Egidio
Dossier · mechanizm · 2026

Wyciek to dopiero pierwszy krok

Imię i numer telefonu, które wyciekły, same z siebie nie stają się oszustwem. Jest łańcuch, z konkretnymi i udokumentowanymi etapami, między momentem, gdy Twoje dane opuszczają zaatakowaną bazę, a chwilą, gdy telefon dzwoni ze scenariuszem, który zdaje się wiedzieć o Tobie wszystko.

Cały łańcuch, krok po kroku

1

Wyciek

Placówka medyczna, biuro podróży, związek sportowy albo system rezerwacyjny zostaje zaatakowany. Nie zrobiłeś nic złego — luka jest po stronie podmiotu, który przechowywał Twoje dane. Zobacz dossier o wyciekach danych w Polsce — udokumentowane polskie przypadki: ALAB, Chemirol, POLADA, Nowa Itaka, Hotres.

2

Obieg

Skradzione dane trafiają do sprzedaży lub swobodnego dostępu, często na wyspecjalizowanych forach hakerskich i kanałach Telegram — dokładnie tak, jak w przypadku danych POLADA opublikowanych publicznie w sierpniu 2024 roku. Dokładne ceny takich zestawów danych są trudne do zweryfikowania i różnią się ogromnie w zależności od źródła — nie ma tu jednej wiarygodnej liczby. Zasada pozostaje jednak ta sama: to rynek, z podażą i popytem, na którym dane krążą między grupami przestępczymi zanim trafią do faktycznego wykonawcy oszustwa.

3

Budowa scenariusza

To etap najmniej widoczny i najbardziej decydujący. Oszust nie działa losowo: krzyżuje kilka wycieków lub źródeł, by zbudować spójny scenariusz — Twój bank, Twoją rezerwację hotelową, czasem Twój klub sportowy. Im więcej dokładnych szczegółów przestępca poda na starcie rozmowy, tym wyższa postrzegana wiarygodność kontaktu.

4

Wykonanie

Kontakt przychodzi telefonicznie, SMS-em, czasem przez WhatsApp — ze sztucznie wykreowaną pilnością. Dokładnie ten mechanizm zadziałał po wycieku z systemu rezerwacyjnego Hotres w lipcu 2026 roku: skradzione dane rezerwacji (imię, nazwisko, termin pobytu, kwota) posłużyły do wysyłania wiarygodnych wiadomości SMS i WhatsApp podszywających się pod hotele, z prośbą o dopłatę lub dane karty płatniczej — bez literówek, bez obietnicy nierealnej wygranej, tylko dokładne informacje i presja czasu.

niebezpiecznik.pl · e-hotelarz.pl, lipiec 2026
5

Ostateczne żądanie

Przelew na „bezpieczne konto”, kod autoryzacyjny do przekazania albo przekierowanie na fałszywą stronę płatności. W 2025 roku same oszustwa metodą „na legendę” (obejmującą podszywanie się pod policjanta, wnuczka lub pracownika banku) kosztowały Polaków blisko 160 milionów złotych.

PAP, cytując dane policyjne, 2026

Co potwierdzają oficjalne dane

Podsumowanie roku 2025 Centralnego Biura Zwalczania Cyberprzestępczości (CBZC, jednostka polskiej Policji) oraz statystyki spraw „na legendę” pokazują wyraźne przyspieszenie właśnie w kategoriach oszustw wykorzystujących spersonalizowane dane:

1374
Osoby, którym CBZC przedstawiło zarzuty w 2025 roku — 417 objęto tymczasowym aresztowaniem, 1177 zatrzymano łącznie.
CBZC (Policja), podsumowanie roku 2025, marzec 2026.
+30%
Średni wzrost liczby spraw cyberprzestępczych rok do roku we wszystkich kategoriach ściganych przez CBZC w 2025 roku.
CBZC (Policja), podsumowanie roku 2025, marzec 2026.
2805
Oszustwa „na legendę” (policjant, wnuczek, pracownik banku) odnotowane od stycznia do kwietnia 2026 roku — o 300 więcej niż w tym samym okresie 2025 roku.
Policja, cytowana przez portalsamorzadowy.pl, kwiecień 2026.
~10 000
Seniorzy, którzy padli ofiarą oszustwa w pierwszej połowie 2025 roku — z łącznymi stratami sięgającymi blisko 160 mln zł w skali całego roku dla tej kategorii oszustw.
Radio dla Ciebie, cytujące dane Komendy Głównej Policji, 2025.

