Egidio
Dossier · mekanismo · 2026

Ang leak ay unang hakbang lang

Hindi bigla na lang nagiging scam call ang isang pangalan at numero ng telepono na na-leak. May chain ito, na may mga hakbang na dokumentado at sourced, mula sa sandaling lumabas ang datos mo sa isang na-hack na system hanggang sa tumunog ang phone mo na parang alam na alam ka ng kausap.

Ang buong chain, step-by-step

1

Ang leak

May na-hack na ahensya ng gobyerno, ospital, unibersidad, o kumpanya. Wala kang ginawang mali — nasa third party na iyon ang problema, hindi sa iyo. Tingnan ang dossier ng data breach sa Pilipinas para sa mga dokumentadong kaso.

2

Ang pagkalat

Ibinebenta o ipinapamahagi nang libre ang ninakaw na datos, kadalasan sa mga forum na specialized dito o sa dark web. Malaki ang range ng presyo depende sa uri ng datos at kung saang source galing ang estimate — pero pareho ang prinsipyo: merkado ito, may supply at demand, at ang mga kompletong lote (pangalan, address, birthdate, minsan account number) ang pinaka-hinahanap.

Ihambing sa dossier sa dark web.
3

Ang pagbuo ng script

Ito ang hakbang na hindi mo makikita pero ang pinaka-determinante. Hindi random ang ginagawa ng scammer: pinagsasama-sama niya ang ilang leak o source para makabuo ng coherent na script — ang bangko mo, employer mo, minsan pati unibersidad o resort na pinuntahan mo. Ang social engineering ay umaasa sa human psychology, hindi sa technical vulnerability — layer by layer itong ginagawa, na tumataas ang perceived legitimacy sa bawat tumpak na detalyeng ibinibigay.

Trend Micro · MetaCompliance — dossier sa social engineering.
4

Ang execution

Dumarating ang kontak via tawag, text, o minsan Messenger/WhatsApp — na may artipisyal na urgency ("may fraud na nangyayari sa account mo", "kailangang i-validate ang ATM card mo"). Ayon sa BSP, social engineering, account takeover, at identity theft ang sumakop sa 76% ng cyber fraud losses sa Pilipinas noong 2025 — mas malaki pa sa hacking (13%) at card-not-present fraud (8%) na sinama. Walang typo, walang halatang red flag — tumpak na detalye lang at pressure sa oras.

BSP, sinipi ng Philstar at BusinessWorld, Pebrero 2026.
5

Ang final ask

Paglipat sa isang "secure account", pagbibigay ng OTP, o pag-click sa isang fake na link. Ang average na loss ng mga Pilipino sa scam ay umaabot sa ₱11,896 sa loob ng 12 buwan, ayon sa isang 2025 survey — pero kung particular na case ng voice phishing o smishing, kadalasan mas malaki, minsan aabot sa anim na digit.

Global Anti-Scam Alliance (GASA), State of Scams in the Philippines 2025.

Ang kinukumpirma ng opisyal na datos

Ang Bangko Sentral ng Pilipinas (BSP), sa study na inilabas noong Pebrero 2026, ay dokumentado ang isang malinaw na paglipat papunta sa human-centered na scam — eksakto sa mga kategorya na umaasa sa personalized na impormasyon:

76%
Bahagi ng cyber fraud losses sa Pilipinas noong 2025 na galing sa social engineering, account takeover, at identity theft — kasama ang phishing, vishing, smishing, at "love scam".
BSP, sinipi ng Philstar/BusinessWorld, Pebrero 2026.
₱5.82B
Losses ng mga supervised financial institution sa Pilipinas dahil sa cyber incident noong 2024 — pataas mula sa ₱5.67 bilyon noong 2023, karamihan galing sa phishing, card-not-present fraud, at account takeover.
BSP, sinipi ng Inquirer Business, 2026.
78.4%
Pagtaas ng scam call na na-log ng Whoscall sa Pilipinas nitong ikatlong quarter, kumpara noong 2024 — 62,390 scam call ang na-detect.
Whoscall, sinipi sa Philippine news, 2026.
52%
Bahagi ng mga Pilipino na naging biktima ng scam nang hindi bababa sa isang beses — 77% naman ang nakaranas ng kahit isang scam attempt, ayon sa 2025 survey.
Global Anti-Scam Alliance (GASA), State of Scams in the Philippines 2025.

