Nowe metody oszustw w 2026 — deepfake, AI-phishing i falszywy BLIK

Pamiętasz czasy, kiedy phishing można było rozpoznać po literówkach i ortografii rodem z tłumacza Google? Te czasy odeszły. W 2026 roku przestępcy mają do dyspozycji narzędzia, które jeszcze dwa lata temu były dostępne tylko dla służb specjalnych lub dużych grup APT. Deepfake, AI generujące perfekcyjny phishing po polsku, sklonowane głosy bliskich — to nie science fiction. To metody, na które trafiają dziś zwykłe osoby prywatne i małe firmy w Polsce.

1. Deepfake audio — gdy dzwoni „szef” lub „syn”

To najbardziej niepokojący trend 2025-2026. Deepfake audio nie wymaga już specjalistycznego sprzętu ani wielogodzinnych nagrań wzorcowych. Wystarczy kilkanaście sekund mowy z mediów społecznościowych lub YouTube, żeby model AI nauczył się głosu konkretnej osoby.

Jak działa atak?

Dostajesz telefon. W słuchawce słyszysz głos swojego przełożonego, który mówi, że jest za granicą, ma problem z płatnością i potrzebuje pilnie przelać środki na podany numer konta. Albo dzwoni „twój syn” z nieznajomego numeru — miał wypadek, potrzebuje pieniędzy przez BLIK.

W Polsce odnotowano już kilkadziesiąt spraw sądowych dotyczących oszustw z użyciem sklonowanego głosu. Ofiarami padały zarówno osoby prywatne, jak i pracownicy działów księgowości w firmach.

Jak się bronić?

• Ustal z bliskimi i współpracownikami hasło weryfikacyjne — słowo, które znacie tylko wy i które pada w rozmowie, gdy jest wątpliwość
• Jeśli rozmowa dotyczy pieniędzy — zawsze oddzwoń na znany, zapisany w kontaktach numer
• Zwracaj uwagę na: metaliczny pogłos, pauzy w dziwnych miejscach, brak naturalnych „ehm” i przerywników, niemożność odejścia od tematu rozmowy

2. AI-phishing — perfekcyjne wiadomości po polsku

Tradycyjny phishing zdradzały błędy. „Drogi kliencie, twoje konto zostalo zablokowanE” — ta ortografia od razu wzbudzała podejrzenia. Dziś modele językowe piszą po polsku lepiej niż wielu native speakerów.

Jak wygląda AI-phishing w praktyce?

Dostajesz e-mail od „ING Banku” z poprawną polszczyzną, właściwą stopką, logo i formatowaniem identycznym jak oryginał. Treść? Informacja o nowej funkcji bezpieczeństwa wymagającej „weryfikacji danych w ciągu 48 godzin”. Link prowadzi do strony, która wygląda jak bank.

Przestępcy używają też spersonalizowanego phishingu — tzw. spear phishing. AI analizuje twoje posty na LinkedIn, Facebooku czy w grupach branżowych i generuje wiadomość, która wydaje się pisana przez kogoś, kto cię zna. Nawiązuje do konkretnego projektu, firmy, znajomej osoby.

Jak wykryć AI-phishing?

• Sprawdź link, nie treść. Najedź kursorem (lub przytrzymaj link na telefonie) — jaki jest faktyczny adres? „ing-bank.bezpieczenstwo.pl” to nie jest strona ING.
• Sprawdź nadawcę. „noreply@ing-bank-weryfikacja.com” zamiast „@ing.pl” to czerwona flaga.
• Nie klikaj z poziomu e-maila. Wejdź na stronę banku wpisując adres ręcznie lub przez zakładkę w przeglądarce.
• Więcej wskazówek: Jak chronić się przed phishingiem? Praktyczny poradnik

3. Fałszywy BLIK przez WhatsApp — klasyk, który nadal działa

Ta metoda funkcjonuje od kilku lat, ale w 2026 roku ewoluowała. Nie jest już tylko prośbą od „znajomego”. Przestępcy przejmują prawdziwe konta na WhatsApp i wysyłają wiadomości z już przejętego numeru — czyli faktycznie piszesz do osoby, którą znasz. Tylko że za klawiaturą siedzi ktoś inny.

Scenariusz:

Piszesz przez WhatsApp z Anią, z którą pracowałeś dwa lata temu. „Hej, mam awarię, potrzebuję pilnie 400 zł przez BLIK, jutro ci oddam, konto mam zablokowane.” Ton naturalny, styl zgodny z tym, jak Ania piszę. Pytasz, co się stało — odpowiedź jest spójna.

