Zdarzyło Ci się dostać SMS-a z prośbą o dokonanie dopłaty do paczki albo link do śledzenia fałszywej przesyłki, np. z InPostu? Sama kilkukrotnie dostałam takie wiadomości SMS na telefon i teraz opowiem Ci, jak działa oszustwo na kuriera i jak poradzić sobie z tego typu phishingiem.
Kluczowe informacje
- Oszustwo na kuriera lub inaczej oszustwo na paczkę to rodzaj ataku phishingowego, w którym przestępcy wysyłają wiadomości SMS lub e-maile, informując o konieczności opłacenia niewielkiej sumy za przesyłkę (* są to zazwyczaj kwoty sięgające kilku złotych);
- W treści takiej wiadomości znajduje się link, który przekierowuje potencjalną ofiarę na witrynę, przypominającą stronę przewoźnika lub bramkę płatności;
- W innym wariancie tego oszustwa cyberprzestępcy wykorzystują linki do pobrania aplikacji, która infekuje urządzenie. Dzięki temu mogą uzyskać dostęp do haseł aplikacji bankowych lub przekierowywać SMS-y, co daje im całkowitą kontrolę nad kontem bankowym poszkodowanego;
- Aby nie paść ofiarą oszustwa na kuriera, nie klikaj w podejrzane linki od nieznanych numerów i adresów e-mail. Nigdy też nie podawaj swoich danych na stronach, do których przenosi Cię nieznany link.
Jak działa oszustwo na kuriera?
W przypadku oszustw na kuriera panuje w zasadzie jeden motyw: podszywanie się pod markę InPost. Kroku dotrzymują mu również oszustwa na kuriera DHL, DPD, UPS, Pocztex, Fedex czy Poczty Polskiej.
Możemy zetknąć się z kilkoma modelami ataków phishingowych:
- phishingowe SMS-y od dostawców paczek, np. motyw dopłaty za nieopłaconą paczkę to klasyczny modus operandi obok prośby o aktualizację adresu wysyłki (* po rzekomym podaniu niedokładnego adresu wysyłki. W treści wiadomości znajduje się link prowadzący do fałszywej strony internetowej);
Przykładowe wiadomości:
Witam, paczka nie moze zostac dostarczona z powodu blednego numeru domu, prosze o aktualizacje. Link do płatności: hxxps://is.gd/Nkub0Y.
Twoja paczka XXXX wymaga dopłaty na kwotę 0,50 PLN, brak dopłaty oznacza zwrot przesyłki do nadawcy. Link do płatności: hxxps://is.gd/uA3ylZ.
- phishingowe e-maile pisane w podobnym tonie, jak SMS-y;
- witryny udające oficjalne strony firm kurierskich;
- nieplanowana wizyta kuriera u Ciebie w domu. Szczególnie dotyczy to sytuacji, gdy sprzedajesz coś w internecie i po sprzedawany towar może przyjechać fałszywy kurier.
Jak wygląda oszustwo na InPost?
Przyjrzyjmy się teraz klasycznej sytuacji, w której mógłby się znaleźć każdy z nas. Niech za przykład posłuży nam historia Kasi.
Kasia zakupiła nowe buty w sklepie internetowym. Jako formę dostawy wybrała kuriera InPost. W dniu, w którym miała otrzymać przesyłkę, dostała SMS-a, w którym nadawcą wiadomości był rzekomo InPost: „Twoja paczka XXXX wymaga dopłaty na kwotę 0,20 PLN. Brak dopłaty oznacza zwrot przesyłki do nadawcy. Link do płatności”. Kasi bardzo zależało na tych butach i nie zastanawiając się dłużej, kliknęła w podany w wiadomości link. Niestety prowadził on do fałszywej strony InPostu, za pośrednictwem której przestępcy zainstalowali na telefonie Kasi szkodliwe oprogramowanie, które ponoć miało być niezbędne do zrealizowania brakującej płatności.
