Przejdź do treści
Breachroad
Wróć do bloga
Oszustwa

OLX, Vinted i fałszywe płatności — jak nie oddać pieniędzy

Podszycia pod OLX i Vinted to najczęściej zgłaszane oszustwa w Polsce. Wyjaśniamy mechanizm „bezpiecznej płatności”, który okrada sprzedającego.

KR
Karol Rapacz
10 maja 2026 · 6 min czytania
OLX, Vinted i fałszywe płatności — jak nie oddać pieniędzy

Serwisy ogłoszeniowe to dziś najczęstszy szyld polskich oszustów. Według raportu CERT Polska za 2025 rok OLX był najczęściej podrabianą marką w phishingu — odnotowano 28 462 incydenty (Allegro: 22 513). Mechanizm jest sprytny, bo odwraca role: to sprzedający, nie kupujący, zostaje okradziony.

Klasyczny scenariusz „na kupującego”

Wystawiasz przedmiot na OLX czy Vinted. Zgłasza się „kupujący”, bardzo zdecydowany, chce od razu zapłacić przez „bezpieczną płatność” albo „ochronę kupujących”. Przenosi rozmowę na WhatsApp i przysyła link — rzekomo do odbioru pieniędzy. Strona wygląda jak panel serwisu lub bramka Przelewy24.

Tam pojawia się prośba o dane karty i kod BLIK albo o zalogowanie do bankowości „w celu odebrania przelewu”. To pułapka: nie odbierasz pieniędzy — autoryzujesz wypłatę ze swojego konta albo oddajesz dane logowania.

Dlaczego to działa nawet na ostrożnych

  • Prawdziwy kontekst — faktycznie coś sprzedajesz, więc wiadomość pasuje do sytuacji.
  • Idealne podróbki — strony kopiują logo, kolory i układ prawdziwych bramek.
  • Rozmowa poza platformą — przeniesienie na WhatsApp wyłącza mechanizmy ochrony i moderacji serwisu.
  • Pozorna logika — „musisz podać dane karty, żeby przyjąć wpłatę” brzmi wiarygodnie dla kogoś, kto nie robi tego na co dzień.

Kluczowa prawda, o której łatwo zapomnieć: żeby OTRZYMAĆ pieniądze, nigdy nie podaje się kodu BLIK ani danych karty. Kod BLIK i dane karty służą wyłącznie do płacenia. Każda prośba o nie „w celu odbioru” to oszustwo.

Czerwone flagi

  • Kupujący chce natychmiast płacić przez zewnętrzny link i przenosi rozmowę poza serwis.
  • Link nie prowadzi na oficjalną domenę OLX/Vinted (sprawdź pełny adres).
  • Ktoś prosi Cię o kod BLIK, dane karty lub login do banku, żebyś „odebrał” pieniądze.
  • Nadmierny pośpiech i gotowe wymówki („jestem w pracy”, „to nowy system”).

Jak się chronić

Trzymaj całą transakcję wewnątrz serwisu — płatności, czat, ochronę kupujących. Nie przechodź na WhatsApp z nieznajomym. Nigdy nie podawaj kodu BLIK ani danych karty, żeby coś „odebrać”. Do płatności internetowych używaj kart wirtualnych i włącz powiadomienia push.

Jeśli już kliknąłeś i podałeś dane — zastrzeż kartę, zmień hasło do bankowości i zgłoś sprawę bankowi oraz na policję. Fałszywą domenę przekaż do CERT Polska. To ta sama zasada „pierwszych minut”, którą opisujemy przy reagowaniu na incydent.

Prowadzisz platformę e-commerce lub marketplace? Testy penetracyjne i audyty aplikacji webowych wykrywają słabości, zanim wykorzystają je oszuści — porozmawiajmy.

Źródła i dalsza lektura: Niebezpiecznik — oszustwa BLIK na OLX, CERT Polska, Sekurak.

Udostępnij artykuł

Usługi Umów konsultację