Hindi na lang piso at sentimo ang pinoprotektahan natin. Ang pera natin ngayon ay nasa app, nasa QR code, nasa link na pinapadala sa Messenger. Nagpadala ng remittance gamit ang phone. Nagbayad ng bills gamit ang GCash. Nagbibili online gamit ang digital wallet. Para sa maraming Pilipino, lalo na sa mga pamilyang may OFW, ang ganitong convenience ay hindi na luxury — pangangailangan na.
Kasabay ng convenience na ito, lumitaw din ang mga bagong paraan para magnakaw. At hindi na kailangan ng magnanakaw na lumapit sa iyo. Kailangan lang nilang makuha ang iyong tiwala sa tamang sandali.
Ito ang anim na digital payment scam na pinaka-aktibo ngayon sa Pilipinas, at kung paano mo maiiwasan ang bawat isa.
1. Quishing — Pekeng QR Code
Quishing ang tawag sa pagnanakaw gamit ang pekeng QR code. Naglalagay ang mga scammer ng pekeng QR code sa ibabaw ng totoong QR code — sa payment counter ng mall, sa cashier ng tindahan, o sa mesa ng restaurant. Puwede rin itong ipadala sa Messenger o Viber bilang “payment instruction.” Mag-scan ka, akala mo nagbabayad ka sa tamang merchant. Sa katotohanan, pumupunta ang pera sa ibang account.
Bago kumpirmahin ang bayad, laging tingnan ang pangalan ng merchant na lalabas sa iyong GCash o Maya screen. Kung hindi ito tama o hindi pamilyar, huwag ituloy ang transaksyon. Suriin din ang physical na QR code bago i-scan — kung may sticker na nasa ibabaw ng sticker, posibleng pinalitan na.
2. SIM Swap Attack
Sa SIM swap, nilinlang ng scammer ang iyong telecom provider para ilipat ang iyong numero sa isang SIM card na hawak nila. Gumagamit sila ng personal na impormasyon tungkol sa iyo para ma-verify ang kanilang kahilingan sa telecom — impormasyon na maaaring nakuha sa social media, sa data breach, o sa ibang paraan. Kapag nandoon na ang iyong numero, matatanggap na nila ang lahat ng OTP at verification code para sa iyong mga account — bangko, GCash, email.
Kung biglang nawalan ng signal ang iyong phone nang hindi mo inasahan at hindi sanhi ng network issue, tumawag agad sa iyong telecom provider at sa iyong bangko o GCash. Huwag hintayin pang bumalik ang signal. Ito ang unang senyales ng SIM swap.
3. Phishing Links
Nagpapadala ang mga scammer ng mensahe sa SMS, email, o Messenger na naglalaman ng link na mukhang opisyal na GCash, BDO, BPI, o iba pang institusyon. Kapag na-click mo at nilagay mo ang iyong username at password, direkta itong napupunta sa kanila. Ang mga link na ito ay madalas na mukhang tunay — ang pagkakaiba ay maaaring isang letra lang sa URL, o isang subdomain na hindi mo mapapansin kung mabilis kang nag-click.
Huwag mag-click ng link na nagmumula sa SMS o mensahe na nagpapanggap na bangko o e-wallet, kahit mukhang opisyal. Pumunta ka direkta sa official app o i-type ang opisyal na website address sa browser. Laging suriin ang buong URL bago ilagay ang anumang impormasyon.
4. Pekeng Payment Screenshot
Karaniwan ito sa buy-and-sell sa Facebook Marketplace at iba pang online selling platform. Magbibili ang scammer, magpapadala ng edited na GCash o Maya receipt na mukhang tunay, at kukuha ng produkto o serbisyo nang hindi talaga nagbabayad. Ang screenshot ay maaaring kasing-detalye ng tunay na resibo — pareho ang kulay, ang format, kahit ang logo ng app.
Huwag mag-release ng produkto o serbisyo batay sa screenshot lang. Hintayin ang notification ng actual na transfer sa iyong account, o i-verify sa GCash o Maya app mismo kung natanggap mo talaga ang pera. Ang pagpasok ng pera sa iyong account ang tanging confirmation na kailangan mo.
5. Vishing — Pekeng Customer Service Call
Sa vishing, tatawag ang isang tao na magpapanggap na GCash agent, bank representative, o maging NBI o pulis. Sasabihin nilang may problema ang iyong account, may kahina-hinalang transaksyon, o kailangan mong i-verify ang iyong impormasyon para maprotektahan ang iyong pera. Ang boses ay maaaring propesyonal. Ang script ay maaaring mukhang lehitimo. Puwede pa nilang malaman ang iyong pangalan at partial na impormasyon para mukhang tunay sila.
Walang tunay na GCash agent o bank representative ang hihiling ng iyong OTP, PIN, o password sa telepono. Kapag nangyari ito, ibaba ang tawag nang hindi nagpapaliwanag. Pagkatapos, direkta kang tumawag sa opisyal na hotline ng iyong bangko o e-wallet para i-report ang insidente.
6. OTP Theft sa Social Engineering
Ito ang pinakasimple sa lahat, at dahil doon, isa sa pinaka-epektibo. Magpapadala ng mensahe ang scammer — maaaring nagpapanggap na kakilala na nangangailangan ng tulong, o nagpapanggap na may technical na problema ang iyong account — at hihingin ang OTP na matanggap mo sa iyong telepono. “I-send mo lang sa akin yung code para ma-verify.” O kaya, “Nagpadala ako ng pera sa maling number. Pwede mo ibalik sa akin yung code?”
Ang OTP ay isang beses na password na para sa iyo at sa iyo lang. Ito ang huling linya ng depensa ng iyong account. Huwag ibigay ito sa kahit sino, kahit pamilyar ang pangalan ng nagpadala ng mensahe — kasi puwedeng na-hack na ang kanilang account at hindi na sila ang kumukontrol nito.
Hindi ka nila kailangang dakpin. Kailangan lang nilang mahintay kang hindi maingat sa isang pagkakataon.
Source:
“BSP warns against ‘quishing,’ urges caution when scanning QR codes” — Philippine Information Agency, Abril 2026
https://pia.gov.ph/news/bsp-warns-against-quishing-urges-caution-when-scanning-qr-codes/
“GCash upholds zero tolerance on ‘quishing’ scam, blocks fake illegal sites” — Philstar.com, Abril 23, 2026
https://www.philstar.com/business/banking/2026/04/23/2523046/gcash-upholds-zero-tolerance-quishing-scam-blocks-fake-illegal-sites