Święta to czas wyjątkowy – niestety także dla oszustów. Wszyscy jesteśmy pochłonięci przygotowaniami, w tym także zakupem prezentów i… oczekiwaniem na przesyłki. W tym zgiełku często działając pod presją czasu, nie poświęcamy wystarczającej uwagi bezpieczeństwu komunikacji, co ułatwia oszustom manipulowanie i skuteczne przeprowadzanie ataków. Tekst ekspercki przygotował Sebastian Zieliński Senior Associate w CRIDO.
Podobnie jak w latach ubiegłych, również w grudniu 2023 r., zauważyć można znaczny wzrost liczby ataków phishingowych przyjmujących formę fałszywych powiadomień o paczkach. Oszuści, wykorzystując natłok przesyłek świątecznych, podszywają się pod znane firmy kurierskie, takie jak InPost, UPS, DHL, czy DPD, wysyłając SMS-y z fałszywymi informacjami o konieczności dopłaty lub potwierdzenia adresu dostawy.
SMS phishing
Typowe „okołoświąteczne” ataki phishingowe obejmują schematy:
1) Rzekomej niedopłaty: „Twoja paczka została wstrzymana z tytułu niedopłaty 0,99 PLN. Przepraszamy za utrudnienia. Prosimy uregulować należność klikając w link…”
2) Rzekoma nadwaga: „[Nazwa firmy kurierskiej]: Dostawa twojej przesyłki została wstrzymana z powodu nadwagi. Ureguluj należność 7,99 PLN, aby uniknąć zwrotu przesyłki: [LINK]”
3) Rzekomy błędny adres/przekierowanie przesyłki: „[Nazwa firmy kurierskiej]: Przesyłka posiada błędny adres Twojej dostawy, więcej na stronie: [LINK]” lub „Twoja przesyłka nie zostanie doręczona z powodu błędnego adresu. Prosimy o aktualizację adresu w celu ponownej dostawy: [LINK]”
Takie działania, polegające na wykorzystywaniu zaufania i oczekiwań osób oczekujących na przesyłki, są charakterystycznym przykładem phishingu. SMS phishing (smishing) to metoda przestępcza, która polega na podszyciu się przez sprawcę pod inny podmiot w celu nakłonienia odbiorcy wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania. Oszuści, wykorzystując nasze oczekiwanie na przesyłki, kreują fałszywe scenariusze, które mają na celu skłonienie nas do kliknięcia złośliwe linki lub udostępnienia wrażliwych informacji.
Jak reagować?
Przede wszystkim, jeżeli nie mamy pewności, że nadawca wiadomości SMS jest wiarygodny, to nie powinniśmy klikać w żadne linki, ani odpowiadać na te wiadomości lub dokonywać płatności. W przypadku rzekomego kontaktu od firm kurierskich zdecydowanie bezpieczniejszy będzie bezpośredni kontakt z firmą przy użyciu danych pochodzących z jej witryny internetowej (z pominięciem linka przesłanego w SMS).
Aby utrudnić oszustom zaatakowanie większej liczby osób, warto zgłosić podejrzany SMS do odpowiednich organów. Zgodnie z przepisami nowej ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, CSIRT NASK pod numerem skróconym 8080 przyjmuje od odbiorców krótkich wiadomości tekstowych (SMS) zgłoszenia dotyczące wiadomości, które mogą być formą SMS phishingu.
Podejrzany SMS możemy zgłosić na numer „8080”, wykorzystując funkcję „przekaż” albo „udostępnij” w swoim telefonie. Przesłanie takiego SMS-a jest bezpłatne (poza granicami Polski koszt jest zgodny z taryfą operatora). Warto zgłaszać w ten sposób wszystkie podejrzane wiadomości — już niedługo posłużą one do stworzenia bazy wzorców niebezpiecznych SMS, które będą wykorzystywanie do blokowania smishingu przez operatorów, tak aby takie wiadomości w ogóle nie trafiały do użytkowników.
