hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
18 czerwca 2026 08:56

Fałszywy mail od „Allegro” o błędzie w adresie dostawy. Jak rozpoznać ten phishing?

oszukańczy mail od fałszywego allegro
Marek Olszewski
phishing
Dodaj do ulubionych źródeł w Google

Kupiłeś coś wczoraj lub dzisiaj przez internet? Jest duża szansa, że tak. Właśnie to wykorzystują cyberprzestępcy. Do internautów trafiają fałszywe maile podszywające się pod Allegro. Oszuści próbują przekonać odbiorcę, że musi pilnie poprawić adres dostawy. Pośpiech i obawa przed utratą przesyłki w wyniku złego adresu, to jedne z narzędzi socjotechnicznych tego przekrętu.

To kampania phishingowa podszywająca się pod Allegro. Jej celem jest wyłudzenie hasła, danych osobowych i kompletu informacji o karcie płatniczej. Sprawdź, jak działa ten mechanizm i na jakie sygnały ostrzegawcze warto zwrócić uwagę.l

Fałszywy mail Allegro – po czym poznać oszustwo?

Fałszywa wiadomość podszywająca się pod Allegro
Fałszywa wiadomość podszywająca się pod Allegro

Wszystko zaczyna się od maila, którego pełny kontekst widnieje na powyższym zrzucie ekranu. Wizualnie wiadomość ma przypominać oficjalną komunikację Allegro. Charakterystyczne pomarańczowe logo, stopka podobna do oficjalnej oraz układ graficzny mają za zadnie potwierdzić oficjalny komunikat z systemu Allegro.

Obecnie próbujemy przetworzyć Twoje zamówienie, ale napotkaliśmy problem ze wskazanym adresem dostawy. Powód: Adres dostawy wydaje się być nieprawidłowy, niekompletny lub nie został rozpoznany przez naszego partnera kurierskiego.

Gdzie tkwi haczyk? Odpowiedź kryje się pod nagłówkiem wiadomości. Po rozwinięciu szczegółów nadawcy, zamiast oficjalnej domeny platformy widzimy adres admin@aruma.app. To pierwszy i najważniejszy sygnał ostrzegawczy – Allegro nigdy nie wysyła komunikatów z domen innych niż @allegro.pl.

Fałszywa strona logowania Allegro

Jeżeli ofiara kliknie w rzucający się w oczy przycisk „Zaktualizuj adres dostawy”, nie trafia od razu na stronę logowania. Oczom użytkownika ukazuje się ekran zabezpieczający Cloudflare (Security Check) z prośbą o potwierdzenie: „Potwierdź, że jesteś człowiekiem”.

Z jednej strony jest to mechanizm, który ma za zadanie podświadomie przekonać ofiarę, że link jest bezpieczny oraz obniżyć czujność ofiary. Z drugiej natomiast przestępcy wykorzystują to rozwiązanie, by blokować automatyczne systemy skanujące (tzw. crawlery antyphishingowe), które mogłyby zbyt szybko wykryć i zablokować złośliwą witrynę.

Okno "potwierdź, że jesteś człowiekiem" próbujące opóźnić działanie automatycznych systemów antnyphishingowych.
Okno „potwierdź, że jesteś człowiekiem” próbujące opóźnić działanie automatycznych systemów antyphishingowych.

Po przejściu weryfikacji użytkownik zostaje przekierowany do panelu logowania. Ekran jest wierną kopią prawdziwego formularza Allegro w wersji mobilnej z drobnym niuansem. Wersja mobilna przy uruchomieniu na komputerach powinna automatycznie pokazać nam pełną, desktopową wersję logowania. Można przypuszczać, że atakujący mocno ukierunkowali się na szukanie potencjalnych ofiar wśród osób, które uruchomią wiadomość na swoim smartfonie.

W tym miejscu warto jednak oderwać wzrok od centralnej części ekranu i spojrzeć na pasek adresu URL. Zamiast bezpiecznego adresu allegro.pl, w przeglądarce widnieje domena: allegro.clinicaactmedica[.]ro. Oszuści wykorzystali tutaj technikę poddomeny – słowo „allegro” zostało stworzone w formie subdomeny do przejętej rumuńskiej strony (.ro). Każdy login i hasło wpisane w tym oknie trafiają bezpośrednio na serwer przestępców.

