Jak działa scam na OLX?
Opublikowano: , zaktualizowano:
Wiele się mówi w internecie jakimi metodami oszuści próbują wyłudzić pieniądze od użytkowników. Ostatnio wystawiłem na OLX kilka przedmiotów i oczywiście trafiłem na próbę oszustwa. Poniżej opiszę jak wyglądał ten scam i jakie wnioski można z niego wyciągnąć.
Na początek
Oczywiście osobom niedoświadczonym nie radzę wchodzić w żadną interakcję z osobami które wydają się podejrzane. Warto też pamiętać, że w internecie nie ma nic za darmo i jeśli coś wydaje się zbyt piękne aby było prawdziwe, to najprawdopodobniej tak jest. Więcej o tym można przeczytać w moim starym poście Poradnik IT Security.
Jeśli już jednak zdecydujemy się na interakcję z osobą, która wydaje się podejrzana, warto pamiętać o kilku podstawowych zasadach bezpieczeństwa. Przede wszystkim, nie używajmy do kontaktu faktycznych prawdziwych danych. W moim przypadku podałem prawdziwe imię i nazwisko oraz numer telefonu (i tak widoczny na OLX i dający się łatwo ze mną powiązać), ale w większości przypadków, zarówno do researchu takiego jak mój, jak i sprzedaży online, lepiej jest używać samego imienia i innego numeru telefonu (np pre-paid za 5 zł).
Jak wyglądał scam?
Wystawiłem na OLX używane reflektorki z Leroy Merlin. Cena była atrakcyjna, a zdjęcia i opis były prawdziwe. W ciągu kilku godzin dostałem wiadomość od osoby zainteresowanej kupnem o treści (pisowna w oryginale):
Dzień dobry, piszę z konta męża, bo nie mogę wejść na swoje. Podoba mi się twoje ogłoszenie. Jeśli to możliwe, proszę, skontaktuj się ze mną na WhatsAppie – omówimy parę szczegółów i dogadamy się co do zakupu. Nie będę mogła tu pisać, bo mąż wyjeżdża do pracy. Dziękuję za zrozumienie. (7_9_4) num (3_4_3) Moj (8_2_3)
Każdorazowo gdy w temacie zakupu na OLX kupujący kontaktuje się poza OLX (inicjując rozmowę lub prosząc o kontakt jak w przypadku powyżej) należy zachować szczególną ostrożność. Praktycznie w każdym przypadku będzie to próba wyłudzenia pieniędzy lub danych. To typowa metoda oszustów, którzy chcą uniknąć monitorowania przez OLX i innych użytkowników. Sam sposób podania numeru telefonu (z przerwami i w nawiasach) jest również typowy dla oszustów, którzy chcą uniknąć automatycznego wykrywania przez systemy antyspamowe.
W tej sytuacji oszustwa spodziewałem się z góry, jednak w celach badawczych postanowiłem kontynuować rozmowę. Skontaktowałem się z podanym numerem przez WhatsApp i po ustaleniu szczegółów "zakupu" zostałem poproszony o moje dane. Kupujący miał je wpisać na stronie przewoźnika (w tym przypadku Poczty Polskiej, równie popularny jest też InPost), zapłacić za towar za pośrednictwem przewoźnika i opłacić wszystko z góry. Moim zadaniem byłoby tylko odebranie opłaty i przekazanie towaru. Podałem prawdziwe imię i nazwisko oraz numer telefonu, a także stworzony na potrzeby tej konkretnej rozmowy adres e-mail.
Płatność
Na podany przeze mnie adres e-mail otrzymałem wiadomość od "przewoźnika" z prośbą o weryfikację danych. Dostałem link, który miał również służyć do odebrania płatności za towar. W rzeczywistości mail ten nie został jednak wysłany przez Pocztę Polską, a przez oszusta z adresu @88-ayx.com, który oczywiście z Pocztą Polską nie ma nic wspólnego.
Po kliknięciu w link zostałem przekierowany na stronę, która podawałą się za stronę Poczty Polskiej, z formularzem (imię i nazwisko, nr telefonu) do wypełnienia. Formularz zawierał już wypełnione dane "odbiorcy".
