W ostatnich dniach na telefony Polaków masowo trafiają wiadomości SMS, które na pierwszy rzut oka wyglądają jak standardowe powiadomienie od firmy kurierskiej. To jednak starannie przygotowana pułapka, mająca na celu kradzież pieniędzy i danych osobowych. Cyberprzestępcy zmodyfikowali znaną metodę „na paczkę”, dostosowując ją do obecnego okresu letnich wyprzedaży i dodając nowy, podstępny element, który ma uśpić czujność ofiar. Eksperci ds. cyberbezpieczeństwa alarmują, że kampania jest szeroko zakrojona, a jej skutki mogą być katastrofalne dla domowych budżetów.
Zagrożenie jest tym większe, że oszuści wykorzystują naszą psychikę i przyzwyczajenia. W dobie e-commerce niemal każdy czeka na jakąś przesyłkę, a komunikat o problemach z dostawą wywołuje natychmiastową chęć rozwiązania problemu. Przestępcy liczą na nasze roztargnienie i działanie pod presją czasu, którą sami narzucają w treści fałszywej wiadomości. Zrozumienie mechanizmu tego ataku to pierwszy i najważniejszy krok, aby nie stać się kolejną ofiarą i skutecznie ochronić swoje finanse.
Nowa taktyka oszustów. Jak dokładnie wygląda atak?
Cyberprzestępcy rozsyłają wiadomości SMS o bardzo konkretnej i niepokojącej treści. Zazwyczaj komunikat brzmi podobnie do tego: „Twoja paczka dotarła do magazynu, ale została zatrzymana i nie może zostać dostarczona, ponieważ adres jest niejasny. Proszę potwierdzić adres podany w linku w ciągu 12 godzin”. Już sama treść, zawierająca element presji czasowej, ma skłonić odbiorcę do szybkiego i nieprzemyślanego działania.
Jednak kluczowa zmiana w tej kampanii polega na dodaniu nowego kroku, który ma na celu obejście filtrów antyspamowych w telefonach oraz uwiarygodnienie oszustwa w oczach ofiary. W dalszej części wiadomości pojawia się instrukcja: „Proszę odpowiedzieć Y. Następnie zatrzymaj wysyłanie SMS-ów i otwórz ponownie link aktywacyjny SMS lub skopiuj link do przeglądarki Safari i użyj go”. To perfidna sztuczka psychologiczna. Odpisanie na SMS sprawia, że konwersacja może zostać uznana przez system telefonu za „zaufaną”, a ofiara, wykonując pierwszy krok, staje się bardziej skłonna do wykonania kolejnego, czyli kliknięcia w niebezpieczny link.
Po kliknięciu w link użytkownik jest przenoszony na fałszywą stronę internetową, która do złudzenia przypomina witrynę znanej firmy kurierskiej lub operatora płatności. Tam proszony jest o „weryfikację adresu” poprzez dokonanie symbolicznej opłaty, np. 1 zł. W rzeczywistości formularz płatności to narzędzie do kradzieży pełnych danych karty kredytowej lub danych logowania do bankowości elektronicznej. W ten sposób przestępcy uzyskują dostęp nie tylko do niewielkiej kwoty, ale do wszystkich środków na koncie ofiary.
Od Świąt do letnich wyprzedaży. Dlaczego oszuści zmieniają terminy?
Jeszcze do niedawna tego typu oszustwa nasilały się głównie w okresie przedświątecznym. Listopad i grudzień były dla cyberprzestępców „złotym czasem”, ponieważ Polacy masowo zamawiali prezenty, co prowadziło do logistycznego chaosu. W natłoku powiadomień o statusie kilku czy kilkunastu przesyłek, łatwo było przeoczyć, że jedna z wiadomości jest fałszywa. Oszuści bazowali na zjawisku tzw. „poznawczej automatyzacji” – przytłoczony umysł działa szybciej, ale mniej dokładnie, przez co stajemy się podatni na manipulację.
Teraz jednak widzimy wyraźną zmianę strategii. Przestępcy uderzają w środku lata, wykorzystując okres wielkich wyprzedaży w sklepach internetowych. Mechanizm jest ten sam – wzmożony ruch w e-commerce sprawia, że wiele osób faktycznie czeka na paczki. Jednak czujność konsumentów może być niższa niż przed Bożym Narodzeniem, ponieważ media rzadziej ostrzegają przed tego typu zagrożeniami poza sezonem świątecznym. To pokazuje, że cyberprzestępcy na bieżąco analizują zachowania konsumentów i dostosowują swoje kampanie tak, aby uderzyć w najmniej spodziewanym momencie.
