodnie, mogą być sygnałem, że pisze ktoś inny.
Krótka rozmowa telefoniczna często błyskawicznie rozwiewa wątpliwości. Oszuści liczą na to, że będziesz działać wyłącznie w obrębie jednego komunikatora, bez żadnej weryfikacji na zewnątrz.
Analiza wiadomości od „kurierów”, banków i urzędów
W przypadku SMS-ów i maili z płatnościami BLIK szczególnie istotne są adres nadawcy i adres strony internetowej, do której prowadzi link. Kilka praktycznych wskazówek:
Sprawdź, czy nadawca jest w oficjalnych kontaktach – numer telefonu i adres mailowy znajdziesz zawsze na stronie banku czy firmy kurierskiej. Jeżeli SMS przyszedł z dziwnego numeru, a mail z adresu typu „firma-kurier@wp.pl” – to oszustwo.
Przyjrzyj się linkowi – fałszywe strony mają często nazwy bardzo podobne do prawdziwych, ale z drobnymi różnicami: literówki, dodatkowe znaki, odmienne domeny (zamiast .pl np. .com, .net itp.).
Sprawdź poprawność językową – niektóre kampanie oszustów są pełne literówek i błędów, chociaż coraz częściej pola tekstowe są poprawne. Błędy wciąż jednak bywają sygnałem ostrzegawczym.
Porównaj treść z komunikatami na stronie instytucji – banki i firmy kurierskie często publikują na swoich stronach przykładowe fałszywe wiadomości. W kilka minut możesz sprawdzić, czy nie masz do czynienia z jednym z popularnych schematów.
Jeśli wiadomość zachęca do kliknięcia w link i podania danych karty lub zalogowania się do banku, zamiast wchodzić w link, samodzielnie wpisz adres banku lub firmy kurierskiej w przeglądarkę. To najprostsza i najskuteczniejsza metoda uniknięcia phishingu.
Bezpieczne korzystanie z BLIK na co dzień
Ustawienia bezpieczeństwa w aplikacji banku i BLIK
Bez względu na bank, większość aplikacji oferuje dziś szereg opcji, które realnie utrudniają życie oszustom. Wiele osób ich nawet nie dotyka po pierwszej instalacji, a drobna zmiana potrafi uratować sporo pieniędzy.
Niskie limity na BLIK – w ustawieniach aplikacji zwykle można ustawić dzienny i jednorazowy limit transakcji BLIK (wypłaty z bankomatu, płatności w sklepach i internecie). Zamiast domyślnych, wysokich wartości, ustaw limity dopasowane do codziennych potrzeb, np. 300–500 zł na dzień. Trudniej wówczas „wyczyścić” konto jednym atakiem.
Potwierdzanie transakcji biometrią – jeśli bank na to pozwala, skonfiguruj logowanie i autoryzację BLIK (oraz przelewów) odciskiem palca lub rozpoznawaniem twarzy. Oszust, który wyłudzi sam kod, ale nie ma dostępu do telefonu, nie będzie w stanie zatwierdzić operacji.
Powiadomienia push / SMS o każdej transakcji – włącz alerty o wszystkich operacjach BLIK. Szybka informacja na ekranie pozwala natychmiast zareagować, jeżeli nagle pojawi się obca płatność lub wypłata z bankomatu.
Zabezpieczenie aplikacji PIN-em – nie rezygnuj z dodatkowego PIN-u do aplikacji „bo to wygodne”. Zgubiony lub ukradziony telefon bez PIN-u i bez biometrii to otwarte drzwi do rachunku.
Blokada na zrootowanych / odblokowanych urządzeniach – część banków ostrzega przed instalacją aplikacji na przerobionych telefonach. Jeśli widzisz taki komunikat, potraktuj go poważnie. Zdalne przejęcie takiego urządzenia jest znacznie prostsze.
Dobrze jest raz na kilka miesięcy przejrzeć ustawienia bezpieczeństwa. Banki dodają nowe funkcje, ale same ich nie włączą bez twojej zgody.
Bezpieczne płatności BLIK w sklepach stacjonarnych
Płacenie BLIK-iem przy kasie wydaje się proste i bezpieczne – kasjer wyświetla kod, ty potwierdzasz w aplikacji. Kilka prostych nawyków dodatkowo zmniejsza ryzyko:
Kontroluj kwotę przed potwierdzeniem – zawsze sprawdź, czy suma na terminalu i w aplikacji jest zgodna z paragonem. Nie klikaj „zatwierdź” automatycznie, zwłaszcza gdy stoisz w kolejce i ktoś cię pogania.
