Michał Rosiak 
W ostatnich dniach w CERT Orange Polska obserwujemy znaczący wzrost wiadomości SMS z fałszywymi informacjami, jakoby na adresata czekała paczka. Szczególnie warto uważać, na podszywające się pod kuriera DHL.
Motyw na "błędny adres", "brak numeru ulicy", czy po prostu nieskonkretyzowany problem z dostarczeniem przesyłki to jeden z najpopularniejszych modus operandi sieciowych przestępców od wielu lat. W ostatnich dniach wpadli oni na nowy ciekawy i groźny dla potencjalnych ofiar pomysł.
Paczka od... DHI
DHL: Przesyłka PL258626323BD podlega opłatom celnym (2,99 zł), przejdź do hxxps://oplaty-dhI.pl/, aby wznowić dostawę
DHL: Przesyłka PL258626323BD podlega opłatom celnym (2,99 zł), przejdź do hxxps://expressdhI24.pl/
Dwa SMS-y. Niby nie podejrzane. Jest DHL, jest numer paczki. Opłaty celne - cóż, to się zdarza. No i adres w domenie .pl, ma DHL.
Pierwszym trzem przyjrzymy się później, spójrzmy póki co na adresy:
hxxps://oplaty-dhI.pl/
hxxps://expressdhI24.pl/
Dla ułatwienia powiększyłem, a jeśli ktoś nie zauważył, to sprecyzuję jeszcze dokładniej:
l I
Pierwsze - to małe "el". Drugie - wielkie "i". Na małym ekraniku mogą faktycznie wyglądać podobnie. Jak widać po powiększeniu - są inne. Co ciekawe, po kliknięciu w linku, już w przeglądarce, wielkie I będzie już małe. Ale kto na takie "drobnostki" zwraca uwagę?
Ciekawostka - jeśli zerkniecie na rekord WhoIs obu witryn, okaże się, że zostały zarejestrowane na istniejące firmy. To rzadkość, bo zazwyczaj przestępcy wykupują domeny anonimowo, jako osoby prywatne, dzięki czemu nie w rejestrach nie znajdują się dane właściciela. To niestety dowód na to, że odpowiedzialne za to firmy potrafią nie zwracać uwagi na dokumenty przy rejestracji domeny. Cierpią na tym zarówno firmy, których marki są nadużywane, jak i przede wszystkim oszukiwani internauci.
Co dzieje się dalej
Tutaj nie ma co się rozpisywać, motyw jest klasyczny. Klikamy w link, oglądamy stronę bliźniaczo przypominającą witrynę kuriera, a tam podajemy dane osobowe, by następnie wpisać pełne dane karty płatniczej lub - jeszcze gorzej - podać dane logowania do banku w fałszywej bramce płatniczej.
Na co jeszcze warto było zwrócić uwagę, w cytowanych SMS-ach?
Numer listu przewozowego. To najprostszy sposób, by sprawdzić, czy przesyłka faktycznie istnieje. Co ciekawe, raz trafiłem na taką, która istniała, jednak została dostarczona kilka miesięcy wcześniej i w zupełnie innej części Polski. W tym przypadku, gdy wpiszemy ciąg z SMS-a na stronie trackingowej dostawcy, widzimy coś takiego:
Trzecia kwestia to rzekome opłaty. Po pierwsze - 2,99 to socjotechniczna sztuczka. Kwota "tak mała" ma nas uspokoić, że nie ma w tym nic podejrzanego), po drugie - nie spotkałem się z płaceniem należności celnych w ten sposób. Kiedyś mi się zdarzyło cło, ale wtedy regulowałem przy odbiorze.
Nie tylko DHL
W ostatnich dniach oszuści podszywają się nie tylko pod DHL. Poniżej kilka przypadków wiadomości, które wyłapały nasze systemy, bądź trafiły do nas od internautów:
- Twoja paczka zostala wstrzymana z powodu braku numeru ulicy na paczce. Zaktualizuj informacje o wysylce: posatlkeew[.]tech/iEyqoL
- Twoj adres wysylki jest bledny i nie moze zostac dostarczony. Prosze natychmiast zmienic: hxxps://inports-ixu[.]top/i
- Twoj adres wysylki jest bledny i nie moze zostac dostarczony. Prosze natychmiast zmienic: hxxps://inpos7[.]monster/yO2q3X
- Twoj przedmiot zostal zwrocony, poniewaz brakuje wprowadzonego numeru domu. Zaktualizuj swoje dane: inpostulrs[.]top/a
- Twoj przedmiot zostal zwrocony, poniewaz brakuje wprowadzonego numeru domu. Zaktualizuj swoje dane: shabeell[.]com
- Twoje zamowienie o numerze AS847439558 oczekuje na wysylke. Potwierdz, ze wprowadzony adres jest poprawny: inpost-pl[.]org/XBXFOd
- Drogi uzytkowniku,zakupiony produkt zostal wstrzymany z powodu nieprawidlowego adresu.Prosimy o terminowe aktualizowanie aktualnych informacji. binpoost[.]top/pl
- Proba dostarczenia 2/2: nieudana. Potwierdz szczegoly dostawy, w przeciwnym razie Twoj przedmiot zostanie zwrocony: inpost-pl[.]org/XBXFOd
Beata Giska 
