Oszustwa na WhatsAppie: czym są i jak się przed nimi chronić

WhatsApp ma już ponad trzy miliardy użytkowników, którzy każdego dnia wymieniają między sobą ponad 140 miliardów wiadomości, co czyni go ulubionym poligonem cyberprzestępców. Od fałszywych „pilnych” próśb po oferty inwestowania w kryptowaluty, które brzmią zbyt pięknie, by były prawdziwe – oszustwa na WhatsAppie są coraz powszechniejsze i stają się coraz bardziej wyszukane.

W tym przewodniku wyjaśniamy dokładnie, jak działają oszustwa na WhatsAppie, dlaczego bywają skuteczne i co możesz zrobić już dziś, aby nie paść ich ofiarą.

Na czym polegają oszustwa na WhatsAppie?

Oszustwa na WhatsAppie to fałszywe wiadomości, połączenia lub linki dostarczane za pośrednictwem aplikacji i mające jeden cel: nakłonienie Cię do przekazania ich nadawcy pieniędzy, danych osobowych lub dostępu do swojego konta. Obejmują one zarówno oczywisty spam typu „Wygrałeś!”, jak i wyrafinowane triki z zakresu inżynierii społecznej, które mogą zmylić nawet zaawansowanych technologicznie użytkowników.

Dlaczego oszuści celują w użytkowników WhatsAppa?

Oto kluczowe powody, dla których WhatsApp jest tak atrakcyjny dla oszustów:

1. Ogromna baza użytkowników, niski koszt, wysoki zwrot: dysponując ponad trzema miliardami użytkowników miesięcznie, WhatsApp zapewnia przestępcom odpowiednią skalę i dostęp do użytkowników o różnym poziomie wiedzy technicznej. Typowy oszust nie potrzebuje zazwyczaj wysokiego współczynnika sukcesu, by osiągnąć wymierne zyski; nawet jeśli tylko niewielki ułamek odbiorców wpadnie w pułapkę, może to nadal oznaczać tysiące ofiar.
2. Kwestia zaufania: WhatsApp to aplikacja stworzona do osobistej komunikacji z rodziną i przyjaciółmi, co tworzy krąg domyślnego zaufania. Oszuści wykorzystują to, wysyłając wiadomości i podszywając się pod bliską osobę znajdującą się w trudnej sytuacji. Ten osobisty kontekst obniża naturalną czujność ofiary, sprawiając, że jest bardziej skłonna zareagować emocjonalnie i przeoczyć sygnały ostrzegawcze, które mogłaby zauważyć w innych okolicznościach.
3. Transgraniczna anonimowość: narzędzia telefonii internetowej, takie jak wirtualne numery telefonów i maskowanie połączeń, pomagają ukrywać prawdziwe numery oszustów, co znacząco utrudnia zadanie organom ścigania.
4. Fałszywe poczucie bezpieczeństwa wynikające z szyfrowania: oszuści odnoszą korzyści z powszechnego przekonania, że WhatsApp jest całkowicie bezpieczny. Użytkownicy mogą sądzić, że osoba kontaktująca się z nimi musi być wiarygodna, skoro komunikacja odbywa się w „zaszyfrowanej aplikacji”. Jednak oszuści działają wewnątrz zaszyfrowanego środowiska, a słabym punktem jest sama treść ich wiadomości, nie zaś sposób ich przesyłania.
5. Natychmiastowość i bezpośredniość platformy: w przeciwieństwie do poczty e-mail, która bywa formalna i często filtrowana pod kątem spamu, wiadomości na WhatsAppie docierają natychmiast na telefon użytkownika, często wraz z powiadomieniem. Stwarza to poczucie pilności. Oszuści wykorzystują to, wywierając presję na swoje ofiary, aby podejmowały decyzje błyskawicznie, zanim zdążą się dobrze zastanowić.
6. Łatwość udostępniania multimediów i linków: oszuści mogą z łatwością wysyłać obrazy, filmy oraz oficjalnie wyglądające dokumenty, aby uwiarygodnić opowiadane przez siebie historie. Na przykład fałszywe oferty pracy mogą zawierać przekonująco wyglądające pliki PDF z „umową”.

Szyfrowanie end-to-end i jego rola w oszustwach

Szyfrowanie end-to-end (end-to-end encryption - E2EE) konwertuje wiadomości na zaszyfrowany kod bezpośrednio w urządzeniu nadawcy, a jedynie urządzenie docelowego odbiorcy posiada unikalny klucz umożliwiający ich odczytanie. Oznacza to, że nikt po drodze – ani dostawcy Internetu, ani agencje rządowe, ani nawet sam WhatsApp – nie może czytać Twoich czatów ani podsłuchiwać połączeń.

Choć jest to doskonałe rozwiązanie chroniące rozmowy przed przechwyceniem, ta sama technologia tworzy bezpieczny kanał działania dla przestępców, osłonięty przed wglądem platformy.

