„Podeślij kod BLIK” — przejęcia kont na Facebooku
Przejęte konto znajomego prosi o kod BLIK albo skan dowodu. Tłumaczymy, jak dochodzi do przejęcia konta i dlaczego łańcuch zaufania jest najsłabszym ogniwem.
Dostajesz wiadomość na Messengerze od znajomego: „Hej, masz chwilę? Zablokowali mi BLIK-a, możesz podesłać kod, oddam wieczorem.” Piszesz z prawdziwym kontem prawdziwej osoby — tyle że po drugiej stronie siedzi przestępca. To jeden z najskuteczniejszych scenariuszy 2026 roku, bo wykorzystuje zaufanie, którego technologia nie chroni.
Skąd bierze się przejęte konto
Zanim padnie prośba o kod, przestępca musi przejąć czyjeś konto. Najczęstsze drogi:
- Phishing loginu — fałszywy panel logowania Facebooka (link „zobacz kto oglądał Twój profil”, „Twoje konto zostanie usunięte”).
- Przejęcie e-maila podpiętego do konta, a przez niego reset hasła.
- Wyciekłe hasła używane w wielu serwisach (credential stuffing).
Po przejęciu konto staje się narzędziem do atakowania listy znajomych — bo wiadomość od znanej osoby ma ogromną wiarygodność.
Dwa najczęstsze warianty
Kod BLIK. „Znajomy” prosi o kod BLIK pod pretekstem chwilowego problemu. Kod, który podasz, przestępca natychmiast wpłaca w bankomacie lub w sklepie — a Ty tracisz pieniądze bez śladu przelewu.
Skan dowodu i pożyczka. Groźniejszy wariant: przejęte konto prosi o zdjęcie dowodu „do weryfikacji” albo namawia na „chwilówkę na chwilę”. Skan dowodu to materiał do zakładania kont i wyłudzania kredytów na Twoje dane. Niebezpiecznik opisywał przypadki, w których ofiary orientowały się dopiero po sygnale od innego znajomego.
Jak rozpoznać, że to nie znajomy
- Nietypowa prośba o pieniądze, kod BLIK lub dokumenty — nawet jeśli pisze „prawdziwe” konto.
- Zmiana stylu wypowiedzi, dziwne literówki, unikanie rozmowy głosowej.
- Presja i tajemniczość („tylko nie dzwoń, jestem na spotkaniu”).
Złota zasada: zweryfikuj innym kanałem. Zadzwoń do znajomego albo napisz SMS-a. Jedno pytanie zadane głosem rozbraja cały atak.
Jak się zabezpieczyć
Włącz dwuskładnikowe uwierzytelnianie (2FA) na Facebooku i na koncie e-mail — najlepiej aplikacją typu authenticator, nie SMS-em. Używaj unikalnych haseł (menedżer haseł to dziś podstawa), sprawdź aktywne sesje i urządzenia w ustawieniach bezpieczeństwa, i podepnij do konta drugi adres e-mail do odzyskiwania.
I najważniejsze — nikomu, nigdy, pod żadnym pretekstem nie podawaj kodu BLIK ani skanu dowodu na prośbę z czatu. Kod BLIK służy wyłącznie do tego, żebyś Ty zapłacił. To ta sama lekcja, co przy phishingu: najskuteczniejsze ataki celują w człowieka, nie w system.
Zarządzasz firmowymi profilami w mediach społecznościowych? Pomagamy wdrożyć MFA i procedury odzyskiwania dostępu w ramach usług bezpieczeństwa dla firm — a w razie przejęcia konta skontaktuj się z nami.
Źródła i dalsza lektura: Niebezpiecznik, CERT Polska, Sekurak.