Home Bezpieczeństwo Czy można stracić pieniądze z konta, nie gubiąc ani karty, ani telefonu?

Czy można stracić pieniądze z konta, nie gubiąc ani karty, ani telefonu?

0
0
268

Wystarczy, że masz NFC w smartfonie, trochę zaufania do „pana z banku” przez telefon i odrobinę pecha. Resztą zajmą się ludzie, którzy znają technologię lepiej niż większość z nas – i wcale nie pracują w IT.

Telefon, który „chroni”, a w praktyce otwiera sejf

Wyobraź sobie zwykłe popołudnie. Siedzisz w pracy, w domu, w tramwaju.
Nagle przychodzi SMS:

„Wykryto podejrzaną aktywność na Twoim koncie. Aby zabezpieczyć środki, zainstaluj pilnie nową aplikację bezpieczeństwa banku. Link poniżej”.

Brzmi groźnie, wygląda wiarygodnie. Nadawca? Ten sam, pod którym wcześniej dostawałeś prawdziwe kody autoryzacyjne. Przez chwilę w głowie masz jeszcze pytanie: „Serio? Ale chyba wszystko było w porządku…”. Zanim zdążysz je rozwinąć, dzwoni telefon.

Po drugiej stronie – spokojny głos. Przedstawia się imieniem, nazwiskiem, podaje nazwę twojego banku. Mówi, że dzwoni właśnie w sprawie tej sytuacji, o której przed chwilą dostałeś SMS. Jeśli chcesz, chętnie „potwierdzi swoją tożsamość”: możesz dostać dodatkową wiadomość z danymi konsultanta. Faktycznie, SMS przychodzi. Zawsze wierzyłeś, że jak coś jest „potwierdzone kodem z banku”, to musi być prawdziwe. I to jest ten moment, w którym przestajesz myśleć o oszustwie, a zaczynasz myśleć o „ratowaniu pieniędzy”.

Narracja jest prosta: jest zagrożenie, ktoś z banku już nad tym pracuje, ty musisz tylko „współpracować”. Pada słowo klucz: natychmiast.
„Jeśli nie zareagujemy teraz, środki mogą zostać utracone” – słyszysz. Masz się nie zastanawiać, tylko działać.

Akademicki wynalazek w służbie złodziei

Żeby zrozumieć, co się dzieje dalej, trzeba na chwilę cofnąć się do laboratorium.
Na Uniwersytecie Technicznym w Darmstadt grupa studentów bawi się technologią NFC – tą samą, która pozwala nam płacić telefonem czy kartą zbliżeniowo. Udaje im się coś efektownego: przechwycić i przekierować sygnał NFC z jednego urządzenia do innego, tak jakby ktoś nagiął przestrzeń między kartą a terminalem.

Na papierze – imponujący eksperyment. W praktyce – gotowa instrukcja dla przestępców:
skoro można „przenieść” sygnał NFC, to może da się sprawić, by bankomat myślał, że widzi twoją kartę, choć tak naprawdę znajduje się ona w twoim portfelu, kilkaset kilometrów dalej?

Niestety, ta myśl nie została w notatniku naukowców. W grudniu 2023 roku w Czechach zaczęły się pierwsze realne ataki. Analitycy ESET nadali całej metodzie nazwę NGate, opisali schemat i ostrzegali, że to nie koniec. Mieli rację.

W 2024 roku dokładnie ten sposób działania rozpracowano szerzej. Na początku 2025 r. odnotowano ataki wymierzone w użytkowników PKO Banku Polskiego, a niedawno – jak sygnalizuje m.in. zespół CERT Polska – na radarze przestępców pojawili się też klienci innych polskich banków.

W tym samym czasie statystyki ESET pokazują coś, co trudno zignorować:
w pierwszej połowie 2025 r. liczba oszustw opartych o moduły NFC na świecie była 35 razy większa niż w drugiej połowie 2024. To nie jest „trend w zalążku”. To jest gotowa fala.

Phishing jak zawsze, technologia jak nigdy

Cała akcja z NGate nie zaczyna się od tajemniczego urządzenia w rękach hakera. Zaczyna się od tego, co znamy już na pamięć: phishingu. Tyle że podanego w wersji „premium”.

Najpierw jest wiadomość – e-mail albo SMS. W treści: problem techniczny, incydent bezpieczeństwa, czasem „podejrzane logowanie” z zagranicy. Zawsze z elementem niepokoju i z propozycją natychmiastowego rozwiązania. Tym rozwiązaniem jest link.