Ta ewolucja taktyki dowodzi, że zagrożenie phishingowe jest stałe i całoroczne. Nie można już zakładać, że fałszywe SMS-y o paczkach to problem wyłącznie zimowy. Każdy okres wzmożonych zakupów online, niezależnie czy jest to Black Friday, Boże Narodzenie czy letnie promocje, stanowi dla oszustów idealną okazję do ataku.
To nie tylko paczki. Jakie inne zagrożenia czyhają w sieci?
Oszustwo „na paczkę” to tylko wierzchołek góry lodowej. Polacy są celem wielu różnych rodzajów ataków cyfrowych, które wykorzystują podobne mechanizmy socjotechniczne. Ważne jest, aby znać najpopularniejsze z nich, by móc skutecznie się bronić:
- Phishing podszywający się pod instytucje: Fałszywe e-maile i SMS-y rzekomo od ZUS, urzędu skarbowego, banku czy nawet Centralnego Rejestru Wyborców. Zazwyczaj informują o rzekomej nadpłacie podatku, konieczności aktualizacji danych lub zablokowaniu konta, zawsze z linkiem prowadzącym do fałszywej strony logowania.
- Fałszywe inwestycje: Agresywne reklamy w mediach społecznościowych, często wykorzystujące bezprawnie wizerunek znanych osób. Obiecują one nierealistycznie wysokie i szybkie zyski z inwestycji w kryptowaluty lub akcje. Po wpłacie „minimalnego wkładu” kontakt z rzekomym „analitykiem” się urywa, a pieniądze znikają.
- Złośliwe oprogramowanie na Androida: Przestępcy tworzą fałszywe aplikacje (np. udające programy antywirusowe, aplikacje kurierskie) lub ukrywają trojany w legalnych aplikacjach pobieranych z nieoficjalnych źródeł. Po instalacji złośliwe oprogramowanie może przejąć kontrolę nad telefonem, przechwytywać kody SMS z banku i kraść pieniądze z konta.
- Oszustwa na portalach sprzedażowych: Ataki wymierzone zarówno w kupujących, jak i sprzedających na platformach typu OLX czy Vinted. Oszuści wysyłają linki do fałszywych stron płatności lub firm kurierskich, aby wyłudzić dane karty lub dane logowania do banku.
Jak się bronić? Policja i eksperci radzą, co robić
Choć metody oszustów stają się coraz bardziej wyrafinowane, podstawowe zasady cyberhigieny pozostają niezmienne i niezwykle skuteczne. Policja oraz eksperci z Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CERT Polska) apelują o zachowanie zdrowego rozsądku i stosowanie się do kilku kluczowych reguł.
Przede wszystkim, nigdy nie klikaj w linki otrzymane w podejrzanych wiadomościach SMS lub e-mail. Nawet jeśli spodziewasz się paczki, nie korzystaj z linku w wiadomości. Zamiast tego, wejdź na oficjalną stronę internetową firmy kurierskiej lub otwórz jej dedykowaną aplikację i tam, używając numeru przesyłki, sprawdź jej status. To najbezpieczniejsza metoda weryfikacji.
Po drugie, nigdy nie odpisuj na takie wiadomości. Odpowiedź „Y”, o którą proszą oszuści, to dla nich sygnał, że Twój numer jest aktywny i że jesteś potencjalnie podatny na dalszą manipulację. Zignorowanie i usunięcie wiadomości to najlepsza reakcja. Zwracaj także uwagę na język komunikatu – błędy gramatyczne, stylistyczne czy dziwne sformułowania (jak „skopiuj link do przeglądarki Safari”) to niemal pewny znak, że masz do czynienia z oszustwem.
Jeśli otrzymasz podejrzaną wiadomość SMS, zgłoś ją do analizy przez ekspertów CERT Polska. Wystarczy przesłać całą treść wiadomości na bezpłatny numer 8080. Twoje zgłoszenie pomoże w blokowaniu złośliwych stron i ostrzeganiu innych użytkowników. Pamiętaj, że w cyfrowym świecie Twoja czujność jest najlepszą linią obrony.