Nie podawaj kodu kasjerowi – pracownik sklepu nie potrzebuje znać twojego kodu BLIK. Ty wpisujesz go na terminalu lub potwierdzasz transakcję w swojej aplikacji. Jeżeli ktoś prosi, abyś „podyktował kod”, zrezygnuj z zakupu lub zapłać kartą.
Uważaj na „pomocnych” obcych przy kasie – osoby oferujące „pomoc” przy płatności telefonem, szczególnie w zatłoczonych miejscach, mogą próbować podejrzeć ekran i kod, a w zamieszaniu nawet wyrwać urządzenie.
Nie zostawiaj telefonu na ladzie – odblokowany smartfon z otwartą aplikacją bankową to łakomy kąsek. Po potwierdzeniu transakcji natychmiast zablokuj ekran.
Krótki przystanek przed wciśnięciem „zatwierdź” stał się dzisiaj jednym z najważniejszych elementów bezpiecznych płatności – dotyczy to zarówno BLIK-a, jak i kart.
Bezpieczne korzystanie z BLIK w internecie
Transakcje online z BLIK-iem są wygodne, bo nie trzeba podawać numeru karty. Nie znaczy to jednak, że są odporne na wszystkie tricki oszustów.
Wpisuj kod tylko na stronie znanego sklepu lub operatora płatności – jeżeli formularz BLIK pojawia się na dziwnej stronie, bez szyfrowania (brak „https”), z przypadkową nazwą domeny, lepiej przerwać transakcję.
Sprawdzaj certyfikat i pasek adresu – zielona kłódka to dziś za mało, jednak brak kłódki lub ostrzeżenia przeglądarki o niezabezpieczonym połączeniu to sygnał, by natychmiast wyjść z witryny.
Korzystaj z oficjalnych aplikacji – jeśli to możliwe, płać BLIK-iem przez oficjalną aplikację sklepu lub operatora (np. aplikacje dużych platform e‑commerce), a nie przez linki z komunikatorów.
Nie rób płatności BLIK na cudzych komputerach – w kafejkach internetowych, na komputerze w pracy lub u znajomych zainstalowane mogą być keyloggery albo wtyczki przechwytujące dane.
Zwracaj uwagę na nietypowe okna logowania – jeżeli podczas płatności BLIK nagle wyskakuje okno logowania do banku w dziwnej formie (np. w osobnym, małym „popupie”), przerwij proces i samodzielnie zaloguj się do banku z nowej karty przeglądarki.
Jeśli choć przez moment masz wrażenie, że płatność wygląda inaczej niż zwykle, nie próbuj „dobrnąć do końca”. To właśnie w takich momentach najczęściej dochodzi do udanych wyłudzeń.
Bezpieczne wypłaty z bankomatu przy użyciu BLIK
Wypłata gotówki BLIK-iem bez karty bywa wygodniejsza niż noszenie plastiku. Tę funkcję także można zabezpieczyć prostymi nawykami.
Wypłacaj tylko z bankomatów znanych sieci – unikaj urządzeń o wątpliwym pochodzeniu, stojących w „dziwnych” miejscach, bez oznaczeń banku czy operatora. Jeżeli coś w wyglądzie bankomatu budzi niepokój (dodatkowa nakładka na klawiaturę, krzywo zamontowany czytnik), lepiej znaleźć inny.
Osłoń ekran i klawiaturę – tak jak przy zwykłej karcie. Ktoś stojący za plecami może nagrać sekwencję wpisywania kodu BLIK i PIN-u do aplikacji.
Nie proś obcych o pomoc przy wypłacie – jeżeli masz problem z obsługą bankomatu, zadzwoń na infolinię swojego banku. „Życzliwy przechodzień”, który tłumaczy krok po kroku, gdzie wpisać kod, może próbować przejąć twoje dane.
Sprawdź kwotę na ekranie i w aplikacji – upewnij się, że wypłacasz dokładnie tyle, ile planujesz. Niepotwierdzenie niezgodności kwot to częsty błąd popełniany w pośpiechu.
Jeśli w trakcie wypłaty bankomat nagle „zawiesza się” lub pojawia się dziwny komunikat, anuluj operację w aplikacji banku. W razie wątpliwości skontaktuj się z bankiem od razu, stojąc jeszcze przy urządzeniu.