Ponieważ treść Twoich wiadomości jest nieczytelna dla nikogo poza Tobą i odbiorcą, platforma nie może automatycznie skanować czatów w poszukiwaniu oszukańczych linków lub złośliwego tekstu. Odpowiedzialność za wykrycie zagrożenia spoczywa więc w całości na odbiorcy.

Działania są podejmowane dopiero wtedy, gdy dana osoba już zostanie zaatakowana i zdecyduje się zgłosić ten fakt. Gdy zgłaszasz konkretny kontakt, Twoje urządzenie przesyła pięć ostatnich wiadomości z tej rozmowy do zespołu moderacyjnego w celu analizy. Ale nawet wtedy moderatorzy widzą tylko metadane, a nie samą treść wiadomości.

Choć dane te pomagają wykrywać wzorce nadużyć, nie dają wglądu w inne działania oszusta, dopóki nie pojawi się kolejne zgłoszenie. Ten reaktywny model oznacza, że nieuczciwi użytkownicy mogą działać bez przeszkód, dopóki nie zostaną wielokrotnie zgłoszeni.

Główne cele oszustw na WhatsAppie

1. Kradzież finansowa

Jest to najbardziej oczywisty cel, często realizowany za pomocą oszustw polegających na podszywaniu się pod inne osoby. Przykładem może być przestępca, który udaje członka rodziny znajdującego się w nagłej potrzebie, sprawiając wrażenie pilności, aby wyłączyć u ofiary racjonalne myślenie. Wyłudzacze mogą również stosować oszustwa romantyczne (romance scams), budując relację z ofiarą przez wiele tygodni, a następnie fabrykując kryzys wymagający pomocy finansowej. Metody te są zaprojektowane tak, aby grać na emocjach i w ten sposób doprowadzić do szybkiej wypłaty.

2. Przejęcie konta

Skradzione konto na WhatsAppie jest cenne, ponieważ można je wykorzystać do oszukania całej listy kontaktów ofiary, operując na bardzo wysokim poziomie zaufania. Przestępcy sprzedają również dane logowania do kont na rynkach dark webu, gdzie inni oszuści kupują je na potrzeby własnego procederu.

3. Kradzież tożsamości

Oszuści często nakłaniają ofiary do udostępnienia wrażliwych dokumentów, takich jak skany paszportu i prawa jazdy, albo selfie z dokumentem tożsamości, pod pretekstem „weryfikacji” lub „budowania zaufania”. Jest to popularna metoda w oszustwach związanych z fałszywymi ofertami pracy i/lub pracodawcami.

Zebrane w ten sposób informacje są wykorzystywane do bardziej wyrafinowanych przestępstw, takich jak zakładanie rachunków bankowych lub branie kredytów na nazwisko ofiary, ubieganie się w jej imieniu o świadczenia społeczne czy tworzenie zweryfikowanych kont na giełdach kryptowalut w celu prania pieniędzy. Ten rodzaj oszustw na WhatsAppie bywa bardzo trudny do wykrycia i może całymi latami szkodzić czyjejś reputacji oraz sytuacji finansowej.

4. Dystrybucja złośliwego oprogramowania

Oszuści korzystają z wygodnego udostępniania plików i linków na WhatsAppie, aby dostarczać złośliwe oprogramowanie (malware) bezpośrednio na urządzenia swoich ofiar. Celem jest tutaj całkowite przejęcie danych. Typowe taktyki obejmują:

• złośliwe pliki APK lub „aktualizacje” wysyłane jako załączniki typu „WhatsApp Video Player” lub „Document Viewer”. Kliknięcie linku do pobrania instaluje oprogramowanie szpiegujące (spyware), które rejestruje naciśnięcia klawiszy lub kradnie pliki.
• złośliwe pliki podszywające się pod faktury w formacie PDF, pliki graficzne lub notatki głosowe. Po ich otwarciu na urządzeniu ofiary mogą zostać uruchomione szkodliwe fragmenty kodu.
• kody QR udostępniane w czatach, które po zeskanowaniu przekierowują na złośliwe strony pobierające malware na urządzenie ofiary lub wykradające jej dane.

5. Gromadzenie kontaktów

Zanim oszuści rozpoczną swoją właściwą kampanię, potrzebują listy potencjalnych ofiar. Dlatego też jednym z celów początkowego ataku może być samo pozyskanie pełnej listy kontaktów użytkownika WhatsAppa. Poprzez nakłonienie kogoś do zainstalowania złośliwej aplikacji lub odwiedzenia sfabrykowanej strony, przestępca może zebrać numery telefonów znajomych, rodziny i współpracowników tej osoby. Otrzymują w ten sposób świeżą, zweryfikowaną bazę numerów do prowadzenia przyszłych scamów.