Udokumentowane przypadki, które ilustrują mechanizm

Polska Policja regularnie publikuje opisy konkretnych, zamkniętych spraw — nie cytaty ofiar, ale udokumentowane, datowane fakty, które pokazują ten sam schemat w praktyce:

📞Radom, styczeń 2024

66-letni mieszkaniec powiatu radomskiego stracił 340 000 zł po przelaniu środków na konto wskazane przez osobę podającą się za pracownika banku, która przekonała go, że jego oszczędności są zagrożone kradzieżą.

Policja.pl / Komenda Miejska Policji, 2024

📞Ostróda, maj 2024

59-letnia mieszkanka powiatu ostródzkiego straciła blisko 50 000 zł po tym, jak rzekomy konsultant bankowy nakłonił ją telefonicznie do zalogowania się na konto i przekazania kodów autoryzacyjnych — klasyczna technika inżynierii społecznej, nie włamanie techniczne.

Policja.pl / Komenda Powiatowa Policji, 2024

Kogo to dotyka

Osoby w wieku 60 lat i więcej pozostają nadreprezentowane wśród ofiar, ale nie tylko z powodów, które zwykle się zakłada:

46%

Polaków miało kontakt z próbą oszustwa internetowego według badania SW Research dla Banku Pocztowego (program „Cyberdojrzali”, koniec 2025 roku), z czego 12% takich prób zakończyło się realną stratą.

17% + 17%

Najczęstsze metody w tym badaniu: dopłata do przesyłki kurierskiej (17%) i podszywanie się pod pracownika banku (17%), tuż przed phishingiem mailowym i SMS-owym (16%).

Czynniki łączone

Niższa biegłość cyfrowa u części seniorów, izolacja społeczna — ale też zgromadzony majątek (oszczędności, nieruchomość, stabilna emerytura), który czyni cel bardziej atrakcyjnym finansowo.

Ważne zastrzeżenie

Instytucje dokumentujące te oszustwa podkreślają: „każdy profil może paść ofiarą”. Spersonalizowanie na bazie skradzionych danych neutralizuje zwykłą przewagę osób bardziej ostrożnych czy świadomych zagrożeń.

🔒 To właśnie dlatego, że te ataki wykorzystują prawdziwe informacje, ochrona statyczna — czarna lista numerów, słowa kluczowe uznane za podejrzane — jest z definicji ślepa: numer nie figuruje w znanej czarnej liście, wiadomość nie zawiera żadnego klasycznego słowa-klucza. To, co zdradza schemat, to konstelacja zachowań w różnych kanałach (kontakt, który przechodzi z telefonu na SMS, a potem na WhatsApp, z narastającą presją finansową) — dokładnie to, co Medusa została zaprojektowana rozpoznawać. Zobacz jak działa Medusa.

Najczęściej zadawane pytania

Czy wyciek danych zawsze kończy się oszustwem?

Nie automatycznie i nie natychmiast — skradzione dane krążą, są odsprzedawane i wykorzystywane czasem wiele miesięcy po pierwotnym wycieku. Ale statystyki polskiej Policji pokazują wyraźny wzrost oszustw na legendę i vishingu w okresach następujących po głośnych wyciekach.

Skąd oszust zna mój prawdziwy numer rezerwacji albo nazwę mojego banku?

Bo ta informacja najprawdopodobniej wyciekła przy okazji naruszenia danych dotyczącego Twojego banku, biura podróży albo innej instytucji, z której usług korzystasz. Przestępcy kupują lub zdobywają takie zestawy danych właśnie po to, by zbudować scenariusz, który wydaje się niemożliwy do odgadnięcia losowo.

Dlaczego seniorzy są częściej celem takich oszustw?

Połączenie czynników: czasem niższa biegłość cyfrowa, izolacja społeczna oraz zgromadzony majątek (oszczędności, nieruchomość, stabilna emerytura), który czyni cel bardziej atrakcyjnym finansowo. Ale badania i instytucje dokumentujące te oszustwa podkreślają: każdy profil może paść ofiarą — spersonalizowanie na bazie skradzionych danych neutralizuje zwykłą przewagę osób bardziej świadomych zagrożeń.

Zobacz również