Jak natychmiast zareagować po zauważeniu oszustwa BLIK
Każda minuta ma znaczenie. Im szybciej zareagujesz, tym większa szansa na zablokowanie transakcji lub przynajmniej ograniczenie strat.
Zablokuj dostęp do bankowości i BLIK
Zaloguj się do aplikacji lub serwisu transakcyjnego (jeśli nadal masz dostęp) i:
wyłącz BLIK (często osobna opcja w ustawieniach),
zmień hasło do bankowości internetowej,
wyloguj wszystkie aktywne sesje na innych urządzeniach, jeśli bank oferuje taką funkcję.
Jeżeli nie możesz się zalogować – przejdź od razu do telefonu na infolinię.
Skontaktuj się z bankiem przez oficjalny kanał
Zadzwoń na numer infolinii z karty płatniczej, strony banku lub aplikacji. Poproś o:
blokadę BLIK i – w razie potrzeby – całej bankowości elektronicznej,
weryfikację ostatnich transakcji BLIK i przelewów,
Jeżeli niedawno ktoś dzwonił do ciebie „z banku” – to NIE może być ten sam numer oddzwonienia z listy połączeń. Zawsze wybieraj numer ręcznie.
Odłącz zainfekowane lub podejrzane urządzenie
Jeśli instalowałeś aplikację do zdalnego pulpitu albo klikałeś w podejrzane linki na telefonie czy komputerze:
rozłącz Internet (Wi‑Fi, dane komórkowe),
odinstaluj podejrzane programy,
zastanów się nad przywróceniem urządzenia do ustawień fabrycznych po skonsultowaniu z serwisem.
Zabezpiecz dowody
Nie kasuj rozmów, SMS-ów ani maili od oszustów. Zrób zrzuty ekranu:
korespondencji,
fałszywych stron internetowych,
powiadomień o transakcjach BLIK.
To przyda się w banku i podczas zgłoszenia na policji.
Zgłoś sprawę na policję
Przy większych kwotach albo gdy ktoś przejął twoje dane osobowe, warto jak najszybciej złożyć zawiadomienie. Weź ze sobą:
dowód osobisty,
zestawienie transakcji (wydruk z bankowości lub dokument z banku),
zapis korespondencji z oszustami i notatki z rozmów telefonicznych.
Nawet jeśli wydaje ci się, że „już po wszystkim” i pieniędzy nie da się odzyskać, formalne zgłoszenie jest istotne. Banki i organy ścigania łączą pojedyncze przypadki w większe sprawy.
Co zgłosić bankowi krok po kroku
Rozmowa z infolinią w stresie bywa chaotyczna. Dobrze jest mieć w głowie krótką „checklistę”, by przekazać wszystkie kluczowe informacje.
Opis zdarzenia w kolejności chronologicznej – kiedy otrzymałeś podejrzaną wiadomość, kto dzwonił, co mówił, jakie kroki wykonałeś (np. instalacja aplikacji, wygenerowanie kodu BLIK).
Kwoty i daty transakcji – wypłaty z bankomatu BLIK, płatności w sklepach i internecie, przelewy natychmiastowe, których nie rozpoznajesz.
Rodzaj urządzenia i system – model telefonu, wersja systemu, nazwa zainstalowanych aplikacji do zdalnego pulpitu (jeżeli były użyte).
Informacja o ujawnionych danych – czy podawałeś login i hasło do banku, dane karty, PESEL, zdjęcie dowodu osobistego itp.
Im pełniejszy opis, tym łatwiej pracownikowi banku szybko zdecydować o zakresie blokad i dalszych działaniach.
Ochrona tożsamości po udanym ataku BLIK
W wielu przypadkach oszuści nie poprzestają na jednej udanej transakcji. Dane zdobyte podczas jednego ataku mogą posłużyć do kolejnych wyłudzeń lub kradzieży tożsamości.
Zastrzeż dokumenty tożsamości, jeśli je ujawniłeś – jeżeli wysłałeś skan dowodu, podałeś jego serię i numer lub masz podejrzenie, że zostały przechwycone, zastrzeż dokument w banku lub przez system „Dokumenty Zastrzeżone”. Dzięki temu trudniej będzie wziąć pożyczkę na twoje dane.
Monitoruj raporty kredytowe – rozważ założenie konta w jednym z biur informacji kredytowej i ustaw alerty o nowych zobowiązaniach. Niech cię nie zaskoczy nagła „chwilówka”, o której pierwszy raz usłyszysz od windykacji.