6. Rozpowszechnianie dezinformacji

Czasami celem prowadzenia nieuczciwych działań nie jest kradzież pieniędzy ani danych, lecz szerzenie fałszywych lub wprowadzających w błąd informacji. Przestępca lub podmiot opłacany przez konkretne państwo może przejmować konta albo używać zautomatyzowanych botów do masowego rozsyłania propagandy, fałszywych wiadomości lub narracji manipulujących rynkiem. Na platformie takiej jak WhatsApp, gdzie informacje są często przekazywane między zaufanymi kontaktami, dezinformacja może rozprzestrzeniać się bardzo szybko.

Jak oszuści dostosowują się do trendów

Oszuści działają oportunistycznie i nieustannie aktualizują swoje taktyki, aby jak najlepiej odzwierciedlały bieżące wydarzenia, trendy i postępy technologiczne. Zależy im na tworzeniu schematów, które wydają się ważne i pilne, co zwiększa prawdopodobieństwo, że ofiara wejdzie z nimi w interakcję. Taka adaptacja zazwyczaj przebiega na dwa główne sposoby: poprzez zmianę historii oraz zmianę metody.

Dostosowywanie historii

Narracja oszustwa jest często bezpośrednio powiązana z najważniejszymi wiadomościami z kraju i ze świata, wydarzeniami kulturalnymi lub aktualną sytuacją gospodarczą:

• Wykorzystywanie gorących tematów (newsjacking): kiedy jakiś temat dominuje w wiadomościach, natychmiast pojawiają się związane z nim oszustwa. Hossa na rynku kryptowalut prowadzi do gwałtownego wzrostu liczby programów rzekomych „inwestycji w kryptowaluty”. Duże wybory polityczne wywołują falę kampanii dezinformacyjnych i fałszywych próśb o darowizny.
• Premiery technologiczne: wprowadzenie na rynek długo wyczekiwanego produktu, takiego jak np. nowy iPhone, stanowi łatwą do przewidzenia okazję dla przestępców do rozsyłania linków do fałszywych konkursów oraz fikcyjnych ankiet, których celem jest zbieranie danych osobowych od podekscytowanych konsumentów.
• Presja ekonomiczna: w okresach wysokiego bezrobocia obserwuje się równoległy wzrost liczby fałszywych ofert pracy. Takie propozycje obiecują łatwą i dobrze płatną pracę zdalną, co umożliwia żerowanie na osobach znajdujących się w trudnej sytuacji finansowej.
• Wydarzenia globalne i sezonowe: oszuści wykorzystują wydarzenia takie jak igrzyska olimpijskie czy Black Friday do tworzenia fałszywych ofert sprzedaży biletów i pakietów podróżnych, jak również promocji handlowych. Na tej samej zasadzie okres składania rocznych zeznań podatkowych skłania przestępców do podszywania się pod państwowe organy podatkowe w celu wyłudzania płatności.
• Oszustwa związane z klęskami żywiołowymi: gdy dochodzi do klęski żywiołowej, niemal natychmiast pojawiają się fałszywe strony charytatywne i linki do zbiórek, które wykorzystują dobrą wolę społeczeństwa, aby zagarnąć środki kierowane do rzeczywistych ofiar.

Dostosowywanie metody

Oprócz aktualizowania samych historii przestępcy nieustannie sięgają po nowe narzędzia, aby ich oszustwa były coraz bardziej przekonujące.

Dobrym przykładem jest wykorzystanie sztucznej inteligencji (AI). Oszuści mogą dziś używać AI do generowania bardzo realistycznych, lecz fałszywych obrazów i nagrań wideo (deepfake’ów), albo do tworzenia bardziej perswazyjnych wiadomości pozbawionych błędów ortograficznych.

Potrafią nawet „klonować” głosy ludzi, bazując na krótkich próbkach dźwięku znalezionych w sieci. Pozwala im to wysłać notatkę głosową na WhatsAppie, która brzmi dokładnie jak głos członka rodziny ofiary, co sprawia, że oszustwa polegające na podszywaniu się pod inne osoby stają się znacznie trudniejsze do wykrycia.

Najczęstsze rodzaje oszustw (scamów) na WhatsAppie

Poniżej przedstawiamy 15 typowych oszustw, na które możesz się natknąć na WhatsAppie. Naucz się rozpoznawać sygnały ostrzegawcze, aby dostrzec kolejne oszustwo, zanim padniesz jego ofiarą.

1. Oszustwa związane z kodami weryfikacyjnymi

Otrzymujesz SMS-a lub komunikat w aplikacji: „Twój kod WhatsApp to 827-449. Nie udostępniaj go nikomu.” Zaraz potem Twój „znajomy” pisze: „Hej, przez pomyłkę wysłałem swój kod na Twój numer. Możesz mi go podać?” Udostępnienie tego kodu pozwala atakującemu zarejestrować Twojego WhatsAppa na nowym urządzeniu i w jednej chwili przejąć Twoje konto.

🚩Znaki ostrzegawcze

• Nieoczekiwany SMS weryfikacyjny
• Pilna prośba o podanie sześciocyfrowego kodu

2. Oszustwa inwestycyjne związane z kryptowalutami

Nieznajomy rozmówca twierdzi, że osiągnął „10-krotne zyski” handlując Bitcoinem na nowej platformie i oferuje, że będzie Twoim „mentorem”. Następnie kieruje swoje ofiary na Telegrama lub podejrzane strony internetowe, po czym znika, gdy tylko przeleją mu pieniądze.

🚩Znaki ostrzegawcze

• Obietnice „gwarantowanych zysków”
• Presja, by działać szybko, bo inaczej okazja przepadnie
• Prośby o przeniesienie rozmowy poza WhatsAppa

3. Oszustwa romantyczne i catfishing (podszywanie się)

Oszuści często przez wiele tygodni budują relację z ofiarą na WhatsAppie, zdobywając jej zaufanie, a następnie wymyślają jakąś kryzysową sytuację, na przykład: „Ukradziono mi portfel; czy możesz mi przelać 300 dolarów, żebym mógł/mogła wrócić do domu?”

Faza „uwodzenia” ma na celu uśpienie czujności ofiary poprzez budowanie głębokiego, pozornego poczucia zaufania i bliskości. Dzięki temu późniejsza prośba o przesłanie pieniędzy wydaje się pomocą prawdziwemu partnerowi w kryzysie, a nie transakcją dokonywaną z nieznajomym.

Jeszcze groźniejsza odmiana tego scamu dodaje element szantażu seksualnego (sextortion): oszust kieruje rozmowę na intymne zdjęcia lub czaty wideo. Następnie grozi, że udostępni kompromitujące materiały Twoim kontaktom, jeśli nie zapłacisz, zazwyczaj w trudnej do wyśledzenia kryptowalucie.

🚩Znaki ostrzegawcze

• Odmowa rozmowy na wideo lub spotkania osobistego
• Prośby finansowe przedstawiane jako nagłe sytuacje kryzysowe
• Nowo poznany kontakt, który szybko kieruje rozmowę w stronę seksualną

4. Oszustwa polegające na podszywaniu się („mama i tata”)

Przykładem takiego oszustwa jest wiadomość w stylu: „Cześć mamo, zepsuł mi się telefon. To mój nowy numer. Czy możesz wysłać mi dzisiaj pieniądze na czynsz?” W tym przypadku naciągacz liczy na to, że rodzicielska panika zagłuszy zdrowy sceptycyzm.

🚩Znaki ostrzegawcze

• Nieznany numer podający się za bliskiego krewnego
• Prośba o pilny przelew bankowy lub kartę podarunkową
• Rozmaite wymówki tłumaczące, dlaczego nie można do niego zadzwonić

5. Fałszywe loterie i powiadomienia o wygranych

Wiadomość brzmi mniej więcej tak: „Wygrałeś kartę podarunkową Amazon o wartości 1000 dolarów! Kliknij, aby odebrać nagrodę.” Link prowadzi do witryny phishingowej, która zbiera dane osobowe oraz informacje o karcie płatniczej.

🚩Znaki ostrzegawcze

• Nie brałeś udziału w żadnym konkursie
• Adres URL to zlepek losowych znaków
• Do odebrania nagrody jest niezbędna płatna z góry „opłata manipulacyjna”

6. Oszustwa z kartami podarunkowymi i kuponami

Rozsyłane grafiki obiecują hojne bony upominkowe w zamian za wypełnienie krótkiej ankiety; tymczasem formularz każe podać adres e-mail, datę urodzenia i numer telefonu, które zostaną później wykorzystane w celu wysyłania spamu lub prób kradzieży tożsamości.

🚩Znaki ostrzegawcze

• Wymóg udostępnienia wiadomości „20 znajomym”, aby odblokować nagrodę
• Adres domeny z literówkami w nazwie istniejącej marki
• Licznik upływającego czasu wywierający presję natychmiastowego działania

7. Oszustwa z kodami QR i złośliwymi linkami

Oszuści wysyłają kody QR, które po zeskanowaniu otwierają złośliwą stronę lub automatycznie pobierają oprogramowanie szpiegujące na telefon ofiary. Jedno kliknięcie może także przyznać atakującemu szerokie uprawnienia do wprowadzania zmian na urządzeniu. Na przykład niektóre kody QR są zaprojektowane tak, aby połączyć urządzenie oszusta z Twoją sesją WhatsApp Web. Takie przejęcie sesji nosi nazwę „QRLJacking” i daje przestępcy wgląd w Twoje przychodzące i wychodzące wiadomości w czasie rzeczywistym.

