Spis treści
Uwaga: to warsztat edukacyjny, a nie doradztwo prawne/bankowe/IT. Praktykujemy bezpieczne zachowania i plan reagowania na incydenty. W ćwiczeniach używamy anonimowych/fikcyjnych danych; nie logujemy się do prawdziwych kont.
1. Cel ogólny i logika zajęć
Cel: uczestnicy rozpoznają czerwone flagi oszustw (SMS/e‑mail/komunikatory/marketplace), stosują bezpieczne logowanie (mocne hasła, menedżer haseł, 2FA/passkeys), wiedzą jak chronić dane osobowe (m.in. w mObywatel/ePUAP) oraz potrafią zareagować na incydent i go zgłosić. Logika: „Phish czy legit?” → mapa zagrożeń i czerwone flagi → praktyki logowania i płatności → dane i dokumenty (mObywatel/ePUAP, minimalizacja danych) → plan 5‑15‑60 (reakcja) → deklaracja 72 h.
Produkty końcowe: 1) CY1 — Katalog czerwonych flag (plakat A3 + A4), 2) CY2 — Audyt kont krytycznych (e‑mail/bank/social), 3) CY3 — Marketplace & płatności (red flags – OLX/Vinted/kurier/BLIK), 4) CY4 — Hasła, 2FA, passkeys (checklista), 5) CY5 — Dane osobowe: minimalizacja + bezpieczne użycie mObywatel/ePUAP (checklista), 6) CY6 — Reagowanie 5‑15‑60 (kroki + kontakty), 7) CY7 — Plan 72 h (3 kroki na najbliższe dni), 8) CY‑R — Rubryka oceny na wyjściu.
2. Rezultaty uczenia (wiedza • umiejętności • postawy)
Wiedza:
zna najczęstsze wektory ataku (phishing, smishing, vishing, fałszywe bramki płatnicze, podszywanie się na marketplace, „na BLIK”, „na dopłatę do paczki”, „na pracownika banku/urzędnika”);
rozumie podstawy bezpiecznego logowania (hasła‑frazy, menedżer haseł, 2FA/TOTP, klucze bezpieczeństwa/passkeys);
wie, czym są i do czego służą mObywatel (mDowód, certyfikaty) i login.gov.pl/ePUAP (logowanie do usług publicznych). Umiejętności:
wskazuje min. 8 czerwonych flag w wiadomościach/ogłoszeniach;
ustawia plan poprawy logowania (zmiana haseł do 3 kont krytycznych + 2FA);
układa procedurę 5‑15‑60 reagowania na incydent i potrafi zgłosić podejrzaną wiadomość;
stosuje minimalizację danych i bezpieczne nawyki przy dokumentach cyfrowych. Postawy: ostrożność, „sprawdzam u źródła”, prawo do „STOP – nie klikam” i zadawania pytań.
3. Parametry organizacyjne
Sala: podkowa + 4 stoliki; 2 flipcharty; projektor; timer.
Materiały do druku (A4/A3, 1/os.): CY1–CY7, CY‑R; zestaw przykładowych wiadomości (PH‑A…PH‑H), makiety ekranów (logowanie, bramka płatnicza, aukcja).
Sprzęt: nie wymagany (opcjonalnie: demka na slajdach).
Ewaluacja: Mentimeter PRE/POST (3 pytania – sekcja 4).
4. Mentimeter — pytania (PRE i POST)
„Rozpoznaję czerwone flagi w wiadomościach i na marketplace.”
„Umiem zabezpieczyć 3 kluczowe konta (hasło + 2FA).”
„Wiem, jak zareagować i zgłosić incydent (plan 5‑15‑60).”
5. Przebieg szczegółowy (180’)
0–10’ Otwarcie i zasady (10’)
Cel: bezpieczeństwo i cele warsztatu. Instrukcja: przedstaw plan i produkty; zasady: dobrowolność, nie logujemy się na prawdziwe konta, nie udostępniamy cudzych danych.