Okno logowania na fałszywej stronie
Okno logowania na fałszywej stronie

Fałszywa płatność za dostawę i to w dwóch językach

Po wpisaniu danych logowania (nawet tych całkowicie fikcyjnych) system przepuszcza ofiarę dalej, do ekranu rzekomego koszyka z płatnością za dostawę. Wyświetla się tam czerwony komunikat o błędzie adresu dostawy z żądaniem podania pełnych danych: imienia, nazwiska, ulicy, kodu pocztowego oraz numeru telefonu. Gdy ofiara uzupełni formularz, pojawia się rzekoma konieczność dopłaty symbolicznej kwoty (np. 10,49 PLN za ponowną weryfikację kurierską) oraz kliknięcia przycisku „PAYMENT”.

Formularz na stronie oszustów
Formularz na stronie oszustów

Jest to formularz płatności kartą płatniczą, rzekomo zabezpieczony certyfikatami PCI DSS CompliantMastercard ID Check oraz Visa Secure. Wpisanie tam numeru karty, daty ważności oraz kodu CVV/CVC daje oszustom dostęp do środków finansowych na podanej karcie ofiary. Oszuści mogą wówczas podłączyć kartę do portfela elektronicznego lub autoryzować transakcje z konta ofiary.

Formularz płatności kartą płatniczą na fałszywej stronie
Formularz płatności kartą płatniczą na fałszywej stronie

A co się dzieje w warstwie, której nie widać?

Gdy przyjrzymy się tej witrynie za pomocą narzędzi deweloperskich w momencie płatności, zauważymy, że podczas wyświetlania ekranu ładowania płatności (loading.html) skrypt nieustannie wykonuje zapytania asynchroniczne o nazwie sync do domeny allegro.clinicaactmedica[.]ro. W praktyce oznacza to, że panel działa w trybie administracyjnym na żywo. Przestępca po drugiej stronie ekranu widzi w czasie rzeczywistym, co wpisuje ofiara. Jeśli bank zażąda dodatkowego potwierdzenia transakcji kodem SMS lub autoryzacji w aplikacji mobilnej, oszuści wygenerują na tej stronie kolejne fałszywe okienko z prośbą o przepisanie tego kodu.

Narzędzie deweloperskie na fałszywej stronie
Narzędzie deweloperskie na fałszywej stronie

Jak nie dać się nabrać na fałszywy mail Allegro

Adres mailowy, na który otrzymaliśmy wiadomość nie ma zarejestrowanego konta na platformie Allegro. Potwierdza to fakt, że przestępcy wykorzystują duże marki, licząc na masowy zasięg takich działań. Na co uważać w dłuższej perspektywie? Aby nie stać się ofiarą tego typu ataków, pamiętaj o poniższych zasadach:

  1. Zawsze sprawdzaj adres URL: Przed wpisaniem hasła lub danych karty upewnij się, że w pasku adresu widnieje wyłącznie oficjalna domena (w przypadku Allegro jest to allegro.pl). Żadne przedrostki i dodatkowe domeny narodowe (jak .ro) nie wchodzą w grę.
  2. Weryfikuj adres e-mail nadawcy: Informacja wyświetlana jako nazwa nadawcy (np. „Allegro”) może być łatwo sfałszowana. Zawsze sprawdzaj pełny adres e-mail nadawcy.
  3. Korzystaj z dwuskładnikowego uwierzytelniania (2FA): Włączenie dodatkowej weryfikacji na koncie Allegro utrudni przestępcom przejęcie profilu, nawet jeśli poznają oni Twoje hasło. Więcej dowiesz się z artykułu: https://cert.orange.pl/warto-wiedziec/uwierzytelnianie-dwuskladnikowe/
  4. Nie działaj pod presją czasu: Komunikaty oznaczane jako „Pilne”, „Wymagane działanie” czy „Blokada konta” niemal zawsze powinny wzbudzić Twoją czujność. Bezpieczniej jest zalogować się do platformy bezpośrednio przez oficjalną aplikację mobilną lub wpisując adres ręcznie w przeglądarce, aby sprawdzić realny status zamówień.

Takie kampanie pokazują, że skuteczny phishing nie musi być technicznie skomplikowany. Wystarczy wiarygodny pretekst, dobrze podrobiona strona i presja czasu, by część odbiorców przekazała swoje dane przestępcom.

17 czerwca 2026
Oszuści podszywają się pod InPost i kradną dostęp do WhatsApp! Sprawdź jak nie dać się oszukać
Dowiedz się więcej
11 czerwca 2026
Mundialowy „pewniak”, który wyczyści konto. Analiza kampanii deepfake w przededniu Mistrzostw Świata
Dowiedz się więcej
11 czerwca 2026
Fałszywy SMS? Zobacz, jak rozpoznać smishing.
Dowiedz się więcej