Oszustwo na BLIK zwykle nie polega na złamaniu banku, tylko na wywołaniu pośpiechu i skłonieniu ofiary do samodzielnego zatwierdzenia płatności. Najczęściej zaczyna się od wiadomości od „znajomego”, fałszywego banku albo telefonu z rzekomym problemem na koncie. W tym tekście rozbieram ten schemat na części: pokazuję, jak działa, jak go rozpoznać i co zrobić, zanim straty staną się realne.
Najważniejsze zasady, które odcinają większość prób wyłudzenia
- Kod BLIK jest jednorazowy, ma 6 cyfr i zwykle ważny jest tylko 2 minuty, ale to nie chroni przed manipulacją, jeśli sam go przekażesz.
- Najczęstszy cel ataku to nie „złamanie banku”, tylko przejęcie konta w komunikatorze albo wymuszenie szybkiej decyzji.
- Nigdy nie podawaj kodu w odpowiedzi na pilną prośbę, nawet jeśli wiadomość wygląda jak od znajomego.
- Przed zatwierdzeniem sprawdzaj odbiorcę, kwotę i kontekst prośby w innym kanale komunikacji.
- Jeśli coś poszło nie tak, dzwoń do banku natychmiast i zabezpiecz wszystkie konta, z których mógł korzystać oszust.
Jak działa wyłudzenie kodu BLIK i dlaczego nie łamie banku
Ja patrzę na ten temat prosto: to przede wszystkim socjotechnika, czyli manipulowanie człowiekiem, a nie systemem. Oszust chce, żebyś uwierzył w pilność sprawy i sam wykonał ostatni krok: podał kod albo zatwierdził transakcję w aplikacji. To dlatego ten typ ataku jest tak skuteczny. Technicznie BLIK jest rozwiązaniem wygodnym i relatywnie bezpiecznym, ale każdy system płatniczy przegrywa w chwili, gdy użytkownik z własnej woli autoryzuje operację pod presją.
W praktyce kod BLIK ma 6 cyfr i jest ważny krótko, zwykle 2 minuty. To ogranicza ryzyko przypadkowego użycia, ale nie chroni przed oszustem, który w tym czasie nakłania do szybkiej akcji. Najważniejszy punkt obrony to więc nie sam kod, tylko nawyk sprawdzania, komu i dlaczego go przekazujesz. Jeśli prośba brzmi emocjonalnie, chaotycznie albo „na już”, traktuję to jako sygnał alarmowy.
W tle często działa jeszcze jeden element: przejęte konto w komunikatorze lub na portalu społecznościowym. Ktoś włamuje się do profilu, a potem wysyła do znajomych wiadomości z prośbą o „szybką pożyczkę” albo płatność BLIKIEM. Na tym etapie bank nie jest atakowany wprost, bo atakowany jest kontakt, zaufanie i pośpiech. Skoro mechanizm jest tak prosty, warto znać najczęstsze scenariusze, które oszuści odtwarzają niemal według tego samego wzoru.
Najczęstsze scenariusze, które widzę w takich atakach
W praktyce te schematy powtarzają się zaskakująco często. Treść wiadomości bywa inna, ale logika pozostaje ta sama: wzbudzić zaufanie, skrócić czas na reakcję i wyrwać z człowieka jeden ruch za dużo.