Zmień hasła nie tylko do banku – jeżeli korzystasz z tych samych lub podobnych haseł w kilku serwisach (mail, społecznościówki, sklepy internetowe), zmień je na unikalne i silne. Atakujący często testują loginy i hasła w wielu miejscach.
Włącz dwuskładnikowe uwierzytelnianie (2FA) – w poczcie e‑mail, komunikatorach, mediach społecznościowych. Przejęcie konta e‑mail nierzadko bywa dla oszusta cenniejsze niż jednorazowe wyłudzenie BLIK, bo umożliwia resetowanie haseł do innych usług.
Jak pomagać bliskim unikać oszustw na BLIK
Wielu poszkodowanych to osoby mniej techniczne: rodzice, dziadkowie, ale też zapracowani znajomi, którzy „nie mają głowy” do szczegółów bezpieczeństwa. Prosta profilaktyka w najbliższym otoczeniu znacząco ogranicza ryzyko.
Ustal rodzinne zasady „bez BLIK przez telefon” – jasno umówcie się, że nikt z rodziny nigdy nie prosi o kod BLIK przez telefon czy komunikator w trybie „natychmiast, bo sytuacja kryzysowa”. Jeżeli kiedyś naprawdę będzie potrzeba, porozmawiajcie na żywo.
Przećwicz scenariusz „dzwoni bank” – zrób krótką symulację rozmowy z „konsultantem”, który namawia do instalacji aplikacji i wygenerowania kodu. Osoba, która już raz to „przerobiła na sucho”, szybciej wyczuje manipulację.
Zainstaluj wspólnie aplikacje bankowe i pokaż podstawowe funkcje – w tym blokadę BLIK, zmianę limitów i numer do banku zapisany w kontaktach. W stresie liczy się prostota – lepiej, żeby ktoś miał pod ręką przycisk „zadzwoń do banku”, niż szukał numeru w Google.
Najczęstsze mity o płatnościach BLIK a realne ryzyko
Wokół BLIKa urosło sporo przekonań, które brzmią rozsądnie, ale w praktyce usypiają czujność. Rozpoznanie tych mitów pomaga lepiej ocenić, gdzie faktycznie kryje się zagrożenie.
„BLIK jest zawsze bezpieczny, bo to tylko kod na minutę” – kod faktycznie szybko wygasa, lecz to nie on jest głównym problemem, tylko sposób, w jaki go przekazujesz. Jeśli potwierdzasz transakcję w aplikacji „na autopilocie”, oszust wykorzystuje właśnie ten automatyzm.
„Jak ktoś nie ma dostępu do mojego telefonu, to nic nie zrobi” – wiele udanych ataków odbywa się z twoją aktywną pomocą. To ty wpisujesz kod, ty klikasz „potwierdź”, często pod wpływem presji rozmówcy lub zmanipulowanego komunikatu.
„Oszust od razu wybierze maksymalny limit, więc szybko to zauważę” – część przestępców wykonuje kilka mniejszych transakcji, aby nie wzbudzać podejrzeń, licząc na to, że wykryjesz je dopiero po czasie.
„Skoro znajomy pisał z mojego komunikatora, to na pewno on” – przejęcie kont w komunikatorach i mediach społecznościowych jest dziś masowe. Zdanie „pożyczysz mi 300 zł na BLIK, oddam wieczorem?” powinno automatycznie uruchomić w głowie sygnał ostrzegawczy – i telefon weryfikacyjny.
„Jak używam BLIK tylko w sklepach stacjonarnych, to jestem bezpieczny” – scenariusze z podstawionymi terminalami, fałszywymi kasjerami czy „pomocnymi” osobami przy kasie samoobsługowej też się zdarzają. Zasada jest ta sama: uważnie czytaj, co potwierdzasz.
Bezpieczne korzystanie z BLIK w aplikacjach i sklepach internetowych
Coraz więcej sklepów online przyjmuje płatności BLIK. To wygodne, bo nie trzeba podawać numeru karty, ale cyberprzestępcy szybko dopasowali do tego swoje metody.
Wpisuj kod BLIK tylko po samodzielnym wejściu na stronę sklepu lub banku – jeśli link do płatności przyjdzie SMS-em, komunikatorem lub mailem, otwórz przeglądarkę osobno i wpisz adres ręcznie. To prosty test na wykrycie fałszywych stron.
Sprawdzaj pasek adresu – sklep lub operator płatności powinni mieć adres HTTPS z prawidłową nazwą domeny. Literówki, dodatkowe słowa typu „-security” w adresie lub zupełnie inna nazwa to sygnał, by zrezygnować z transakcji.
