Przejdź do treści
NumerTel

SMS z kodem weryfikacyjnym, którego nie zamawiałeś. Co się dzieje?

Przyszedł kod z WhatsApp, banku albo Allegro, choć niczego nie robiłeś? Sprawdź, co to oznacza, kiedy to atak na Twoje konto i czego absolutnie nie robić.

W skrócie

Kod weryfikacyjny, którego nie zamawiałeś, oznacza, że ktoś próbuje zalogować się na Twoje konto lub założyć je na Twój numer. Nikomu nie podawaj tego kodu i nie klikaj w linki. Gdy kody się powtarzają, zmień hasło i włącz uwierzytelnianie dwuskładnikowe.

Telefon wibruje, a na ekranie kod weryfikacyjny z WhatsApp, banku albo serwisu zakupowego. Problem w tym, że niczego nie zamawiałeś i nigdzie się nie logowałeś. Taki SMS prawie nigdy nie jest przypadkiem, dlatego dobrze wiedzieć, co właśnie się dzieje po drugiej stronie.

Skąd bierze się kod, o który nie prosiłeś

Kod weryfikacyjny przychodzi wtedy, gdy ktoś wpisał Twój numer telefonu w formularzu logowania lub rejestracji. Możliwości są w zasadzie cztery.

  • Ktoś próbuje przejąć Twoje konto w serwisie, do którego masz przypisany ten numer, i właśnie uruchomił procedurę logowania lub resetu hasła.
  • Ktoś zakłada nowe konto na Twój numer, na przykład w aplikacji pożyczkowej, na portalu ogłoszeniowym albo w usłudze kurierskiej, żeby używać go do oszustw.
  • Oszust przygotowuje atak na Twój komunikator. Kod z WhatsApp lub Telegrama pozwala przenieść konto na inne urządzenie.
  • Najmniej groźna opcja: ktoś po prostu pomylił jedną cyfrę własnego numeru.

Pojedynczy kod raz na pół roku to najczęściej pomyłka. Seria kodów z różnych serwisów w krótkim czasie to już sygnał, że ktoś metodycznie testuje Twój numer.

Najważniejsza zasada: kod jest tylko dla Ciebie

Wszystkie te scenariusze mają wspólny punkt: sam kod jest bezużyteczny dla atakującego, dopóki go nie poznasz mu nie przekaże. Dlatego zaraz po nieoczekiwanym kodzie często przychodzi drugi etap, czyli telefon albo wiadomość: rzekomy konsultant, znajomy, któremu „przypadkiem wysłało się kod na Twój numer", albo kupujący z ogłoszenia proszący o „potwierdzenie".

Nikomu, nigdy, pod żadnym pretekstem nie podawaj kodu z SMS-a. Żaden bank, żaden serwis i żaden prawdziwy znajomy nie potrzebuje kodu, który przyszedł na Twój telefon. Prośba o kod to test, który oszust musi przejść z Twoją pomocą. Bez niej atak się kończy.

Kod z WhatsApp lub Telegrama: reaguj od razu

Komunikatory to ulubiony cel, bo przejęte konto służy potem do wyłudzania pieniędzy od Twoich kontaktów metodą „na znajomego w potrzebie". Jeśli dostałeś taki kod bez powodu, zrób dwie rzeczy.

  • Nie podawaj kodu i obserwuj aplikację. Jeśli zostaniesz z niej wylogowany, ktoś użył kodu, który zdobył inną drogą.
  • Włącz weryfikację dwuetapową w ustawieniach komunikatora (PIN niezależny od SMS-ów). To zamyka tę furtkę na przyszłość, bo sam kod z SMS-a przestaje wystarczać.

Kod z banku lub serwisu zakupowego

Tutaj scenariusz bywa poważniejszy, bo może oznaczać, że ktoś zna już Twój login i hasło, a kod SMS jest ostatnią barierą. W takiej sytuacji nie czekaj.

  • Zaloguj się do serwisu samodzielnie (przez aplikację albo adres wpisany ręcznie, nigdy przez link z wiadomości) i zmień hasło.
  • Sprawdź historię logowań i aktywne sesje, jeśli serwis je pokazuje, i wyloguj nieznane urządzenia.
  • Jeżeli kod dotyczył banku, rozważ kontakt z infolinią. Jej prawdziwy numer znajdziesz na odwrocie karty albo na naszej Białej Liście Infolinii.
  • Hasło, które mogło wyciec, zmień też wszędzie tam, gdzie używałeś podobnego.

A jeśli po kodzie ktoś dzwoni?

Telefon tuż po nieoczekiwanym kodzie to niemal pewny schemat oszustwa. Rozmówca będzie tłumaczył, czemu kod „musi" trafić do niego: pomyłka przy rejestracji, weryfikacja kupującego, anulowanie transakcji, blokada konta. Scenariusze się zmieniają, cel jest zawsze ten sam.

Rozłącz się bez tłumaczenia. Numer, z którego dzwoniono, możesz sprawdzić w naszej bazie i opisać w opinii, a samą wiadomość przeanalizować w Skanerze SMS, jeśli masz wątpliwości, z czym masz do czynienia.

Gdzie to zgłosić

Podejrzany SMS prześlij bezpłatnie na numer 8080, czyli do CERT Polska. Jeśli seria kodów łączy się z próbą wyłudzenia albo faktycznym przejęciem konta, zgłoś sprawę na Policję (w sytuacji nagłej dzwoń pod 112) i zabezpiecz dowody: zrzuty ekranu wiadomości, daty, numery nadawców. Przy próbie przejęcia konta bankowego poinformuj bank. Im szybciej zareagujesz, tym mniejsze pole manewru zostaje po drugiej stronie.

Wróć do bloga

Szanujemy Twoją prywatność.

Używamy technicznych plików cookie niezbędnych do działania strony oraz analityki ruchu bez plików cookie. Cookies reklamowe lub śledzące stosowalibyśmy wyłącznie za Twoją zgodą. Polityka cookies