Strona główna Bezpieczeństwo

Tutaj jesteś

Jakich danych potrzebują oszuści?

Jakich danych potrzebują oszuści?

Bezpieczeństwo
Data publikacji: 2026-03-23

Zastanawiasz się, jak mało informacji potrzeba, żeby ktoś wziął kredyt na twoje nazwisko lub wyczyścił twoje konto? Z tego artykułu dowiesz się, jakich danych naprawdę potrzebują oszuści i gdzie najczęściej je zdobywają. Poznasz też konkretne sposoby, jak utrudnić im życie i szybciej wykrywać próby wyłudzeń.

Jakie dane są najbardziej wartościowe dla oszustów?

Największe szkody pojawiają się wtedy, gdy przestępcy zdobywają dane, które pozwalają potwierdzić twoją tożsamość lub zalogować się do usług finansowych. Często wystarcza zestaw imię, nazwisko i PESEL, czasem dołożony numer i seria dowodu osobistego albo paszportu. Na bazie takich informacji złodziej może zaciągnąć pożyczki, podpisać umowy z firmami telekomunikacyjnymi czy nawet założyć działalność gospodarczą.

Groźne są też dane logowania, bo po przejęciu twojego konta bankowego czy e-mail przestępca przejmuje kontrolę nad resztą życia cyfrowego. Szczególnie cenne są więc: loginy i hasła do banku, dostęp do e-maila, dane karty kredytowej lub debetowej, a także kody autoryzacyjne, np. BLIK. Zestaw PESEL plus numer dokumentu to w praktyce przepustka do wzięcia kredytu ratalnego, leasingu lub wynajmu mieszkania na cudze dane.

PESEL i dane z dowodu osobistego

Historia Pana Adama z Wałcza pokazuje, jak niebezpieczne jest lekkie traktowanie numeru PESEL. Oszuści wykorzystali tylko imię, nazwisko i PESEL, dołożyli do tego numer cudzego dowodu i adres innej osoby, po czym zaciągnęli kilkanaście kredytów w różnych firmach pożyczkowych. W bazie PESEL wszystko wyglądało poprawnie, więc ani pożyczkodawca, ani e-sąd nie zauważyli problemu.

Takie dane mogą wyciec na wiele sposobów. To może być zgubiona korespondencja z urzędu, źle zabezpieczony serwer w firmie, na którego obsługę nie mamy wpływu, albo formularz rekrutacyjny w internecie, w którym wpisujesz pełne dane z dokumentu. Gdy numer dowodu i PESEL trafią do przestępców, pojawia się ryzyko, że w twoim imieniu zostanie wzięty kredyt, leasing albo wynajęty lokal.

Dane logowania i dane kart płatniczych

Dla wielu grup przestępczych bardziej atrakcyjne od PESEL są loginy i hasła do bankowości elektronicznej oraz dane kart. Po ich przejęciu wystarczy kilka minut, żeby wypłacić pieniądze w bankomacie, zlecić przelew lub zakupy w internecie. Często pierwszym krokiem ataku jest przejęcie skrzynki e-mail, ponieważ to przez nią resetuje się hasła do innych serwisów.

Oszuści próbują zdobyć szczegółowe dane kart, czyli numer, datę ważności i kod CVV/CVC, podszywając się pod serwisy aukcyjne, firmy kurierskie lub portale ogłoszeniowe. Ofiara wierzy, że „odbiera płatność” za sprzedawany przedmiot, a w rzeczywistości wypełnia fałszywy formularz płatności. W tle złodziej zapisuje dane karty i natychmiast je wykorzystuje.

Największe straty finansowe pojawiają się wtedy, gdy w jednym ataku złodziej łączy dane osobowe, dane logowania i dostęp do telefonu ofiary.

Jak oszuści zdobywają twoje dane?

Przestępcy łączą różne techniki. Czasem zaczyna się od prostego maila phishingowego, innym razem od SMS-a z dopłatą 1,47 zł do paczki, a bywa też, że od telefonu rzekomego pracownika banku. W tle pojawiają się też złośliwe aplikacje na Androida, fałszywe panele logowania czy podszywanie się pod portale społecznościowe.

Phishing internetowy

Phishing to nic innego jak podszywanie się pod bank, urząd lub znaną firmę po to, żebyś sam podał poufne dane. Atak zwykle zaczyna się od e-maila z informacją o blokadzie konta, nowym regulaminie albo konieczności potwierdzenia danych. W wiadomości znajduje się link do strony, która wygląda prawie jak oryginalna, ale w rzeczywistości jest pułapką przygotowaną przez phisherów.

Na takiej stronie formularz logowania prosi o identyfikator i hasło do banku, czasem też o kody autoryzacyjne. W innych wariantach proszą o numer PESEL, serię i numer dowodu albo pełne dane karty płatniczej. Gdy je wpiszesz, przestępca w kilka sekund może zalogować się na twoje konto albo przetestować kartę w serwisach płatniczych.

Fałszywe wiadomości SMS

SMS stał się jednym z najwygodniejszych narzędzi ataku. Krótkie wiadomości o niedopłacie 2,50 zł, mandacie, podatku czy dopłacie do szczepionki wyglądają wiarygodnie, szczególnie jeśli jesteś w biegu. Wiadomość zawiera link do „płatności online”, który prowadzi do fałszywej strony banku lub operatora płatności.

Po kliknięciu otwiera się strona łudząco przypominająca twój bank. Wpisujesz login, hasło, a czasem także kod autoryzacyjny. W tym momencie złodziej ma już komplet danych. Podobne SMS-y pojawiają się w kampaniach podszywających się pod firmy kurierskie, gdzie masz dopłacić drobną kwotę za przesyłkę lub przełożyć termin dostawy.

Fałszywe strony i aplikacje mobilne

W ostatnich latach pojawiło się coraz więcej ataków, w których główną rolę grają zainfekowane aplikacje mobilne lub fałszywe panele logowania. Dobrym przykładem jest złośliwe oprogramowanie Flubot, które atakuje użytkowników Androida, podszywając się pod aplikacje firm kurierskich. Po instalacji wirus przejmuje dostęp do SMS-ów, kontaktów i ekranów logowania, w tym bankowości mobilnej.

Podobnie działają kampanie, w których oszuści podszywają się pod serwisy pocztowe, takie jak Onet, Interia, O2 czy Wirtualna Polska. E-mail informuje o konieczności akceptacji nowej polityki prywatności lub o blokadzie konta. Po kliknięciu w link przeglądarka otwiera stronę z wirusem albo formularz, który przechwytuje twoje dane logowania do poczty.

Spoofing telefoniczny i deepfake

Coraz częściej atak zaczyna się od telefonu. Oszust może zadzwonić z numeru, który w twoim telefonie wyświetli się jako infolinia banku. To tzw. spoofing. W trakcie rozmowy „konsultant” informuje o podejrzanej transakcji, proponuje zainstalowanie oprogramowania zdalnego dostępu lub prosi o podanie loginu, hasła, a nawet kodów z SMS.

Nowym kierunkiem jest użycie technologii deepfake. Głos przestępcy może brzmieć jak głos twojego znajomego lub krewnego, bo został nagrany z filmików opublikowanych w sieci. Prośba o pilny przelew czy podanie kodu BLIK brzmi wtedy bardzo wiarygodnie, szczególnie gdy rozmówca opowiada o rzekomym wypadku lub nagłym problemie.

Jakie dane padają łupem oszustów na OLX i Facebooku?

Portale ogłoszeniowe i społecznościowe to wygodne pole działania dla złodziei, bo tam ludzie szybko podejmują decyzje i ufają „znajomym”. Ataki na OLX czy przez Facebooka łączą elementy phishingu, socjotechniki i przejmowania kont, a w tle pojawiają się dane kart, loginy i jednorazowe kody płatności.

Oszustwa na OLX

Popularny schemat z OLX polega na skontaktowaniu się ze sprzedającym przez WhatsApp. Atakujący deklaruje chęć zakupu i proponuje sfinalizowanie transakcji przez „bezpieczne płatności OLX”. Wysyła link do strony, która wygląda jak oficjalny serwis, ale jest fałszywą kopią. Ofiara ma tam „podać dane karty, żeby otrzymać pieniądze”.

W rzeczywistości OLX nigdy nie wymaga od sprzedawcy podawania danych karty czy logowania do banku. Wpisanie numeru karty, daty ważności i kodu CVV/CVC kończy się natychmiastową kradzieżą środków. Przestępcy mogą też spróbować użyć tych danych w innych serwisach, dlatego jeden nieostrożny krok może oznaczać serię kolejnych obciążeń na rachunku.

Przejmowanie kont na Facebooku

Na Facebooku oszuści najpierw próbują przejąć czyjeś konto, a dopiero potem atakują znajomych ofiary. Wysyłają link do sensacyjnego artykułu, np. o wypadku, zgonie po szczepieniu czy szokującym nagraniu. Po kliknięciu pojawia się formularz logowania, który wygląda jak Facebook, ale jest tylko fałszywą nakładką.

Jeśli wpiszesz tam login i hasło, przestępca natychmiast zaloguje się na twoje konto i zacznie rozsyłać podobne wiadomości dalej. Kolejnym krokiem jest prośba o kod BLIK i „pożyczenie 500 zł na holowanie samochodu” albo opłacenie pilnego rachunku. Wiele osób wysyła pieniądze, bo wierzy, że pomaga znajomemu.

  • fałszywe linki do logowania na Facebooka i inne portale,
  • wiadomości z prośbą o kod BLIK,
  • propozycje „szybkich płatności” w zamian za podanie danych karty,
  • ankiety i konkursy z prośbą o podanie PESEL lub numeru dowodu.

Jak sprawdzić, czy ktoś nie używa twoich danych?

Często kradzież danych wychodzi na jaw dopiero wtedy, gdy pojawia się komornik lub odmowa przyznania kredytu. Da się jednak wcześniej wychwycić podejrzane działania, korzystając z narzędzi oferowanych przez banki i Biuro Informacji Kredytowej. Wtedy pojedyncza próba wyłudzenia nie przerodzi się w serię kilkunastu pożyczek jak u Pana Adama.

Alerty BIK

Alerty BIK to usługa, która wysyła SMS lub e-mail, gdy instytucja finansowa zapyta o twoje dane w BIK. Taki sygnał dostaniesz, kiedy ktoś próbuje wziąć kredyt, pożyczkę albo abonament na twoje nazwisko. W praktyce to wczesne ostrzeżenie, że numer PESEL i dane z dokumentu krążą już w obiegu.

Alert pojawia się też, gdy w BIK odnotowane zostaną opóźnienia w spłacie twojego kredytu lub zostaniesz wpisany jako dłużnik do Rejestru Dłużników BIG InfoMonitor. Jeśli sam niczego nowego nie podpisywałeś, taki SMS jest sygnałem, że ktoś próbuje wykorzystać twoje dane. Wtedy warto natychmiast skontaktować się z bankiem lub firmą pożyczkową i zgłosić próbę wyłudzenia.

Raport BIK i monitoring historii kredytowej

Regularne sprawdzanie Raportu BIK pozwala zobaczyć wszystkie twoje zobowiązania finansowe. W raporcie pojawią się zarówno kredyty spłacane terminowo, jak i te z opóźnieniami. Dzięki temu można wykryć kredyt zaciągnięty na twoje dane nawet wtedy, gdy oszust na początku sumiennie spłaca raty, żeby nie wzbudzać podejrzeń.

Pan Adam nie korzystał ani z Alertów BIK, ani nie monitorował swojego raportu. O wyłudzeniach dowiedział się dopiero, gdy zapadł wyrok e-sądu i komornik zablokował konto. Od tej chwili jedyną drogą obrony było zaskarżenie prawomocnego orzeczenia, co oznacza długą i kosztowną batalię sądową.

Rodzaj narzędzia Co wykrywa Kiedy reagować
Alerty BIK Nowe zapytania kredytowe, wpisy do rejestrów dłużników Gdy otrzymasz powiadomienie o kredycie, którego nie składałeś
Raport BIK Wszystkie istniejące kredyty i pożyczki na twoje dane Gdy zobaczysz zobowiązanie, którego nie rozpoznajesz
System Dokumenty Zastrzeżone Informację o zastrzeżonym dokumencie tożsamości Gdy zgubiłeś dowód lub podejrzewasz kradzież danych

Jak się bronić przed kradzieżą danych?

Nie da się całkowicie wyeliminować ryzyka, ale można je wyraźnie zmniejszyć. Chodzi o połączenie podstawowej higieny cyfrowej, ostrożności przy podawaniu danych i korzystania z dostępnych narzędzi ostrzegawczych. Im szybciej zauważysz próbę wyłudzenia, tym mniej szkód poniesiesz.

Dobre nawyki online

Bezpieczne korzystanie z internetu zaczyna się od kilku prostych zasad. Pierwsza z nich to dokładne sprawdzanie adresu strony, na której podajesz wrażliwe dane. Nawet drobna literówka w nazwie domeny może oznaczać, że trafiłeś na fałszywy panel logowania. Warto też zwracać uwagę, czy strona banku lub sklepu ma adres zaczynający się od https://, a nie zwykłe http.

Kolejna sprawa to unikalne i złożone hasła w każdym serwisie. Jeden wyciek nie powinien otwierać złodziejowi drzwi do wszystkich twoich kont. Dużym ułatwieniem jest menedżer haseł, który zapamięta za ciebie długie kombinacje. Dobrą praktyką jest też nieotwieranie linków z maili i SMS-ów, tylko ręczne wpisywanie adresu banku czy portalu w przeglądarce.

  • sprawdzaj domenę strony przed wpisaniem loginu,
  • nie klikaj w linki do „logowania” z e-maili czy SMS-ów,
  • aktualizuj system i oprogramowanie na komputerze i telefonie,
  • nie podawaj danych osobistych w formularzach otrzymanych e-mailem.

Zastrzeganie dokumentów i zgłaszanie incydentów

Gdy masz choć cień podejrzenia, że ktoś mógł skopiować twoje dokumenty lub zdobyć dane, nie warto czekać na rozwój wydarzeń. Możesz skorzystać z systemu Dokumenty Zastrzeżone, dostępnego m.in. przez banki i BIK. Po zastrzeżeniu dowodu informacja trafia do wszystkich banków w Polsce, co utrudnia wykorzystanie dokumentu do wzięcia kredytu.

Jeśli dokumenty zostały skradzione fizycznie, dobrze jest zgłosić sprawę na Policji oraz jak najszybciej wyrobić nowe. W przypadku oszustwa internetowego, np. fałszywego sklepu, można przesłać zgłoszenie przez serwis gov.pl oraz formularz incydent.cert.pl, wybierając jako kategorię „osoba fizyczna” i dołączając podejrzane wiadomości do analizy.

Im szybciej zastrzeżesz dokument i zgłosisz incydent, tym mniejsze szanse, że twój PESEL pojawi się w kolejnych próbach wyłudzeń.

Gdzie szukać informacji o bieżących atakach?

Przestępcy stale modyfikują scenariusze, dlatego warto śledzić ostrzeżenia publikowane przez instytucje zajmujące się cyberbezpieczeństwem. Zespół CERT Polska od lat prowadzi statystyki phishingu i udostępnia poradniki na temat bezpiecznej poczty oraz kont społecznościowych. Od 2020 roku CERT wraz z operatorami telekomunikacyjnymi publikuje też listę niebezpiecznych domen wykorzystywanych w oszustwach.

Informacje o aktualnych kampaniach można znaleźć również w komunikatach banków oraz na portalach zajmujących się bezpieczeństwem, takich jak serwis Niebezpiecznik. W 2020 roku aż 58 procent domen z listy ostrzeżeń CERT dotyczyło fałszywych paneli logowania do Facebooka, a liczba incydentów z wykorzystaniem wizerunku OLX wzrosła z kilku do kilkuset rocznie. To pokazuje skalę problemu i powód, dla którego warto wiedzieć, jakich danych najbardziej szukają oszuści.

Redakcja mobility.com.pl

Zespół redakcyjny mobility.com.pl z pasją śledzi świat RTV, AGD, multimediów, technologii oraz IT. Chcemy dzielić się naszą wiedzą i doświadczeniem, tłumacząc nawet najbardziej złożone tematy w sposób prosty i zrozumiały. Razem sprawiamy, że nowoczesne technologie stają się bliższe każdemu!

Może Cię również zainteresować

Jak zwiększyć zasięg w telefonie?

Dealz – co to za sklep i co oferuje klientom?

Potrzebujesz więcej informacji?