10–25’ Icebreaker „Phish czy legit?” (15’)
Cel: uruchomić „radar” i wspólny język. Materiały: PH‑A…PH‑H (8 przykładowych SMS/e‑mail/komunikator), CY1. Instrukcja: w stolikach przeglądacie 8 przykładów i przy każdym zaznaczacie 1–2 czerwone flagi (np. literówki, link skrócony, presja czasu, prośba o dane/zalogowanie, załącznik .zip/.exe, numer nadawcy jako zwykły numer, „dopłata 1,23 zł”). Debrief (4’): zbierzcie TOP‑5 flag na flipie.
25–33’ Mentimeter PRE (8’)
33–65’ MODUŁ 1 — Mapa zagrożeń i czerwone flagi (32’)
Cel: nazwać najczęstsze schematy ataków. Materiały: CY1 (plakat), makiety ekranów. Instrukcja: krótki miniwkład (10’) o rodzajach oszustw (phishing/smishing/vishing, fałszywe płatności, podszywanie na marketplace, „na BLIK”, „na pracownika banku/urzędnika”, „na dopłatę do paczki/energii/mandatu”). Ćwiczenie 1 (8’): dopasuj „schemat ataku → czerwone flagi → co robię zamiast klikać”. Ćwiczenie 2 (10’): stoliki tworzą własną wiadomość‑przynętę (fikcyjną) i wymieniają się do analizy (zaznacz flagi). Kryteria sukcesu: grupa wymienia min. 8 flag i 3 alternatywne akcje (np. wejście na stronę banku ręcznie, telefon na oficjalną infolinię, zgłoszenie podejrzanej treści).
65–95’ MODUŁ 2 — Bezpieczne logowanie: hasła, 2FA, passkeys (30’)
Cel: wdrożyć praktyki ochrony kont. Materiały: CY4, CY2. Minilekcja (8’):
Hasła‑frazy (≥14 znaków, trzy słowa + znaki);
Menedżer haseł (jeden master‑hasło + unikalne hasła wszędzie);
2FA: najlepiej aplikacja TOTP/klucz (nie SMS, jeśli możesz);
Passkeys/klucze bezpieczeństwa (FIDO2/WebAuthn) – krótko co to i kiedy używać. Ćwiczenie (20’): CY2 – Audyt 3 kont krytycznych (e‑mail główny, bankowość/aplikacja płatnicza, social):
Zaznacz, czy masz unikalne hasło, 2FA, odzyskiwanie;
Zapisz 2 kroki, które zrobisz w 72 h (np. zmiana hasła, włączenie 2FA, aktualizacja e‑maila odzyskiwania). Kryteria sukcesu: każdy ma 3 konkretne decyzje.
95–105’ PRZERWA (10’)
105–135’ MODUŁ 3 — Marketplace i płatności: BLIK, kurier, OLX/Vinted (30’)
Cel: rozbroić najpopularniejsze oszustwa zakupowo‑sprzedażowe. Materiały: CY3, makiety bramki płatniczej i czatu. Instrukcja:
Model ataku (6 kroków): 1) Nawiązanie kontaktu (czat); 2) Link poza platformą; 3) Presja czasu („przelew już poszedł!”); 4) Prośba o dane karty/hasła/BLIK; 5) Fałszywa strona płatności; 6) Kradzież środków.
Zasady bezpiecznego marketplace:
Płatności tylko wbudowanym mechanizmem platformy;
Nie podawaj kodu BLIK ani nie akceptuj przelewów „zwrotnych”;
Nie klikaj linków z czatu;
Odbiór osobisty/za pobraniem tam, gdzie to ma sens;
Dowody rozmowy/ogłoszenia – rób zrzuty ekranu. Ćwiczenie (15’): przejdź checklistę CY3 dla dwóch scenariuszy (sprzedaję/ kupuję) i oznacz, gdzie przerwiesz rozmowę. Kryteria sukcesu: uczestnik potrafi wskazać 3 momenty STOP i 2 bezpieczne alternatywy.
