Czy młodzi ludzie też są łakomym kąskiem dla cyberoszustów finansowych?

W dobie powszechnej cyfryzacji i bankowości elektronicznej cyberprzestępcy polują na dane osobowe oraz pieniądze wszystkich internautów. Czy jednak to właśnie młodzi ludzie stali się dla nich szczególnie atrakcyjnym celem? Wiele osób sądzi, że ofiarami oszustw finansowych padają głównie seniorzy. Tymczasem statystyki pokazują, że również ludzie młodzi często mierzą się z próbami wyłudzeń w sieci. Każdy – niezależnie od wieku – powinien więc zachować czujność.

Psychologiczne metody cyberszustów

Cyberbezpieczeństwo to w dużej mierze gra psychologiczna – bo w centrum ataków stoi człowiek, nie technologia. Przestępcze schematy działają na poziomie emocjonalnym, nie racjonalnym. Nasz umysł często korzysta z uproszczonych skrótów myślowych, czyli tzw. heurystyk poznawczych, przez co wiele czynności wykonujemy automatycznie – i właśnie to wykorzystują oszuści. Ofiarami nie padają wyłącznie osoby nieostrożne czy „mało inteligentne”, lecz często ludzie zmęczeni, roztargnieni albo działający pod wpływem emocji. Dlatego niezależnie od poziomu wiedzy warto zachować pokorę oraz ostrożność.

Manipulacja, w ujęciu Roberta Cialdiniego – wybitnego badacza wpływu społecznego – to proces oddziaływania na innych w sposób niejawny, często poprzez wykorzystanie automatycznych mechanizmów ludzkiego zachowania. Cialdini wyróżnia sześć zasad wpływu: reguła wzajemności, reguła zaangażowania i konsekwencji, społeczny dowód słuszności, zasada autorytetu, wzbudzanie sympatii oraz zasada niedostępności. Każda z nich może być wykorzystana zarówno w etycznym marketingu, jak i w działaniach oszukańczych. Cyberoszuści finansowi chętnie sięgają po te mechanizmy, by wzbudzić zaufanie, wywołać emocje, zaangażować nas i skłonić do szybkiej decyzji – zanim zdąży się zweryfikować fakty.

Oszuści nie ustają w modyfikowaniu swoich metod. Często podszywają się np. pod policję lub pracowników banku. Potrafią tak zmanipulować połączenie telefoniczne (tzw. spoofing), że ofierze wyświetla się na telefonie oficjalny numer instytucji – co uwiarygadnia przekręt. Zdarza się, że dzwoni rzekomy funkcjonariusz i nakłania do szybkiego przekazania oszczędności na „bezpieczne konto”. Pomimo nagłaśniania tego typu oszustw, badania pokazują, iż wciąż co piąty polski senior zetknął się z próbą wyłudzenia danych lub pieniędzy. To kolejny dowód, że czujność powinien zachować każdy, a wiedzą o zagrożeniach należy dzielić się w obrębie rodziny niezależnie od wieku.

W Polsce zgodnie z raportem „Dezinformacja oczami Polaków 2024” już 40% Polaków miało kontakt z treściami deepfake – są to zarówno klony głosu, jak i obrazu wykorzystujące AI w fałszywych ofertach inwestycyjnych i podszywaniu się pod znane osoby. Z kolei Raport Pindrop pokazuje alarmujące dane jeśli chodzi o atak na sektor finansowy na świecie – tzw. deepfake fraud wzrósł w roku 2024 o 1300%, a liczba syntetycznych ataków głosowych na sektor bankowy wzrosła o 149%, na sektor ubezpieczeń o 475%, a na sektor retail o 107%. Choć skala prób wyłudzeń w stosunku do osób prywatnych jest trudno do oszacowania (gdyż ludzie nie chcą się do tego przyznawać albo nadal nie widzą, że zostali oszukani), to należałoby uznać, że jest ona równie duża.  

Młodzi na celowniku oszustów internetowych

Zaskakujące wyniki badań sugerują, że osoby młode należą do najczęstszych ofiar cyberoszustów. Według badania przeprowadzonego w 2024 roku na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów na reprezentatywnej grupie dorosłych Polaków aż 37% Polaków w wieku 18–44 lat przyznało, że próbowano od nich wyłudzić dane osobowe lub że padli ofiarą ataku, podczas gdy w grupie seniorów (65+) odsetek ten wyniósł tylko 20%. Innymi słowy, młodsi dorośli co najmniej tak samo często trafiają na celownik finansowych oszustów, co osoby starsze.

