Nie każda wiadomość o paczce jest prawdziwa - oszuści liczą na pośpiech

CERT Orange Polska ostrzega przed kolejną kampanią SMS-ową podszywającą się pod DPD. Przestępcy wysyłają wiadomości sugerujące problem z dostarczeniem paczki i kierują odbiorców na fałszywe strony, których celem jest kradzież danych kart płatniczych.

Fałszywe SMS-y mogą przychodzić z nadpisów takich jak verify-DPD i verify-sms, ale także z długich numerów zagranicznych. CERT Orange Polska wskazuje m.in. na numery ze strefy +212, czyli z Maroka.

Jak działa oszustwo „na paczkę z DPD”?

Scenariusz jest znany od lat, ale nadal działa. Użytkownik dostaje SMS z informacją o rzekomej paczce i linkiem do strony, która udaje serwis kurierski.

• SMS informuje o problemie z dostawą lub konieczności weryfikacji adresu.
• Link prowadzi do fałszywej strony przypominającej witrynę DPD.
• Użytkownik proszony jest o podanie danych kontaktowych i adresowych.
• Na końcu pojawia się prośba o niewielką płatność za ponowną dostawę.
• Dane karty wpisane na stronie trafiają do przestępców.

Fałszywa witryna może wyglądać bardzo wiarygodnie, bo wykorzystuje podobne kolory, czcionki i układ graficzny jak prawdziwa strona kuriera. Właśnie na tym polega pułapka - podobieństwo do znanej marki ma uśpić czujność użytkownika.

Czerwone flagi, które powinny wzbudzić podejrzenia

Co zrobić, żeby nie dać się oszukać?

Najważniejsza zasada jest prosta: do SMS-ów z linkami należy podchodzić z bardzo dużą ostrożnością. Dotyczy to szczególnie wiadomości o przesyłkach, dopłatach, blokadach konta lub pilnej weryfikacji danych.

• Nie klikaj automatycznie w link z SMS-a.
• Sprawdź, czy adres strony faktycznie należy do firmy kurierskiej.
• Nie wpisuj danych karty na stronie otwartej z podejrzanej wiadomości.
• Wejdź samodzielnie na oficjalną stronę DPD lub aplikacji kurierskiej.
• Wpisz numer przesyłki w oficjalnym narzędziu do śledzenia paczek.
• Upewnij się, że pierwszy wynik w wyszukiwarce nie jest reklamą podszywającą się pod firmę.

CERT Orange Polska przypomina też, że warto ustawić niskie limity dla karty używanej do płatności internetowych. Dzięki temu nawet w przypadku wycieku danych karty potencjalna strata może być mniejsza.

Co zrobić, jeśli dane karty zostały już wpisane?

W takiej sytuacji trzeba działać natychmiast. Przestępcy często próbują wykorzystać przejęte dane od razu, kupując towary, które można później łatwo odsprzedać.

• Jak najszybciej skontaktuj się z bankiem.
• Zastrzeż kartę lub czasowo ją zablokuj.
• Sprawdź historię transakcji.
• Nie zatwierdzaj żadnych kodów SMS ani powiadomień push, jeśli sam nie wykonujesz płatności.
• Jeśli pojawi się próba autoryzacji transakcji, od razu zgłoś to bankowi.

Fałszywe SMS-y o paczkach wracają regularnie, bo nadal są skuteczne. Oszuści liczą na pośpiech, nieuwagę i zaufanie do znanych firm kurierskich. W przypadku podejrzanej wiadomości najlepiej przerwać cały proces i sprawdzić przesyłkę wyłącznie przez oficjalną stronę lub aplikację przewoźnika.