Patrz, komu faktycznie płacisz – w aplikacji banku przy potwierdzaniu BLIK powinno być widać nazwę odbiorcy, sklep lub operator płatności. Jeśli pojawia się zwykła osoba fizyczna, a ty robisz zakupy w dużym sklepie – coś jest nie tak.
Unikaj płatności BLIK przez publiczne Wi‑Fi – w kawiarniach, galeriach handlowych czy na dworcach łatwiej o podszywanie się pod sieć lub wstrzykiwanie złośliwych reklam. Jeśli musisz zapłacić, użyj danych komórkowych.
Ostrożnie z okazjami z ogłoszeń – strony przypominające znane platformy (z bardzo podobną szatą graficzną) mogą przekierowywać do fałszywych bramek płatniczych. Gdy „sprzedawca” przesyła specjalny link do bardzo taniego produktu, najpierw zweryfikuj, czy domena faktycznie należy do znanego serwisu.
Dobrą praktyką jest przechowywanie potwierdzeń ważniejszych zakupów – zrzuty ekranu lub maile z potwierdzeniem ułatwiają późniejsze reklamacje i spory ze sprzedawcą.
Przykładowe scenariusze oszustw BLIK i jak je rozbroić
Kilka konkretnych sytuacji pomaga szybciej rozpoznać schemat manipulacji w realnym życiu. Warto „przećwiczyć” w głowie reakcje jeszcze zanim dojdzie do ataku.
Scenariusz „pilny przelew dla dziecka/kuzyna”
Otrzymujesz wiadomość od „dziecka” lub krewnego: nowy numer, prośba o kod BLIK, tłumaczenie o zablokowanym rachunku i konieczności natychmiastowego przelewu. Rozwiązanie:
oddzwoń na znany, zapisany wcześniej numer (nie na ten z wiadomości),
zadaj proste pytanie, na które tylko bliska osoba zna odpowiedź (np. nazwa ulubionego nauczyciela, wspólna sytuacja z przeszłości),
do czasu weryfikacji nie wysyłaj ani złotówki – nawet jeśli wiadomości są bardzo emocjonalne.
Scenariusz „ratowanie pieniędzy przez zdalny pulpit”
Ktoś podaje się za pracownika banku lub „dział bezpieczeństwa” i straszy natychmiastową utratą środków. Prosi o instalację aplikacji do zdalnego pulpitu, zalogowanie do banku i podanie kodu BLIK „do zabezpieczenia konta”. Reakcja:
natychmiast zakończ rozmowę,
samodzielnie zadzwoń na numer infolinii znaleziony na stronie banku,
jeżeli aplikacja do zdalnego dostępu została już zainstalowana – odłącz Internet i usuń ją przed kolejnym logowaniem do banku.
Scenariusz „korekta płatności za paczkę”
Dostajesz SMS lub wiadomość na komunikatorze rzekomo od firmy kurierskiej: drobna dopłata za przesyłkę, link do szybkiej płatności BLIK. Jak reagować:
sprawdź status przesyłki w oficjalnej aplikacji lub na stronie firmy, wpisując numer nadania ręcznie,
nie płać przez linki przesłane SMS-em; jeśli faktycznie jest dopłata, znajdziesz ją w swoim panelu klienta u przewoźnika,
zgłoś taki SMS do firmy kurierskiej – wiele z nich prowadzi osobne adresy e‑mail do raportowania phishingu.
Scenariusz „okazja inwestycyjna i konsultant, który zrobi wszystko za ciebie”
Po wypełnieniu formularza na stronie „szybkich zysków” oddzwania konsultant. Namawia do zainstalowania programu do zdalnego pulpitu, wspólnie loguje się z tobą do banku i prosi o potwierdzanie kolejnych kodów BLIK, tłumacząc to „przelewami do domu maklerskiego”. Działanie:
przerwij rozmowę, jeśli ktoś łączy się z twoim pulpitem i równocześnie prosi o kody BLIK,
po rozłączeniu zablokuj BLIK w bankowości i zmień hasło,
złóż reklamację w banku, zaznaczając, że działałeś pod wpływem manipulacji, oraz zgłoś sprawę organom ścigania.
Jak konfigurować limity BLIK, żeby ograniczyć straty
Dobrze ustawione limity działają jak „bezpiecznik”. Nie zatrzymają każdego ataku, ale wyraźnie zmniejszą możliwe szkody.
