Fałszywy SMS od Inpost – co dzieje się dalej?
Od początku pandemii koronawirusa fałszywy SMS od Inpost to jeden z popularniejszych wektorów ataku. A ponieważ odradzamy internautom klikanie w jakiekolwiek podejrzane linki – przyjrzeliśmy się jednej z kampanii sami. Żebyście Wy nie musieli.
Analizowany przez nas fałszywy SMS od Inpost otrzymaliśmy od internauty na numer zgłoszeniowy 508 700 900. Nadawcy tego informacji byli różni: zdarzało się podszycie pod nadpis prawdziwego nadawcy (i kolejkowanie pod prawdziwymi wiadomościami), bywały sytuacje, gdy nadpisy były bliźniaczo podobne (np. lnp0st), bądź nadawcą był zwykły numer.
W opisywanym przypadku treść wyglądała tak:
Twoja przesylka nie moze zostac dostarczona pod niewlasciwy adres prosimy o zmiane adresu w czasie umozliwiajacym ponowna dostawe hxxps://in-impost[.]top
A więc spróbujmy zmienić adres
Klikając w link w mailu zobaczymy taki obraz:
Na pochwałę zasługuje kreatywność oszustów. Ci z Was, którzy korzystają z usług Inpostu, wiedzą, że nie istnieją statusy, opisujące aktywność… kierownika magazynu. To tez wygląda na socjotechniczną sztuczkę – że nasza sprawa jest tak poważna, że aż kierownik musiał się nią zająć.
Jeśli zechcemy „zorganizować nasza dostawę” – okaże się, że musimy za to zapłacić. Na szczęście tylko 7,99 PLN.
Fałszywy SMS od InPost – nie tylko pieniądze!
Pieniądze to jedna sprawa, ale zanim dojdzie do próby ich wymuszenia, oszuści próbują wejść w posiadanie naszych innych danych:
Informacji do potencjalnego phishingu nigdy za mało, a jeśli nawet w momencie, gdy pojawi się okno do wpisania nr karty ofiara zorientuje się, że coś jest nie tak – zdąży już przesłać przestępcom swoje dane. A personalia, adres e-mail, telefon, czy adres pocztowy można wykorzystać do kolejnych prób phishingu.
W opisywanym scenariusz przestępcy wybrali drogę na skróty. Nie stworzyli nakładek, udających najpopularniejsze polskie banki, fałszywy SMS od InPost kierował do formularza na wpisanie danych karty płatniczej. Po wypełnieniu go testowym numerem karty przez przeszło minutę oglądaliśmy poniższy obraz:
Przez ten czas oszust usiłował dokonać zakupu, korzystając z podanych danych, a ponieważ – rzecz oczywista – nie był w stanie, strona ostatecznie wyświetliła informację o nieprawidłowym numerze karty.
Co robić?
Przede wszystkim nie klikać w linki w tego typu SMS-ach. Jeśli jednak ciekawość Was zjada, czy ta przesyłka może jednak być do Was, absolutnie nie wpisujcie tam żadnych danych. Wystarczy przekleić widoczny nr listu przewozowego na faktyczną stronę kuriera (InPost, DHL, DPD, Fedex – to tylko kilka przykładów) i tam sprawdzić, czy taka przesyłka istnieje. To powinno ostatecznie rozstrzygnąć wątpliwości.
Bądźcie bezpieczni!
Czy już zablokowaliście numer +447712251030 z którego jest to rozsyłane?
CERT nie blokuje numerów. CERT blokuje docelowe domeny. I tak – zablokowane.