Właśnie trwa potężny atak oszustów udających DPD. Najlepiej w ogóle w takie SMS-y nie klikać

Do sieci trafiają kolejne zrzuty ekranu od zaniepokojonych użytkowników. Schemat jest niemal zawsze ten sam: krótka informacja o nieudanej próbie doręczenia, pretekst w postaci „braku kontaktu z odbiorcą" albo „konieczności aktualizacji adresu", a na końcu link do strony, która z infrastrukturą polskiego oddziału DPD nie ma nic wspólnego. Adresy w rodzaju temp.level33.tv/dpl czy dpd-valnexa.link zdradzają oszustwo już na pierwszy rzut oka — problem w tym, że większość odbiorców czyta takiego SMS-a w biegu, często w trakcie kupy innych spraw, i klika, zanim zdąży się zastanowić.

Jak rozpoznać fałszywego „kuriera" od razu

Najbardziej jaskrawym sygnałem ostrzegawczym jest numer nadawcy. W świeżej fali ataków wiadomości przychodzą m.in. z brytyjskiego numeru zaczynającego się od +44, a także z polskich numerów komórkowych zaczynających się od +48 — czyli zwykłych, „konsumenckich" SIM-ek. Tymczasem prawdziwe firmy kurierskie, w tym DPD Polska, wysyłają powiadomienia z nadawcy alfanumerycznego (czyli takiego, gdzie w miejscu numeru widnieje po prostu nazwa firmy) albo z dedykowanych numerów serwisowych. Jeżeli w książce wiadomości pojawia się zwykły telefon komórkowy, na dodatek zagraniczny — to nie jest kurier.

Drugim sygnałem jest sama konstrukcja wiadomości. Błędy ortograficzne, brak polskich znaków, sztuczny język „z translatora", prośby o wysłanie „Y" w odpowiedzi i zamknięcie-otwarcie aplikacji SMS (tak wygląda jedna z bardziej wyrafinowanych wersji, która próbuje obejść filtry antyspamowe w iMessage) — wszystko to są oznaki typowej kampanii phishingowej. A wreszcie link: żadna rzetelna firma kurierska nie wysyła klientów na domeny trzeciego rzędu, zarejestrowane kilka dni wcześniej, z losowymi subdomenami w stylu „valnexa" czy „level33".

Co się dzieje po kliknięciu w link

Wbrew pozorom celem oszustów rzadko bywają same „dopłaty" w wysokości kilku złotych — choć i ta metoda wciąż działa. W nowszych kampaniach chodzi o poważniejszą stawkę: wyłudzenie danych logowania do bankowości elektronicznej, numeru karty wraz z CVV, a w najgorszym wariancie — zainstalowanie na telefonie złośliwego oprogramowania, które przejmuje kontrolę nad urządzeniem. Ofiara wchodzi na stronę wyglądającą jak prawdziwy panel DPD, wypełnia formularz „płatności 1 zł za ponowne doręczenie" i w tym samym momencie przekazuje przestępcom komplet danych potrzebnych do wyczyszczenia jej konta. W sposobach oszustwa SMS wykorzystywane są dokładnie te same mechanizmy od lat — zmieniają się tylko szyldy, pod które podszywają się sprawcy.

Dlaczego akurat teraz i dlaczego akurat DPD

Skala ataków rośnie nieprzypadkowo. Okres świątecznej i poświątecznej wysyłki to dla branży kurierskiej absolutne apogeum roku. Miliony Polaków oczekują na paczki z internetowych zakupów, a każda kolejna osoba, która rzeczywiście spodziewa się przesyłki, to potencjalna ofiara. Oszuści wysyłają SMS-y „na ślepo", licząc na to, że choć mały procent odbiorców akurat ma w danej chwili aktywne śledzenie jakiejś przesyłki. Statystyka robi swoje — wystarczy trafić w ułamek procenta, by całą kampanię uznać za opłacalną.

Sam wybór DPD również nie jest dziełem przypadku. Firma dostarcza dziesiątki milionów paczek rocznie, ma silną rozpoznawalność marki, a jej nazwę łatwo wpleść w krótki komunikat SMS. Wcześniej podobne problemy z falą fałszywych wiadomości miały też inne podmioty — wystarczy przypomnieć sytuację, w której fałszywe SMS-y do klientów InPostu skłoniły firmę do czasowego wstrzymania własnych powiadomień o statusie przesyłki. Żaden kurier nie jest immunizowany — to tylko kwestia rotacji szyldu.

Kontekst prawny — to klasyczne oszustwo z art. 286 k.k.