135–160’ MODUŁ 4 — Dane i dokumenty: mObywatel / ePUAP / minimalizacja (25’)
Cel: bezpieczne korzystanie z tożsamości cyfrowej i danych. Materiały: CY5 (checklista), slajd z makietą aplikacji. Zakres:
Minimalizacja danych: udostępniaj tylko niezbędne informacje; nie wysyłaj skanów dokumentów na czacie/e‑mailem bez potrzeby; zasada „brak skanów dokumentów w ogłoszeniach”.
mObywatel (mDowód): co to jest i gdzie zazwyczaj możesz użyć; certyfikaty w aplikacji — pamiętaj o ich ważności; nie rób zrzutów dokumentów do przesyłania innym.
login.gov.pl/ePUAP: bramka do usług publicznych; zasada: zawsze wchodzę przez adres wpisany ręcznie lub przez oficjalną stronę; nie podaję haseł po kliknięciu w link w wiadomości.
PESEL: jeśli masz obawy o nadużycie, zadbaj o status (sprawdzanie/zastrzeżenie) i pamiętaj o rozważnym cofnięciu zastrzeżenia tylko na czas potrzebny do zawarcia umowy. Ćwiczenie (10’): CY5 – checklista „co, komu i jak”: 5 sytuacji (wynajem, rekrutacja, odbiór paczki, wizyta w przychodni, urząd) – odznacz, jakie dane są niezbędne, a czego nie udostępniasz.
160–172’ MODUŁ 5 — Reagowanie 5‑15‑60 + zgłaszanie (12’)
Cel: konkretne kroki po „kliknięciu”/podejrzeniu oszustwa. Materiały: CY6 (karta reagowania). Procedura 5‑15‑60:
Do 5 min: rozłącz internet (samolot/odłącz Wi‑Fi), nie podawaj dalszych danych, zrób zrzut ekranu;
Do 15 min: zmień hasło do konta, włącz/zmień 2FA, sprawdź ostatnie logowania; zadzwoń na infolinię banku i zablokuj płatności/kartę, jeśli dotyczy;
Do 60 min: zgłoś incydent przez oficjalny formularz/numery; jeśli utrata pieniędzy/danych — złóż zawiadomienie (bank/policja) i zabezpiecz dowody. Ćwiczenie (5’): uzupełnij CY6 o własne numery i miejsca zgłoszeń (bank/NGO/uczelnia).
172–178’ Mentimeter POST + Plan 72 h (6’)
Instrukcja: te same 3 pytania; na CY7 wpisz 3 kroki na najbliższe 72 h (np. „zmienię hasło do e‑maila”, „włączę 2FA”, „usunę stare skany dokumentów z telefonu”).
178–180’ Zamknięcie (2’)
Co ma się wydarzyć: zdjęcie flipów i plakatów (bez danych), przypomnienie: nie logujemy się z linków, zgłaszamy podejrzane wiadomości; podziękowanie.
6. Dobre praktyki prowadzenia
Prosty język, krótko i konkretnie; pokaż na makietach, nie na prawdziwych kontach.
Modeluj zachowania: „wchodzę ręcznie na stronę banku”, „pytam na infolinii”, „nie wysyłam skanów dokumentów”.
Normalizuj reakcję STOP: wątpliwości → pauza → weryfikacja w oficjalnym kanale.
Empatia: brak wstydu, jeśli ktoś „kliknął” — ważne jest szybkie reagowanie i zgłoszenie.
7. Adaptacje, plan B, warianty
Bariera językowa: piktogramy w CY1–CY6, krótkie frazy PL/UA/EN w nawiasach; pary mieszane językowo.
Mniej czasu (120’): skróć M1 (20’), M2 (20’), M3 (20’), M4 (15’), M5 (10’); zostaw CY7 jako zadanie domowe.
Więcej czasu (+30’): dodaj mini‑moduł „Prywatność w mediach społecznościowych” (ustawienia profilu, widoczność, dwuetapowe logowanie, ograniczenia publikacji lokalizacji/rodziny).