Dlaczego tak się dzieje, skoro młode pokolenie uchodzi za obeznane z technologią? Powodów jest kilka. Po pierwsze, młodzi spędzają w sieci bardzo dużo czasu, więc statystycznie częściej natrafiają na próby oszustwa. Po drugie, przyzwyczajenie do technologii bywa zgubne – rutyna usypia czujność. Użytkownicy wychowani cyfrowo często korzystają z internetu głównie przez smartfony, co również zwiększa ryzyko: na małym ekranie nie zawsze widać wszystkie szczegóły pozwalające zorientować się, że strona lub wiadomość jest fałszywa. Na telefonie łatwiej popełnić błąd, zwłaszcza że zwykle klikamy coś w biegu, przy okazji innych czynności. Takie nawyki (szybkie, automatyczne działania) sprzyjają nieuwadze, którą sprytni oszuści potrafią bezlitośnie wykorzystać. Dodatkowo cyberprzestępcy atakują tam, gdzie młodzi bywają najczęściej – w mediach społecznościowych pełnych fałszywych ofert (często podszywających się pod znane marki lub osoby). Wiele osób straciło przez to oszczędności: wystarczył klik w atrakcyjną reklamę inwestycji i wpisanie danych karty na spreparowanej stronie, a zamiast zysku pojawił się wypływ środków z konta.

Osoby w wieku 20–30 lat wydają się szczególnie narażeni na tego rodzaju manipulacje. Z jednej strony wychowali się w świecie cyfrowym i często czują się w nim swobodnie, z drugiej – to właśnie ta pewność siebie staje się ich słabym punktem. Ufa się aplikacjom, komunikatorom, influencerom, nowym formom inwestycji w kryptowaluty czy NFT, bo wydają się „nowoczesne” i „dla ludzi młodych”. Cyberoszuści doskonale to wiedzą i tworzą przekazy idealnie dopasowane do ich stylu życia i języka. Cyberprzestępcy często też zaprzyjaźniają się i dopiero po dłuższym czasie, gdy relacja trwa dłużej może się okazać, że dojdzie do wyłudzenia danych czy też pieniędzy.

Kiedy młody człowiek widzi atrakcyjną ofertę inwestycyjną, komunikat od „doradcy” lub dynamicznie rosnący wykres, włącza się tryb szybkiej decyzji, a rozsądek schodzi na drugi plan. Dominuje ekscytacja, chęć przynależności do elitarnej grupy lub strach przed stratą. Cialdini zauważa, że w takich sytuacjach ludzie reagują automatycznie, nielogicznie. Cyberoszuści wykorzystują to aby przejąć kontrolę nad decyzją ofiary.

Zauważmy też, że młodzi poszukują dowartościowania – zaimponowania innym, bycia postrzeganym jako ktoś dojrzały, sprawny, jednym słowem – człowiek sukcesu pomimo młodego wieku. Jeśli nie ma się pomysłu na jakiś własny innowacyjny startup to zainwestowanie jakichś środków i uzyskanie szybkiego zwrotu mocno rozbudza wyobraźnie. Oprócz obietnicy szybkiego zysku działa na niechęć bycia „wcześniej niż inni” – co doskonale wpisuje się w zasadę niedostępności („oferta tylko dziś”, „zostały 3 miejsca”). Złodzieje odwołują się do tych potrzeb i stanu świadomości młodego umysłu.   

Popularne triki cyberprzestępców

Cyberprzestępcy stosują rozmaite sztuczki, dopasowując je do ofiar. Poniżej przedstawiamy ich najczęstsze metody oraz mechanizmy psychologiczne, na których bazują:

