Uwaga na SMSy z dopłatami do przesyłek kurierskich!
Jeden z operatorów przesyłek rozesłał ostrzeżenie do swoich klientów i przestrzega ich przed atakiem “z dopłatą do zbyt ciężkiej przesyłki”.
Przestępcy wciąż uderzają w klientów SMS-ami “na dopłatę 1PLN“. Dalej podszywają się pod operatorów kurierskich, duże sklepy internetowe i pod byle pretekstem (a to “przesyłka była za ciężka i wysyłka okazała się droższa“, a to “ogłoszenie musi być zweryfikowane”) przekierowują ofiary do „podrobionych” paneli pośredników w płatnościach (głównie imitujących Dotpay i PayU).
Atak, w jednym z najpopularniejszych wariantów zaczyna się od otrzymania wiadomości SMS proszącej o dopłatę, bo paczka okazałą się cięższa. Kwoty są różne, zazwyczaj małe (0,76PLN, 1PLN) i nie zawsze podawane w treści SMSa.
Wysyłany przez złodziejów SMS jest podpisany nazwą znanej firmy, np. Inpostu, DHL lub Biedronki. To dlatego Twój telefon pokaże tego fałszywego SMS-a zaraz pod prawdziwymi SMS-ami, które otrzymałeś od tych firm. To dodaje wiarygodności, ale pamiętaj że SMS-a każdy może wysłać z dowolnej nazwy, niezależnie od tego, czy będzie to DHL, Inpost, KURIER. W polu nadawcy można wpisać cokolwiek.
Złodzieje w ramach jednej akcji rozsyłają tysiące SMS-ów na losowe numery Polaków.
Jeśli klient się nie zorientuje, że link wcale nie prowadzi do prawdziwego adresu strony kuriera lub pośrednika w płatnościach (DotPay, PayU, Przelewy24), to straci wszystkie pieniądze jakie ma na koncie w banku. W dodatku, na małym ekranie telefonu, często adres strony (tzw. URL) znika po chwili od załadowania strony lub nie jest w pełni widoczny bo nie mieści się w całości na ekranie.
Na tym etapie, chcesz dokonać niewielkiej opłaty, żeby Twoja paczka ruszyła w drogę, działasz rutynowo. W końcu nie raz opłacałeś coś w internecie. Wiesz, że trzeba wybrać bank, podać login i hasło, a następnie przepisać kod, jaki bank Ci wyśle SMS-em lub przez aplikację mobilną. I wszystko wygląda tak, jak podczas prawdziwej płatności — poza adresem strony banku.
Myślisz, że logujesz się do swojego banku, ale logujesz się na stronie podstawionej przez złodzieja.
Dzięki temu, złodziej dysponuje już Twoim loginem i hasłem do konta w banku i w tej samej chwili loguje się na Twoje konto w banku. Po zalogowaniu, definiuje na Twoim koncie nim tzw. odbiorcę zaufanego, czyli rachunek, na który będzie można przesyłać pieniądze z konta ofiary BEZ konieczności każdorazowego potwierdzania takiego przelewu kodem z SMS. Ale żeby takiego odbiorce zaufanego zdefiniować na Twoim koncie, złodziej musi poznać kod jaki SMS-em przesyła Ci bank, aby potwierdzić operację dodania zaufanego odbiorcy.
I Ty złodziejowi ten kod podasz… Bo w tym momencie widzisz przed sobą formularz potwierdzania przelewu na tę złotówkę, którą musisz dopłacić kurierowi za “cięższą” paczkę.
Wiesz, że aby potwierdzić przelew, musisz przepisać kod z SMS-a przesłanego przez bank. I taki SMS w tym momencie otrzymujesz. Ale — co widać w treści SMS-a, a czego ofiary nie zauważają — nie jest to SMS dotyczący potwierdzenia przelewu 1 PLN z rachunku ofiary na rachunek kuriera. SMS z kodem, jaki ofiara otrzymuje, to SMS dotyczący transakcji, którą na jej koncie w tym momencie wykonuje złodziej, czyli wspomnianej wcześniej “definicji odbiorcy zaufanego”, co zresztą w treści SMS-a jest, niestety nie zawsze jasno, wskazane.
Nie przeczytasz uważnie SMS-a od banku i stracisz oszczędności całego swojego życia
Jeśli nie zorientujesz się, że kod w SMS dotyczy innej operacji (definicja odbiorcy zaufanego) niż tej, którą właśnie wykonujesz (przelew złotówki), bo zawsze odruchowo, rutynowo szukasz “tych podkreślonych cyferek na końcu SMS-a” i automatycznie je przepiszesz, byle szybciej, to prześlesz złodziejowi kod, którego on potrzebuje do zakończenia operacji dodania do Twojego konta odbiorcy zaufanego. Sekundę później na konto tego odbiorcy zaufanego złodziej prześle całą gotówkę, którą masz na swoich rachunkach.
W ten właśnie sposób Polacy tracą oszczędności całego swojego życia.
Jak się przed tym atakiem zabezpieczyć?
Aby nie paść ofiarą tego ataku, zawsze przed potwierdzeniem każdej transakcji finansowej dokładnie przeczytaj treść SMS-a z banku (lub powiadomienia w aplikacji mobilnej banku) i upewnij się, że dotyczy ona takiej transakcji jaką właśnie wykonujesz. Zgadzają się zarówno kwoty jak i numerów rachunków. Jeśli nie — jak najszybciej zadzwoń na infolinię banku i opisz sytuację.
Uważne czytanie SMS-ów (i powiadomień w aplikacji mobilnej banku) to Twoja ostatnia deska ratunku, jeśli wcześniej nie zauważyłeś błędnego linku do strony pośrednika płatności w SMS-ie od złodziejów (zdarza się) i niepoprawnego adresu URL swojego banku podczas logowania się na telefonie komórkowym (zdarza się).
Źródło: niebezpiecznik.pl