Fałszywe bramki płatności — jak rozpoznać i nie dać się oszukać

Kupujesz kurtkę na popularnym polskim sklepie internetowym. Klikasz „zapłać”, pojawia się znajoma strona — białe tło, logo Przelewy24, lista banków do wyboru. Wybierasz mBank, logujesz się, wpisujesz hasło, zatwierdzasz kodem SMS. Transakcja „udana”. Kurtka nie przyjeżdża. Kilka dni później odkrywasz, że ktoś przelał z Twojego konta 3 200 zł. Wpadłeś/łaś na fałszywą bramkę płatności.

To jeden z najskuteczniejszych rodzajów phishingu finansowego w Polsce, odnotowywany przez CERT Polska tysiące razy rocznie. W 2024 roku liczba zgłoszeń przekroczyła 600 tys. — wzrost o 62% wobec roku poprzedniego, a phishing płatniczy stanowi znaczną część tego wolumenu.

Czym jest fałszywa bramka płatności?

Fałszywa bramka płatności to strona internetowa, która wygląda jak znana usługa płatnicza (Przelewy24, PayU, Dotpay, BLIK) lub interfejs bankowości internetowej (mBank, PKO BP, ING, Santander, BNP Paribas), ale faktycznie:

• wykrada dane logowania do banku (login, hasło),
• wykrada dane karty płatniczej (numer, datę ważności, CVV),
• przechwytuje kody SMS/autoryzacyjne, które następnie atakujący używa w czasie rzeczywistym na prawdziwej stronie banku.

Wizualnie podrobione bramki są dziś niemal identyczne z oryginałami. Przestępcy kopiują każdy piksel — logo, kolory, czcionki, układ przycisków.

Jak trafiasz na fałszywą bramkę?

Przez phishing e-mailowy lub SMS-owy

Najczęstsza droga: dostajesz wiadomość od „Allegro”, „InPost”, „mBanku” lub „Urzędu Skarbowego” z linkiem do „dopłaty”, „weryfikacji” lub „odbioru przesyłki”. Link prowadzi do fałszywej strony. Więcej o tej metodzie ataku: Phishing — co to jest i jak się bronić? i Smishing: co to jest i jak rozpoznać fałszywy SMS?.

Przez zaatakowany sklep internetowy

Przestępcy włamują się do popularnych sklepów i modyfikują kod strony tak, żeby po kliknięciu „zapłać” użytkownik trafiał nie na prawdziwego Przelewy24 czy PayU, ale na ich podróbkę.

Przez fałszywe ogłoszenia i sklepy

Sklep internetowy sam w sobie jest oszustwem — wystawia atrakcyjne produkty, a bramka płatności zawsze była fałszywa. Często takie sklepy kupują reklamy w Google i mediach społecznościowych z nazwą prawdziwych marek.

Przez przejęte konta w mediach społecznościowych

Ktoś z Twoich znajomych ma przejęte konto na Facebooku. „On” wysyła ci link do sklepu lub prosi o pomoc w płatności przez BLIK. Więcej o takich sytuacjach: Przejęcie konta — co robić krok po kroku, jak odzyskać dostęp.

Jak rozpoznać fałszywą stronę?

1. Sprawdź adres URL — dokładnie

To najważniejszy krok i jedyna metoda, która działa niezawodnie. Zanim wpiszesz cokolwiek na stronie płatności, spójrz na pasek adresu:

Prawdziwe adresy:

• secure.przelewy24.pl
• ssl.platnosci.pl (PayU)
• dotpay.pl
• www.mbank.pl
• www.pkobp.pl

Typowe podróbki:

• przelewy24-secure.com
• przelewy-24.pl
• mbank-logowanie.pl
• pkobp.security-login.com
• payu-platnosci.net

Zasada jest prosta: domena przed pierwszym ukośnikiem musi być dokładnie tą domeną, którą znasz. Wszystko, co jest dodane przed lub po nazwie (dywiz, prefiks, sufiks), to fałszywy adres.

2. Nie ufaj kłódce SSL w 100%

Kłódka przy adresie (HTTPS) oznacza, że połączenie jest szyfrowane — czyli nikt po drodze nie może podsłuchać przesyłanych danych. Ale certyfikat SSL może wyrobić sobie każdy, w tym właściciel fałszywej strony. Kłódka to warunek konieczny (brak kłódki = uciekaj), ale nie wystarczający (kłódka ≠ strona jest bezpieczna).

3. Sprawdź spójność całego procesu

Prawdziwa bramka płatności powinna być spójna z kontekstem zakupu. Czerwone flagi:

• bramka otwiera się w nowym oknie bez żadnego związku z poprzednią stroną sklepu,
• po wybraniu banku trafiasz na stronę, której adres nie należy do danego banku,
• strona prosi o login i hasło, a następnie o „przepisanie kodu z SMS-a” — bo tak działa prawdziwy bank; ale jeśli cokolwiek wzbudza wątpliwości, sprawdź adres ponownie,
• bramka wyświetla błędy językowe, dziwne czcionki lub elementy, które „nie pasują”.

