Fałszywy kupujący na OLX i Vinted: jak rozpoznać oszustwo

Wystawiasz coś na sprzedaż, a po chwili przychodzi wiadomość od entuzjastycznego kupującego, który chce zapłacić od razu i prosi tylko o kliknięcie w link. Brzmi wygodnie, ale to jeden z najpowszechniejszych schematów kradzieży danych płatniczych w Polsce. Mechanizm jest prosty, a straty bywają poważne.

Jak wygląda typowy schemat ataku

Oszust kontaktuje się przez wbudowany czat platformy i szybko wyraża gotowość do zakupu. Nie targuje się, nie zadaje pytań o stan przedmiotu, często pisze po polsku z drobnymi błędami lub zbyt formalnym stylem. Następuje prośba o przeniesienie rozmowy na WhatsApp lub inny komunikator, bo tam rzekomo "łatwiej dogadać szczegóły dostawy".

Po zmianie kanału komunikacji pojawia się link prowadzący do strony łudząco podobnej do panelu kuriera lub samej platformy sprzedażowej. Strona prosi o wpisanie numeru karty, daty ważności i kodu CVV, a niekiedy też kodu z SMS-a, który w tym momencie przychodzi na Twój telefon. To już nie odbiór pieniędzy, lecz autoryzacja płatności wychodzącej z Twojego konta.

Sygnały ostrzegawcze, które warto znać

Niektóre zachowania kupującego powinny natychmiast wzbudzić czujność:

• Natychmiastowa zgoda na cenę bez jakichkolwiek pytań o przedmiot.
• Prośba o przejście na WhatsApp, Telegram lub e-mail zamiast czatu platformy.
• Link do "odbioru płatności" zamiast standardowego potwierdzenia transakcji w aplikacji.
• Presja czasowa: "muszę wiedzieć do wieczora", "kurier przyjedzie jutro rano".

Jeśli kupujący dzwoni na Twój numer telefonu, sprawdź numer, zanim oddzwonisz lub przekażesz jakiekolwiek dane. Numery używane w tego rodzaju próbach wyłudzenia często mają już wpisy w bazach ostrzeżeń.

Dlaczego link do "odbioru pieniędzy" jest fałszywy

Platformy takie jak OLX czy Vinted nigdy nie wysyłają zewnętrznych linków do odbioru należności przez WhatsApp. Wszelkie rozliczenia odbywają się wyłącznie w obrębie oficjalnej aplikacji lub strony. Fałszywa witryna wygląda przekonująco, bo oszuści kopiują grafikę i układ prawdziwego serwisu, zmieniając jedynie domenę na podobnie brzmiącą, np. z jedną dodatkową literą lub inną końcówką.

Wpisanie danych karty na takiej stronie oznacza ich natychmiastowe przechwycenie. Kod CVV i kod SMS to dla oszusta wystarczające informacje do wykonania płatności lub dodania karty do portfela cyfrowego. Więcej o podobnych technikach przeczytasz w artykule o oszustwach na BLIK, gdzie mechanizm presji i fałszywego linku jest bardzo zbliżony.

Co zrobić, gdy otrzymałeś podejrzany link

Przede wszystkim nie klikaj i nie wpisuj żadnych danych. Zachowaj zrzuty ekranu całej rozmowy, adres URL fałszywej strony oraz numer telefonu lub profil konta oszusta. Zgłoś podejrzaną wiadomość bezpośrednio przez funkcję "zgłoś użytkownika" dostępną na platformie sprzedażowej.

Jeśli kliknąłeś link, ale nie wpisałeś danych, Twoja karta jest prawdopodobnie bezpieczna. Jeśli jednak podałeś jakiekolwiek informacje płatnicze, działaj błyskawicznie.

Jak ograniczyć szkody po wyłudzeniu danych

Dwa kroki mają tu znaczenie krytyczne:

• Zadzwoń na infolinię banku i zastrzeż kartę. Możesz to zrobić też przez aplikację mobilną, korzystając z opcji tymczasowej blokady lub trwałego zastrzeżenia.
• Jeśli wpisałeś kod SMS potwierdzający transakcję, poinformuj bank o nieautoryzowanej płatności i złóż reklamację w trybie chargebacku.

Bank ma obowiązek rozpatrzyć reklamację nieautoryzowanej transakcji. Zachowane zrzuty ekranu i historia rozmów znacznie przyspieszają ten proces.

Gdzie zgłosić oszustwo

Zgłoszenie ma sens nawet wtedy, gdy nie poniosłeś straty. Każde zgłoszenie pomaga identyfikować nowe kampanie i ostrzegać kolejne ofiary. Masz do dyspozycji kilka kanałów:

• CERT Polska: podejrzaną stronę lub SMS zgłosisz przez stronę incydent.cert.pl albo przesyłając SMS na numer 8080.
• Policja: zawiadomienie o próbie oszustwa możesz złożyć na komisariacie lub przez formularz online, a w razie pilnej potrzeby dzwoń na 112.
• UOKiK (uokik.gov.pl): jeśli platforma sprzedażowa nie reaguje na zgłoszenia użytkowników, urząd zajmuje się praktykami naruszającymi prawa konsumentów.

Warto też sprawdzić numer, z którego dzwonił lub pisał potencjalny oszust, w serwisach agregujących opinie o numerach. Na ostrzeżeniach znajdziesz wpisy dodawane przez innych użytkowników, którzy zetknęli się z podobnymi próbami kontaktu. Schemat fałszywego kupującego opisujemy też szerzej w kontekście różnych kategorii oszustw, bo ten sam mechanizm pojawia się w wielu wariantach.

Kilka nawyków, które naprawdę chronią

Najskuteczniejsza ochrona to konsekwentne trzymanie się zasad platformy. Prowadź rozmowę wyłącznie przez czat wbudowany w serwis, korzystaj tylko z wewnętrznych systemów płatności i nigdy nie wpisuj danych karty na stronie, do której trafiłeś przez link w wiadomości prywatnej. Jeśli kupujący nalega na zmianę kanału komunikacji, potraktuj to jako wystarczający powód, by zakończyć rozmowę.