W praktyce Kasia padła ofiarą oszustwa. Zainstalowana apka posłużyła złodziejom do przejęcia kontroli nad urządzeniem i w ten oto sposób otworzyli sobie dostęp do jej danych osobowych, w tym do skrzynki e-mailowej czy aplikacji i bankowości internetowej. Innymi słowy, wyczyścili konto bankowe Kasi do zera, a resztę pozyskanych informacji mogli wykorzystać do innych działań, np. wyłudzeń kredytów na skradzioną tożsamość.
Przykłady oszustw na kuriera
Wychodzę z założenia, że najlepiej uczymy się na obrazach. Dlatego poniżej pokażę Ci najbardziej popularne możliwości popełnienia przestępstwa, które objaśnię na poniższych grafikach, z krótkim ich opisem.
Oszustwo na kuriera Poczty Polskiej
CERT Polska1 na swoim Twitterze na bieżąco publikuje ostrzeżenia nt. pojawiających się zgłoszeń dotyczących ataków cyberprzestępców. Tutaj masz przykład fałszywego SMS-a od Poczty Polskiej z informacją o wstrzymaniu paczki z powodu błędnie nadanego adresu. Link podany w SMS-ie prowadzi do niebezpiecznej domeny, na której oszuści, prócz pozyskania danych kontaktowych, wymagają informacji o kartach płatniczych. Dlatego zawsze weryfikuj adres strony internetowej, na której się znajdujesz. Powyżej zamiast adresu: https://www.poczta-polska.pl/, widnieje błędne: poczta-poiska.com.
Oszustwo na kuriera DHL
Tutaj z kolei mamy do czynienia z wariantem oszustwa na kuriera DHL. Po kliknięciu w link podany w wiadomości SMS i po pobraniu aplikacji, uruchamia się złośliwe oprogramowanie, które prosi o udzielenie uprawnień do korzystania z usługi Dostępności. W praktyce uzyskuje ona dostęp do kluczowych uprawnień dotyczących systemu bezpieczeństwa Twojego urządzenia, w tym administratora urządzenia. Chyba nie muszę kończyć, do jakich skutków prowadzi takie działanie.
Podam jeszcze jeden przykład, tym razem wiadomości e-mailowej.
W przypadku tej wiadomości, nie mamy żadnych komend do kliknięcia w linki, bo haczyk tkwi w załączonym dokumencie. Pobierając załącznik, który został podpięty pod e-maila, ściągasz tak naprawdę nie dokument, a popularny wśród przestępców Frombook. Program potrafi przechwytywać loginy, hasła, wykonywać zrzuty ekranu, a nawet rejestrować naciśnięcia przycisków wykonane na urządzeniu. Dodatkowo, jeśli klikniesz w adres strony oznaczony na niebiesko, link poprowadzi Cię do strony DHL, ale w Grecji. Do tego dochodzą podejrzane personalia, mieszanie polskiego ze słowami pochodzącymi z innych języków, np. „address” i prośba o „Napraw nadzorcę wyjątków”. Warto też zwrócić uwagę, że e-mail został wysłany nie do konkretnego nadawcy, a do listy osób, którą możesz podejrzeć w okienku „Ukryte do wiadomości”.
Oszustwo na kuriera InPost
Złodzieje rozsyłają fałszywe e-maile, w których podszywają się pod InPost, informując o nieudanej próbie dostarczenia przesyłki. Po wejściu w przycisk „Zmiana adresu dostawy” przestępcy przekierowują na niebezpieczną stronę, która prowadzi do wyłudzenia danych karty płatniczej.
Oszustwo na kuriera UPS
W tym przypadku złodzieje podszywają się pod firmę kurierską UPS. Przesyłają fałszywe SMS-y, w których informują o rzekomej, wymaganej opłacie celnej. Kliknięcie w przycisk „Śledzenie” prowadzi na niebezpieczną witrynę, która wyłudza dane osobowe oraz dane karty płatniczej. Kluczowy w tym przykładzie, zresztą jak i w powyższych, jest nieprawdziwy adres strony.
