SMS o punktach Allegro. Nowy wariant smishingu i próba wyłudzenia danych karty

2026-03-31

TL;DR

CERT Polska ostrzega przed SMS-ami o rzekomych punktach Allegro, które mają wkrótce wygasnąć. To kolejny wariant smishingu, w którym przestępcy wykorzystują presję czasu, obietnicę nagrody i fałszywą stronę przypominającą znany serwis, by wyłudzić dane karty płatniczej.

CERT Polska ostrzega przed SMS-ami o punktach Allegro

Do użytkowników trafiają wiadomości o rzekomych punktach Allegro, które trzeba szybko wykorzystać, zanim przepadną. Taki komunikat wygląda niewinnie, bo odwołuje się do znanej marki i obiecuje prostą korzyść, ale w praktyce ma skłonić odbiorcę do wejścia na stronę podstawioną przez oszustów.

To dobrze znany schemat smishingu, czyli phishingu prowadzonego przez SMS. CERT Polska od dawna zwraca uwagę, że tego typu wiadomości bazują na pośpiechu, emocjach i odruchowym kliknięciu, a różnią się głównie pretekstem użytym wobec ofiary. Więcej o samym mechanizmie można przeczytać w materiale Fałszywe SMSy – plaga ostatnich miesięcy.

Jak działa ten wariant oszustwa

Pierwszy krok jest prosty. Odbiorca dostaje SMS z informacją, że ma punkty do wykorzystania i że ich ważność zaraz wygaśnie. W treści pojawia się zachęta do szybkiego działania oraz link prowadzący rzekomo do wyboru nagrody albo aktywacji korzyści.

Po kliknięciu użytkownik trafia na stronę przypominającą oficjalny serwis sprzedażowy. To właśnie tam pojawia się właściwa próba wyłudzenia. Ofiara proszona jest o podanie danych karty płatniczej pod pozorem aktywacji nagrody albo dokończenia formalności.

W tym wariancie kampanii pojawia się też dodatkowy trik. Jeśli link w wiadomości nie jest aktywny, przestępcy proszą o odesłanie SMS-a o treści Tak. Taki detal może wyglądać niegroźnie, ale w praktyce ma pomóc obejść zabezpieczenia telefonu i doprowadzić użytkownika do kolejnego kroku oszustwa.

Na co uważać

Sygnałem ostrzegawczym jest połączenie obietnicy korzyści z presją czasu. Jeśli wiadomość sugeruje, że punkty zaraz przepadną, nagroda czeka tylko teraz albo trzeba wykonać szybkie potwierdzenie, warto zatrzymać się choćby na chwilę i nie działać odruchowo.

Drugi sygnał to sam link oraz strona, która prosi o dane karty. Nawet jeśli witryna wygląda wiarygodnie, o bezpieczeństwie nie decyduje sam wygląd, ale adres strony i sens całej operacji. W podobnych scenariuszach właśnie ten moment jest kluczowy. Jeśli chcesz poćwiczyć wychwytywanie takich sygnałów przed kliknięciem, zobacz też krótki quiz o rozpoznawaniu phishingu.

Warto też uważać na nietypowy sposób komunikacji. Oficjalne serwisy nie powinny wymuszać podawania danych karty w zamian za aktywację nagrody z linku w podejrzanym SMS-ie. Każda prośba o szybkie potwierdzenie, dopłatę, logowanie albo dane płatnicze powinna uruchamiać ostrożność, szczególnie na telefonie, gdzie łatwiej kliknąć bez dokładnej weryfikacji.

Gdzie zgłosić podejrzaną wiadomość

Podejrzany SMS warto przekazać do CERT Polska na numer 8080. To prosty krok, który pomaga nie tylko konkretnej osobie, ale też innym użytkownikom, bo na podstawie zgłoszeń tworzone są wzorce wykorzystywane do blokowania części kampanii smishingowych. Szczegóły znajdziesz w materiale CERT Polska o fałszywych SMS-ach i zgłoszeniach na 8080.

Jeśli kliknąłeś link, ale nie podałeś danych, zamknij stronę i nie wykonuj kolejnych działań. Jeśli jednak podałeś dane karty, skontaktuj się jak najszybciej z bankiem, zastrzeż kartę lub zablokuj transakcje i potraktuj sprawę jako realny incydent bezpieczeństwa.

Co powinno zrobić zespoły IT i Security w organizacji

Choć ten wariant kampanii jest skierowany do szerokiego odbiorcy, głównie konsumentów, organizacje również powinny traktować go poważnie. Dla zespołów IT i Security to dobry moment, by przypomnieć użytkownikom, że phishing nie kończy się na e-mailu i że równie groźne mogą być SMS-y, komunikatory czy fałszywe strony otwierane na telefonie.

Warto łączyć krótkie ostrzeżenia z prostą procedurą zgłaszania, regularnym treningiem rozpoznawania socjotechniki i jasnym komunikatem, że żadna presja czasu nie usprawiedliwia podawania danych logowania czy danych płatniczych bez niezależnej weryfikacji.