Dostosuj limity do realnych potrzeb – jeśli zwykle płacisz BLIK do kilkuset złotych, nie ma sensu trzymać domyślnego, wysokiego limitu kilku czy kilkunastu tysięcy. Większą kwotę zawsze możesz chwilowo podnieść przed planowaną transakcją.
Rozdziel limity dla różnych typów operacji – osobno dla płatności w sklepach, wypłat z bankomatu i przelewów na telefon BLIK. Oszuści najczęściej korzystają z szybkich przelewów na inne konta lub wypłat z bankomatu.
Włącz dodatkowe potwierdzenia przy większych kwotach – w wielu bankach powyżej określonego progu możesz wymagać potwierdzenia np. kodem SMS. To dodatkowa chwila na refleksję, czy to na pewno twoja transakcja.
Regularnie przeglądaj ustawienia – po zmianie telefonu, instalacji nowej aplikacji bankowej czy wyjeździe za granicę przejrzyj limity jeszcze raz. Łatwo o jednorazowe podniesienie limitu i późniejsze zapomnienie o jego obniżeniu.
Bezpieczna obsługa BLIK na nowym lub cudzym urządzeniu
Telefon się zepsuł, zginął albo po prostu chcesz zalogować się z innego sprzętu. Te sytuacje są szczególnie wrażliwe, bo zwykle towarzyszy im pośpiech i stres.
Nie instaluj aplikacji bankowej z niepewnych źródeł – korzystaj wyłącznie z oficjalnych sklepów (Google Play, App Store, AppGallery). Nigdy nie pobieraj plików .apk z linków z SMS-ów ani forów.
Unikaj logowania do banku z telefonu lub komputera, którego nie kontrolujesz – sprzęt firmowy, cudzy laptop lub publiczny komputer mogą mieć zainstalowane oprogramowanie monitorujące. Jeśli musisz to zrobić, po zakończeniu sesji:
wyloguj się dokładnie z banku (nie tylko zamknij kartę przeglądarki),
zmień hasło z własnego, zaufanego urządzenia przy pierwszej okazji.
Po utracie telefonu natychmiast wyłącz BLIK – zrób to przez serwis transakcyjny lub infolinię. Nawet jeśli masz blokadę ekranu, to podstawowy krok po zgubieniu lub kradzieży smartfona.
Włącz zdalne czyszczenie urządzenia – usługi od producentów telefonów pozwalają wylogować konta i wymazać dane. Jeśli złodziej będzie próbował uruchomić aplikację banku, może trafić już na wyczyszczone środowisko.
Rola banku i operatora BLIK w ochronie użytkownika
Odpowiedzialność za bezpieczeństwo nie spoczywa tylko na kliencie. Bank i operator systemu wdrażają zabezpieczenia, które działają w tle, choć nie zwalniają z czujności.
Systemy antyfraudowe – banki analizują wzorce zachowań (godziny, kwoty, lokalizacje, typy odbiorców). Podejrzane operacje mogą zostać wstrzymane lub wymagają dodatkowego potwierdzenia. Gdy infolinia prosi cię o potwierdzenie dziwnej transakcji, nie traktuj tego jak utrudnienia.
Powiadomienia push i SMS – szybko informują o każdej transakcji BLIK. Wyłączenie ich „bo denerwują” pozbawia cię najprostszej linii obrony. Jeśli alerty nagle przestaną przychodzić, sprawdź ustawienia w aplikacji i zweryfikuj numer telefonu w banku.
Mechanizmy blokady i cofania transakcji – niektóre płatności można zatrzymać, jeśli zgłoszenie trafi w odpowiednim czasie. Dlatego tak ważne jest natychmiastowe działanie po zauważeniu nieprawidłowości, a nie „po pracy” czy „po weekendzie”.
Edukacja i ostrzeżenia – komunikaty w aplikacji, na stronie banku, kampanie informacyjne. Krótkie banery typu „bank nigdy nie prosi o instalację zdalnego pulpitu” to nie ozdoba, tylko efekt realnych, powtarzających się oszustw.
Jak rozpoznać, że ktoś testuje twoją czujność
Nie każdy kontakt kończy się od razu utratą pieniędzy. Część przestępców „sonduje grunt”, sprawdzając, jak reagujesz i jakie informacje ujawniasz.
Niejasny powód kontaktu – rozmówca „z banku” nie potrafi jasno wytłumaczyć, o jaką transakcję chodzi, myli nazwy produktów, ogólnie straszy „zagrożeniem na koncie”. Profesjonalny konsultant jest konkretny i odnosi się do rzeczywistych danych.