Oszustwo na kuriera Fedex
Przykłady fałszywych SMS-ów od firm kurierskich mogą przybrać formę nagrody. Zasada działania jest prosta: za pomocą przesłanego linku, dowiadujesz się, że na Twój numer telefonu została nadana paczka. Przy okazji masz szansę zgarnąć nowiutki smartfon, a jedyne, co musisz zrobić, to zapłacić za jego dostawę. Wystarczy, że na podanej stronie, podasz dane swojej karty płatniczej. W praktyce uruchamiasz płatną subskrypcję, która co miesiąc będzie pobierała pieniądze z Twojego konta.
Porównaj oferty kont osobistych w naszym rankinguOszustwo na fałszywego kuriera
Wszystkie powyższe przykłady dotyczą sytuacji, w których podejrzane wiadomości otrzymujemy drogą elektroniczną lub SMS-ową. Jednak przestępcy wykorzystują każdą okazję do łupu i Ci bardziej bezczelni, nie mają żadnych skrupułów, by osobiście zapukać do Twoich drzwi.
Generalnie motyw takiego działania może wyglądać następująco:
- Wystawiasz przedmiot na jednej z platform sprzedażowych. Może to być OLX, Marketplace, Vinted bądź jakaś grupa sprzedażowa na Facebooku itp.
- Zgłasza się chętny na kupno Twojego przedmiotu, ale jako sposób dostawy proponuje kuriera.
- Kupujący, aby nie robić Ci kłopotów, sam zamawia kuriera na adres, który podajesz mu w wiadomości.
- Transakcja kupna-sprzedaży odbywa się „za pobraniem”, czyli za pomocą popularnej wśród klientów metody. Odbiorca przed odebraniem paczki opłaca ją kurierowi i jeśli jej nie odbierze, to paczka wróci do nadawcy.
- Następnie ktoś łudząco podobny do kuriera pojawia się po odbiór paczki. Może mieć nawet odpowiedni strój i dokumenty potwierdzające odbiór. Jeśli przekażesz mu przesyłkę, stracisz towar, który sprzedajesz, a pieniędzy za niego nigdy nie zobaczysz.
Jak jeszcze przestępcy przekonują sprzedających?
To tylko dwa przykłady z wielu, jakimi posługują się cyberprzestępcy, którzy wyrażają chęć zakupu danych przedmiotów. Dlatego miej oczy dookoła głowy i uważaj, z kim rozmawiasz przez internet i do jakich działań namawia Cię ktoś obcy.
Oszustwo na Vinted: jak odzyskać pieniądze?Jak rozpoznać, że to oszustwo na paczkę?
Przede wszystkim stosuj zasadę ograniczonego zaufania, bo wystarczy chwila nieuwagi, by Twoje dane wpadły w ręce nieuprawnionej do nich osoby. Ale do rzeczy: jak rozpoznać, że być może masz do czynienia z fejkowym kurierem?
- Wiadomość SMS, która przyszła ze standardowego, ale nieznajomego numeru (* choć, tutaj uwaga: mogą przychodzić z długich numerów). Nie wykluczam również, że mogą pojawić się nadpisy, bliźniaczo podobne do tych prawdziwych;
- Zarówno wiadomości SMS-owe, jak i e-mailowe zawierają informacje o problemach z adresem lub koniecznością zapłaty niedopłaty/opłaty celnej;
- Podesłane treści zawierają literówki i linki do domen, podszywających się pod znane marki kurierskie;
- Często nadmiernie wykorzystują wykrzykniki oraz żądania, by zmusić potencjalne ofiary do podjęcia natychmiastowych działań, np. Kliknij w link, bo stracisz możliwość odebrania paczki…;
- Możesz zostać poproszony o podanie adresu pocztowego, e-maila i numeru telefonu;
- Lub też może wyświetlić się na Twoich urządzeniu okno do wpisania danych karty płatniczej wraz z fałszywymi bramkami płatniczymi;
- Oszuści mogą oferować płatność za pobraniem z zamówieniem kuriera „na własną rękę”.
Jak uniknąć oszustwa na kuriera?
