smishingsms phishingallegrooszustwa sms

SMS o punktach Allegro — nowy wariant smishingu

2026-03-31

Fałszywy SMS o punktach Allegro wykorzystuje presję czasu i obietnicę nagrody, aby wyłudzić dane karty lub logowania. Sprawdź, jak działa ten smishing i jak powinna reagować firma.

SMS o punktach Allegro — nowy wariant smishingu

TL;DR

CERT Polska ostrzega przed SMS-ami o rzekomych punktach Allegro, które mają wkrótce wygasnąć. To kolejny wariant smishingu, w którym przestępcy wykorzystują presję czasu, obietnicę nagrody i fałszywą stronę przypominającą znany serwis, by wyłudzić dane karty płatniczej.

CERT Polska ostrzega przed SMS-ami o punktach Allegro

Do użytkowników trafiają wiadomości o rzekomych punktach Allegro, które trzeba szybko wykorzystać, zanim przepadną. Taki komunikat wygląda niewinnie, bo odwołuje się do znanej marki i obiecuje prostą korzyść, ale w praktyce ma skłonić odbiorcę do wejścia na stronę podstawioną przez oszustów.

To dobrze znany schemat smishingu, czyli phishingu prowadzonego przez SMS. CERT Polska od dawna zwraca uwagę, że tego typu wiadomości bazują na pośpiechu, emocjach i odruchowym kliknięciu, a różnią się głównie pretekstem użytym wobec ofiary. Więcej o samym mechanizmie można przeczytać w materiale Fałszywe SMSy – plaga ostatnich miesięcy.

Ten przypadek jest przykładem smishingu, czyli phishingu prowadzonego przez SMS. Szersze wyjaśnienie mechanizmu, typowych pretekstów i reakcji pracownika znajdziesz w poradniku smishing: co to jest SMS phishing i jak chronić firmę.

Jak działa ten wariant oszustwa

Pierwszy krok jest prosty. Odbiorca dostaje SMS z informacją, że ma punkty do wykorzystania i że ich ważność zaraz wygaśnie. W treści pojawia się zachęta do szybkiego działania oraz link prowadzący rzekomo do wyboru nagrody albo aktywacji korzyści.

Po kliknięciu użytkownik trafia na stronę przypominającą oficjalny serwis sprzedażowy. To właśnie tam pojawia się właściwa próba wyłudzenia. Ofiara proszona jest o podanie danych karty płatniczej pod pozorem aktywacji nagrody albo dokończenia formalności.

W tym wariancie kampanii pojawia się też dodatkowy trik. Jeśli link w wiadomości nie jest aktywny, przestępcy proszą o odesłanie SMS-a o treści Tak. Taki detal może wyglądać niegroźnie, ale w praktyce ma pomóc obejść zabezpieczenia telefonu i doprowadzić użytkownika do kolejnego kroku oszustwa.

Dlaczego firmy też powinny ćwiczyć takie SMS-y

Choć kampanie podszywające się pod Allegro często uderzają w użytkowników prywatnych, firmy nie powinny ich ignorować. Ten sam pracownik używa telefonu do spraw prywatnych, kodów MFA, komunikatorów, kontaktu z zespołem i czasem także do obsługi narzędzi firmowych.

Mechanizm jest ten sam: krótka wiadomość, znana marka, presja czasu, obietnica korzyści i link prowadzący do strony, która wygląda wystarczająco wiarygodnie na ekranie telefonu. Jeżeli użytkownik nauczy się reagować automatycznie na taki SMS, podobna reakcja może pojawić się przy wiadomości dotyczącej firmowego konta, płatności, logowania albo rzekomego ostrzeżenia bezpieczeństwa.

Dlatego scenariusze SMS powinny być ćwiczone razem z klasycznymi wiadomościami e-mail. W testach phishingowych dla firm można sprawdzać nie tylko kliknięcia, ale też zgłoszenia, podanie danych, reakcję na presję czasu i to, czy pracownik potrafi zatrzymać proces przed wykonaniem ryzykownego działania.

Na co uważać

Sygnałem ostrzegawczym jest połączenie obietnicy korzyści z presją czasu. Jeśli wiadomość sugeruje, że punkty zaraz przepadną, nagroda czeka tylko teraz albo trzeba wykonać szybkie potwierdzenie, warto zatrzymać się choćby na chwilę i nie działać odruchowo.

Drugi sygnał to sam link oraz strona, która prosi o dane karty. Nawet jeśli witryna wygląda wiarygodnie, o bezpieczeństwie nie decyduje sam wygląd, ale adres strony i sens całej operacji. W podobnych scenariuszach właśnie ten moment jest kluczowy. Jeśli chcesz poćwiczyć wychwytywanie takich sygnałów przed kliknięciem, zobacz też krótki quiz o rozpoznawaniu phishingu.

Warto też uważać na nietypowy sposób komunikacji. Oficjalne serwisy nie powinny wymuszać podawania danych karty w zamian za aktywację nagrody z linku w podejrzanym SMS-ie. Każda prośba o szybkie potwierdzenie, dopłatę, logowanie albo dane płatnicze powinna uruchamiać ostrożność, szczególnie na telefonie, gdzie łatwiej kliknąć bez dokładnej weryfikacji.

Gdzie zgłosić podejrzaną wiadomość

Podejrzany SMS warto przekazać do CERT Polska na numer 8080. To prosty krok, który pomaga nie tylko konkretnej osobie, ale też innym użytkownikom, bo na podstawie zgłoszeń tworzone są wzorce wykorzystywane do blokowania części kampanii smishingowych. Szczegóły znajdziesz w materiale CERT Polska o fałszywych SMS-ach i zgłoszeniach na 8080.

Jeśli kliknąłeś link, ale nie podałeś danych, zamknij stronę i nie wykonuj kolejnych działań. Jeśli jednak podałeś dane karty, skontaktuj się jak najszybciej z bankiem, zastrzeż kartę lub zablokuj transakcje i potraktuj sprawę jako realny incydent bezpieczeństwa.

Co powinny zrobić IT i Security w organizacji

W reakcji na taką kampanię IT i Security powinny potraktować ją jako okazję do krótkiej edukacji, a nie tylko jako pojedynczy komunikat ostrzegawczy. Warto pokazać pracownikom, jak wygląda pretekst, jakie emocje wykorzystuje wiadomość i dlaczego link w SMS-ie powinien być weryfikowany poza treścią wiadomości.

Choć ten wariant kampanii jest skierowany do szerokiego odbiorcy, głównie konsumentów, organizacje również powinny traktować go poważnie. Dla zespołów IT i Security to dobry moment, by przypomnieć użytkownikom, że phishing nie kończy się na e-mailu i że równie groźne mogą być SMS-y, komunikatory czy fałszywe strony otwierane na telefonie.

Dobrą praktyką jest też przypomnienie prostych zasad: nie wpisywać danych karty po linku z SMS-a, nie logować się przez skrócone lub podejrzane adresy, nie działać pod presją czasu i zgłaszać podejrzane wiadomości zgodnie z wewnętrzną procedurą. Podejrzane SMS-y można dodatkowo przekazać do CERT Polska na numer 8080.

Jeżeli takie scenariusze mają być wykorzystywane cyklicznie, warto włączyć je do programu security awareness. Dzięki temu pracownicy widzą nie tylko pojedyncze ostrzeżenie, ale uczą się rozpoznawać wzorce: presję czasu, podszywanie się pod znaną markę, fałszywy link, prośbę o dane i brak możliwości spokojnej weryfikacji.

Chcesz sprawdzić, czy pracownicy rozpoznają podobne SMS-y i wiedzą, jak je zgłaszać? Zobacz testy phishingowe dla firm albo skontaktuj się z PHISHLY, jeśli chcesz przygotować kampanię obejmującą e-mail, SMS, telefon i kody QR.

Najczęstsze pytania

Czy SMS o punktach Allegro może być oszustwem?

Tak. Jeśli wiadomość wywołuje presję czasu, prowadzi do linku i zachęca do podania danych karty, należy traktować ją jako próbę wyłudzenia.

Po czym rozpoznać fałszywy SMS o nagrodzie lub punktach?

Najczęściej po pilnym tonie, obietnicy korzyści, linku do strony płatności albo aktywacji oraz prośbie o szybkie działanie bez czasu na spokojną weryfikację.

Co zrobić, jeśli dostałem taki SMS?

Nie klikaj linku, nie odpisuj, sprawdź komunikat bezpośrednio w oficjalnej aplikacji lub na stronie usługi i przekaż podejrzaną wiadomość do CERT Polska na 8080.

Co zrobić, jeśli kliknąłem link i podałem dane karty?

Jak najszybciej skontaktuj się z bankiem, zastrzeż kartę lub zablokuj płatności, a następnie zgłoś incydent. W takim scenariuszu liczy się szybka reakcja.

Dlaczego oszuści proszą czasem o odesłanie wiadomości o treści Tak?

To sposób na obejście części zabezpieczeń telefonu i aktywowanie linku w wiadomości, żeby łatwiej skłonić ofiarę do kolejnego kroku.

Źródła

  1. Masz punkty do wykorzystania? Nowy wariant kampanii phishingowejKomunikat CERT Polska o kampanii SMS podszywającej się pod Allegro i wyłudzaniu danych karty.
  2. Fałszywe SMSy – plaga ostatnich miesięcyMateriał CERT Polska o smishingu, sygnałach ostrzegawczych i zgłaszaniu wiadomości na 8080.