Dalawang testimonya na nagpapakita ng mekanismo

"Huwag po talagang magtitiwala sa mga tawag. I-validate po at huwag ibigay ang mga OTP. I-secure po ang mga data."

58 anyos na biktima mula Mangaldan, Pangasinan, nawalan ng ₱230,000 sa voice phishing na nagpanggap na bank representative — KAMI.com.ph, Hulyo 2026.

"It was very stressful for our family because the messages were convincing…"

Testimonya ng anak ng isang biktima ng spoofed-message scam na nagpanggap na BDO, halos ₱250,000 ang nawala — PCIJ.org, Hunyo 2026.

Sino ang target

Senior citizen, OFW, at mga taong medyo isolated sa pamilya ang paulit-ulit na binabanggit bilang mas madaling target — pero hindi ito buong kuwento:

Senior citizen & retirees

Kasama sa mga pangunahing target ng investment scam at impersonation scam, ayon sa iba't ibang scam-monitoring report sa Pilipinas.

OFW

Malayo sa pamilya, madalas nag-aasikaso ng remittance mula sa malayo — na-target din bilang grupong may passive-income aspirations na pinagsasamantalahan ng scam.

Kumbinasyon ng factor

Mas mababang digital literacy sa ilang kaso, isolation mula sa suporta ng pamilya, at ang katotohanang may naipong ipon o regular na remittance na mas kaakit-akit sa scammer.

Isang mahalagang paalala

Idinidiin ng mga organisasyong nagdodokumento nito: kahit sino, kahit gaano pa ka-aware, ay puwedeng ma-scam. Ang personalisasyon gamit ang nakaw na datos ang nag-neneutralize sa dating advantage ng mas maingat na profile.

🔒 Dahil gumagamit ang mga ganitong atake ng totoong impormasyon, ang isang static na proteksyon — blacklist ng numero, keyword filter — ay structurally bulag rito: wala sa blacklist ang numero, walang classic na keyword sa mensahe. Ang nagpapakita ng scam pattern ay ang constellation ng behavior sa iba't ibang channel — isang kontak na lumipat mula tawag papuntang text papuntang Messenger, na may urgency na paunti-unting itinatanim — eksakto ang designed na makilala ng Medusa. Tingnan kung paano gumagana ang Medusa, ang engine ng Egidio.

Mga madalas itanong

Awtomatiko bang nagiging scam ang isang data leak?

Hindi awtomatiko at hindi agad-agaran — kumakalat muna ang ninakaw na datos, binebenta o ipinapamahagi, bago ito magamit, minsan ilang buwan pagkatapos ng orihinal na leak. Pero malinaw ang koneksyon: ayon sa BSP, 76% ng cyber fraud losses sa Pilipinas noong 2025 ay dulot ng social engineering, account takeover, at identity theft — mga scam na umaasa sa personalized na impormasyon.

Paano nalalaman ng scammer ang totoong pangalan ng bangko ko o employer ko?

Malamang na nagmula ang impormasyong iyon sa isang data breach na tumama sa bangko mo, sa isang ahensya ng gobyerno, o sa isang serbisyong ginagamit mo. Bumibili ang mga scammer ng ganitong lote ng datos para makagawa ng script na mukhang imposibleng malaman kung random lang ang pagtawag nila.

Bakit mas madaling ma-target ang mga senior citizen at OFW?

Kumbinasyon ng ilang factor: mas mababang digital literacy sa ibang kaso, isolation mula sa pamilya (lalo na sa mga OFW na malayo sa bansa), at ang katotohanang may naipong ipon o remittance na mas nakakaakit sa scammer. Pero laging idinidiin ng mga organisasyong nagmomonitor nito: kahit sino, kahit gaano ka-aware, ay puwedeng ma-scam kapag personalized at tumpak ang impormasyong ginamit.

Para sa karagdagang basahin