Telefon wibruje: „Twój kod weryfikacyjny to 482913”. Problem w tym, że niczego nie zamawiałeś, nigdzie się nie logowałeś i nie zakładałeś żadnego konta. Taki SMS to sygnał, który warto rozumieć, bo jego znaczenie rozciąga się od niegroźnej literówki po trwającą właśnie próbę przejęcia Twojego konta.
Możliwość 1: ktoś pomylił numer
Najczęstszy i najmniej groźny scenariusz. Ktoś zakładał konto w sklepie, aplikacji czy serwisie i wpisał swój numer z literówką, trafiając w Twój. Dostajesz wtedy pojedynczy kod z jednego serwisu i na tym się kończy. Nic nie musisz robić: nie znasz loginu ani hasła tamtej osoby, a sam kod bez reszty danych jest bezwartościowy. Zignoruj wiadomość i tyle.
Bywa też, że ktoś celowo rejestruje konta „na cudzy numer”, żeby nie podawać swojego. Jeśli ten sam serwis przysyła kody regularnie, poszukaj w nim opcji „to nie moje konto” albo zgłoś numer do usunięcia przez obsługę serwisu.
Możliwość 2: ktoś zna Twoje hasło i właśnie się loguje
Tu robi się poważnie. Kod weryfikacyjny przychodzi wtedy, gdy ktoś przeszedł już pierwszy etap logowania, czyli poprawnie wpisał login i hasło. SMS z kodem do Twojego banku, konta Google, Allegro czy mediów społecznościowych, w momencie gdy sam się nie logujesz, oznacza zwykle, że Twoje hasło jest w rękach kogoś obcego, najczęściej z któregoś wycieku danych.
Plan działania: natychmiast zmień hasło do tego konkretnego serwisu (i wszędzie tam, gdzie używasz tego samego hasła), sprawdź w ustawieniach konta historię logowań i aktywne sesje, wyloguj nieznane urządzenia. Rozważ przejście z kodów SMS na aplikację uwierzytelniającą lub klucz sprzętowy, bo SMS to najsłabsza forma drugiego składnika: można go przechwycić także przez duplikat karty SIM.
Możliwość 3: zalew kodów, czyli SMS bombing
Kilkadziesiąt kodów z różnych serwisów w kilka minut to nie pomyłka, tylko technika. Bywa używana jako złośliwość lub, groźniej, jako zasłona dymna: w szumie dziesiątek SMS-ów łatwo przeoczyć ten jeden ważny, np. autoryzację przelewu albo powiadomienie o zmianie hasła. Zdarza się też wariant z telefonem: po fali SMS-ów dzwoni „konsultant banku”, który pomoże „zatrzymać ataki”, a naprawdę wyłudza dane i kody.
W trakcie takiej fali zachowaj zimną krew: przejrzyj wiadomości pod kątem tych naprawdę ważnych (bank, e-mail), zaloguj się do bankowości samodzielnie i sprawdź, czy nie ma oczekujących operacji, a z nikim, kto dzwoni „w sprawie ataku”, nie rozmawiaj o kodach.
Żelazne zasady przy kodach SMS
- Kod weryfikacyjny jest jak klucz do domu: nie podaje się go nikomu, ani „konsultantowi”, ani „pracownikowi banku”, ani rodzinie na Messengerze, bo tak działa oszustwo na BLIK.
- Prawdziwy usługodawca nigdy nie dzwoni z prośbą o odczytanie kodu z SMS-a.
- Nie klikaj linków w wiadomościach z kodami; prawdziwe SMS-y weryfikacyjne zawierają sam kod, a linki „anuluj, jeśli to nie Ty” bywają phishingiem.
- Numer, z którego przychodzą podejrzane wiadomości lub dzwoni „pomoc techniczna”, sprawdź w wyszukiwarce.
Najczęściej zadawane pytania
Dostałem jeden kod z serwisu, w którym nie mam konta. Czy coś mi grozi?
Nie. Najpewniej ktoś pomylił się przy wpisywaniu numeru. Sam kod bez loginu i hasła niczego nie otwiera. Zignoruj wiadomość, a jeśli kody z tego serwisu przychodzą regularnie, zgłoś numer jego obsłudze.
Przyszedł kod logowania do mojego banku, choć się nie logowałem. Co robić?
Potraktuj to jak alarm: ktoś mógł poznać Twoje hasło. Zmień je natychmiast, sprawdź historię logowań i aktywne sesje, a przy jakichkolwiek śladach obcej aktywności skontaktuj się z infolinią banku (na numer z oficjalnej strony, nie z SMS-a).
Dostaję dziesiątki kodów naraz. Czy ktoś włamuje się na wszystkie moje konta?
Niekoniecznie. To zwykle SMS bombing: automat masowo wpisuje Twój numer w formularze rejestracji. Groźny bywa jako zasłona dymna, więc w fali kodów wypatruj wiadomości od banku i poczty e-mail oraz nie ufaj nikomu, kto zadzwoni „pomóc w zatrzymaniu ataku”.
Czy mogę jakoś zablokować niechciane kody SMS?
Pojedynczych nadawców kodów trudno blokować skutecznie, bo serwisy wysyłają je z różnych numerów i nadpisów. Ważniejsza jest higiena kont: unikalne hasła, weryfikacja aplikacją zamiast SMS-em tam, gdzie się da, i czujność wobec wiadomości z linkami.