4. Uważaj na pośpiech i presję

Fałszywe bramki często wyświetlają licznik odliczający czas („płatność wygasa za 4:59”), komunikat o „zarezerwowanym miejscu” lub „konieczności natychmiastowej weryfikacji”. To klasyczna technika presji — nie daj się jej.

Allegro i OLX — szczególne zagrożenie

Polska jest jednym z krajów, w których ataki przez OLX i Allegro są wyjątkowo częste. Mechanizm „na Allegro” lub „na OLX” działa tak: kupujący proponuje zapłatę przez kuriera (InPost lub Allegro Przesyłki), a następnie wysyła link do fałszywej bramki — często do złudzenia przypominającej prawdziwy panel Allegro lub InPost.

Zasada: Allegro nigdy nie wysyła linku do płatności przez Messengera, WhatsApp ani zewnętrzny e-mail. Wszelkie płatności za transakcje na Allegro odbywają się wyłącznie przez panel Allegro.pl — bez wyjątków.

Co zrobić, jeśli podałeś dane?

Działaj natychmiast:

1. Zablokuj kartę — przez aplikację mobilną (np. mBank, ING, PKO BP — opcja blokady karty dostępna w ciągu kilku sekund) lub przez infolinię banku (numer z odwrocia karty).
2. Zmień hasło do bankowości internetowej — z innego urządzenia, najlepiej z sieci, która nie była używana w momencie incydentu.
3. Sprawdź historię transakcji i zgłoś nieautoryzowane transakcje jako reklamację — bank ma obowiązek zbadania sprawy.
4. Zgłoś phishing do CERT Polska — formularz na cert.pl, e-mail incydent@cert.pl lub SMS na numer 8080 (usługa CERT Polska do zgłaszania SMSh-ów phishingowych).
5. Zgłoś fałszywą stronę do Google Safe Browsing — safebrowsing.google.com/safebrowsing/report_phish/ — pomaga ostrzec innych użytkowników.

Jeśli podałeś tylko login i hasło (bez kodu autoryzacyjnego), natychmiast zmień hasło — to może wystarczyć, jeśli atakujący nie zdążył jeszcze użyć Twoich danych.

Jak chronić się na przyszłość?

Używaj menedżera haseł

Menedżer haseł automatycznie sprawdza domenę strony przed wpisaniem hasła — jeśli jesteś na fałszywej stronie, menedżer nie zaproponuje wypełnienia formularza, bo domena się nie zgadza. To jeden z najskuteczniejszych automatycznych filtrów phishingowych. Więcej: menedżer haseł.

Płać kartą z 3D Secure

Większość polskich banków obsługuje 3D Secure (Verified by Visa, Mastercard SecureCode) — transakcja wymaga dodatkowej autoryzacji w aplikacji mobilnej. Nawet jeśli atakujący ma Twoje dane karty, nie dokończy transakcji bez dostępu do Twojego telefonu.

Korzystaj z wirtualnych kart

mBank, ING i kilka innych banków oferują wirtualne karty jednorazowe do zakupów online. Nawet jeśli dane karty wyciekną, karta wygasa po jednej transakcji.

Sprawdzaj linki przed kliknięciem

Przed kliknięciem w link z e-maila lub SMS-a najedź na niego kursorem (desktop) lub przytrzymaj (mobile) — zobaczysz docelowy adres URL. Jeśli wygląda podejrzanie, nie klikaj. Więcej o rozpoznawaniu phishingu: Jak chronić się przed phishingiem? Praktyczny poradnik.

Włącz alerty transakcyjne

Ustaw powiadomienia push o każdej transakcji kartowej w aplikacji bankowej. Im szybciej zobaczysz nieautoryzowaną transakcję, tym szybciej możesz ją zablokować.

Co zrobić teraz?

• Zapisz oficjalne adresy bramek płatniczych w zakładkach przeglądarki: secure.przelewy24.pl, payu.pl — żeby zawsze mieć punkt odniesienia.
• Zainstaluj menedżer haseł — to Twój automatyczny detektor fałszywych stron logowania.
• Włącz powiadomienia push o transakcjach w aplikacji swojego banku — natychmiastowa informacja o nieautoryzowanej płatności ratuje pieniądze.
• Sprawdź, czy Twoje dane wyciekły — Jak sprawdzić, czy moje dane wyciekły? Przewodnik krok po kroku — jeśli tak, zmień hasła i bądź szczególnie czujny/czujna na phishing skierowany personalnie do ciebie.
• Opowiedz komuś bliskiemu o regule sprawdzania adresu URL — szczególnie osobom, które często kupują online na Allegro, w sklepach z odzieżą lub przez porównywarki cenowe.