• Fałszywe inwestycje (np. kryptowaluty) – oszuści obiecują błyskawiczny, wysoki zysk, nierzadko reklamując swoją „ofertę” w mediach społecznościowych przy użyciu wizerunku znanych osób (co ma wzbudzić zaufanie). Zachęcona wizją łatwego zarobku osoba przekazuje przestępcom pieniądze lub dane logowania, licząc na pomnożenie oszczędności. Niestety, zamiast wygranych pojawiają się straty – środki trafiają na konta oszustów.
• Phishing (fałszywe wiadomości) – znakomita większość ataków odbywa się właśnie tą drogą. Ofiara otrzymuje e-mail albo SMS podszywający się pod zaufaną instytucję (np. firmę kurierską, bank, urząd) lub nawet znajomego. Wiadomość zwykle informuje o pilnym problemie: niedopłacie za przesyłkę, blokadzie konta, zaległej fakturze itp., zawiera też link do rzekomej strony. Kliknięcie takiego odnośnika kończy się przekierowaniem na fałszywą witrynę łudząco podobną do prawdziwej albo pobraniem złośliwego oprogramowania. W efekcie przestępcy przechwytują nasze dane (loginy, hasła, numery kart) lub infekują urządzenie, uzyskując nad nim kontrolę. Istnieją bardziej zaawansowane odmiany tej metody – np. spear phishing, czyli atak kierowany na konkretną osobę lub organizację, poprzedzony zebraniem szczegółowych informacji o ofierze, by zwiększyć skuteczność podstępu.
• Deepfake i sztuczna inteligencja – nowoczesna technologia pozwala oszustom tworzyć niezwykle wiarygodne fałszywe nagrania głosu lub obrazu. Dysponując próbką czyjegoś głosu (np. z mediów społecznościowych albo z krótkiej rozmowy telefonicznej), przestępca jest w stanie wygenerować audio nieodróżnialne od oryginału. Może na przykład zadzwonić do kogoś z rodziny ofiary, podszywając się głosowo pod nią, i błagać o pilną pożyczkę – nietrudno wtedy uwierzyć, że rozmawiamy z kimś bliskim, bo nie spodziewamy się takiego ataku i trudno podejrzewać mistyfikację. Co więcej, nawet rozmowa wideo nie daje gwarancji, gdyż AI umożliwia nałożenie czyjejś twarzy w czasie rzeczywistym. Taka sztuczna twarz reaguje tak samo jak prawdziwa, więc nawet prośba, by rozmówca pokazał się w innym oświetleniu, niczego nie zdradzi. Innymi słowy, ofiara może mieć pełne przekonanie, że widzi i słyszy znaną sobie osobę, podczas gdy w rzeczywistości rozmawia z oszustem.

W stosunku do młodych ludzi, do najpopularniejszych cyberoszustw finansowych należą fałszywe inwestycje w kryptoaktywa, scamowe aplikacje do „zarabiania przez telefon”, kradzieże danych bankowych przez podszywanie się pod kurierów lub platformy zakupowe, a także tzw. oszustwa na influencera, w których wykorzystuje się deepfake’i lub spreparowane nagrania znanych osób „polecających” rzekomo bezpieczne inwestycje.

Jak rozpoznać zagrożenie i jak się bronić?

Pamiętajmy, że oszuści najpierw atakują nasz układ emocjonalny a dopiero później portfel. Zanim klikniemy „wpłać”, dostajemy mieszankę różnych bodźców: pilność („ostatnie 3 miejsca”), efekt autorytetu (rzekomy ekspert/celebryta), społeczny dowód słuszności („wszyscy już korzystają”) i reguła niedostępności (heurystyka „rzadkie = wartościowe”). W tle działa również FOMO (strach przed przegapieniem okazji) awersja do straty (silniejszy ból straty niż radość z zysku) oraz dowartościowanie (wskoczę szybko do klasy VIP). Gdy do tego dochodzi zmęczenie lub stres, włączamy „myślenie szybkie” — i o to chodzi oszustowi.

Warto w takich chwilach zastosować pauzę decyzyjną, która w skrócie mówi: STOP:

S — Stój. Przerwij wszelkie działania, nie podejmuj żadnych decyzji.

T — Tytułuj swoje emocje. Nazwij to, co czujesz („ekscytacja”, „presja”, „wstyd, że „nie ogarniam””); już samo nazwanie obniża pobudzenie.

O — Oddychaj. Kilka wolnych wydechów, spacer pozwoli Ci dotlenić mózg i poprawić myślenie.

P — Przeanalizuj swoje przekonania:. „Co mnie tu pcha: dane czy emocja? Jakie dowody falsyfikują tę tezę?”.

Pomagają też różne mikronawyki odporności:

— Reguła różnych kanałów: nie podejmuj decyzji w tym samym kanale, w którym otrzymałeś ofertę (np. dostałeś ofertę w komunikatorze, zadzwoń do jakiegoś niezależnego doradcy).