🚩Znaki ostrzegawcze

• Kod QR pojawia się bez kontekstu
• Nadawca namawia do natychmiastowego zeskanowania
• Przeglądarka ostrzega: „Plik może być szkodliwy”

8. Oszustwa „na pomylony numer”

Uprzejmy nieznajomy rozpoczyna rozmowę, pisząc na przykład: „Przepraszam, czy to Rachel? Och wybacz!” – po czym stopniowo kieruje rozmowę w stronę „porad” dotyczących inwestowania w kryptowaluty albo oszustwa romantycznego. Ta technika jest wstępem do metody nazywanej czasem „pig butchering” (w wolnym tłumaczeniu „świniobicie”). Termin ten odnosi się do procesu „tuczenia” ofiary podczas trwających tygodniami przyjaznych rozmów i budowania zaufania, zanim naciągacz przekona ją do wzięcia udziału w oszustwie.

🚩Znaki ostrzegawcze

• Pochlebstwa i szybkie budowanie zaufania
• Obietnice dodatkowego dochodu lub porady inwestycyjne
• Niechęć do odpowiadania na pytania natury osobistej

9. Oszustwa z wykorzystaniem przekierowania połączeń

Otrzymujesz wiadomość, która ma Cię skłonić do wpisania na telefonie kodu w rodzaju „*21[numer telefonu]***”. Kiedy to zrobisz, wszystkie połączenia – w tym połączenia weryfikujące WhatsAppa – zostają przekierowane do oszusta, który następnie przejmuje Twoje konto.

🚩Znaki ostrzegawcze

• Instrukcje wybierania nieznanych kodów usługowych
• Twierdzenie, że dane działanie jest warunkiem „udziału w konkursie” lub „odzyskania konta WhatsApp”

10. Oszustwa związane z ofertami pracy i fałszywymi pracodawcami

Ofiary otrzymują wiadomości o łatwych zleceniach freelancerskich, na przykład: „200 dolarów dziennie tylko za lajkowanie filmów”. Wymagana jest niewielka wstępna „opłata za szkolenie” lub depozyt w kryptowalucie, a po dokonaniu płatności „rekruter” znika.

🚩Znaki ostrzegawcze

• Nierealistycznie wysokie wynagrodzenie przy minimalnych wymaganiach
• Konieczność opłaty z góry lub przesłania dokumentu tożsamości
• Adres e-mail na Gmailu lub w innej darmowej skrzynce zamiast w domenie firmowej

11. Oszustwa „na WhatsApp Gold” i fałszywe wersje aplikacji

WhatsApp jest zawsze darmowy w oficjalnych sklepach z aplikacjami; nie istnieje wersja płatna ani „premium”. Mimo to, oszuści rozpowszechniają wiralowe wiadomości obiecujące możliwość pobrania „WhatsApp Gold” lub ekskluzywnej „aktualizacji do wersji premium” zawierającej dodatkowe motywy, naklejki lub funkcje.

Często są one rozsyłane w formie internetowych łańcuszków zawierających link do pobrania pliku APK lub IPA. Zainstalowanie takiego pliku może uruchomić adware (złośliwe oprogramowanie reklamowe) służące do przejęcia kontroli nad przeglądarką, program do kradzieży danych logowania lub spyware zamieniające telefon w urządzenie szpiegujące.

🚩Znaki ostrzegawcze

• Deklaracje dotyczące tajnych funkcji „premium” lub wcześniejszego dostępu do specjalnej aktualizacji
• Instrukcja przekazania wiadomości do licznych kontaktów w celu odblokowania możliwości pobierania
• Adres URL nie prowadzi do Google Play Store ani Apple App Store, gdzie dostępny jest prawdziwy WhatsApp

12. Fałszywe prośby o darowizny na cele charytatywne

Po różnego rodzaju katastrofach i klęskach żywiołowych oszuści masowo podszywają się pod organizacje pomocowe, udostępniając poruszające obrazy i prosząc o darowizny wpłacane przez PayPal lub w kryptowalutach. Przekazywane w ten sposób środki trafiają oczywiście bezpośrednio do oszusta, a nie do ofiar katastrofy.

🚩Znaki ostrzegawcze

• Emocjonalne apele połączone z presją czasu („Rodziny potrzebują jedzenia jeszcze dziś!”)
• Prywatne portfele zamiast oficjalnych stron organizacji pozarządowych
• Brak weryfikowalnego numeru organizacji lub potwierdzenia wpłaty

13. Oszustwa z ankietami i nagrodami

W tego typu scamie otrzymujesz na WhatsAppie wiadomość typu: „Gratulacje! Zostałeś wybrany do szybkiej ankiety z 3 pytaniami i masz szansę wygrać iPada!” Link prowadzi do formularza, który zadaje podstawowe pytania (wiek, e-mail, numer telefonu), zanim ogłosi, że wygrałeś nagrodę.

Aby ją „odebrać”, zazwyczaj wymagane jest uiszczenie niewielkiej opłaty za wysyłkę lub obsługę – za pomocą karty podarunkowej, doładowania telefonu lub kryptowaluty. Tymczasem w tle Twoje odpowiedzi zasilają bazę danych siatki oszustów, dokonana płatność znika bez śladu, a żaden iPad nigdy nie zostaje dostarczony.