Prośby o częściowe dane – ktoś pyta tylko o PESEL i imię panieńskie matki „w celu weryfikacji”, ale nie potrafi podać, z jakiego banku dzwoni lub gdzie masz rachunek. Prawdziwy bank zna te informacje z góry.
Nacisk na prywatność rozmowy – pojawiają się prośby, żeby nie rozłączać się, nie konsultować niczego z rodziną, nie nagrywać rozmowy. To sygnał, że ktoś boi się dodatkowych świadków.
Stopniowe zwiększanie wymagań – najpierw niewinny formularz, potem instalacja aplikacji, na końcu prośba o kody BLIK lub dane logowania. Taki „ruch po kroku” ma oswoić cię ze współpracą.
W każdej wątpliwej sytuacji jedna krótka zasada bardzo pomaga: jeżeli to ktoś dzwoni do ciebie, nie wykonuj żadnych czynności na koncie ani w BLIKu. Rozłącz się i sam zadzwoń na oficjalny numer instytucji.
Budowanie codziennej rutyny bezpieczeństwa przy BLIK
Ochrona przed oszustwami to nie jednorazowa akcja, tylko zestaw kilku prostych nawyków, które po czasie stają się automatyczne.
Szybki przegląd historii operacji – raz dziennie, przy porannej kawie albo wieczorem, zerknięcie na ostatnie transakcje. Zajmuje minutę, a pozwala wychwycić nieprawidłowości bardzo wcześnie.
Refleksja przed potwierdzeniem – zanim klikniesz „akceptuj”, na sekundę zatrzymaj wzrok na nazwie odbiorcy i kwocie. Taki mikro–nawyk wielokrotnie zatrzymywał transakcję tuż przed wysłaniem do oszusta.
Aktualizacje systemu i aplikacji – przyjmuj je regularnie, nie „odkładaj na później” przez miesiące. Poprawiają nie tylko funkcje, ale i bezpieczeństwo.
Najczęściej zadawane pytania (FAQ)
Na czym polega oszustwo na BLIK „na znajomego” i jak się przed nim bronić?
Oszustwo „na znajomego” polega na przejęciu konta twojego znajomego w mediach społecznościowych (np. Facebook, Messenger, Instagram), a następnie wysyłaniu z niego próśb o „pilną pożyczkę na BLIK”. Przestępca prosi o wygenerowanie kodu i obiecuje szybki zwrot pieniędzy, często powołując się na nagłą sytuację (blokada karty, leki, brak dostępu do konta).
Aby się bronić, zawsze:
zadzwoń do znajomego lub nagraj mu wiadomość głosową i potwierdź prośbę innym kanałem,
nie wysyłaj kodu BLIK w komunikatorach ani mailach,
zwracaj uwagę na presję czasu i emocje – to typowa technika oszustów.
Jak rozpoznać fałszywą płatność BLIK z OLX, Allegro lub innego serwisu ogłoszeniowego?
Fałszywa płatność często wiąże się z otrzymaniem linku do „panelu płatności” lub „odbioru środków”, który wymaga podania danych karty, loginu do banku lub wygenerowania kodu BLIK. Strona jest bardzo podobna do prawdziwych operatorów (np. Przelewy24, PayU), ale adres www jest inny, a regulamin, dane firmy czy certyfikat bezpieczeństwa (kłódka) budzą wątpliwości.
Jeśli:
kupujący/sprzedawca nalega, żebyś wszedł w przesłany link zamiast korzystać z oficjalnych płatności serwisu,
musisz podać dane karty lub zalogować się do banku, aby „otrzymać pieniądze”,
ktoś przez telefon prosi cię o kod BLIK „do weryfikacji transakcji”,
przerwij rozmowę, nie klikaj w link i skorzystaj tylko z oficjalnych metod płatności dostępnych w danym serwisie (po zalogowaniu na jego prawdziwą stronę lub w aplikacji).
Co robić natychmiast, gdy podałem kod BLIK oszustowi?
Jeśli podejrzewasz, że podałeś kod BLIK oszustowi lub potwierdziłeś nieautoryzowaną transakcję, działaj natychmiast:
zaloguj się do bankowości i sprawdź historię operacji oraz blokady na koncie,
jak najszybciej skontaktuj się z infolinią banku (najlepiej z poziomu aplikacji lub strony banku) i zgłoś oszustwo,
poproś o zablokowanie dostępu do bankowości lub karty, jeśli to konieczne, oraz o złożenie reklamacji transakcji.
