Nowy przekręt na paczkę - tym razem nie chodzi o dopłatę

Oszuści wykorzystują nowy scenariusz podszywania się pod InPost. Tym razem nie chodzi o dopłatę do paczki ani wyłudzenie danych karty. Celem ataku jest przejęcie dostępu do konta WhatsApp ofiary.

Fałszywa wiadomość SMS trafia do użytkownika jako komunikat od nadawcy „Inpost”. Jeśli ktoś wcześniej dostawał prawdziwe SMS-y od InPostu, oszukańcza wiadomość może pojawić się w tym samym wątku. To zwiększa jej wiarygodność.

Jak działa nowe oszustwo na InPost i WhatsApp

Atak zaczyna się od informacji o rzekomej paczce. W wiadomości pojawia się link do fałszywej strony, która ma udawać serwis InPostu. Adres może zawierać ciąg znaków podobny do nazwy firmy, ale kończy się nietypową domeną, np. .lol albo .mem.

Po wejściu na stronę użytkownik widzi komunikat o przesyłce i zostaje poproszony o wybór paczkomatu. To ważny element tego oszustwa, bo na tym etapie nie ma żadnej prośby o pieniądze, dopłatę ani dane karty płatniczej.

• SMS sugeruje, że na odbiorcę czeka paczka.
• Fałszywa strona pokazuje numer przesyłki i dane rzekomego nadawcy.
• Użytkownik ma wybrać paczkomat do odbioru.
• Następnie pojawia się prośba o „weryfikację tożsamości” przez WhatsApp.

Najważniejszy moment ataku - kod do połączenia WhatsApp

Po wybraniu paczkomatu fałszywa strona informuje, że do potwierdzenia operacji potrzebny jest WhatsApp. Użytkownik dostaje instrukcję, aby otworzyć aplikację, wejść w sekcję połączonych urządzeń i wpisać kod pokazany na stronie oszustów.

To właśnie ten krok pozwala przestępcom uzyskać dostęp do konta WhatsApp. Po połączeniu nowego urządzenia oszust może widzieć wiadomości i wysyłać je z konta ofiary.

Przejęty WhatsApp może być później użyty do kolejnych oszustw, np. przy fałszywych transakcjach na serwisach ogłoszeniowych. Przestępca może pisać do innych osób z konta ofiary, wysyłać linki do fałszywych płatności, a potem usuwać rozmowy.

Na co uważać

• InPost nie wymaga łączenia WhatsAppa w celu wyboru paczkomatu.
• Kod z sekcji „Połączone urządzenia” w WhatsAppie nie służy do odbioru paczki.
• Nietypowa domena w linku, nawet z nazwą podobną do InPostu, powinna wzbudzić podejrzenia.
• Fałszywy SMS może pojawić się w tym samym wątku co prawdziwe wiadomości od firmy kurierskiej.
• Presja czasu i informacja o krótkim terminie odbioru paczki to częsty element socjotechniki.

Jak sprawdzić, czy wiadomość jest prawdziwa

Najbezpieczniej nie klikać w link z SMS-a. Numer przesyłki należy sprawdzić bezpośrednio na stronie lub w aplikacji InPostu. Warto samodzielnie wpisać adres strony w przeglądarce albo otworzyć oficjalną aplikację.

Jeśli system nie znajduje takiej przesyłki, wiadomość najprawdopodobniej jest próbą oszustwa.

Co zrobić, jeśli kod został już wpisany

• Otwórz WhatsApp na telefonie.
• Wejdź w ustawienia połączonych urządzeń.
• Usuń wszystkie urządzenia, których nie rozpoznajesz.
• Ostrzeż znajomych, że z konta mogły być wysyłane fałszywe wiadomości.
• Zachowaj zrzuty ekranu i zgłoś sprawę odpowiednim służbom lub zespołowi reagowania na incydenty.

Nowy schemat jest groźny, bo nie wygląda jak klasyczne oszustwo na dopłatę do paczki. Użytkownik nie traci pieniędzy od razu, ale może oddać przestępcom dostęp do komunikatora. To wystarczy, aby konto zostało wykorzystane do kolejnych ataków.