🚩Znaki ostrzegawcze

• Ogólna, nic niemówiąca nazwa marki („Globalne Badania Rynku”)
• Obowiązek przekazania wiadomości dalej do swoich kontaktów
• Opłaty za wysyłkę rzekomo „darmowych” nagród

14. Oszustwa związane z potwierdzeniem zamówienia e-commerce

Wiadomość informuje, że Twoje niedawne zamówienie z Amazona (którego nigdy nie składałeś) zostało wysłane, i zawiera link, pod którym możesz je „sprawdzić lub anulować”. Prowadzi on do fałszywej strony logowania, która przechwytuje Twoje dane uwierzytelniające w serwisie Amazon.

🚩Znaki ostrzegawcze

• Numer referencyjny nie pasuje do żadnego prawdziwego zamówienia
• Adres nadawcy nie jest zweryfikowanym kontem biznesowym sprzedawcy
• Adres URL zawiera błędy w nazwie sprzedawcy

15. Oszustwa związane z pomocą techniczną

Wiadomość, często opatrzona fałszywym logo WhatsAppa lub Meta, informuje o rzekomym problemie z Twoim kontem (np. „wykryto podejrzaną aktywność” lub „Twoja wersja aplikacji jest nieaktualna”). Instrukcja nakazuje kliknięcie otrzymanego linku w celu weryfikacji tożsamości lub aktualizacji aplikacji, co pozwoli uniknąć zawieszenia konta. Link prowadzi do strony phishingowej służącej do kradzieży danych logowania.

🚩Znaki ostrzegawcze

• Deklaracja, że wiadomość pochodzi od oficjalnej pomocy technicznej WhatsAppa (w rzeczywistości rzadko kontaktują się oni w ten sposób z użytkownikami)
• Groźba zawieszenia lub usunięcia konta
• Prośba o podanie hasła lub kodu weryfikacyjnego w celu „zabezpieczenia” konta

Jak się chronić przed oszustwami na WhatsAppie

Bezpieczeństwo na WhatsAppie sprowadza się do kombinacji czujności, rozsądnych ustawień prywatności i dobrych nawyków cyfrowych. Skorzystaj z poniższej listy, aby wyeliminować luki, które najczęściej wykorzystują oszuści.

1. Rozpoznawaj sygnały ostrzegawcze

• Wiadomość z pilną prośbą: wszelkie komunikaty nalegające na natychmiastową reakcję („zapłać”, „kliknij”, „podaj kod”) niemal zawsze są formą inżynierii społecznej.
• Oferta zbyt dobra, aby była prawdziwa: darmowe telefony, gwarantowane zyski z obrotu kryptowalutami, natychmiastowe bogactwo dzięki łatwej pracy lub pensja znacznie wyższa niż typowa dla danego stanowiska; wielkie obietnice, zero dowodów.
• Błędy ortograficzne lub gramatyczne: profesjonalne marki rzadko wysyłają niechlujnie skomponowane teksty. Trzeba jednak pamiętać, że wraz z rozpowszechnieniem łatwo dostępnych platform AI, błędy językowe nie są już tak jednoznacznym sygnałem ostrzegawczym jak kiedyś.
• Nietypowe metody płatności: uważaj na karty podarunkowe, kryptowaluty i przelewy PayPal typu „przyjaciele i rodzina”; po wysłaniu nie da się ich odzyskać.
• Prośba o przeniesienie rozmowy poza WhatsAppa: oszuści wolą korzystać ze słabiej moderowanych kanałów, takich jak SMS, gdy już „upolują” swoją ofiarę.
• Odmowa rozmowy na żywo: jeśli kontakt podający się za kogoś, kogo znasz, stale znajduje wymówki, dlaczego nie może odebrać telefonu lub odbyć szybkiej rozmowy na wideo, jest to ogromna „czerwona flaga”. Jest to szczególnie częste w przypadku oszustw romantycznych i catfishingu, gdzie rozmowa na żywo mogłaby szybko ujawnić przekręt.

2. Zawsze weryfikuj nadawcę

Istnieje kilka sposobów na szybką weryfikację:

• zadzwoń lub wykonaj wideorozmowę do znajomego na jego stary numer, zanim uwierzysz w wiadomość o „nowym telefonie”.
• użyj wstecznego wyszukiwania obrazem do sprawdzenia zdjęć profilowych nieznanych numerów, aby upewnić się, czy nie pojawiają się na stronach stockowych lub w profilach randkowych. Pamiętaj jednak, że awatary i zdjęcia profilowe generowane przez AI mogą być zupełnie nowe za każdym razem, więc stosuj tę metodę w połączeniu z innymi środkami bezpieczeństwa.
• sprawdź identyfikator biznesowy profilu. Legalne firmy używają zielonego znaczka weryfikacyjnego WhatsAppa.