— Test odwrócenia roli: „Gdyby to proponował mój znajomy, czy nadal brzmiałoby to wiarygodnie bez presji czasu i bez ‘gwarancji’?”

— Technika „Premortem” („wyobraź sobie porażkę”): załóż, że to oszustwo; wypisz sobie   trzy powody to uzasadniające, Jeśli lista powstaje bez trudu — nie wchodź w to.

— Pre-commitment: miej z góry ustalone granice / progi („nie inwestuję z linka”, „nie wysyłam środków tego samego dnia”, „nie instaluję zdalnego pulpitu”).

— Zasada odrzucania cudów: „gwarantowany procent”, „zero ryzyka” czy „sekretna metoda” to automatyczna odpowiedź – NIE.

Dopiero po ochłodzeniu emocji ma sens chłodna weryfikacja oferty. A zatem kluczowa jest kolejność: najpierw regulowanie pobudzenia, a potem sprawdzanie oferty. Dzięki temu to Ty decydujesz, a nie Twój układ limbiczny karmiony przez jakiegoś internetowego manipulatora.

Najważniejsze zasady i wskazówki

Kluczowe jest rozpoznawanie sygnałów manipulacji. Jeśli ktoś wywołuje pośpiech, podkreśla wyjątkowość oferty, zasłania się autorytetem lub próbuje wzbudzić emocje – to sygnał ostrzegawczy. Warto wypracować w sobie „pauzę decyzyjną”: odłożyć reakcję o kilka godzin i przypomnieć sobie zasady podawane przez ekspertów z zakresu cyberbezpieczeństwa: 

• Wszyscy jesteśmy potencjalnymi celami. Choć seniorzy należą do grup najbardziej narażonych, młodsi absolutnie nie mogą czuć się całkowicie bezpieczni. Cyberprzestępcy atakują każdego, kto stworzy im ku temu okazję.
• Zwracaj uwagę na „czerwone flagi”. Pośpiech, presja czasu, prośby o poufne informacje, nieoczekiwane wiadomości oraz oferty zbyt piękne, by były prawdziwe – to wszystko sygnały alarmowe, przy których powinna zapalić się nam lampka ostrzegawcza.
• Nigdy nie podawaj wrażliwych danych przez telefon, e-mail czy SMS. Loginy, hasła, kody PIN, numery kart płatniczych – prawdziwe instytucje finansowe nigdy nie proszą o takie informacje kanałami nieoficjalnymi. Jeśli ktoś tego żąda, niemal na pewno jest oszustem.
• Chroń urządzenia i konta. Używaj silnych, unikatowych haseł oraz dwuskładnikowego uwierzytelniania (2FA) wszędzie tam, gdzie to możliwe. Regularnie aktualizuj systemy i aplikacje na swoich urządzeniach. Zainstaluj renomowany program antywirusowy i pilnuj, by był aktualny.
• Sprawdzaj – zweryfikuj lub poproś kogoś bliskiego o pomoc w weryfikacji czy domena, adres e-mail i źródła informacji są wiarygodne
• Edukacja i rozmowa to podstawa. Poszerzaj swoją wiedzę o najnowszych metodach oszustów – czytaj ostrzeżenia publikowane przez policję, CERT Polska, banki. Rozmawiaj z rodziną i znajomymi o tym, na jakie podejrzane sytuacje się natknęli – większa świadomość wszystkich dookoła zwiększa bezpieczeństwo każdego z nas.
• Reaguj i zgłaszaj incydenty. Jeśli doświadczysz próby oszustwa, zgłoś to do banku oraz na policję – nawet jeśli nie poniesiesz strat, taka informacja może pomóc w ujęciu przestępców. Gdy stracisz pieniądze lub dane, natychmiast zablokuj konto i zawiadom organy ścigania. Każda minuta się liczy – szybka reakcja może ograniczyć szkody.

Świadomy użytkownik internetu potrafi zatrzymać się, zanim kliknie, zadać sobie jedno kluczowe pytanie: czy ktoś próbuje właśnie zagrać na moich emocjach, a następnie przystąpić do chłodnej weryfikacji oferty i jego źródła.

Odporność na manipulację nie polega na braku emocji, lecz na świadomości ich istnienia. Zrozumienie, że oszuści nie atakują techniki, ale nasze uczucia – to pierwszy krok do cyfrowej dojrzałości.