Klikasz – widzisz stronę, która wygląda jak twój bank. Banery, kolory, logo, język komunikatu. Z tej strony prowadzi cię instrukcja krok po kroku do instalacji „nowej, bezpiecznej aplikacji bankowej” na Androidzie. I dokładnie wtedy odzywa się telefon z konsultantem, który – jak twierdzi – właśnie monitoruje twoją sprawę i „będzie ci towarzyszył podczas procesu zabezpieczania konta”.

W tle dzieje się coś ważnego: instalujesz aplikację spoza oficjalnego sklepu, dajesz jej uprawnienia, przeprowadzasz przez swój telefon złośliwe oprogramowanie. Ekspert ESET, Kamil Sadkowski, nazywa to wprost:
to malware, punkt startowy całego ataku. Reszta to już logiczne domino.

„Proszę przyłożyć kartę do telefonu” – i nagle masz problem

Kiedy aplikacja już siedzi w twoim telefonie, zaczyna zachowywać się tak, jak oczekujesz od „oprogramowania bezpieczeństwa”. Prosi o weryfikacje, potwierdzenia, dodatkowe zabezpieczenia. W końcu pojawia się etap najważniejszy z punktu widzenia przestępców.

Najpierw komunikat: żeby ostatecznie zabezpieczyć twoje środki, musisz zweryfikować swoją kartę. Nie brzmi to dziwnie – przecież karta jest przypisana do konta, bank nie raz prosił o jakieś dodatkowe potwierdzenia. Tyle że tym razem aplikacja prosi cię o coś, co powinno zapalić wszystkie czerwone lampki:

– „Prosimy przyłożyć fizyczną kartę do telefonu z włączonym modułem NFC”.

Robisz to. Karteczka z napisem „bezstykowo” nagle nabiera innego znaczenia. Telefon „czyta” kartę, aplikacja pokazuje, że proces trwa. Po chwili przychodzi kolejny komunikat:

– „Aby potwierdzić, że jesteś właścicielem karty, wpisz PIN”.

To właśnie ten moment, w którym z perspektywy przestępców padają wszystkie kluczowe domyślne pytania:

  • czy masz kartę? tak.
  • czy możemy ją odczytać? tak.
  • czy wiemy, jaki jest PIN? właśnie tak.

Dalsza część odbywa się już bez twojego udziału. Gdzieś daleko od ciebie ktoś korzysta ze specjalnie przygotowanego urządzenia, które – korzystając z wiedzy o sygnale NFC i PIN-ie – jest w stanie zachować się wobec bankomatu jak twoja prawdziwa karta. Urządzenie rusza w teren, staje przed maszyną z logo znanego banku i zaczyna wypłacać gotówkę.

To wciąż tylko połowa problemu. Ponieważ wcześniej dałeś „aplikacji” dostęp do swojego konta, przestępcy mogą zalogować się jak ty, modyfikować limity wypłat, przesuwać środki między rachunkami. Jedna decyzja o instalacji, jedno przyłożenie karty do telefonu, jeden PIN wpisany „dla bezpieczeństwa” – i nagle twoje konto jest rozkręcanym sejfem.

Dlaczego to działa aż tak dobrze?

Tu nie chodzi tylko o technologię. NGate jest efektowne technicznie, ale w środku opiera się na tym, co zawsze: na ludzkich reakcjach.

  • Po pierwsze – zaufanie do symboli.
    Jeśli przychodzi SMS z nazwą twojego banku, nie startujesz od myśli „to na pewno oszustwo”. Startujesz od „o, bank się odezwał”. Jeśli ktoś dzwoni i brzmi profesjonalnie, nie zakładasz od razu, że to przestępca.
  • Po drugie – przyzwyczajenie do potwierdzania.
    Płacimy kodami, potwierdzamy transakcje, akceptujemy regulaminy, „kliknij, wpisz, zaakceptuj” to codzienność. W pewnym momencie robimy to odruchowo. Gdy na to nakłada się dobrze prowadzona rozmowa telefoniczna, w której ktoś krok po kroku prowadzi cię przez kolejne ekrany, bardzo łatwo tracisz ten jeden moment na pytanie: „dlaczego w ogóle to robię?”.
  • Po trzecie – stres.
    Pieniądze są dla większości z nas po prostu zasobem bezpieczeństwa. Informacja, że „za chwilę możesz je stracić”, bardzo skutecznie wyłącza chłodne myślenie. To jest świadomie używany instrument. Przestępcy nie bez powodu mówią: „natychmiast”, „nie odkładaj”, „jeśli przerwiemy proces, konto będzie zagrożone”.