3. Nigdy nie udostępniaj swoich danych osobowych ani finansowych

Traktuj WhatsAppa jak pocztówkę: jeśli nie umieściłbyś jakiejś informacji na swój temat na jej przedniej stronie, nie podawaj tej informacji na czacie. Oszuści często zaczynają też od małych próśb, takich jak data urodzenia i adres pocztowy, a dopiero później przechodzą do danych bankowych.

4. Aktualizuj WhatsAppa i oprogramowanie urządzenia

Aktualizacje zawierają poprawki bezpieczeństwa eliminujące luki (lub exploity), które przestępcy aktywnie wykorzystują do instalowania złośliwego oprogramowania i przejmowania kontroli nad urządzeniami. Najskuteczniejszym sposobem ochrony jest włączenie automatycznych aktualizacji w Google Play Store lub Apple App Store oraz w głównych ustawieniach systemu telefonu.

5. Zastosuj blokadę ustawień prywatności WhatsAppa

Pierwszym krokiem oszustów często jest pozyskanie informacji z profilu ofiary. Możesz ograniczyć ilość danych dostępnych dla nieznajomych, dostosowując ustawienia odbiorców w zakładce Ustawienia › Prywatność.

W tej sekcji możesz ustawić szereg elementów na Moje kontakty zamiast opcji Wszyscy:

• Zdjęcie profilowe: zapobiega wykorzystywaniu Twojego zdjęcia przez nieznane numery do tworzenia kont podszywających się pod Ciebie lub do kradzieży tożsamości.
• Widziano i aktywny(-a): ukrywa wzorce Twojej aktywności, utrudniając oszustom ustalenie, kiedy jesteś aktywny, albo dopasowanie wiarygodnej historii do Twoich nawyków.
• Informacje: Twoje informacje mogą ujawniać dane osobowe, więc ogranicz je do swoich kontaktów.
• Grupy: to kluczowe ustawienie. Zmiana tego elementu na „Moje kontakty” zapobiegnie dodawaniu Cię do grup bez Twojej zgody. Chroni to przed byciem wciąganym do dużych, fałszywych grup tworzonych na potrzeby oszustw kryptowalutowych lub inwestycyjnych.

6. Włącz weryfikację dwuetapową (PIN)

Dodanie sześciocyfrowego kodu PIN zapobiega przejęciu konta, nawet jeśli oszust zdoła przejąć Twój kod weryfikacyjny wysłany SMS-em. Wykonaj następujące kroki:

1. Przejdź do sekcji Ustawienia › Konto.
   
2. Stuknij Weryfikacja dwuetapowa.
   
3. Stuknij Włącz i utwórz PIN.
   
4. Następnie dodaj adres e-mail na wypadek zapomnienia PIN-u. Wpisz sześciocyfrowy kod weryfikacyjny wysłany na podany adres e-mail. Stuknij Weryfikuj.
   
5. Podanie kodu PIN będzie od teraz wymagane przy każdej rejestracji WhatsAppa na nowym telefonie. Aplikacja będzie też okresowo prosić Cię o jego podanie w ramach przypomnienia.

7. Unikaj klikania w podejrzane linki lub załączniki

Kiedy naciśniesz i przytrzymasz otrzymany w wiadomości adres URL, możesz zobaczyć pełny link na pasku stanu przeglądarki – nie ufaj podglądowi miniaturek WhatsAppa, które mogą zostać sfałszowane. Jeśli docelowa domena wygląda podejrzanie (literówki, nieoczekiwane strony docelowe), nie klikaj takiego linku.

W razie wątpliwości możesz skopiować adres URL do bezpiecznego edytora tekstu lub użyć narzędzia do rozwijania linków, aby sprawdzić prawdziwy adres witryny. Podczas korzystania z WhatsApp Web możesz też najechać kursorem na link przed kliknięciem i sprawdzić pasek stanu w lewym dolnym rogu okna.

Co zrobić, jeśli padniesz ofiarą oszustwa na WhatsAppie

Po zorientowaniu się, że zostałeś oszukany, kluczowe jest, aby nie panikować, lecz działać jak najszybciej. Wykonaj poniższe kroki, aby zminimalizować poniesione szkody.

1. Natychmiast przerwij wszelką komunikację

Zablokuj numer oszusta oraz wszelkie poboczne profile, które Ci udostępnił. Nie wdawaj się w dyskusje – każda odpowiedź dostarcza mu danych do dalszego wykorzystania. Wystarczy, że klikniesz Menu (⋮) i wybierzesz Zablokuj lub Zgłoś.

Wskazówka od ExpressVPN: podczas zgłaszania oszusta miej włączony VPN. Dzięki temu Twój prawdziwy adres IP pozostanie ukryty, a napastnik nie będzie mógł ustalić Twojej lokalizacji, nawet jeśli będzie nadal obserwować ruch sieciowy.

