Dostajesz wiadomość na Discordzie: ktoś proponuje Ci udział w turnieju Minecraft, darmowy rang na Hypixelu albo kosmety Lunar Clienta. Wystarczy dołączyć na serwer i „zweryfikować konto”. Brzmi niewinnie? To jeden z najskuteczniejszych sposobów na kradzież kont Microsoft i Minecraft w 2026 roku — i cały czas działa.

Jak wygląda atak krok po kroku

Schemat jest powtarzalny i działa na tysiącach graczy:

  1. Pierwszy kontakt — oszust pisze do Ciebie na Discordzie. Często zaraz po tym, jak dołączysz na publiczny serwer (np. Hypixela). Proponuje darmową rangę, udział w turnieju albo współpracę przy projekcie.
  2. Zaproszenie na serwer — dostajesz link do serwera Discord, który wygląda profesjonalnie. Może mieć setki albo tysiące członków. W rzeczywistości to boty — prawdziwych ludzi jest dwóch: Ty i oszust.
  3. „Weryfikacja” — bot na serwerze prosi Cię o podanie emaila powiązanego z kontem Minecraft. Następnie mówi, że na Twoją skrzynkę przyjdzie „kod weryfikacyjny”, który musisz wpisać.
  4. Kradzież konta — ten „kod weryfikacyjny” to jednorazowy kod logowania do konta Microsoft. Kiedy go wpisujesz w bota, oszust używa go do zalogowania się na Twoje konto. Zmienia hasło i email w ciągu sekund.

Dlaczego to działa tak dobrze?

Kluczowy problem leży po stronie Microsoftu. Konto Microsoft można otworzyć za pomocą samego emaila i jednorazowego kodu — bez hasła. Co gorsza, email od Microsoftu z kodem nie informuje wyraźnie, że ten kod daje pełny dostęp do konta. Młodszy gracz, który widzi „Wpisz kod, żeby zweryfikować konto”, nie rozumie, że właśnie oddaje klucze do całego konta Microsoft — włącznie z Minecraftem, OneDrive’em, Outlookiem i wszystkim, co jest podpięte.

Serwery Discord używane w ataku mają fałszywe liczniki członków. Boty programowo dołączają na serwer, żeby wyglądał na aktywny i zaufany. Serwer może pokazywać 2000 członków, podczas gdy żywe osoby to dwie: ofiara i atakujący.

Konsekwencje: nie tylko Minecraft

Kradzież konta Minecraft to dopiero początek. Po przejęciu konta Microsoft oszust ma dostęp do:

  • OneDrive — u wielu osób, szczególnie dzieci, automatycznie synchronizuje zdjęcia i dokumenty. Oszust zyskuje dostęp do prywatnych plików rodziny.
  • Outlook/Hotmail — pełny dostęp do poczty, w tym do linków resetowania haseł do innych usług.
  • Xbox/Game Pass — konto z aktywną subskrypcją ma realną wartość na czarnym rynku.
  • Odsprzedaż konta — konta Minecraft z rankingiem Hypixel, skinem i Cape’em trafiają na czarny rynek za kilka-kilkanaście dolarów.

Jeden z użytkowników Microsoft Q&A opisał w 2026 roku, jak jego konto zostało przejęte, sprzedane i używane przez zupenłnie obcego gracza. Odzyskanie konta wymagało wielotygodniowej korespondencji z supportem Microsoftu.

Wariant z fałszywym serwerem Minecraft

Istnieje też drugi wariant oszustwa. Zamiast bota na Discordzie, oszust kieruje Cię na fałszywy serwer Minecraft, który podaje się za Hypixela lub inny popularny serwer. Po połączeniu widzisz ekran „weryfikacji”, który prosi o login i hasło do konta Microsoft. Wszystko wygląda przekonująco, ale dane trafiają prosto do atakującego.

Jak się bronić?

Zasada numer jeden: żadna legalna usługa, serwer ani bot nie poprosi Cię o kod z emaila. Nigdy, w żadnych okolicznościach. Jeśli ktoś prosi o „kod weryfikacyjny” — to oszustwo. Bez wyjątków.

Konkretne kroki zabezpieczające:

  • Włącz uwierzytelnianie dwuskładnikowe na koncie Microsoft — użyj aplikacji Microsoft Authenticator, nie SMSów.
  • Nie klikaj linków z DM-ów od nieznajomych na Discordzie. Jeśli ktoś pisze pierwszy z propozycją „za darmo” — to czerwona flaga.
  • Sprawdź nadawcę maili — Mojang pisze z domen @mojang.com i @minecraft.net. Microsoft z @microsoft.com. Wszystko inne to phishing.
  • Nie podawaj emaila powiązanego z Minecraft nikomu — ani na Discordzie, ani na serwerach, ani w formularzach.
  • Ustaw unikalne hasło dla konta Microsoft — nieużywane nigdzie indziej. Menedżer haseł (Bitwarden, 1Password) pomoże.

Co zrobić, jeśli konto już zostało przejęte?

Jeśli padłeś ofiarą tego oszustwa:

  1. Odzyskaj konto Microsoft przez formularz odzyskiwania — podaj oryginalny email, numer telefonu i odpowiedzi na pytania bezpieczeństwa.
  2. Skontaktuj się z supportem Microsoft — jeśli formularz nie działa, napis do supportu z pełnym opisem sytuacji i dowodami własności konta.
  3. Zmień hasła do wszystkich usług, które używały tego samego emaila lub hasła.
  4. Sprawdź aktywność logowań na account.microsoft.com/security — przejrzyj ostatnie logowania i zakończ aktywne sesje.
  5. Zgłoś oszustwo na forum Hypixela i na Discordzie — im więcej osób wie o tej metodzie, tym mniej ofiar.

Problem dotyczy szczególnie młodszych graczy

Minecraft ma ogromną bazę graczy poniżej 16 roku życia. Ci gracze często nie rozumieją różnicy między „weryfikacją” a oddaniem dostępu do konta. Korzystają z komputerów rodzinnych, na których OneDrive synchronizuje zdjęcia i dokumenty całej rodziny.

W marcu 2026 na forum Hypixela pojawił się temat wzywający do stworzenia automatycznego systemu ostrzeżeń dla nowych członków Discorda. Problem jest na tyle poważny, że społeczność sama próbuje znaleźć rozwiązania, bo platformy nie radzą sobie z tym zagrożeniem.

Jeśli masz młodszego brata, siostrę albo dziecko grające w Minecrafta — porozmawiaj z nimi o tej metodzie oszustwa. Wyjaśnij, że żaden prawdziwy serwer nie potrzebuje kodu z emaila. To pięć minut rozmowy, które mogą uchronić całą rodzinę przed utratą danych.