Najważniejsza zasada, z której sama korzystam: niezależnie od tego, czy nadaję, oczekuję czy zwracam paczkę, ZAWSZE wykorzystuje do tego oficjalne strony firm kurierskich. Zwolenniczką dostaw za pomocą kuriera nie jestem. Może przez nabyte doświadczenie i regularne problemy z dostarczeniem paczki na czas (albo z powodu jej gabarytów, albo innych przyczyn, z jakimi musiał borykać się kurier).
Dlatego od dłuższego czasu do przesyłek wykorzystuję aplikację InPostu, zainstalowaną na smartfona (* pobraną ze sklepu Google/App Store). Dzięki temu wiem, co się dzieje z paczką na każdym jej etapie i mam do wglądu jej statusy. Mogę też obserwować, czy na mój numer telefonu przypadkiem nie została nadana przesyłka u tego przewoźnika, którą mógł mi wysłać ktoś z bliskich. Słowem podsumowania: wszystkie potrzebne informacje mam na tacy.
Oczywiście nie zawsze mamy taką możliwość, by wybrać formę dostawy, która najbardziej nam odpowiada. Zamawiając kuriera, zwróć uwagę na poniższe działania. Na pewno uchronią Cię przed utratą pieniędzy i kradzieżą Twojej cyfrowej tożsamości.
- Nie otwieraj wiadomości od nieznanych numerów i nadawców (* SMS, e-mail) oraz nie klikaj w żadne linki nawołujące do podjęcia dalszych działań;
- Nie podawaj żadnych informacji na stronach czy aplikacjach, do których przenosi Cię link (danych osobowych, haseł, informacji o kartach płatniczych i kontach, np. CVV, data ważności, nazwisko panieńskie matki itp.);
- Korzystaj jedynie z oficjalnych stron przewoźników (* renomowanych i znanych na rynku);
- Pamiętaj: ŻADEN przewoźnik nie wyśle Ci SMS-a z prośbą o dopłatę do przesyłki. W treści zawirusowanych wiadomości może pojawić się fraza list przewozowy, której prawdziwi przewoźnicy również nie używają.
Co zrobić, gdy dałeś się nabrać oszustowi?
- Koniecznie skontaktuj się ze swoim bankiem (* osobiście lub przez infolinię). Od ręki kartę możesz zastrzec także w Systemie Zastrzegania Kart Płatniczych, dzwoniąc na numer: 828 828 828 (* czynny 24 h przez 7 dni w tygodniu. Zastrzeżenia możesz dokonać z kraju i za granicą);
- Poinformuj o oszustwie policję;
- Incydent oszustwa warto zgłosić do CERT Orange Polska w formie SMS-a na numer: 8080 lub 508 700 900 albo wysyłając e-maila: cert.opl@orange.com. Przekaż wiadomość dalej bez ingerowania w jej treść;
- Jeśli zainstalowałeś złośliwą aplikację, wyczyść swój telefon z zawirusowanego oprogramowania i przywróć urządzenie do ustawień fabrycznych.
Gdzie zgłosić oszustwo internetowe?
Najlepszą opcją jest zgłoszenie oszustwa internetowego na policję lub do prokuratury. Choć niestety w większości przypadków warto nastawić się z góry na długą i niekoniecznie wygraną walkę, zakończoną złapaniem przestępców i odzyskaniem pieniędzy.
Polecam również zgłosić zawiadomienie do firmy kurierskiej, pod którą podszywał się oszust, aby zasygnalizować jej incydent i ukrócić możliwość kolejnych prób wyłudzeń. Dorzucę jeszcze poinformowanie o całym zdarzeniu CERT Polska (* realizuje część działań NASK CSIRT i monitoruje incydenty dotyczące cyberbezpieczeństwa na poziomie krajowym).
Możesz także spróbować złożyć reklamację w banku, gdy oszust po uzyskaniu dostępu do Twojego konta bankowego, dokona z niego różnych transakcji. Jednak i w tym przypadku batalia o zwrot środków może trwać miesiącami lub w ogóle zakończyć się odrzuceniem wniosku. ALE warto próbować do skutku :)
Polecamy również: