Vishing i smishing na seniorów. Co może się stać, gdy numery telefonów trafią do oszustów

2026-05-13

TL;DR

Safeonweb ostrzega przed podejrzanymi telefonami i SMS-ami po przechwyceniu niepotwierdzonej wiadomości z dark webu, w której ktoś twierdzi, że posiada dane telefoniczne starszych osób w Belgii. Nie wiadomo, czy te dane są prawdziwe, skąd pochodzą ani ilu osób mogą dotyczyć. Sam alert jest jednak ważny, bo pokazuje praktyczny problem: nawet niezweryfikowana informacja o bazie numerów może oznaczać większe ryzyko vishingu i smishingu.

Dla Polski to bardzo aktualny scenariusz. Oszuści mogą podszywać się pod bank, policję, urząd, telekom, ubezpieczycieli, przychodnię, rodzinę albo dostawcę usług. Jeżeli znają numer telefonu i potrafią dobrać wiarygodną historię, rozmowa może wyglądać znacznie bardziej przekonująco niż typowy spam.

Telefon jest kanałem phishingu, nie tylko rozmową

Wiele osób nadal myśli o phishingu jako o mailu z linkiem. Tymczasem telefon i SMS bywają skuteczniejsze, bo działają szybciej i bardziej osobiście. Rozmowa daje oszustowi możliwość reagowania na wątpliwości ofiary, zmiany historii i zwiększania presji.

Vishing, czyli oszustwo telefoniczne, może zacząć się od informacji o podejrzanej płatności, zablokowanej karcie, problemie z kontem, infekcji telefonu, sprawie urzędowej albo pilnej pomocy dla członka rodziny. Smishing, czyli SMS-owa wersja phishingu, może podsunąć link do płatności, weryfikacji, paczki albo rzekomego zabezpieczenia konta.

Jeżeli przestępca ma numer telefonu i podstawowe dane o odbiorcy, może brzmieć bardziej wiarygodnie. Nie musi znać wszystkiego. Wystarczy kilka szczegółów, żeby ofiara zaczęła myśleć, że rozmowa jest prawdziwa.

Seniorzy i presja autorytetu

Seniorzy są szczególnie narażeni nie dlatego, że są mniej inteligentni, ale dlatego, że oszuści celowo dobierają historie pod ich emocje, relacje i codzienne obawy. Bank, policja, urząd, ubezpieczenie zdrowotne, operator telefonu, wnuk w kłopotach, zablokowana karta albo problem z komputerem to tematy, które mogą wywołać natychmiastową reakcję.

Najgroźniejsza jest presja czasu. Oszust mówi, że trzeba działać teraz. Nie wolno się rozłączać. Nie wolno nikomu mówić. Trzeba podać kod. Trzeba potwierdzić operację. Trzeba zainstalować aplikację. Trzeba przelać pieniądze na bezpieczne konto.

Właśnie takie sformułowania powinny być traktowane jak sygnał alarmowy. Prawdziwy bank, policja ani urząd nie potrzebują, żeby obywatel działał w panice i przekazywał tajne kody przez telefon.

Polska wersja tego scenariusza jest bardzo prawdopodobna

W Polsce podobne kampanie mogą podszywać się pod banki, ZUS, urząd skarbowy, policję, operatorów telekomunikacyjnych, dostawców energii, NFZ, przychodnie, ubezpieczycieli albo firmy kurierskie. W praktyce nie trzeba nawet dużego wycieku danych. Wystarczy numer telefonu i dobrze dobrana historia.

Jeżeli oszust wie, że dany numer należy do osoby starszej, może przygotować rozmowę pod opiekę zdrowotną, konto bankowe, dopłatę, emeryturę, rodzinę albo problem z dokumentami. Jeżeli zna imię, miasto lub operatora, rozmowa staje się jeszcze bardziej wiarygodna.

Ten temat warto połączyć z materiałem Smishing: SMS phishing - zagrożenie dla firm i użytkowników. SMS i telefon są częścią tego samego problemu: oszust próbuje przenieść odbiorcę z normalnego trybu myślenia do szybkiego wykonywania poleceń.

Prosta umowa rodzinna może zatrzymać atak

W przypadku seniorów często skuteczniejsze od długich poradników są proste, wcześniej ustalone zasady. Rodzina może umówić się na jedno zdanie albo jeden rytuał weryfikacji: jeśli ktoś dzwoni w sprawie pieniędzy, kodów, banku, policji albo pilnego problemu, rozłączamy się i oddzwaniamy do zaufanej osoby.

Taka zasada działa, bo przenosi decyzję poza moment presji. Senior nie musi rozstrzygać, czy rozmówca brzmi wiarygodnie. Ma gotową procedurę: rozłączyć się, zadzwonić do rodziny, banku lub instytucji samodzielnie.

Warto też ustalić, że żadnych kodów, PIN-ów, haseł, danych karty, BLIK-a ani zdalnych aplikacji nie przekazuje się przez telefon. Nawet jeśli rozmówca mówi, że jest z banku. Nawet jeśli zna imię. Nawet jeśli straszy stratą pieniędzy.

Firmy też powinny o tym mówić

Może się wydawać, że to temat prywatny, rodzinny i konsumencki. W rzeczywistości firmy również powinny go uwzględniać. Pracownicy odbierają telefony służbowe i prywatne, obsługują klientów, mają rodziny, używają bankowości i często pomagają starszym bliskim w sprawach cyfrowych.

Ten sam mechanizm może uderzyć w firmę przez fałszywy telefon z banku, rzekomy helpdesk, operatora, dostawcę, księgowość, leasing, ubezpieczenie albo usługę chmurową. Oszust może nie prosić od razu o hasło. Może poprosić o zainstalowanie aplikacji, wejście w link, odczytanie kodu lub potwierdzenie operacji.

W testach phishingowych dla firm warto uwzględniać także scenariusze vishingu i smishingu. E-mail nie jest jedynym kanałem, w którym można przejąć decyzję użytkownika.

Co zrobić po podejrzanym telefonie lub SMS-ie

Najważniejsze jest przerwanie kontaktu. Nie tłumaczyć się, nie dyskutować, nie wykonywać poleceń, nie klikać w link, nie podawać kodów. Rozłączyć się i samodzielnie skontaktować z instytucją, korzystając z numeru z oficjalnej strony, aplikacji albo dokumentów.

Jeżeli doszło do przekazania kodu, danych karty albo wykonania przelewu, trzeba działać od razu: kontakt z bankiem, zastrzeżenie karty, blokada kanałów elektronicznych, zgłoszenie incydentu i ostrzeżenie bliskich. Przy takich atakach liczy się czas.

Wniosek

Alert Safeonweb jest ważny nie dlatego, że potwierdza konkretny wyciek danych seniorów. Jest ważny dlatego, że pokazuje gotowy model ryzyka: dane z dark webu mogą stać się paliwem dla telefonicznej i SMS-owej socjotechniki.

W Polsce taki sam scenariusz może działać przez bank, urząd, policję, telekom, ubezpieczycieli albo rodzinę. Najlepsza obrona nie zaczyna się od technologii, tylko od prostej zasady: jeśli rozmowa dotyczy pieniędzy, kodów, konta albo pilnej weryfikacji, rozłącz się i sprawdź sprawę innym kanałem.