Święta to czas wyjątkowy – niestety także dla oszustów. Wszyscy jesteśmy pochłonięci przygotowaniami do świąt, w tym także zakupem prezentów i… oczekiwaniem na przesyłki. W tym zgiełku, często działając pod presją czasu, nie poświęcamy wystarczającej uwagi bezpieczeństwu komunikacji, co ułatwia oszustom manipulowanie i skuteczne przeprowadzanie ataków.

Podobnie jak w latach ubiegłych, również w grudniu 2023 r., zauważamy znaczny wzrost ilości ataków phishingowych przyjmujących formę fałszywych powiadomień o paczkach. Oszuści, wykorzystując natłok przesyłek świątecznych, podszywają się pod znane firmy kurierskie, takie jak InPost, UPS, DHL, czy DPD, wysyłając SMS-y z fałszywymi informacjami o konieczności dopłaty lub potwierdzenia adresu dostawy.

SMS phishing

Typowe „okołoświąteczne” ataki phishingowe obejmują schematy:

  • Rzekomej niedopłaty: „Twoja paczka została wstrzymana z tytułu niedopłaty 0,99 PLN. Przepraszamy za utrudnienia. Prosimy uregulować należność klikając w link…”
  • Rzekoma nadwaga: „[Nazwa firmy kurierskiej]: Dostawa twojej przesyłki została wstrzymana z powodu nadwagi. Ureguluj należność 7,99 PLN, aby uniknąć zwrotu przesyłki: [LINK]
  • Rzekomy błędny adres/przekierowanie przesyłki: "[Nazwa firmy kurierskiej]: Przesyłka posiada błędny adres Twojej dostawy, więcej na stronie: [LINK]" lub „Twoja przesyłka nie zostanie doręczona z powodu błędnego adresu. Prosimy o aktualizację adresu w celu ponownej dostawy: [LINK]”

Takie działania, polegające na wykorzystywaniu zaufania i oczekiwań osób oczekujących na przesyłki, są charakterystycznym przykładem phishingu. SMS phishing (smishing) to metoda przestępcza, która polega na podszyciu się przez sprawcę pod inny podmiot w celu nakłonienia odbiorcy wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania. Oszuści, wykorzystując nasze oczekiwanie na przesyłki, kreują fałszywe scenariusze, które mają na celu skłonienie nas do kliknięcia w złośliwe linki lub udostępnienia wrażliwych informacji.

Jak reagować?

Przede wszystkim, jeżeli nie mamy pewności, że nadawca wiadomości SMS jest wiarygodny to nie powinniśmy klikać w żadne linki, ani odpowiadać na te wiadomości lub dokonywać płatności. W przypadku rzekomego kontaktu od firm kurierskich zdecydowanie bezpieczniejszy będzie bezpośredni kontakt z firmą przy użyciu danych pochodzących z jej witryny internetowej (z pominięciem linka przesłanego w SMS).

Aby utrudnić oszustom zaatakowanie większej liczby osób, warto zgłosić podejrzany SMS do odpowiednich organów. Zgodnie z przepisami nowej ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, CSIRT NASK pod numerem skróconym 8080 przyjmuje od odbiorców krótkich wiadomości tekstowych (SMS) zgłoszenia dotyczące wiadomości, które mogą być formą SMS phishingu.

Podejrzany SMS możemy zgłosić na numer „8080” wykorzystując funkcję „przekaż” albo „udostępnij” w swoim telefonie. Przesłanie takiego SMS-a jest bezpłatne (poza granicami Polski koszt jest zgodny z taryfą operatora). Warto zgłaszać w ten sposób wszystkie podejrzane wiadomości - już niedługo posłużą one do stworzenia bazy wzorców niebezpiecznych SMS, które będą wykorzystywanie do blokowania smishingu przez operatorów, tak aby takie wiadomości w ogóle nie trafiały do użytkowników.

Zobacz film: Sygnaliści. Kiedy przepisy wejdą w życie, bądźmy gotowi.

Aktualnie sygnaliści są tematem bardzo gorącym. Pracujemy nad przygotowaniem implementacji przepisów unijnych dotyczących ochrony osób zgłaszających naruszenia prawa w kontekście przedsiębiorstwa. Ta kwestia wzbudza wiele emocji, a prace legislacyjne są już w toku od pewnego czasu. Karolina Kalinowska, ekspertka z kancelarii CRIDO, przedstawia kluczowe założenia planowanych przepisów dotyczących ochrony instytucji, jaką stanowić będą sygnaliści.