Cały łańcuch, krok po kroku
Wyciek
Placówka medyczna, biuro podróży, związek sportowy albo system rezerwacyjny zostaje zaatakowany. Nie zrobiłeś nic złego — luka jest po stronie podmiotu, który przechowywał Twoje dane. Zobacz dossier o wyciekach danych w Polsce — udokumentowane polskie przypadki: ALAB, Chemirol, POLADA, Nowa Itaka, Hotres.
Obieg
Skradzione dane trafiają do sprzedaży lub swobodnego dostępu, często na wyspecjalizowanych forach hakerskich i kanałach Telegram — dokładnie tak, jak w przypadku danych POLADA opublikowanych publicznie w sierpniu 2024 roku. Dokładne ceny takich zestawów danych są trudne do zweryfikowania i różnią się ogromnie w zależności od źródła — nie ma tu jednej wiarygodnej liczby. Zasada pozostaje jednak ta sama: to rynek, z podażą i popytem, na którym dane krążą między grupami przestępczymi zanim trafią do faktycznego wykonawcy oszustwa.
Budowa scenariusza
To etap najmniej widoczny i najbardziej decydujący. Oszust nie działa losowo: krzyżuje kilka wycieków lub źródeł, by zbudować spójny scenariusz — Twój bank, Twoją rezerwację hotelową, czasem Twój klub sportowy. Im więcej dokładnych szczegółów przestępca poda na starcie rozmowy, tym wyższa postrzegana wiarygodność kontaktu.
Wykonanie
Kontakt przychodzi telefonicznie, SMS-em, czasem przez WhatsApp — ze sztucznie wykreowaną pilnością. Dokładnie ten mechanizm zadziałał po wycieku z systemu rezerwacyjnego Hotres w lipcu 2026 roku: skradzione dane rezerwacji (imię, nazwisko, termin pobytu, kwota) posłużyły do wysyłania wiarygodnych wiadomości SMS i WhatsApp podszywających się pod hotele, z prośbą o dopłatę lub dane karty płatniczej — bez literówek, bez obietnicy nierealnej wygranej, tylko dokładne informacje i presja czasu.
niebezpiecznik.pl · e-hotelarz.pl, lipiec 2026Ostateczne żądanie
Przelew na „bezpieczne konto”, kod autoryzacyjny do przekazania albo przekierowanie na fałszywą stronę płatności. W 2025 roku same oszustwa metodą „na legendę” (obejmującą podszywanie się pod policjanta, wnuczka lub pracownika banku) kosztowały Polaków blisko 160 milionów złotych.
PAP, cytując dane policyjne, 2026Co potwierdzają oficjalne dane
Podsumowanie roku 2025 Centralnego Biura Zwalczania Cyberprzestępczości (CBZC, jednostka polskiej Policji) oraz statystyki spraw „na legendę” pokazują wyraźne przyspieszenie właśnie w kategoriach oszustw wykorzystujących spersonalizowane dane:
Udokumentowane przypadki, które ilustrują mechanizm
Polska Policja regularnie publikuje opisy konkretnych, zamkniętych spraw — nie cytaty ofiar, ale udokumentowane, datowane fakty, które pokazują ten sam schemat w praktyce:
📞Radom, styczeń 2024
66-letni mieszkaniec powiatu radomskiego stracił 340 000 zł po przelaniu środków na konto wskazane przez osobę podającą się za pracownika banku, która przekonała go, że jego oszczędności są zagrożone kradzieżą.
Policja.pl / Komenda Miejska Policji, 2024📞Ostróda, maj 2024
59-letnia mieszkanka powiatu ostródzkiego straciła blisko 50 000 zł po tym, jak rzekomy konsultant bankowy nakłonił ją telefonicznie do zalogowania się na konto i przekazania kodów autoryzacyjnych — klasyczna technika inżynierii społecznej, nie włamanie techniczne.
Policja.pl / Komenda Powiatowa Policji, 2024Kogo to dotyka
Osoby w wieku 60 lat i więcej pozostają nadreprezentowane wśród ofiar, ale nie tylko z powodów, które zwykle się zakłada:
46%
Polaków miało kontakt z próbą oszustwa internetowego według badania SW Research dla Banku Pocztowego (program „Cyberdojrzali”, koniec 2025 roku), z czego 12% takich prób zakończyło się realną stratą.
17% + 17%
Najczęstsze metody w tym badaniu: dopłata do przesyłki kurierskiej (17%) i podszywanie się pod pracownika banku (17%), tuż przed phishingiem mailowym i SMS-owym (16%).
Czynniki łączone
Niższa biegłość cyfrowa u części seniorów, izolacja społeczna — ale też zgromadzony majątek (oszczędności, nieruchomość, stabilna emerytura), który czyni cel bardziej atrakcyjnym finansowo.
Ważne zastrzeżenie
Instytucje dokumentujące te oszustwa podkreślają: „każdy profil może paść ofiarą”. Spersonalizowanie na bazie skradzionych danych neutralizuje zwykłą przewagę osób bardziej ostrożnych czy świadomych zagrożeń.
Najczęściej zadawane pytania
Czy wyciek danych zawsze kończy się oszustwem?
Nie automatycznie i nie natychmiast — skradzione dane krążą, są odsprzedawane i wykorzystywane czasem wiele miesięcy po pierwotnym wycieku. Ale statystyki polskiej Policji pokazują wyraźny wzrost oszustw na legendę i vishingu w okresach następujących po głośnych wyciekach.
Skąd oszust zna mój prawdziwy numer rezerwacji albo nazwę mojego banku?
Bo ta informacja najprawdopodobniej wyciekła przy okazji naruszenia danych dotyczącego Twojego banku, biura podróży albo innej instytucji, z której usług korzystasz. Przestępcy kupują lub zdobywają takie zestawy danych właśnie po to, by zbudować scenariusz, który wydaje się niemożliwy do odgadnięcia losowo.
Dlaczego seniorzy są częściej celem takich oszustw?
Połączenie czynników: czasem niższa biegłość cyfrowa, izolacja społeczna oraz zgromadzony majątek (oszczędności, nieruchomość, stabilna emerytura), który czyni cel bardziej atrakcyjnym finansowo. Ale badania i instytucje dokumentujące te oszustwa podkreślają: każdy profil może paść ofiarą — spersonalizowanie na bazie skradzionych danych neutralizuje zwykłą przewagę osób bardziej świadomych zagrożeń.