I na innych kurierów też - żeby nie było, że piszę tylko o jednym. DPD, Pocztex, InPost, ew. DHL - te marki są bezustannie pod ostrzałem sieciowych oszustów. Zastanawiając się nad tematem na dzisiaj zerknąłem do naszych systemów na listę SMS-ów, które wysłaliście na naszą zgłaszarkę 508 700 900. No i proszę - żywy, wciąż używany przez oszustów przykład.
SMS-y "kurierskie" przychodzą od różnych adresatów. Najczęściej ze zwykłych numerów (głównie ze strefy +48), zdarzają się też przychodzące z nadpisów (DPD, DHL, czy też nadpisy przypominające nazwy firm kurierskich.
SMS "od DPD" podstępny na wielu płaszczyznach
Poniżej faktyczny SMS przesłany na zgłaszarkę CERT Orange Polska przez jednego z internautów. Podzieliłem go na kilka części dla czytelności - oryginalna wiadomość była wyjątkowo długa.
Pierwsza część - podszycie pod znaną markę, informacja o nieudanej dostawie. Następnie - fałszywy link, stworzony według wzorca hxxps://prawdziwafirma.com-reszta_domeny.xyz. Dlaczego tak? Bo nasz mózg, idąc "na skróty", zobaczywszy prawdziwy adres na początku później może - podświadomie - zarzucić analizowanie tego, co znajdzie dalej. Trzeci krok to element specjalnie dla właścicieli iPhone'ów. W ich przypadku otwierany SMS od nowego nadawcy zawierający link jest domyślnie traktowany jako niezaufany. Na koniec - klasyczna reguła niedostępności Cialdiniego. Masz mało czasu, musisz dzisiaj, inaczej nie dostaniesz przesyłki.
Co się stanie, gdy klikniemy w link? To zależy. Jeśli zrobimy to na komputerze, to... w zasadzie nic:
To znany mechanizm, stosowany przez oszustów. Kampanie phishingowe bardzo często otwierają się wyłącznie na urządzeniach mobilnych. Dlaczego? Przede wszystkim dlatego, że na małym ekranie obszar paska adresu w przeglądarce po pierwsze jest mały, po drugie zaś - szybko znika. Dlatego potrzebujemy telefonu, by zobaczyć to:
Jak widać na pasku adresu - jest dpd.com i nie zdziwiłoby mnie, gdyby (zbyt) wielu internautów odruchowo pomyślało, że to co dalej to po prostu szczegółowy link do strony, a nie zakończenie adresu fałszywej domeny.
Kolejne kroki to modus operandi znane już od lat:
Znów sporo czerwonych flag. Część treści po niderlandzku, do tego "powiaty" i "prowincja" - nazewnictwo nie używane w Polsce. Plus stylistyka ("aby upewnić się, że ponowna dostawa się powiedzie").
Kolejny krok - jak można się było spodziewać - to już miejsce na wpisanie danych karty płatniczej.
Tu też kilka błędów stylistycznych ("otrzymywanie informacji", "zrozumiałem i akceptuj"). Do tego brak waluty, w której miałaby zostać dokonana rzekoma wpłata. Oczywiście po wpisaniu danych karty oszuści wypłacą sobie wszystko, nie ograniczą się do 1,43 - niezależnie od tego, czy mieli na myśli złotówki, czy euro.
Jak uniknąć ryzyka?
Wiem, wiem - piszę o tym od lat. I wiecie co? Będę powtarzał do znudzenia. Bo skoro przestępcy robią takie kampanie, to znaczy, że ludzie niezmiennie się na nie łapią :( Tak więc pamiętaj:
- Jeśli dostajesz SMS-a o niestandardowej treści, zawierającego link: przeczytaj go dokładnie zanim klikniesz.
- Wydaje Ci się zbyt podejrzany? Usuń go! Ewentualnie zadzwoń na infolinię rzekomego nadawcy (w tym przypadku DPD) i upewnij się, czy coś do Ciebie wysłali.
- Link to tzw. skracacz (np. bit.ly)? Nie ufaj. Wydaje się normalny albo nie masz stuprocentowej pewności? Samo kliknięcie w link nie spowoduje niczego nie złego. Ale zanim zrobisz cokolwiek więcej, dokładnie sprawdź adres w pasku przeglądarki.
- Gdziekolwiek widzisz jakąkolwiek czerwoną flagę? Zamykaj stronę, to oszustwo.
- Nie wpisuj nigdzie danych wrażliwych (w tym danych karty) jeśli nie masz absolutnej pewności co do wiarygodności strony.
Uważaj na siebie. Nie daj się oszukać. Pamiętaj, że jeśli w grę wchodzą Twoje pieniądze, nie rób niczego odruchowo. Zawsze najpierw przemyśl.
