Artykuł zewnętrzny
Użytkownicy PayPal i Spotify stają się celem nowych ataków phishingowych. Sprawdź, co się wydarzyło i jak skutecznie chronić swoje konto online.
W ciągu ostatnich tygodni PayPal i Spotify znalazły się na czołówkach serwisów technologicznych, ale nie z powodów, które ucieszyłyby ich użytkowników. Po doniesieniach o gigantycznym wycieku danych z PayPal, obejmującym ponad 15,8 miliona kont, kolejnym ciosem okazały się nowe kampanie phishingowe, które uderzają jednocześnie w klientów PayPala i Spotify. Co więcej, na Spotify trwają także kontrowersyjne zmiany w polityce kont dzielonych i nowa funkcja Wiadomości, która może stać się kolejnym narzędziem dla cyberprzestępców.
W tym artykule przedstawiamy najnowsze wydarzenia i zagrożenia dla użytkowników obu platform, a także wyjaśniamy, jak bronić się przed phishingiem i dlaczego najwyżej oceniany VPN może być jednym z najważniejszych narzędzi do ochrony online.
Pod koniec sierpnia 2025 roku na jednym z popularnych forów w darknecie pojawiła się szokująca oferta sprzedaży danych obejmujących dostęp do aż 15,8 miliona kont użytkowników PayPal.
Według informacji ujawnionych przez analityków bezpieczeństwa, wyciek zawierał nie tylko adresy e-mail i hasła (często w formie zahaszowanej, ale niekoniecznie trudnej do złamania), ale również dane o transakcjach, adresy IP, lokalizacje logowania oraz (co szczególnie niepokojące) powiązania z kontami bankowymi i kartami płatniczymi.
Choć PayPal nie potwierdził oficjalnie tego incydentu jako bezpośredniego naruszenia ich infrastruktury, specjaliści z branży nie mają wątpliwości: dane pochodzą albo z naruszenia bezpieczeństwa u zewnętrznego partnera, albo są efektem długofalowego działania złośliwego oprogramowania typu info-stealer, które infekowało komputery użytkowników PayPala przez wiele miesięcy.
Według informacji ujawnionych przez Tom’s Guide, w konsekwencji tej sytuacji, cyberprzestępcy rozpoczęli szeroko zakrojoną kampanię phishingową wymierzoną w użytkowników platformy. Oszuści rozsyłają profesjonalnie wyglądające e-maile, w których informują o:
rzekomym zawieszeniu konta z powodu podejrzanej aktywności,
konieczności weryfikacji danych osobowych,
nieautoryzowanej transakcji wymagającej potwierdzenia.
Każda z tych wiadomości zawiera link kierujący do fałszywej strony logowania, łudząco podobnej do oryginalnej witryny PayPala. Osoby, które się na to nabiorą, narażają się na kradzież danych logowania, środków z konta oraz potencjalne przejęcie innych powiązanych kont, np. bankowych czy zakupowych.
Eksperci przestrzegają, że ataki te są wyjątkowo wyrafinowane. Cyberprzestępcy korzystają z certyfikatów SSL, mają poprawnie sformatowane stopki e-maili, a nawet dynamiczne elementy HTML, co znacznie utrudnia odróżnienie ich od godnych zaufania wiadomości. Często też wykorzystują dane pozyskane z wycieku (np. imię użytkownika czy ostatnie 4 cyfry numeru konta), aby zwiększyć wiarygodność ataku.
Spotify, jedna z najpopularniejszych platform streamingowych na świecie, również stała się ostatnio celem działań cyberprzestępców. Chociaż nie doszło do klasycznego wycieku danych, to niedawno wprowadzona funkcja Wiadomości, umożliwiająca prywatne rozmowy między użytkownikami, została natychmiast zauważona przez oszustów jako nowy kanał do prowadzenia ataków socjotechnicznych.
Zamiast tradycyjnych wiadomości e-mail, niektóre kampanie phishingowe wykorzystują teraz wewnętrzny system komunikacyjny Spotify, przesyłając z pozoru niewinne wiadomości zawierające linki, np. do „playlisty znajomego” lub „promocji specjalnej” dla użytkowników Premium. W rzeczywistości linki te przekierowują ofiary do stron phishingowych lub złośliwego oprogramowania.
Jednocześnie platforma ogłosiła, że jeszcze w październiku 2025 roku wprowadzi ostrzejsze zasady dotyczące współdzielenia kont rodzinnych i indywidualnych. Spotify zacznie sprawdzać, czy użytkownicy deklarujący wspólny adres IP rzeczywiście mieszkają razem. Zmiany te są częścią walki z obchodzeniem zasad subskrypcji przez wykupywanie tańszych planów w krajach o niższych stawkach.
Te kontrowersyjne decyzje wywołały frustrację wśród wielu użytkowników. I właśnie tę frustrację zaczęli wykorzystywać cyberprzestępcy. W sieci zaczęły pojawiać się fałszywe wiadomości oraz kampanie reklamowe (głównie na Facebooku i TikToku), w których oszuści oferują: „alternatywne plany rodzinne bez weryfikacji IP”, „tańsze subskrypcje z kontami Premium z USA czy Turcji”, „dożywotni dostęp do Spotify Premium za jednorazową opłatą” i inne.
Takie oferty kierują do fałszywych bramek płatniczych, a tam ofiara traci nie tylko swoje dane logowania do Spotify, ale również dane karty płatniczej.
Co więcej, te kampanie bywają często dobrze targetowane. Wykorzystują np. remarketing użytkowników, którzy niedawno szukali informacji o tanich subskrypcjach, a to zwiększa ich skuteczność. Phishing w ekosystemie Spotify zyskuje nową, bardziej ukrytą twarz, bazującą na zaufaniu i potrzebie „oszczędności”.
Poniższe porady świetnie sprawdzą się zarówno dla użytkowników PayPal i Spotify, jak i innych narzędzi codziennego użytku i serwisów streamingowych.
Nie klikaj w podejrzane linki. Nigdy nie otwieraj linków z e-maili lub wiadomości, które wzbudzają Twoje wątpliwości, nawet jeśli wyglądają na oficjalne. Sprawdzaj dokładnie adres nadawcy, szukaj literówek w domenach i nie daj się zwieść fałszywym alarmom mającym grać na emocjach.
Zawsze loguj się ręcznie (nie przez linki). Zamiast klikać w link „Zaloguj się” z wiadomości e-mail lub komunikatora, wpisz samodzielnie adres paypal.com lub spotify.com w przeglądarce. To najpewniejszy sposób, by uniknąć fałszywych stron logowania.
Włącz uwierzytelnianie dwuskładnikowe (2FA). Dzięki 2FA nawet jeśli ktoś pozna Twoje hasło, nie zaloguje się bez drugiego etapu weryfikacji, np. kodu SMS lub powiadomienia push z aplikacji uwierzytelniającej. Aktywuj tę funkcję w ustawieniach bezpieczeństwa konta.
Korzystaj z najwyżej ocenianego VPN z ochroną antyphishingową. Dobry VPN chroni nie tylko Twoje dane i lokalizację, ale też aktywnie blokuje złośliwe strony internetowe. Wybierz usługę z funkcją, która wykrywa phishing, malware i niebezpieczne reklamy, nawet bez aktywnego tunelu VPN.
Regularnie aktualizuj system i aplikacje. Regularne aktualizacje zabezpieczają Cię przed nowymi zagrożeniami. Upewnij się, że zarówno Twój system operacyjny, jak i aplikacje PayPal czy Spotify są zawsze w najnowszej wersji.
Monitoruj nietypowe działania na koncie. Każdy sygnał ostrzegawczy, np. logowanie z nieznanego urządzenia, zmiana hasła, dziwna transakcja, powinien skłonić Cię do natychmiastowej reakcji. Zmień hasło i skontaktuj się z pomocą techniczną.
Ucz się i bądź na bieżąco. Wiedza to Twoja najlepsza obrona. Śledź wiarygodne źródła, blogi o cyberbezpieczeństwie i oficjalne komunikaty firm, aby zawsze wiedzieć, jakie oszustwa są aktualnie najczęstszą zmorą użytkowników.
Ostatnie wydarzenia związane z PayPalem i Spotify pokazują, jak łatwo użytkownicy mogą stać się celem cyberprzestępców. Phishing nieustannie ewoluuje, stając się coraz bardziej przekonujący i trudny do wykrycia.
Wciąż niezwykle ważne pozostaje zachowanie czujności, korzystanie z dodatkowych zabezpieczeń oraz świadomość, że nawet znane i zaufane marki mogą być wykorzystywane przez oszustów jako przykrywka do ataku.
Przestrzegając podstawowych zasad ostrożności i edukując się na temat zagrożeń, znacznie zwiększamy swoje szanse na uniknięcie pułapek zastawionych w sieci.
