Dostałeś taką wiadomość SMS? Google ostrzega: oszuści czyszczą konta, ale jest na to sposób

Wyrafinowana pułapka na użytkowników Google Authenticator

Scenariusz jest zawsze podobny i bazuje na Twoim strachu o bezpieczeństwo. Na telefon przychodzi wiadomość SMS, która do złudzenia przypomina oficjalny komunikat systemowy. Treść może brzmieć przykładowo: "Ostrzeżenie bezpieczeństwa. Nowe urządzenie połączyło się z Authenticator. Jeśli to nieautoryzowane – zadzwoń". Pod komunikatem widnieje numer telefonu, który ma być rzekomą infolinią wsparcia.

W rzeczywistości Google nigdy nie prosi o pilny kontakt telefoniczny w taki sposób. Oszuści liczą na to, że w przypływie paniki natychmiast wybierzesz podany numer. Jeśli to zrobisz, połączysz się bezpośrednio z przestępcą, który podając się za pracownika technicznego, spróbuje wyłudzić od Ciebie dane logowania lub kody autoryzacyjne. To klasyczny przykład vishingu, czyli phishingu głosowego.

Kogo dotyczy atak i dlaczego jest tak groźny

Atak jest wycelowany w każdą osobę, która korzysta z konta Google, a w szczególności w użytkowników aplikacji Google Authenticator. Paradoksalnie, przestępcy wykorzystują fakt, że dbasz o bezpieczeństwo i używasz weryfikacji dwuetapowej (2FA).

- Wiadomość jest fałszywa. Dzwoniąc pod numer i podając wymagane dane można utracić dostęp do konta Google, nawet jeśli masz weryfikację dwuetapową. Odzyskanie profilu może nie być już możliwe! — ostrzega Elwira Charmuszko-Rumińska, ekspert ds. cyberbezpieczeństwa.

Należy pamiętać, że raz przejęte konto Google to dla złodzieja kopalnia wiedzy. Może on uzyskać dostęp do Twoich:

• Prywatnych e-maili w usłudze Gmail
• Zdjęć zapisanych w chmurze (często zawierających skany dokumentów)
• Haseł do bankowości zapisanych w przeglądarce Chrome
• Lokalizacji i historii wyszukiwania

Jak rozpoznać fałszywy komunikat i nie stracić pieniędzy

Największą czerwoną flagą jest sam fakt otrzymania prośby o połączenie telefoniczne. Google komunikuje się z użytkownikami poprzez powiadomienia systemowe bezpośrednio w aplikacjach lub e-maile z oficjalnych domen. 

Jeśli widzisz w SMS-ie polski lub zagraniczny numer komórkowy z prośbą o kontakt – to na 100% oszustwo.

Pamiętaj, że prawdziwa weryfikacja dwuetapowa polega na tym, że to Ty wpisujesz kod wygenerowany w aplikacji na stronie logowania, a nie podajesz go komuś przez telefon. Żaden pracownik Google, mBanku czy Revoluta nigdy nie zapyta Cię o Twój kod z Authenticatora ani o pełne hasło do profilu. Jeśli ktoś o to prosi, właśnie próbuje Cię okraść.

Co zrobić, gdy dostaniesz podejrzanego SMS-a (Instrukcja)

Jeśli na Twoim ekranie pojawiła się podejrzana wiadomość, nie panikuj. Wykonaj te kroki, aby zabezpieczyć swoje dane:

1. Nie dzwoń pod podany numer – to najkrótsza droga do wpadnięcia w sidła oszustów.
    
2. Nie odpowiadaj na wiadomość – potwierdzisz w ten sposób, że Twój numer jest aktywny, co narazi Cię na kolejne ataki.
    
3. Sprawdź aktywne sesje – wejdź samodzielnie na stronę myaccount.google.com, przejdź do sekcji "Bezpieczeństwo" i sprawdź listę "Twoje urządzenia". Jeśli nie widzisz tam nic podejrzanego, jesteś bezpieczny.
    
4. Zablokuj nadawcę – dodaj numer, z którego przyszedł SMS, do czarnej listy w swoim telefonie.
    
5. Usuń wiadomość – pozbądź się jej, aby przypadkiem nie kliknąć w nią w przyszłości.
    
6. Zgłoś incydent – możesz przesłać treść podejrzanego SMS-a do zespołu CERT Polska pod numer 8080.

Źródła: Komunikat CERT Polska, Centrum pomocy Google: Zabezpieczanie zhakowanego lub przejętego konta Google, Oficjalne ostrzeżenia dotyczące vishingu w Polsce (marzec 2026).