2. Rób zrzuty ekranu i zabezpieczaj dowody

Zrób zrzuty ekranu lub wyeksportuj całą rozmowę, w tym wiadomości, notatki głosowe, obrazy, numery telefonów, potwierdzenia transakcji i adresy URL. Zapisz pliki na zaszyfrowanym dysku w chmurze lub na nośniku USB.

3. Zgłoś konto do WhatsAppa

Otwórz czat, wejdź w Menu (⋮) › Więcej › Zgłoś i prześlij co najmniej pięć ostatnich wiadomości, gdy pojawi się taka prośba.

Zgłoszenia pomagają dodatkowo trenować filtry WhatsAppa, dzięki czemu podobne oszustwa będą usuwane, zanim dotrą do innych użytkowników.

4. Powiadom lokalne organy ścigania lub jednostkę ds. cyberprzestępczości

W przypadku zgłaszania strat finansowych wiele banków i instytucji kredytowych wymaga podania numeru sprawy, zanim cofnie nieautoryzowane transakcje. W Stanach Zjednoczonych można zgłosić oszustwo do Centrum Skarg dot. Przestępstw Internetowych (Internet Crime Complaint Center – IC3) pod adresem https://ic3.gov. W Wielkiej Brytanii możesz skontaktować się z krajowym centrum zgłaszania oszustw i cyberprzestępczości Action Fraud, wchodząc na stronę https://actionfraud.police.uk.

Niezależnie od kraju, w którym się znajdujesz, możesz wyszukać w Internecie odpowiednią instytucję, do której należy zgłosić sprawę.

Wskazówka od ExpressVPN: upewnij się, że Twój VPN jest włączony podczas wypełniania formularzy zgłoszeniowych, zwłaszcza w hotelach lub w publicznych sieciach Wi-Fi, aby Twoje dane osobowe były przesyłane przez zaszyfrowany tunel i nie mogły zostać przechwycone.

5. Poinformuj bank lub instytucję finansową

Zadzwoń pod numer na odwrocie swojej karty bankowej, wyjaśnij, że zostałeś oszukany za pośrednictwem WhatsAppa, i poproś o zamrożenie lub zwrot powstałego obciążenia. Jeśli płatność została dokonana przez PayPal, otwórz spór w Centrum rozstrzygania (https://paypal.com/disputes).

W przypadku przelewów bankowych, skontaktuj się z infolinią ds. oszustw danego operatora i poproś o umieszczenie alertu o oszustwie na Twoim koncie, aby nietypowa aktywność była natychmiast sygnalizowana.

6. Zmień hasła i włącz uwierzytelnianie wieloskładnikowe

Ustal priorytety kont według ich znaczenia. Zacznij od poczty e-mail, która jest centrum odzyskiwania danych dla wszystkich innych kont, następnie zabezpiecz bankowość, przejdź do dokumentów osobistych przechowywanych w chmurze, a na koniec zablokuj profile w mediach społecznościowych.

Pamiętaj, aby używać długich, unikalnych haseł lub fraz dostępu i zapisywać je w dedykowanym menedżerze haseł, takim jak ExpressVPN Keys.

Możesz też dodać uwierzytelnianie dwuskładnikowe oparte na aplikacji (np. Microsoft / Google Authenticator lub Authy) do wszystkich kont, które to umożliwiają, aby samo hasło stało się bezużyteczne dla atakującego.

7. Przeskanuj urządzenie pod kątem złośliwego oprogramowania

Jeśli kliknąłeś złośliwy link lub zeskanowałeś podejrzany kod QR, możliwe, że Twoje urządzenie zostało zainfekowane złośliwym oprogramowaniem. Aby wykryć i usunąć wszelkie zagrożenia, użyj renomowanego programu antywirusowego i wykonaj pełne skanowanie systemu.

8. Zgłoś sprawę do państwowej instytucji ochrony konsumentów

Dodanie Twojej sprawy do krajowej bazy danych pomaga śledczym łączyć wzorce cyberprzestępczości i zmusza firmy do zaostrzania środków przeciwdziałania oszustwom.

• USA: skontaktuj się z Federalną Komisją Handlu (Federal Trade Commission) działającą pod adresem https://reportfraud.ftc.gov.
• UE: skontaktuj się z lokalnym Urzędem Ochrony Danych.
• Globalnie: znajdź odpowiednie instytucje za pośrednictwem strony https://consumerinternational.org.

9. Ostrzeż swoje kontakty

Jeśli Twoje konto zostało przejęte, oszust ma teraz dostęp do całej Twojej listy kontaktów. Najprawdopodobniej natychmiast zacznie podszywać się pod Ciebie, aby oszukiwać Twoich znajomych.

Użyj innego kanału komunikacji (SMS, e-mail lub połączenie telefoniczne), aby ostrzec swoje najważniejsze kontakty. Daj im znać, że Twoje konto WhatsApp zostało przejęte i poproś o zignorowanie wszelkich wiadomości z prośbami o pieniądze lub informacje.