Przychodzi SMS: "InPost: Twoja paczka nr IN123456789PL oczekuje na doręczenie. Dopłata 1,99 zł wymagana do odblokowania." Link wygląda niepozornie. Kwota jest śmieszna - niecałe dwa złote. Klikasz.
Strona wygląda jak InPost. Wpisujesz dane karty. I właśnie straciłeś dostęp do swojego konta bankowego - bo przestępcy nie chcieli 1,99 zł, chcieli numeru karty i kodu CVV.
Kurierski smishing to według CERT Polska jeden z najmasowszych schematów phishingowych w Polsce. W samym 2023 roku CERT zablokował ponad 230 tysięcy złośliwych domen - znaczna część to właśnie fałszywe strony kurierów i firm płatniczych.
Jak wygląda fałszywy SMS kurierski
Przestępcy kopiują styl komunikacji prawdziwych firm. Kilka rzeczy jednak zawsze je zdradza:
| Cecha | Prawdziwy SMS kurierski | Fałszywy SMS kurierski |
|---|---|---|
| Nadawca | Nazwa firmy (InPost, DPD, DHL) | Losowy numer lub podobna nazwa (InP0st, DHL-PL) |
| Link | Oficjalna domena (inpost.pl, dpd.com.pl) | Losowa domena (inpost-platnosc.pl, dpd-dostawa24.com) |
| Prośba o płatność | Nigdy za "odblokowanie" paczki - dopłaty celne są obsługiwane inaczej | Małe kwoty (1,49-9,99 zł) za "odblokowanie", "dostawę", "weryfikację" |
| Dane karty | Płatności przez własne systemy, nigdy podawanie numeru karty na stronie zewnętrznej | Formularz z polem na numer karty, CVV, datę ważności |
| Presja czasowa | Brak lub standardowe "paczka czeka X dni" | "Ostatnia szansa", "dzisiaj wygasa", "natychmiast" |
Najpopularniejsze warianty w Polsce
InPost / paczkomat. "Twoja paczka nie zmieściła się do paczkomatu - dopłać za kuriera" lub "paczka oczekuje w skrytce, potwierdź adres". InPost nigdy nie prosi o dane karty przez SMS.
DHL / DPD / GLS / Poczta Polska. "Paczka zatrzymana przez cło - uiść opłatę 4,99 zł". Prawdziwe opłaty celne są naliczane przez urząd celny i informacja przychodzi osobno - nie przez SMS z linkiem do płatności kartą.
Allegro / OLX. "Twoja wysyłka wymaga weryfikacji - zaloguj się". Link prowadzi do fałszywej strony Allegro zbierającej login i hasło.
Wariant instalacyjny. "Zainstaluj aplikację śledzenia paczki" - link prowadzi do złośliwego APK, które kradnie SMS-y z kodami autoryzacyjnymi banku.
Jak sprawdzić czy SMS jest prawdziwy
- Nie klikaj linku z SMS-a. Wejdź bezpośrednio na stronę kuriera wpisując adres ręcznie w przeglądarce (inpost.pl, dpd.com.pl, dhl.com/pl).
- Sprawdź numer przesyłki. Każda prawdziwa paczka ma numer śledzenia - wpisz go na oficjalnej stronie.
- Sprawdź domenę linku. Przed kliknięciem przytrzymaj palec na linku (mobile) lub najedź myszą (desktop) - zobaczysz pełny adres URL. Domena powinna kończyć się na .inpost.pl, .dpd.com.pl itp. - nie na losowych rozszerzeniach.
- Zapytaj sprzedającego. Jeśli czekasz na paczkę z Allegro - napisz do sprzedającego i zapytaj, jaką firmą wysłał i jaki numer śledzenia.
Co zrobić gdy kliknąłeś i podałeś dane karty
- Natychmiast zadzwoń do banku i zastrzeż kartę. Powiedz, że padłeś ofiarą phishingu kurierskiego.
- Zmień hasła do bankowości online i poczty.
- Zgłoś fałszywą stronę do CERT Polska przez incydent.cert.pl - to pomaga zablokować domenę dla innych użytkowników.
- Zgłoś na policję jeśli doszło do transakcji na twoją kartę.
Jeśli zainstalowałeś aplikację z linku - przywróć telefon do ustawień fabrycznych lub skontaktuj się z serwisem. Złośliwe APK mogą działać w tle i przechwytywać SMS-y z kodami jednorazowymi, nawet po usunięciu aplikacji kurierskiej. Więcej o smishingu jako technice znajdziesz w artykule o fałszywych SMS-ach.
FAQ
Czy kliknięcie linku bez podawania danych jest niebezpieczne?
Sam klik w większości przypadków nie wyrządza szkody na aktualnie łatanym systemie. Ryzyko pojawia się gdy podasz dane lub zainstalujesz aplikację. Jednak niektóre strony phishingowe próbują wymusić instalację oprogramowania - dlatego bezpieczniej nie klikać wcale.
Dostałem SMS od "InPost" ale niczego nie zamawiałem - skąd mają mój numer?
Przestępcy wysyłają masowo do losowych numerów - trafienie w kogoś, kto akurat czeka na paczkę, zwiększa skuteczność. Twój numer mógł też trafić do bazy z wycieku danych któregoś z serwisów.
Jak zablokować takie SMS-y?
Możesz zgłosić numer do operatora jako spam. Na Androidzie i iOS jest opcja "zgłoś jako spam" w aplikacji Wiadomości. Operatorzy w Polsce (we współpracy z CERT) coraz skuteczniej filtrują masowe kampanie smishingowe - ale żaden filtr nie jest stuprocentowy.