Sygnały ostrzegawcze:

• Prośba o BLIK lub przelew od kogoś, z kim rzadko piszesz
• Presja czasu — „pilnie”, „zaraz muszę zapłacić”
• Brak możliwości rozmowy telefonicznej — „telefon się rozładował”, „jestem na spotkaniu”
• Konto WhatsApp bez zdjęcia profilowego lub zmienione ostatnio

Co robić? Zadzwoń. Zawsze. Jeśli ktoś naprawdę potrzebuje pomocy — rozmowa telefoniczna wyjaśni sytuację w 30 sekund. Jeśli nie odbiera i odpowiada tekstem — to silny sygnał ostrzegawczy.

Więcej o tym typie ataku: Oszustwo na BLIK — jak działają i jak się bronić

4. Fałszywe faktury i wiadomości biznesowe (BEC)

Małe firmy i freelancerzy są coraz częstszym celem. Atak BEC (Business Email Compromise) wygląda tak: przestępca podszywa się pod klienta, dostawcę lub firmę kurierską i prosi o zmianę numeru konta bankowego przed przelewem. Wiadomość wygląda jak regularna korespondencja biznesowa — temat, styl, stopka.

AI sprawia, że takie wiadomości są trudne do odróżnienia od prawdziwych. CERT Polska odnotował wzrost incydentów BEC wymierzonych w polskie firmy o kilkadziesiąt procent w 2024 roku.

Ochrona: Każda zmiana numeru konta powinna być weryfikowana telefonicznie na numer znany z wcześniejszej współpracy — nie na numer podany w tej samej wiadomości.

5. Phishing przez reklamy w wyszukiwarce

Wpisujesz „PKO BP logowanie” w Google. Pierwszy wynik — oznaczony jako reklama — wygląda dokładnie jak strona banku. Jest tam, bo przestępca wykupił pozycję reklamową. Klikasz, wprowadzasz dane logowania. Konto zostaje przejęte.

To tzw. malvertising, który zyskuje na popularności, bo omija wiele filtrów antyspamowych — w końcu nie jest to SMS ani e-mail.

Jak się bronić:

• Zawsze pomiń reklamy w wynikach wyszukiwania, gdy szukasz strony swojego banku
• Użyj zakładek (ulubionych) dla stron banków i urzędów
• Rozważ zainstalowanie rozszerzenia blokującego reklamy (np. uBlock Origin)

6. Vishing — oszustwo przez telefon z „pracownikiem banku”

Dostajesz telefon. Kobieta mówi spokojnym, profesjonalnym głosem: „Dzień dobry, nazywam się Anna Kowalska, dzwonię z działu bezpieczeństwa PKO BP. Zarejestrowaliśmy podejrzaną transakcję na pana koncie. Czy w tej chwili robi pan przelew na kwotę 3200 zł?”

Nie. Ale zanim zdążysz zebrać myśli, pada kolejne pytanie, potem prośba o zalogowanie i przekazanie kodu autoryzacyjnego „w celu weryfikacji tożsamości”.

Banki nigdy nie proszą o kod BLIK, hasło ani kod SMS przez telefon. Nigdy. Jeśli ktoś dzwoni i o to pyta — rozłącz się natychmiast.

Co zrobić teraz?

1. Ustal hasło weryfikacyjne z bliskimi. Jedno słowo znane tylko rodzinie — zabezpieczenie przed deepfake i fałszywymi telefonami.

2. Nie ufaj wiadomościom, które wywierają presję czasu. Pośpiech to narzędzie manipulacji. Prawdziwy bank, firma kurierska czy urząd da ci czas na weryfikację.

3. Włącz 2FA na WhatsApp, Gmail i koncie bankowym. Przejęcie konta WhatsApp do ataków na twoje kontakty będzie znacznie trudniejsze. Jak to zrobić: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć

4. Sprawdź swoje dane. Jeśli twoje dane osobowe lub PESEL znalazły się w wycieku, ryzyko spersonalizowanego ataku rośnie. Przewodnik: Jak sprawdzić, czy moje dane wyciekły? Przewodnik krok po kroku

5. Rozmawiaj o tym z rodziną. Deepfake głosu, fałszywy syn przez telefon — takie scenariusze brzmią absurdalnie, dopóki ktoś bliski nie straci oszczędności życia. Uprzedź ich, zanim to się stanie.

Przestępcy inwestują w nowe technologie, bo to się opłaca. Twoja ochrona to wiedza — i kilkanaście sekund weryfikacji zanim klikniesz lub prześlesz pieniądze.