Nietypowy atak przez SMS na klientów InPostu. Nawet jeśli jesteś ostrożny, łatwo dać się oszukać

1 maja 2023 3 minuty czytania

To prawda, że jesteśmy już wyczuleni na dziwne SMS-y od naciągaczy, podszywających się pod oficjalne konta firm – pocztowych, kurierskich, a nawet imitujących dostawców energii elektrycznej czy usług bankowości mobilnej. Ale nie da się ukryć, że fałszerze ciągle znajdują nowe sposoby, żeby nas czymś zaskoczyć. Tym razem chcą oszukać nas „na InPost”… i to w wyjątkowo sprytny sposób.

Spis treści

Jeśli kiedykolwiek dostaliście podejrzaną wiadomość SMS o treści, która wzbudziła Wasze podejrzenie, prawdopodobnie padliście ofiarą phishingu, czyli ataku, w którym przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji lub nakłonienia odbiorcy do określonych działań.

Uważajcie na oszustów podszywających się pod InPost! 🔉
W trosce o Was apelujemy – bądźcie ostrożni w sieci!
→ Pobierajcie naszą apkę InPost Mobile tylko z oficjalnych źródeł ⚠️
→ Korzystajcie ze sprawdzonych form wysyłki ⚠️
→ Nigdy nie klikajcie w podejrzane linki ⚠️
— Paczkomat, Kurier (@InPostPL) April 25, 2023

Oczywiście na najbardziej perfidne oszustwa wyczulone są nawet starsze osoby, co nie znaczy, że naciągacze nie znajdują coraz to nowych metod na skłonienie ofiar do przekazania danych osobowych oraz pieniędzy. Najnowszy „pomysł” przestępców jest tak dobrze dopracowany, że pomylić się może nawet osoba podchodząca z dużą dozą rezerwy do wszystkich wiadomości otrzymanych od zewnętrznych usługodawców. Przypadek bardzo nietypowego oszustwa opisał niedawno należący do Wirtualnej Polski serwis dobreprogramy.pl.

Sekret InPostowego „przestępstwa doskonałego”

Otóż zainfekowane SMS-y są tak zaprojektowane, aby po wysłaniu znajdowały się w głównym wątku w wiadomościach na naszych smartfonach. Oznacza to, że po prawdziwej wiadomości SMS od InPostu, informującym np. o śledzeniu dostawy naszej paczki, pojawi się wiadomość, mająca na celu wyłudzenie danych lub pieniędzy. Wszystko dlatego, że cyberprzestępcy zdołali dopasować identyfikator do tego rzeczywistego wątku od InPostu.

Celem są zatem w pierwszej kolejności wszystkie osoby korzystające z usług InPostu, ponieważ w przeszłości otrzymywali SMS-y od tej firmy, które były prawdziwe i nie budziły wątpliwości. A przecież klientów InPost ma sporo, szczególnie że firma prężnie rozwija się za granicą i w kraju – w Polsce stanął niedawno oryginalny jubileuszowy paczkomat.

Wskazówka: rozpoznaj wyłudzającą wiadomość

Chociaż identyfikacja oszustwa nie należy do najłatwiejszych, możemy być sprytniejsi niż przestępcy. To, na co na pewno warto zwrócić uwagę, to zdanie informujące, że „przesyłka nie może zostać dostarczona z powodu błędnie podanego adresu”. Oprócz tego, nie należy klikać w jakiekolwiek linki zawarte w wiadomościach – to prosta droga, aby „dać się złapać”. W momencie, w którym trafimy na spreparowaną stronę internetową i zaczniemy wpisywać dane, oszuści automatycznie mogą je przechwycić.

Jak uchronić się przed phishingiem?

Powtórzymy – nie klikać w podejrzane linki. Ale z drugiej strony nie możemy przecież z założenia odrzucać wszystkich URL-ów, które do nas przychodzą, ponieważ niektóre z nich są wiarygodne i przekierowują nas do konkretnych działań. Czy jest metoda, aby je zweryfikować? Oczywiście – w tym celu zaprojektowano wyspecjalizowane narzędzia. Listę najlepszych programów do sprawdzania poprawności adresów WWW znajdziecie tutaj.

Źródło: innpoland.pl, dobreprogramy, opracowanie własne