Wiadomość SMS o paczce. Nadawcą nie jest InPost

O problemie informuje CSIRT KNF. W wydanym komunikacie widać wiadomość SMS, która może trafić w praktyce do losowych osób - których numery telefonów wyciekły wcześniej do internetu, na przykład w konsekwencji innych ataków. Wiadomość brzmi wiarygodnie i jest skonstruowana tak, by odbiorca myślał, że nadawcą jest firma InPost. Wykorzystanie wątku "paczki" jest z pewnością korzystne z uwagi na okres przedświąteczny i potencjalne oczekiwanie na dostawy prezentów przez wiele osób.

Jeśli odbiorca SMS-a "od InPostu" nie zorientuje się, że jest to próba oszustwa, klikając link trafi na spreparowany serwis firmy kurierskiej, gdzie kolejno zostanie od niego wyłudzony szereg danych - wszystko pod pretekstem aktualizacji adresu dostawy paczki. Po wypełnieniu danych teleadresowych, ofiara przenoszona jest do ostatniego etapu, gdzie w formularzu należałoby podać kompletne dane karty płatniczej: imię, nazwisko, numer oraz kod CVV. Uzupełnione dane trafiają prosto w ręce oszustów.

W konsekwencji należy się spodziewać straty finansowej. Atakujący najpewniej wykorzystają podane dane, aby chwilę później zrealizować płatność za jakieś zakupy na koszt ofiary. Inny scenariusz to podpięcie karty do płatnej usługi, w wyniku czego z konta będzie ubywać niewielka kwota co pewien czas. Jeśli ofiara nie zorientowała się do tego momentu, że padła ofiarą oszustwa, może jeszcze długo nie zauważyć, że stan konta w banku nie zgadza się tylko o kilkadziesiąt czy kilkaset złotych miesięcznie.

Jak zawsze w takich sytuacjach przypominamy, by nie klikać machinalnie linków, które pojawiają się w wiadomościach SMS i e-mailach, zwłaszcza gdy chodzi o wezwanie do jakiegoś działania. Podobny mechanizm wykorzystują oszuści, którzy próbują podszyć się pod kupujących i oszukują sprzedających przedmioty w serwisach Allegro Lokalnie, OLX czy Vinted.

Warto pamiętać, że wszystkie podejrzane wiadomości SMS można zgłaszać do analizy bezpieczeństwa pod numerem 8080 do zespołu CERT Polska.