Nowe oszustwo na Otomoto: Uważaj na jeden błąd, by nie stracić pieniędzy

30.03.2026 14:24 Daniel Wlaźlak

(peugeot : fot. https://elements.envato.com/)

W ostatnich tygodniach eksperci ds. bezpieczeństwa informują o gwałtownym wzroście prób wyłudzeń prowadzonych poprzez serwisy ogłoszeniowe w Polsce. Oszuści wykorzystują rosnącą popularność kodów QR do przechwytywania danych logowania, a jedna pochopnie potwierdzona płatność potrafi wyczyścić konto bankowe w kilka minut. Poniżej przedstawiamy szczegółowy opis działania ataku i listę praktycznych kroków, które pomogą zminimalizować ryzyko utraty pieniędzy.

Mechanizm działania oszustwa z wykorzystaniem kodów QR

Scenariusz zaczyna się od kontaktu z osobą, która wystawiła ogłoszenie – najczęściej dotyczące samochodu, części motoryzacyjnych lub innego towaru o dużej wartości. Atakujący przejmuje inicjatywę i przedstawia się jako przedstawiciel działu obsługi portalu lub jako „zweryfikowany” kupujący. W dalszej części rozmowy ofiara otrzymuje kod QR rzekomo niezbędny do potwierdzenia tożsamości albo odblokowania rachunku sprzedawcy. Po zeskanowaniu kodu smartfon otwiera stronę, która łudząco przypomina panel bankowości elektronicznej lub system szybkich płatności BLIK. Formularz prosi o login, hasło, a następnie o autoryzację przelewu. W rzeczywistości dane trafiają bezpośrednio na serwer przestępców, a zatwierdzona transakcja natychmiast przenosi środki na konto pośrednika finansowego lub giełdy kryptowalut, gdzie pieniądze są błyskawicznie „płukane” i wypłacane.

Nowe techniki budowania wiarygodności ataku

Dotychczas popularne były wiadomości SMS z linkiem prowadzącym do fałszywej strony, lecz tego typu komunikaty coraz częściej są odrzucane przez filtry antyphishingowe. W odpowiedzi oszuści przerzucili się na kody QR, które rzadziej budzą podejrzenia i omijają blokady w telefonach. Dodatkowo w kampaniach wykorzystywane są nazwy sugerujące oficjalne działy bezpieczeństwa lub support portalu, a także personalizowane elementy, takie jak numer ogłoszenia i imię sprzedającego. Wiele ofiar przyznaje, że zmyliło je profesjonalne logo i poprawna polszczyzna zastosowana w korespondencji. Nie bez znaczenia jest też presja czasu – atakujący argumentuje, że brak szybkiej reakcji spowoduje blokadę konta lub utratę transakcji.

Najważniejsze zasady ochrony przed wyłudzeniami

1. Nigdy nie skanuj kodu QR pochodzącego z niezweryfikowanego źródła, zwłaszcza jeśli dotyczy to operacji finansowej. 2. Sprawdzaj dokładnie adres strony po zeskanowaniu kodu – zaufane banki zawsze używają certyfikatu szyfrowania i domeny z prawidłową nazwą instytucji. 3. W przypadku BLIKa upewnij się, jaką kwotę autoryzujesz i zweryfikuj odbiorcę w aplikacji bankowej. 4. Kiedy otrzymasz wiadomość o rzekomej blokadzie konta, samodzielnie skontaktuj się z infolinią portalu lub banku, korzystając z oficjalnych numerów podanych na stronie internetowej. 5. Zadbaj o dwuskładnikowe uwierzytelnianie oraz aktualne oprogramowanie w telefonie i komputerze – statystyki CERT Polska pokazują, że urządzenia bez aktualizacji częściej padają ofiarą złośliwego oprogramowania wykrywającego dane logowania.

Jak postępować, gdy padniemy ofiarą ataku

Jeżeli zorientujesz się, że przekazałeś dane logowania na fałszywej stronie, natychmiast zadzwoń do banku i zablokuj dostęp do rachunku. Następnie złóż reklamację, opisując szczegółowo przebieg zdarzeń. Równolegle warto zgłosić incydent do najbliższej jednostki policji oraz do krajowego zespołu reagowania na incydenty (CERT Polska). Im szybciej podjęte zostaną działania, tym większa szansa na odzyskanie części środków. Profesjonalne portale ogłoszeniowe zachęcają ponadto do raportowania prób wyłudzeń, aby kolejne osoby otrzymywały ostrzeżenia w czasie rzeczywistym.

Strona główna >
Aktualności >

Daniel Wlaźlak SEO | programowanie | żeglarstwo | lotnictwo

(wszystkie artykuły)

Obecnie intensywnie rozwijam swoje umiejętności w żeglarstwie morskim, łącząc pasję do podróżowania i odkrywania nowych miejsc. Moja kariera zawodowa obejmuje SEO, programowanie oraz lotnictwo.