| Scenariusz | Jak wygląda w praktyce | Co powinno zapalić czerwoną lampkę | Co zrobić od razu |
|---|---|---|---|
| „Znajomy” prosi o kod | Na czacie pojawia się krótka prośba o BLIK, zwykle z dopiskiem, że odda jutro albo za chwilę. | Nieoczekiwana prośba, presja czasu, nietypowy styl pisania, brak rozmowy głosowej. | Zadzwoń na numer zapisany w kontaktach i potwierdź, czy wiadomość była prawdziwa. |
| Rzekomy bank lub policja | Dzwoni ktoś, kto mówi o „zabezpieczeniu środków”, „blokadzie konta” albo „weryfikacji transakcji”. | Żądanie kodu BLIK, prośba o tajność, instrukcja, by nie kończyć rozmowy. | Rozłącz się i oddzwoń samodzielnie na oficjalny numer banku. |
| Przejęty profil sprzedaje coś lub prosi o dopłatę | Oszust pisze jako ktoś znany, często w sprawie zakupu, rezerwacji albo „dopłaty do paczki”. | Zmiana tonu, link skrócony, nagła zmiana konta do płatności. | Nie klikaj linku, nie wysyłaj kodu, zweryfikuj sprawę poza komunikatorem. |
| Fałszywy zwrot lub omyłkowy przelew | Ktoś twierdzi, że pomylił numer, wysłał za dużo pieniędzy albo trzeba natychmiast dopłacić. | Pośpiech, emocje, nacisk na „natychmiastową pomoc”. | Sprawdź stan konta w aplikacji i potwierdź sprawę innym kanałem. |
Coraz częściej oszuści korzystają też z wiadomości poprawionych przez AI, więc brak literówek przestał być jakimkolwiek dowodem uczciwości. Dla mnie to ważna zmiana: jeszcze kilka lat temu scam często zdradzał się chaosem, dziś zdradza się głównie treścią i presją, nie formą. To prowadzi do najważniejszego pytania: po czym rozpoznać próbę wyłudzenia, zanim zdążysz cokolwiek kliknąć?
Jak rozpoznać próbę wyłudzenia w kilka sekund
Najprościej: gdy coś wymaga od ciebie szybkiej reakcji pieniężnej, najpierw zwalniam. W takich sprawach nie chodzi o to, by „być miłym i pomocnym”, tylko by nie oddać kontroli. CERT Polska od lat przypomina, że jeśli znajomy prosi o pieniądze przez komunikator albo media społecznościowe, trzeba potwierdzić to innym kanałem, bo konto mogło zostać przejęte.
- Presja czasu - zdania typu „musisz teraz”, „to pilne”, „zaraz stracę dostęp”.
- Prośba o dyskrecję - oszust nie chce, żebyś konsultował sprawę z kimkolwiek innym.
- Zmiana kanału płatności - ktoś zamiast zwykłego przelewu naciska na kod BLIK.
- Unikanie rozmowy głosowej - odpowiedzi są tylko tekstowe, czasem pospieszne i niekonsekwentne.
- Nietypowe szczegóły - inny styl pisania, nowe konto, obcy numer, dziwny adres e-mail.
- Emocjonalny haczyk - strach, współczucie, wstyd albo obietnica szybkiego zwrotu pieniędzy.
Ja stosuję prostą regułę: jeśli prośba dotyczy pieniędzy, weryfikuję ją poza tym samym kanałem, w którym ją dostałem. To może być telefon, osobista wiadomość z innego konta albo kontakt przez zapisany numer. Jeśli weryfikacja zajmuje 60 sekund, a ktoś nie pozwala ci ich poświęcić, to zwykle właśnie w tym miejscu kończy się uczciwa historia. Po rozpoznaniu sygnałów ostrzegawczych warto przejść do zabezpieczeń, bo większość ryzyka da się obciąć jeszcze zanim pojawi się pierwsza wiadomość.
Jak się zabezpieczyć, zanim ktoś poprosi o kod
Tu nie ma jednego magicznego ustawienia. Dobre zabezpieczenie to kilka małych ruchów, które razem robią dużą różnicę. BLIK przypomina w swoich materiałach, że nikt z banku ani z policji nie prosi o kod „w celu zabezpieczenia środków” - i to jest zasada, którą warto zapamiętać dosłownie. Jeśli ktoś twierdzi inaczej, traktuję to jako niemal pewny sygnał oszustwa.
- Włącz dodatkowe zabezpieczenie logowania w komunikatorach, skrzynce mailowej i mediach społecznościowych. Najlepiej użyć aplikacji uwierzytelniającej, a nie samego SMS-a.
- Zadbaj o blokadę telefonu - PIN, biometria i aktualne oprogramowanie znaczą więcej, niż wiele osób zakłada.