8. Ewaluacja i wskaźniki do raportu
Mentimeter PRE/POST — 3 pytania.
Wytwory: CY1–CY7 wypełnione (foto/skan).
Rubryka CY‑R (0–2 pkt/kryterium, max 10):
Rozpoznawanie flag (M1)
Plan kont i 2FA (M2)
Marketplace – decyzje STOP (M3)
Minimalizacja danych (M4)
Reakcja 5‑15‑60 + kontakty (M5) Interpretacja: 0–3 początek; 4–7 solidnie; 8–10 gotowe do wdrożenia.
Materiały do druku
Każda karta ma przycisk Drukuj — wydrukujesz tylko wybrany element.
- Link skrócony/obcy domena
- Presja czasu („natychmiast”)
- Błąd językowy/literówki
- Prośba o zalogowanie/podanie danych
- Załącznik .zip/.exe
- Numer nadawcy jako zwykły numer
- Przerzucenie rozmowy poza platformę
- Płatność „poza systemem”
- Obietnica zysku/zwrotu
- Prośba o kod BLIK.
Konto | Unikalne hasło? (✓) | 2FA? (TOTP/klucz) | Kontakt odzyskiwania | Co poprawię w 72 h (2 kroki)
- Sprzedaję: link do „odbioru środków”, prośba o kartę/BLIK, prośba o zalogowanie; Kupuję: prośba o przedpłatę poza platformą, link do „przewoźnika/kuriera”, oferta „za tanio”.
- Checklista STOP: (1) Płatność tylko wbudowanym mechanizmem; (2) Nie podaję danych karty/BLIK; (3) Nie klikam linków z czatu; (4) Zrzuty ekranu rozmowy.
Hasło‑fraza ≥14 znaków; unikalne na każdym serwisie; menedżer haseł; 2FA aplikacja/klucz; kody zapasowe; numer telefonu niepubliczny w profilu; passkeys do kont głównych.
Minimalizacja danych; brak skanów dokumentów w ogłoszeniach/wiadomościach; mObywatel do potwierdzania tożsamości u uprawnionych; aktualność certyfikatów; login.gov.pl/ePUAP tylko przez ręcznie wpisany adres; prywatność zdjęć/dzieci/lokalizacji w social media.
- 5 min: rozłącz internet, nie podawaj danych, zrzut ekranu.
- 15 min: zmień hasło, włącz/zmień 2FA, zadzwoń do banku/blokuj kartę.
- 60 min: zgłoszenie incydentu (formularz), zgłoszenie do banku/policji (jeśli straty), zabezpiecz dowody.
- Moje kontakty: infolinia banku: …; operator: …; NGO/uczelnia: …; inne: …
- Krok 1 (do 24 h): …
- Krok 2 (do 48 h): …
- Krok 3 (do 72 h): …
Rubryka CY‑R (0–2 pkt/kryterium, max 10)
| Kryterium | 0 pkt | 1 pkt | 2 pkt | Wynik (0–2) |
|---|---|---|---|---|
| Rozpoznawanie „czerwonych flag” (M1) | Wskazuje 0–2 | Wskazuje 3–5 | Wskazuje ≥6 | __ |
| Plan kont + 2FA (M2) | Brak planu | Plan dla 1–2 kont | Plan dla 3 kont + 2FA | __ |
| Marketplace – decyzje STOP (M3) | Nie rozpoznaje momentów STOP | 1 moment STOP | ≥2 momenty STOP + alternatywy | __ |
| Minimalizacja danych (M4) | Udostępnia nadmiar danych | Częściowo ogranicza | Jasno wybiera dane „niezbędne” | __ |
| Reakcja 5‑15‑60 + kontakty (M5) | Brak kroków | 1–2 kroki | Pełna sekwencja + kontakty | __ |
Interpretacja: 0–3 początek; 4–7 solidnie; 8–10 gotowe do wdrożenia.