Następnie zabezpiecz urządzenia (zmień hasła, przeskanuj system pod kątem złośliwego oprogramowania) i złóż zawiadomienie na policji. Czas jest kluczowy – im szybciej zareagujesz, tym większa szansa na ograniczenie strat.
Czy bank lub BLIK mogą dzwonić i prosić o kod BLIK do „zablokowania oszustwa”?
Nie. Żaden bank, operator płatności ani BLIK nigdy nie poprosi cię przez telefon, SMS, mail czy komunikator o wygenerowanie i podanie kodu BLIK. Nie poprosi też o zainstalowanie programu do zdalnego pulpitu w celu „zabezpieczenia konta” ani o przelanie środków na „bezpieczny rachunek techniczny”.
Jeśli ktoś podający się za bank, policję, kuriera czy urząd prosi o kod BLIK, natychmiast zakończ rozmowę. Następnie samodzielnie zadzwoń na oficjalny numer swojej instytucji (ze strony www lub z aplikacji) i zapytaj, czy faktycznie kontaktowano się z tobą w jakiejkolwiek sprawie.
Jak bezpiecznie korzystać z BLIK na co dzień?
Bezpieczne korzystanie z BLIK opiera się na kilku prostych zasadach:
używaj kodu BLIK tylko wtedy, gdy sam inicjujesz płatność (w sklepie, bankomacie, sprawdzonym sklepie internetowym),
zawsze dokładnie czytaj treść i kwotę transakcji wyświetlaną w aplikacji banku przed potwierdzeniem,
nigdy nie generuj kodu „dla kogoś” ani do „weryfikacji”, „blokady komornika”, „doplacenia 1 zł za paczkę”, itp.,
aktualizuj aplikację bankową i system w telefonie oraz chroń go hasłem, kodem PIN lub biometrią.
Jak wygląda oszustwo na kuriera lub urząd z wykorzystaniem BLIK?
W oszustwach na kuriera, urząd czy komornika otrzymujesz SMS lub mail z informacją o konieczności dopłaty niewielkiej kwoty (np. za przekierowanie paczki czy uniknięcie „blokady konta”). W wiadomości znajduje się link do fałszywej strony płatności, gdzie podajesz dane karty lub logujesz się do banku. Kolejny etap to prośba (często telefoniczna) o kod BLIK „do weryfikacji transakcji”.
Aby nie paść ofiarą takiego ataku:
nie klikaj w linki z SMS-ów i maili o dopłatach – wejdź na stronę przewoźnika lub urzędu, wpisując adres ręcznie w przeglądarce,
sprawdzaj nadawcę wiadomości i adres strony www,
ignoruj wszelkie prośby o kod BLIK i w razie wątpliwości skontaktuj się bezpośrednio z firmą kurierską czy urzędem.
Najważniejsze lekcje
BLIK jest z założenia bezpiecznym systemem (jednorazowy kod, krótki czas ważności, potwierdzenie w aplikacji), ale najsłabszym ogniwem pozostaje użytkownik podatny na manipulację.
Oszustwa na BLIK opierają się głównie na socjotechnice – przestępcy nie łamią technologii, tylko skłaniają ofiarę do wygenerowania kodu i samodzielnego potwierdzenia transakcji.
Najważniejsza zasada: nigdy nie generuj i nie podawaj kodu BLIK „dla kogoś” ani nie potwierdzaj operacji, której celu, kwoty i odbiorcy nie rozumiesz w 100%.
Najczęstszy scenariusz to „pożyczka od znajomego” w komunikatorze, gdy przestępca przejmuje cudze konto w social mediach, prosi o pilny BLIK i wywiera presję czasu oraz emocji.
Popularne są oszustwa na portalach ogłoszeniowych (OLX, Allegro itp.): fałszywi kupujący i sprzedający proponują „szybki BLIK” lub wysyłają linki do podrobionych stron płatności, by wyłudzić dane i kody.
Przestępcy często łączą BLIK z phishingiem: fałszywe panele płatności, SMS-y i strony podszywające się pod firmy kurierskie, banki czy urzędy służą do nakłonienia ofiary do podania danych i wygenerowania kodu.
Czas reakcji przy oszustwie na BLIK jest bardzo krótki – po uzyskaniu kodu i potwierdzenia transakcji przestępca może w ciągu sekund wypłacić pieniądze z bankomatu.
