CERT Orange Polska odnotował wzmożoną aktywność cyberprzestępców wykorzystujących nazwę firmy kurierskiej DHL w kampanii phishingowej. Sytuacja ta pojawiła się krótko po awarii systemów DHL i polega na rozsyłaniu fałszywych SMS-ów z nadpisem „DHL”.
Wiadomości mają różną treść, ale ich wspólnym elementem jest informacja o rzekomym problemie z dostarczeniem przesyłki. Celem oszustów jest nakłonienie odbiorcy do kliknięcia w link znajdujący się w treści wiadomości.
Chociaż wiadomość wygląda na wysłaną przez DHL, strony internetowe, do których prowadzą linki, często podszywają się pod inne firmy kurierskie – np. Inpost, Pocztę Polską lub Pocztex. W jednym z analizowanych przypadków fałszywa strona była stylizowana na serwis Pocztexu, jednak numer przesyłki wpisany przez użytkownika nie był możliwy do zweryfikowania w prawdziwym systemie tej firmy.
Schemat działania jest dobrze znany. Użytkownik proszony jest najpierw o podanie danych osobowych, a następnie o uzupełnienie danych karty płatniczej. Pobierana opłata jest niewielka – zwykle niewiele ponad 1 zł – co może uśpić czujność ofiary. W rzeczywistości przekazanie danych może prowadzić do poważniejszych strat finansowych.
Problemem jest również to, że wiadomości phishingowe z nadpisem „DHL” trafiają do tej samej kategorii, co prawdziwe wiadomości od firmy kurierskiej, przez co łatwiej je pomylić z legalną korespondencją.
CERT zaleca ostrożność przy otwieraniu wiadomości tekstowych dotyczących przesyłek – szczególnie, gdy linki prowadzą do stron o niespodziewanych nazwach lub dotyczą innych firm niż sugeruje nadawca SMS-a. Warto zawsze zweryfikować adres strony, na którą zostajemy przekierowani, zanim podamy jakiekolwiek dane.
Zgłoszone w analizie fałszywe domeny zostały zablokowane przez systemy zabezpieczeń, ale należy mieć na uwadze, że oszuści regularnie tworzą nowe strony. Użytkownicy powinni samodzielnie zachować ostrożność, niezależnie od dostawcy usług internetowych.