Ku przestrodze. Zobaczcie, jak próbują oszukiwać sprzedających na Vinted
Wystawiłem komiks na Vinted. Chwilę później dostałem maila o „nowej ofercie" i link do strony wyłudzającej dane bankowe. Opisuję krok po kroku, jak działa ten schemat – żebyście nie dali się nabrać.
Niedawno wystawiłem na Vinted egzemplarz „Spider-Man" z linii Marvel Fresh. Nic niezwykłego – drobna sprzedaż, 30 złotych. Kilka godzin później zaczęło się robić ciekawie.
Na skrzynkę mailową – inną niż ta powiązana z kontem Vinted – przyszedł mail od nadawcy o adresie [email protected]. Temat: „Ktoś zaproponował". Wiadomość wyglądała jak standardowe powiadomienie Vinted o nowej ofercie: „Masz nową ofertę! Ktoś zaproponował nową cenę za Twój przedmiot. Masz 24 godziny na zaakceptowanie lub odrzucenie tej propozycji." Kwota: 30 zł. Przycisk: „Wyświetl ofertę".
To już pierwsza, zasadnicza czerwona flaga: Vinted wysyła powiadomienia wyłącznie na adres przypisany do konta. Jeśli mail trafia gdzie indziej – ktoś po prostu zgadł lub znalazł wasz inny adres i podszywa się pod platformę.
Kliknąłem, bo byłem ciekaw, co dalej.
Fałszywa strona Vinted – łudząco podobna
Link prowadził na stronę 3025vra.skin – nie vinted.pl, nie vinted.com. Sama strona wyglądała jednak niemal identycznie jak prawdziwy Vinted: ten sam layout, te same kolory, logo. Na ekranie pojawiły się „Szczegóły zamówienia": mój komiks, cena 30 zł, informacja „Kupujący zapłacił za towar i dostawę", a nawet fikcyjne dane dostawy (imię i adres).
W prawym dolnym rogu wyskoczył chatbot, który pisał:
Fałszywy panel bankowy
Po kliknięciu „Dalej" strona wyświetliła siatkę logotypów polskich banków: iPKO, mBank, ING, Millennium, Bank Pekao, BNP Paribas, BOŚ Bank i kilkanaście innych. Całość wyglądała jak standardowy panel płatności Przelewy24 czy PayU. Wybrałem BOŚ Bank.
Otworzyła się strona logowania BOŚBank24 – fałszywa, ale wizualnie wierna oryginałowi. Formularz prosił o identyfikator i hasło. Wpisałem losowe cyfry.
Pojawiło się okno: „Transakcja jest przetwarzana. Może to zająć do 5 minut."
Gdybym wpisał prawdziwe dane – trafiłyby prosto do oszustów.
Dlaczego to kompletnie bez sensu logistycznie?
To kluczowy punkt, który powinien zatrzymać każdego sprzedającego: na Vinted nie logujecie się do banku, żeby odebrać pieniądze od kupującego. Środki ze sprzedaży trafiają na portfel w aplikacji, a stamtąd możecie je wypłacić kiedy chcecie. Nikt was przez to nie przeprowadza. Żadna weryfikacja bankowa nie jest wymagana do przyjęcia płatności.
Sam schemat „wybierz bank, zaloguj się, żeby odebrać kasę" jest typowy dla phishingu. Cel jest jeden: ukraść dane logowania do bankowości internetowej.
A co robiła „kupująca" na prawdziwym Vinted?
Równolegle na maila pisała do mnie osoba podpisana jako „Anja" (wcześniej „Anna Nowak"). Twierdziła, że zapłaciła przez Vinted Protect i wysłała adres dostawy. Kiedy odpowiedziałem, że nic nie dostałem i komiks nie został sprzedany, przepraszała, sugerowała sprawdzenie spamu i podsyłała kolejne linki. W jednej z wiadomości wyraźnie widoczny był niezamieniony placeholder: {payment_link} – klasyczny błąd automatycznej wiadomości z szablonu.
Żeby sprawdzić reakcję, odpisałem w końcu, że „wysłałem paczkę na wskazany adres" i że „pieniądze są już na koncie" 😃. Rozmowa ucichła.
Jak rozpoznać ten scam w pięć sekund?
Kilka rzeczy, na które warto zwrócić uwagę:
Adres URL. Jedyna prawdziwa domena to vinted.pl (lub odpowiedni kraj: .fr, .de, .lt itd.). Wszystko z końcówką .skin, .shop, .cc czy dowolną inną – to fałszywka, zamknijcie zakładkę.
Adres mailowy nadawcy. Oficjalne maile Vinted przychodzą z domen @vinted.pl lub @vinted.com. Adres w stylu [email protected] nie ma z platformą nic wspólnego.
Logowanie do banku = alarm. Vinted nigdy nie prosi was o logowanie do banku, żeby odebrać płatność. Jeśli strona wyświetla siatkę logotypów bankowych i każe wybrać „swój bank" – to phishing.
Mail na inny adres. Jeśli powiadomienie z Vinted trafia na skrzynkę, której nigdzie na Vinted nie podawaliście – ktoś po prostu próbuje szczęścia.
Chatbot z instrukcjami. Vinted nie ma chatbota, który prowadzi was przez „odbiór płatności". Wyskakujące okienko z wiadomością krok-po-kroku powinno zapalić czerwone światło.
To jest link afiliacyjny. Kupując za jego pomocą, wspieracie rozwój bloga, a cena dla Was i tak pozostaje bez zmian.