Warto zwrócić tu uwagę na "dziwne" zachowanie tej strony - możliwość wnioskowania o fakturę czy użycia kodu rabatowego to nie są opcje, jakich można się spodziewać jedynie nadając paczkę i nic nie płacąc. Zwróćmy także uwagę na sam adres strony - poczta-pl.auybet.icu to zdecydowanie nie adres Poczty Polskiej.
Po zatwierdzeniu formularza pojawia się strona tym razem podająca się za pośrednika płatności P24NOW. Po wybraniu banku pojawia się okno logowania do wybranego banku. W obu przypadkach są to fałszywe strony - wszystkie znajdujące się pod tym samym adresem poczta-pl.auybet.icu, a więc nienależące do P24NOW ani do wybranego banku. ZAWSZE należy sprawdzać adres strony, na której się logujemy lub podajemy wrażliwe dane.
O co w tym wszystkim chodzi?
Oczywiście celem całego oszustwa jest zdobycie danych logowania do banku, a następnie wyczyszczenie konta ofiary. Zalogowanie się na podstawionej stronie przekazałoby login i hasło do oszusta, który następnie mógłby wyczyścić konto. Potwierdzanie działań za pomocą SMS lub aplikacji mobilnej dużo nie zmieni, gdyż samo logowanie ofiara potwierdzi bez problemu (w końcu sama się właśnie loguje) a następnym krokiem jest zwykle dodanie zaufanego odbiorcy przelewu (co fałszywa strona tłumaczy jako konieczne do odbioru płatności). W tym momencie oszust ma już pełny dostęp do konta ofiary i może wykonać przelew na swoje konto.
Inny przykład
W innym przypadku oszust napisał bezpośrednio na WhatsApp na numer podany w ogłoszeniu. Załączył fałśzywą grafikę z InPost i poprosił o adres e-mail. Tu konktakt jednak się urwał.
Aktualizacja:
Co ciekawe w tym przypadku link z maila... nie działał :D Po zgłoszeniu problemu do "kupującego" otrzymałem od razu nowy e-mail od "InPost". Czyżby "kupujący" "pracował" w "InPost"? :D
Swoją drogą ten fałszywy InPost wygląda bardzo podobnie do fałszywej Poczty Polskiej, którą opisałem wcześniej. Warto zwrócić uwagę na adres strony - inpolst.ari2zdi2.sbs to zdecydowanie nie adres InPost.
Wnioski
- Kontakt poza platformą sprzedaży prawie na pewno jest próbą oszustwa lub wyłudzenia danych.
- Zawsze należy sprawdzać adres strony, na której się logujemy lub podajemy wrażliwe dane.
- Nigdy nie ufajmy linkom ani zrzutom ekranu załączanym przez "kupującego"
IoC
- Adres e-mail nadawcy z domen:
@88-ayx.com,@article-10.com - Domeny fałszywych stron:
inpolst.ari2zdi2.sbs,poczta-pl.auybet.icu,adriancooks.com.
Sprawdzenie informacji o domenach:
Wszystkie linki z maili prowadzą do jednej domeny adriancooks.com, która przekierowuje do innych domen. Wszystkie domeny są obsługiwane przez CloudFlare.
| Domena | Data rejestracji | Rejestrator |
|---|---|---|
| adriancooks.com | 2025-07-14 | Gname.com Pte. Ltd. |
| inpolst.ari2zdi2.sbs | 2026-06-26 | Global Domain Group LLC |
| poczta-pl.auybet.icu | 2026-06-26 | PDR Ltd. d/b/a PublicDomainRegistry.com |
| 88-ayx.com | 2025-07-07 | Name SRS AB |
| article-10.com | 2026-01-24 | Metaregistrar BV |
Wszystkie otrzymane wiadomości e-mail (w formacie eml) zostały przekazane do analizy CERT Polska. Warto pamiętać, że w przypadku otrzymania podejrzanej wiadomości e-mail, można ją przesłać do cert pod adresem https://incydent.cert.pl, a SMSy z linkami przekierować na numer 8080.