Technologia NGate jest tylko nową nitką w dobrze znanym schemacie manipulacji. Zmienia się narzędzie (NFC, malware, zdalne urządzenie do wypłat), ale fundament zostaje ten sam: zrobić wszystko, by ofiara sama otworzyła drzwi.

Co zostaje po naszej stronie?

Można oczywiście powiedzieć: „nie używajmy NFC”. Tylko że to nie NFC jest tu winne. Tak samo jak nie kabel jest winny, że ktoś kradnie prąd. Problem zaczyna się chwilę wcześniej – tam, gdzie klikamy, instalujemy, ufamy.

Kilka rzeczy w tej historii warto sobie zapamiętać jako bardzo praktyczne „odruchy obronne”.

  • Po pierwsze: bank nie wysyła aplikacji linkiem w SMS-ie czy mailu.
    Jeśli jakaś wiadomość ci to sugeruje – to nie jest delikatny test czujności, tylko gotowy atak. Oficjalne aplikacje bankowe pobiera się wyłącznie z Google Play czy oficjalnego sklepu producenta telefonu. Nic „z boku”.
  • Po drugie: rozłącz się i zadzwoń sam.
    Kiedy słyszysz w słuchawce „tu bank, mamy incydent bezpieczeństwa”, najrozsądniejszą reakcją nie jest grzeczne słuchanie instrukcji, tylko przerwanie rozmowy, wejście na stronę banku, wybranie numeru infolinii i zadanie prostego pytania: „czy ktoś faktycznie do mnie dzwonił w sprawie X?”. Prawdziwy bank tę decyzję zrozumie. Fałszywy „bank” będzie próbował cię do niej zniechęcić.
  • Po trzecie: PIN do karty nie należy do aplikacji.
    PIN wpisujemy w bankomacie lub na terminalu płatniczym. Nikt nie ma prawa wymagać go od ciebie w jakiejkolwiek aplikacji „bezpieczeństwa”. Jeśli jakaś apka prosi o PIN do karty – to nie jest błąd w UX. To jest sygnał ewakuacji.
  • Po czwarte: karta nie „przytula się” do telefonu na życzenie aplikacji.
    Brzmi śmiesznie, ale to dobry filtr. Bank nie weryfikuje twojej karty w salonie, kuchni czy autobusie, prosząc cię o przyłożenie plastiku do telefonu. To się po prostu nie dzieje. Jeśli więc jakaś „procedura bezpieczeństwa” to wymaga – przestajesz uczestniczyć w tej grze.
  • I po piąte: jeśli coś poszło nie tak – szybko, nie wstydliwie.
    Wstyd jest najlepszym sprzymierzeńcem przestępców. Te wszystkie „jak ja mogłem być tak głupi?” sprawiają, że ludzie zwlekają z reakcją, zamiast zadzwonić do banku, zastrzec kartę, zgłosić incydent. A czas działa tu wyłącznie na korzyść atakujących. Lepiej zadzwonić za wcześnie z fałszywym alarmem, niż za późno z prawdziwym.

Nie chodzi o panikę, tylko o odruch

Technologie będą coraz sprytniejsze, przestępcy – coraz bardziej kreatywni. To się nie zmieni. NGate jest jednym z pierwszych dużych sygnałów, że era „bezstykowej wygody” ma też swoją ciemną stronę, w której nasza karta może „pojawić się” w cudzym bankomacie bez naszego udziału.

Ale w tej całej opowieści jest też dobra wiadomość: ostatni krok wciąż należy do człowieka.
Możesz mieć telefon z NFC, konto w dużym banku, aplikacje, powiadomienia, biometrię i cały ten pakiet współczesnego komfortu. A jednocześnie możesz mieć jeden prosty nawyk: niczego nie instaluję z linka w wiadomości, nigdzie nie wpisuję PIN-u do karty, nie przykładam plastikowej karty do telefonu, bo tak każe jakaś „apka ratunkowa”.

To nie jest wiedza z podręcznika dla administratorów bezpieczeństwa. To zwykły, codzienny rozsądek, który czasem musi stanąć naprzeciw dobrze wyreżyserowanego stresu.

A jeśli kiedyś zadzwoni „ktoś z banku” i będzie bardzo się spieszył – być może najlepszym zabezpieczeniem twojego konta będzie krótki, trochę niewygodny dla rozmówcy ruch:
rozłączyć się, odetchnąć i zadzwonić tam, gdzie naprawdę chcesz rozmawiać – do swojego banku, nie do jego imitacji.

Dodaj komentarz

Przeczytaj również

Nowe przepisy celne: czy logistyka przeniesie się do UE?

Z początkiem lipca weszły w życie przepisy dotyczące przesyłek spoza UE, które zmieniają z…