Artykuł autorstwa: Anna Augustyniak
Co dzień miliony polaków czekają na przesyłkę. Niestety, cyberprzestępcy sprytnie to wykorzystują, masowo rozsyłając fałszywe SMS-y (smishing), podszywające się pod InPost i inne firmy kurierskie. Ich cel jest jeden: wyłudzenie Twoich danych i pieniędzy.
Uważaj na oszustów podszywających się pod InPost!
Jak oszuści wyłudzają dane i pieniądze?
Zrozumienie mechanizmu oszustwa to klucz do ochrony. Cyberprzestępcy stosują przemyślane techniki, by uśpić twoją czujność. Oto typowy schemat oszustwa na InPost:
Krok 1: Wiadomość SMS, która wzbudza zaufanie
Zaczyna się od SMS-a, który wygląda wiarygodnie i wywołuje poczucie pilnej potrzeby. Oszuści informują o problemach z dostawą wymagających natychmiastowej interwencji. Przykłady fałszywych wiadomości:
„InPost: Ze względu na niekompletne dane adresowe z przykrością informujemy, że nie jesteśmy w stanie dostarczyć Twojej przesyłki. Prosimy o pilne zaktualizowanie swoich danych”
„InPost: Nieudana próba doręczenia. Zaktualizuj dane dostawy tutaj: inpost-paczka-info.com”
„InPost: Twoja paczka została wstrzymana z powodu niedopłaty 1,99 zł. Ureguluj należność w ciągu 24h, aby uniknąć zwrotu: inpost-doplata24.com.”
Tego typu wiadomości mają sprawić, że odbiorca ma wrażenie iż sytuacja jest pilna i trzeba ją jak najszybciej rozwiązać. Tym samym oszuści liczą na to, że kiedy wiele osób odbiera kilka przesyłek tygodniowo, nie będą podejrzliwi i postąpią zgodnie z instrukcjami, czyli np. klikną w podejrzany link.
Krok 2: Link prowadzący na podejrzaną stronę
Kliknięcie linku przenosi ofiarę na stronę, która wizualnie przypomina oficjalną witrynę InPostu. Kopiują logo, układ, kolory, by utwierdzić nas w przekonaniu, że to legalny serwis. Strona często zawiera komunikat o “nieudanej próbie dostawy”, co potęguje presję.
Krok 3: Pretekst niewielkiej dopłaty
Kluczowym elementem jest żądanie niewielkiej opłaty. Kwoty są celowo niskie – najczęściej oscylują wokół 2 zł. Oszuści wiedzą, że taka symboliczna kwota nie wzbudzi dużych podejrzeń i każdy będzie skłonny ją uiścić, by otrzymać swoją przesyłkę. Ta znikoma opłata jest jednak jedynie pretekstem.
Krok 4: Kradzież danych osobowych i finansowych
Prawdziwym celem nie jest symboliczna opłata. Poprzez formularz na fałszywej stronie oszuści wyłudzają pełne dane osobowe – imię, nazwisko, adres, numer telefonu – ale przede wszystkim kompletne dane karty płatniczej – numer, datę ważności oraz kod CVV/CVC, a nawet dane do logowania do bankowości elektronicznej.
Jak rozpoznać smishing? Na to warto zwrócić uwagę!
Ostrożność i umiejętność rozpoznawania sygnałów ostrzegawczych to twoja najlepsza ochrona. Poniżej przedstawiamy 5 kluczowych sygnałów, które zazwyczaj wskazują na próbę oszustwa:
- Numer nadawcy: Oficjalne wiadomości od InPostu nigdy nie pochodzą z losowych, prywatnych numerów telefonów komórkowych. Firma korzysta z ustandaryzowanych bramek SMS. Numer prywatny to niemal pewny znak oszustwa.
- Treść i język wiadomości:Zwróć uwagę na błędy gramatyczne, literówki, brak polskich znaków oraz nienaturalne sformułowania. Oszuści często używają zwrotów wywołujących presję, takich jak “natychmiast”, “pilnie”, “ostatnie ostrzeżenie”, by skłonić cię do szybkiej reakcji.
- Adres linku (URL): Zanim klikniesz, przytrzymaj palec (na smartfonie) lub najedź kursorem (na komputerze), by wyświetlić pełny adres URL. Fałszywe adresy często zawierają drobne błędy (np. “inpoost.pl”), dodatkowe znaki, lub inną domenę niż oficjalna (inpost.pl). Nigdy nie klikaj linku, który nie prowadzi bezpośrednio do wiarygodnej domeny.
- Niekompletna strona: Fałszywe strony, mimo pozornego podobieństwa, często są uproszczone. Sprawdź, czy wszystkie linki działają (np. do regulaminu, profili w mediach społecznościowych). Często linki do oficjalnego profilu na X czy Facebooku są nieaktywne, co jest wyraźną oznaką próby oszustwa.
- Nieoczekiwana prośba o dopłatę: To najważniejszy sygnał alarmowy! InPost nigdy nie prosi o dopłaty do paczek poprzez linki w SMS-ach. Wszelkie opłaty pobierane są z góry lub przy odbiorze. Jeśli dostaniesz SMS-a z prośbą o uiszczenie jakiejkolwiek kwoty za paczkę, to masz do czynienia z oszustwem.
Dostałeś podejrzaną wiadomość? Działaj rozważnie!
Otrzymanie podejrzanej wiadomości może wywołać niepokój, ale panika to sprzymierzeniec oszustów. Zachowaj spokój i postępuj według sprawdzonych instrukcji.
- Nie klikaj w link! To kluczowa zasada. Pod żadnym pozorem nie wchodź w interakcję z podejrzanym linkiem. Kliknięcie może otworzyć drzwi do dalszych zagrożeń, jak instalacja złośliwego oprogramowania.
- Zweryfikuj Informację u źródła. Jeśli masz wątpliwości co do statusu przesyłki, nie polegaj na SMS-ie. Sprawdź status paczki w bezpieczny sposób. Wejdź bezpośrednio do oficjalnej aplikacji mobilnej InPost lub wpisz ręcznie adres inpost.pl w przeglądarce i tam poszukaj przesyłki, korzystając z numeru nadania.
- Zgłoś oszustwo do CERT Polska. Twoje zgłoszenie pomaga w walce z cyberprzestępczością. Prześlij całą treść fałszywego SMS-a na bezpłatny numer 8080. Zespół CERT Polska analizuje te zgłoszenia, co pozwala blokować szkodliwe strony i identyfikować nowe kampanie. Jak podkreśla InPost:
“W przypadku pojawienia się niepokojących incydentów uprzejmie prosimy o zgłoszenie ich do CERT POLSKA pod numer 8080.”
- Usuń wiadomość i zablokuj numer. Po zgłoszeniu incydentu, dla własnego spokoju, usuń podejrzaną wiadomość z telefonu i zablokuj numer nadawcy, aby w przyszłości nie otrzymywać kolejnych fałszywych wiadomości.
Co mówią statystyki i instytucje?
Oszustwa na InPost, podobnie jak inne oszustwa na internetowe, to nie marginalny problem, lecz jedno z najbardziej rozpowszechnionych zagrożeń w polskim internecie. Skala zjawiska jest ogromna i dotyka tysięcy użytkowników. Oszustwa na paczkę stanowią znaczną część cyberataków, plasując się w czołówce najpopularniejszych wyłudzeń. To pokazuje, jak lukratywna jest ta metoda dla cyberprzestępców.
Przed tym zagrożeniem regularnie ostrzegają najważniejsze instytucje cyberbezpieczeństwa w Polsce. Wśród nich należy wymienić CSIRT KNF (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego przy Komisji Nadzoru Finansowego) oraz CERT Orange Polska. Ich komunikaty są jednoznaczne: należy zachować wzmożoną ostrożność.
Podsumowanie: Jak skutecznie chronić się przed smishingiem?
W obliczu rosnących cyberzagrożeń, twoja świadomość i ostrożność są najpotężniejszymi narzędziami w walce z oszustami. Oszustwo na InPost to tylko jeden z wielu wariantów smishingu, ale jego mechanizm działania jest uniwersalny.
Pamiętaj o złotych zasadach: zachowaj sceptycyzm wobec nieoczekiwanych wiadomości, weryfikuj informacje w oficjalnych źródłach, nigdy nie klikaj w podejrzane linki, a przede wszystkim – zgłaszaj każdą próbę oszustwa do CERT Polska. Chociaż zagrożenia w sieci są realne, to twoja wiedza i czujność są najskuteczniejszą bronią. Chroniąc siebie, przyczyniasz się także do bezpieczeństwa innych użytkowników. Twoje bezpieczeństwo zależy od twojej czujności!