- Ustaw niższe limity dla transakcji BLIK i przelewów mobilnych, jeśli nie potrzebujesz wysokich kwot na co dzień.
- Nie pokazuj kodu nikomu, nawet znajomemu, jeśli prośba przyszła przez czat, a nie przez potwierdzony kontakt.
- Sprawdzaj odbiorcę dwa razy, zanim zatwierdzisz przelew lub wypłatę. Na ekranie potwierdzenia liczą się nazwa, kwota i kontekst.
- Ustal z bliskimi prostą zasadę: każda prośba o pieniądze musi być potwierdzona telefonicznie.
Najlepiej działają tu nawyki, nie jednorazowe akcje. Jeśli ktoś przejmie maila albo komunikator, a ty masz wszędzie to samo hasło i brak dodatkowego zabezpieczenia, ryzyko rośnie natychmiast. Dlatego traktuję profilaktykę nie jako „dodatek do bezpieczeństwa”, ale jako pierwszą linię obrony. Mimo wszystko warto też wiedzieć, co robić w chwili, gdy kod już trafił do oszusta albo transakcja została zatwierdzona.
Co zrobić, gdy kod już trafił do oszusta
W takiej sytuacji liczy się kolejność działań. Najpierw zatrzymujesz dalsze szkody, potem zbierasz ślady, a dopiero na końcu wracasz do porządkowania kont i haseł. Jeśli zdążyłeś tylko podać kod, ale nie potwierdziłeś transakcji, i tak nie odpuszczaj - oszust mógł już przejąć twoje konto w komunikatorze albo spróbować kolejnego kroku na innym urządzeniu.
- Natychmiast skontaktuj się z bankiem przez oficjalną infolinię i zgłoś nieautoryzowaną transakcję.
- Zmień hasła do bankowości, skrzynki mailowej i komunikatorów, z których mogła wyjść prośba o kod.
- Wyloguj inne sesje i sprawdź, czy na koncie nie ma obcych urządzeń.
- Zrób zrzuty ekranu wiadomości, numerów, godzin i szczegółów transakcji.
- Zgłoś sprawę na policję i dołącz wszystkie materiały, które mogą pomóc w identyfikacji sprawcy.
- Ostrzeż znajomych, jeśli atak wyszedł z przejętego komunikatora lub profilu społecznościowego.
Na zgłoszenie nieautoryzowanej transakcji masz zwykle 13 miesięcy, ale to jest termin graniczny, nie praktyczna podpowiedź. Ja zawsze powtarzam to samo: im szybciej zareagujesz, tym większa szansa na ograniczenie szkód i prostsze wyjaśnienie sprawy z bankiem. Gdy już opanujesz kryzys, warto jeszcze domknąć temat na poziomie codziennych nawyków, bo właśnie one najbardziej zmniejszają ryzyko powrotu tego samego scenariusza.
Na co postawić w 2026 roku, żeby nie oddać kontroli nad płatnością
W 2026 roku największą zmianą nie jest sam BLIK, tylko jakość podszywania się. Wiadomości bywają lepiej napisane, głosy bardziej podobne, a presja bardziej wiarygodna. Dlatego najlepsza ochrona to zestaw prostych zasad, które trudno obejść: dodatkowe zabezpieczenie kont, niski limit transakcji, weryfikacja poza komunikatorem i zero decyzji pod presją czasu.
- Oddziel komunikację prywatną od finansowej - inny kanał do rozmów, inny do potwierdzeń.
- Trzymaj porządek w hasłach i nie powielaj jednego hasła do maila, banku i mediów społecznościowych.
- Aktualizuj telefon i aplikacje bankowe, bo stare wersje częściej mają słabsze zabezpieczenia.
- Ucz bliskich jednej prostej zasady: żadnych kodów, żadnych przelewów, żadnych wyjątków „na już”.
Jeśli miałbym zostawić tylko jedną praktyczną wskazówkę, byłaby banalna: każdą prośbę o BLIK sprawdzaj poza tym samym kanałem, w którym ją dostałeś. To zajmuje chwilę, a właśnie tej chwili najczęściej brakuje oszustom.