Kupno używanych rzeczy od prywatnych osób od lat było stosunkowo bezpieczne - platforma pośredniczy, jest historia transakcji, można zostawić opinię. Ale przestępcy nauczyli się wyciągać transakcje poza platformy i tam kraść. Kluczowym narzędziem jest najczęściej telefon - SMS, WhatsApp lub zwykły call.

Schemat "OLX/Allegro Kurier" - najbardziej masowy

Ten schemat był tak masowy w Polsce, że stał się synonimem oszustw na platformach ogłoszeń. Zasada działania:

  1. Wystawiasz coś na sprzedaż (na Allegro Lokalnie, OLX, FB Marketplace).
  2. Dostajesz wiadomość od "kupującego", który chce zapłacić i zamówić kurier.
  3. Przesyłają ci link (SMS lub WhatsApp) do "odbioru płatności" za wysyłkę - wygląda jak strona Allegro lub InPostu.
  4. Wpisujesz dane karty, by "potwierdzić tożsamość sprzedającego".
  5. Twoja karta zostaje obciążona, a "kupujący" znika.

Allegro, OLX ani żadna platforma nigdy nie prosi o wpisywanie danych karty do odbioru płatności za sprzedany przedmiot. Jeśli dostajesz link do takiej strony - to phishing. Nie klikaj, nie wpisuj danych.

Schemat "nadpłata" na Vinted i FB Marketplace

Kupujący zgadza się na cenę, ale "przez pomyłkę" wysłał więcej. Prosi o zwrot nadpłaty na podany numer konta. W rzeczywistości płatność, która przyszła, jest fraudem (np. pochodzi z kradzionej karty lub konto bankowe zostanie wkrótce zablokowane). Ty zwracasz prawdziwe pieniądze ze swojego konta, a płatność od kupującego zostaje cofnięta.

Wariant: kupujący płacił BLIKIEM i chce "anulować transakcję", prosi cię o kod BLIK do "cofnięcia". Nie ma takiej procedury. Jeżeli ktoś prosi o kod BLIK "do cofnięcia transakcji" - to próbuje wykonać osobną transakcję na twój koszt.

Fałszywy kupujący przy odbiorze osobistym

Umawiasz się na sprzedaż telefonu lub laptopa. Kupujący ogląda, próbuje, mówi że "zadzwoni do kolegi po poradę". Zostawia ci swój telefon jako zastaw i wychodzi z twoim urządzeniem. Telefon, który został, to stara cegła albo zablokowane urządzenie bez żadnej wartości.

Wariant: przy odbiorze osobistym "kupujący" płaci przez BLIK - ale zamiast twojego kodu, prosi ciebie o zeskanowanie jego ekranu "bo aplikacja mu nie działa". W ten sposób inicjuje transakcję odwrotną do zamierzonej.

Wyłudzanie danych pod pretekstem "weryfikacji przed sprzedażą"

Zanim dojdzie do transakcji, "kupujący" dzwoni i pyta o numer seryjny urządzenia, receipt lub fakturę, dane osobowe sprzedającego "do umowy kupna-sprzedaży". Te informacje mogą być potrzebne do zgłoszenia urządzenia jako skradzionego (co blokuje je w sieci) lub do innych wyłudzeń. Sprzedając elektronikę, udostępniaj numer seryjny tylko w momencie fizycznego przekazania urządzenia po otrzymaniu płatności.

Jak się chronić jako sprzedający

Nigdy nie wychodź poza platformę. Allegro, Vinted i OLX mają wbudowane systemy płatności i komunikacji. Jeśli kupujący od razu chce przejść na WhatsApp lub SMS "bo platforma nie działa" - to czerwona flaga.

BLIK działa tylko w jedną stronę. Kupujący podaje kod tobie - ty go przepisujesz do swojej aplikacji, aby potwierdzić płatność. Ty nigdy nie podajesz kodu BLIK kupującemu.

Przy odbiorze osobistym - pieniądze przed wydaniem towaru. Gotówkę licz sam. Przelew sprawdzasz na swoim koncie przed oddaniem urządzenia. Płatność BLIK potwierdzasz w swojej aplikacji.

Nie zwracaj "nadpłaty" dopóki twoja płatność nie jest prawomocna i potwierdzona przez bank (dla przelewów to może być kilka dni roboczych). Przy BLIK-u płatność jest natychmiastowa i nieodwracalna - nie ma "nadpłat do zwrotu".

Co robić jeśli już padłaś ofiarą

Jeżeli wyłudzono od ciebie dane karty przez fałszywą stronę:

  • natychmiast zadzwoń do banku i zablokuj kartę
  • poproś o reklamację nieautoryzowanych transakcji

Jeżeli przelałeś pieniądze na fałszywe konto:

  • zadzwoń do banku z prośbą o recall przelewu
  • zgłoś oszustwo na policji (art. 286 kk) - numer konta docelowego jest śladem
  • zgłoś incydent do CERT Polska (incydent.cert.pl) - jeśli został użyty phishingowy link, CERT może zablokować stronę dla innych użytkowników

Większość platform (Allegro, Vinted, OLX) ma też własne zespoły ds. bezpieczeństwa i można im zgłosić profil użytkownika. Jeśli płatność przeszła przez system platformy - możliwe jest też wszczęcie procedury spornej przez platformę.

Skala problemu

Schemat "OLX Kurier" był tak powszechny, że CERT Polska, Policja i same platformy prowadziły wspólne kampanie informacyjne. W 2023 i 2024 roku CERT notował dziesiątki tysięcy zgłoszonych przypadków rocznie - i to tylko tych, które trafiły do zgłoszenia. Szacuje się, że większość poszkodowanych w ogóle nie zgłasza takich spraw, uważając że nie ma szans na odzyskanie pieniędzy.

Jeśli kiedykolwiek dostajesz niespodziewany telefon lub SMS od "kupującego" z prośbą o wyjście poza platformę albo z linkiem - wstrzymaj się. Platforma jest twoją ochroną. Jej pominięcie jest celem przestępcy, nie twoją wygodą. Przeczytaj też artykuł o tym, jak rozpoznać phishing przez SMS, bo wiele linków w tych schematach przychodzi właśnie SMS-em.