Policja ostrzega przed wyjątkowo niebezpiecznym oszustwem, które wykorzystuje technologię zbliżeniową NFC i socjotechnikę. Metoda już doprowadziła do setek przypadków utraty pieniędzy – niekiedy całych oszczędności życia – a jej skala gwałtownie rośnie.
Przestępcy wykorzystują zaufanie i technologię
Komenda Stołeczna Policji poinformowała o gwałtownym wzroście liczby zgłoszeń dotyczących nowego typu oszustwa związanego z technologią Near Field Communication (NFC). Mechanizm działania oszustów opiera się na kombinacji klasycznej socjotechniki i nowoczesnych rozwiązań technologicznych, co czyni go trudnym do wykrycia – zarówno dla użytkowników, jak i systemów bankowych.
Pierwszy etap ataku zaczyna się niewinnie. Oszuści nawiązują kontakt telefoniczny, podszywając się pod doradców inwestycyjnych, pracowników banków lub przedstawicieli instytucji takich jak Revolut. Oferują wyjątkowo korzystne inwestycje, szybkie zyski i atrakcyjne oferty – wszystko po to, by zdobyć zaufanie rozmówcy.
Złośliwa aplikacja zamiast narzędzia bankowego
Kolejny krok to nakłonienie ofiary do zainstalowania fałszywej aplikacji bankowej lub płatniczej. Oprogramowanie to jest złośliwe, choć wizualnie identyczne z oryginalnymi aplikacjami. Posiada tę samą nazwę, ikonę, a często również zbliżony interfejs, co znacząco utrudnia jego rozpoznanie.
W lutym 2025 roku CSIRT KNF ostrzegał przed fałszywą aplikacją podszywającą się pod PKO BP, która wykorzystywała technologię NFC do kradzieży danych. Wówczas skala zagrożenia nie była jeszcze jasna. Dziś wiadomo, że przestępcy aktywnie wykorzystują te metody w masowych atakach, coraz skuteczniej docierając do swoich ofiar.
Przykładasz kartę do telefonu – tracisz oszczędności
Kulminacyjnym momentem oszustwa jest nakłonienie ofiary do przyłożenia karty płatniczej do telefonu. Pod pretekstem „weryfikacji konta” lub „potwierdzenia tożsamości”, rozmówca instruuje, by zbliżyć kartę do smartfona oraz wpisać kod PIN.
W tym momencie złośliwa aplikacja działa jak terminal płatniczy, wykorzystując funkcję NFC w telefonie do skopiowania wszystkich danych karty – zarówno numeru, daty ważności, jak i PIN-u. Z punktu widzenia systemów bankowych, to autoryzowana transakcja. Przestępcy mogą wówczas dokonać błyskawicznych wypłat z bankomatu lub płatności, które wyglądają jak wykonane przez właściciela karty.
Cała operacja – od przyłożenia karty do telefonu po wypłatę środków – może trwać zaledwie kilka minut.
Dlaczego systemy bankowe nie wykrywają oszustwa?
To, co czyni tę metodę szczególnie niebezpieczną, to trudność wykrycia transakcji jako podejrzanej. Z perspektywy banku, transakcja jest zgodna z procedurami – zawiera prawidłowe dane i autoryzację. W efekcie odmowa zwrotu środków jest częstym scenariuszem, ponieważ nie doszło do naruszenia zabezpieczeń od strony systemu bankowego.
Policja zwraca uwagę, że żaden bank czy instytucja finansowa nie prosi o PIN do karty, nie zaleca instalowania aplikacji przez telefon ani nie wymaga przykładania karty do telefonu w celu rzekomej weryfikacji. To kluczowa wiedza, która może uchronić przed oszustwem.
Jak się chronić przed malware NFC?
Eksperci ds. cyberbezpieczeństwa i Pełnomocnik rządu ds. cyberbezpieczeństwa wskazują, że mamy do czynienia z nową kategorią przestępstw, które łączą tradycyjne wyłudzenia danych z nowoczesnymi technologiami. W odpowiedzi planowane są kampanie informacyjne, mające zwiększyć świadomość społeczeństwa w zakresie bezpiecznego korzystania z bankowości elektronicznej.
Aby zmniejszyć ryzyko utraty środków, należy:
- Instalować aplikacje tylko z oficjalnych źródeł – Google Play, App Store.
- Sprawdzać nazwę, oceny i liczbę pobrań aplikacji przed instalacją.
- Włączyć powiadomienia SMS o transakcjach oraz ustawić limity płatności i wypłat.
- Nigdy nie podawać PIN-u do karty ani danych logowania przez telefon.
- W przypadku wątpliwości rozłączyć się i oddzwonić na oficjalny numer banku.
Co robić, gdy padniemy ofiarą?
Jeśli doszło do incydentu:
- Natychmiast skontaktuj się z bankiem i zablokuj kartę.
- Zgłoś sprawę na policję – im szybciej, tym większa szansa na odzyskanie środków.
- Zabezpiecz telefon – usuń podejrzaną aplikację i zmień hasła do kont.
Bank centralny we współpracy z sektorem bankowym pracuje nad rozwiązaniami, które pozwolą automatycznie wykrywać i blokować podejrzane transakcje NFC, jednak obecnie najskuteczniejszym zabezpieczeniem pozostaje czujność klientów.
Perspektywy: konieczność cyfrowej edukacji społeczeństwa
Z rosnącą cyfryzacją usług finansowych, rośnie również potencjał nadużyć. Jak pokazuje przypadek malware NFC, nawet zaawansowane systemy mogą zostać wykorzystane przeciwko użytkownikom. Dlatego poza rozwojem technologii niezbędna jest edukacja społeczeństwa w zakresie cyberhigieny.
Komunikaty i ostrzeżenia wydawane przez Policję, CSIRT KNF oraz banki powinny być traktowane z najwyższą powagą. Tylko wspólne działania – edukacja, prewencja i rozwój technologii – mogą powstrzymać rozwój tego typu przestępczości.