Z punktu widzenia prawa podszywanie się pod firmę kurierską i wyłudzanie w ten sposób danych lub pieniędzy wyczerpuje znamiona oszustwa z art. 286 § 1 Kodeksu karnego, zagrożonego karą pozbawienia wolności od sześciu miesięcy do ośmiu lat. Jeżeli dodatkowo dochodzi do nieuprawnionego dostępu do systemu informatycznego ofiary (np. poprzez zainstalowanie trojana), w grę wchodzą także przepisy rozdziału XXXIII k.k. o przestępstwach przeciwko ochronie informacji. Problem w tym, że większość takich kampanii prowadzona jest z zagranicy, często za pomocą łańcucha pośredników i spreparowanych kart SIM, co czyni ściganie sprawców niezwykle trudnym. W praktyce ciężar ochrony przed atakiem spada więc na samego odbiorcę.

Warto też pamiętać o czymś, o czym ofiary phishingu często zapominają: nawet jeśli sami nie daliśmy się nabrać, a jedynie otrzymaliśmy podejrzanego SMS-a, warto zareagować. Zgodnie z art. 304 § 1 Kodeksu postępowania karnego każdy obywatel ma społeczny obowiązek zawiadomienia o popełnieniu przestępstwa ściganego z urzędu — a oszustwo takim przestępstwem jest. Kwestie praktyczne związane z tym, kiedy i jak złożyć zawiadomienie o przestępstwie popełnionym w internecie, nie są wcale oczywiste, ale sam fakt istnienia takiego obowiązku warto mieć w głowie.

Co robić, gdy taki SMS już przyszedł

Podstawowa zasada jest prosta: nie klikać. Nie odpowiadać. Nie wchodzić w żadną interakcję z nadawcą. Każda reakcja — nawet napisanie „STOP" w odpowiedzi — potwierdza oszustom, że numer jest aktywny i trafi do nich do dalszych kampanii. Drugi krok to przesłanie wiadomości do CERT Polska pod numer 8080, pod który zgłasza się podejrzane SMS-y. To darmowa usługa działająca od kilku lat i obecnie najprostsze narzędzie zgłaszania tego typu incydentów w Polsce. Na podstawie masowych zgłoszeń CERT typuje domeny do blokady, a operatorzy telekomunikacyjni — zobowiązani do tego ustawą o zwalczaniu nadużyć w komunikacji elektronicznej — te wiadomości filtrują.

Jeśli ktoś zorientował się, że jednak kliknął w link, a nawet podał dane, sprawa jest pilniejsza. Należy natychmiast skontaktować się z bankiem (każdy ma własną, 24-godzinną infolinię antyfraudową), zastrzec karty, zmienić hasła do bankowości elektronicznej — najlepiej z innego urządzenia — i rozważyć zastrzeżenie numeru PESEL w rejestrze zastrzeżeń. Skala problemu jest na tyle duża, że do niedawna traktowano ją jako margines cyberprzestępczości, a dziś CERT Polska jako kluczowy punkt kontaktu w sprawach cyberbezpieczeństwa odbiera setki tysięcy zgłoszeń rocznie — według raportu tego zespołu w 2022 roku było ich ponad 322 tysiące, z czego około 65 proc. zaklasyfikowano jako phishing.

Uwaga także na paczki za pobraniem

Aktualna kampania SMS-owa nie jest zresztą jedynym wariantem oszustwa „na kuriera", jakie krąży w Polsce. Równolegle działa znacznie starszy, a obecnie znów przybierający na sile schemat, w którym przestępcy wysyłają na adres ofiary fizyczną paczkę za pobraniem — licząc na to, że nieświadomy domownik odbierze ją i zapłaci gotówką albo kartą, nie sprawdzając nadawcy. O tym, jak bronić się przed oszustwami na paczkę za pobraniem, pisaliśmy już wcześniej, ale zasada jest identyczna: nie odbierać niczego, czego się nie zamawiało, i zawsze weryfikować nadawcę jeszcze przed zapłatą. To tym ważniejsze, że kurier nie ma obowiązku czekać, aż paczka zostanie otwarta i sprawdzona — a po zapłacie odzyskanie pieniędzy graniczy z cudem.

Fala fałszywych SMS-ów „od DPD" to nic nowego pod słońcem — zmienia się tylko technika, domeny, nadawcy i linki. Oszuści działają schematami, bo schematy działają. Wystarczy jednak raz wyrobić w sobie odruch „kurier + link = weryfikuj", żeby przestać być w grupie ryzyka. A jeżeli wiadomość wygląda podejrzanie, odpowiedź brzmi niezmiennie: nie klikać, nie płacić, przesłać na 8080.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj