Bár egész évben találkozhatunk a csomagos átverések különböző fajtáival, az ünnepi szezon közeledtével – amikor jelentősen megnő az internetes rendelések és a kibertámadások száma – érdemes különös óvatossággal eljárni, ha egy nem várt futár csenget be hozzánk csomaggal a kezében. Amennyiben váratlan csomagot kapunk, először érdemes körbekérdezni családunk, barátaink körében, hátha valaki meglepett minket valamivel, csak elfelejtette megemlíteni. Azonban, ha senki nem jelentkezik a csomag miatt, elképzelhető, hogy az alábbi átverések egyikével nézünk szembe.
| Fontos megjegyezni, hogy ilyen esetekben semmilyen körülmények között ne olvassuk be a csomagoláson található QR-kódokat és ne hívjuk fel a feltüntetett telefonszámokat, mert könnyen lehet, hogy azok is a csalás részét képezik. |
A csomagos átverések fajtái:
- Rendeléspolírozás: Ez egy viszonylag ártalmatlan módszer, amely során a felhasználók olyan terméket kapnak, amelyet nem ők rendeltek, az eladók pedig pozitív értékelést írnak a felhasználók nevében, hogy javítsák az eladási rangsorukat. Ennek a kivitelezéséhez az eladók kiszivárgott adatbázisokat vásárolnak, amelyeket saját maguknál regisztrálnak az áldozatok nevével és címével, az e-mail címeket és a fizetési adatokat viszont a sajátjukkal töltik ki, így az áldozatok nem szenvednek anyagi veszteséget.
- „Szerencséd van, de előbb írd meg a véleményed!”: Ennél az átverésnél a támadók egy rosszindulatú weboldal meglátogatására igyekeznek rávenni az áldozatokat, amihez különféle módszereket alkalmaznak. A leggyakoribb ezek közül az:
„Ajándékot kaptál! Olvasd be a QR-kódot, hogy megtudd, ki küldte!”
„Írd meg a véleményed termékünkről és kapsz X összegű ajándékkártyát!”
„Erősítsd meg az ingyenesen kézbesített termék átvételét!”
A támadók általában a termék mellé egy, a rosszindulatú weboldalra mutató QR-kódot tartalmazó kártyát mellékelnek. Miután az áldozat beolvassa ezt a kódot és meglátogatja a weboldalt, a támadás a klasszikus QR-kódos adathalász támadásként (quishing) folytatódik, ahol személyes információk, pl. bejelentkezési vagy fizetési adatok megadására, vagy rosszindulatú alkalmazás telepítésére igyekeznek rávenni a felhasználókat.
Megjegyzés: A fenti két módszert csak azok az online kereskedők tudják végrehajtani, akik megengedhetik maguknak az ilyenfajta „promóciós taktikákat” és ingyen küldhetnek termékeikből az áldozatoknak.
- Kézbesíthetetlen csomag: Ilyenkor csomag helyett az áldozatok egy értesítőt találnak az ajtajuk előtt, általában olyan szöveggel, hogy „Sajnos futárunk nem tudta kézbesíteni a csomagot, mert nem volt otthon és a magas értékű ajándékcsomagokat csak személyesen adhatják át…”. Általában a támadók arra kérik áldozataikat, hogy a csomag sikeres kézbesítése érdekében vegyék fel a kapcsolatot az értesítőn szereplő QR-kódon és/vagy telefonszámon keresztül. A kapcsolatfelvétel során a támadók igyekeznek érzékeny adatokat begyűjteni az áldozatoktól, például pénzügyi és bejelentkezési adatokat vagy egyszer használatos kódokat. Az is előfordulhat, hogy azt ígérik egy alacsonyabb összeg ellenében, hogy újrakézbesítik a csomagot, az így megszerezett pénzügyi adatokkal viszont később nagyobb összegeket emelnek le a számlákról, de nem ritka a vámfizetési felszólítás sem. Egyes esetekben még egy „futár” is megjelenhet az ajtónk előtt a pénz sikeres beszedése érdekében.
Egy összetett, erős manipulációt alkalmazó támadási forgatókönyv során, az értesítőben feltüntetett telefonszám felhívása során arról tájékoztathatnak, hogy a csomag újrakézbesítéséért szállítási díjat kell fizetni, ennek megtörténte után pedig egy „rendőrségi” hívás érkezik, amiben azt állítják, hogy a csomagban kábítószert találtak és a büntetőeljárás elkerülése érdekében további összeg befizetését kérik.
- Utánvétes fizetés: Szintén népszerű támadási módszer, mikor a támadók előre promótált termékeket küldenek az áldozatoknak, azok tudta nélkül vagy éppen a beleegyezésükkel. A „futár” türelmetlenül áll az ajtóban egy olyan – látszólag népszerű terméket, például egy csúcskategóriás okostelefont tartalmazó – csomaggal a kezében, amiért átvételkor kell fizetni, azonban az összeg jóval kedvezőbb a piaci árakhoz képest. Ilyenkor a csalók az emberi kapzsiságot, illetve a sürgetés okozta nyomást igyekeznek kihasználni, arra számítva, hogy az áldozat a nagy kapkodásban nem ellenőrzi majd a terméket. A fizetés után a „futár” elsiet, az áldozat pedig a csomagot kibontva a termék egy hamisított verzióját vagy szemetet talál.
Arra az esetre, ha nem fizetünk a csomagért, a csalók előállhatnak egy B-tervvel, amely során arra kérnek, hogy adjunk meg egy egyszer használatos kódot bankfiókunkhoz, hogy megerősítsük a rendelés lemondását.
- Célzott támadások: Egyes bűnszervezetek célzott, személyre szabott támadásokat is végrehajthatnak előre kiválasztott felhasználók vagy szervezetek ellen. Egy Ledger kriptopénztárca-tulajdonostól például megpróbáltak egyszer kriptovalutát lopni úgy, hogy a bűnözők ingyenes garanciális cseretárcát küldtek a felhasználónak, az új kriptotárca azonban csak egy rosszindulatú programokkal teli USB volt. A postai úton küldött rosszindulatú USB-ket a FIN7 zsarolóvírus-banda is alkalmazta támadásaik során.
A fentiekhez hasonló csalások sajnos arra engednek következtetni, hogy a címünk és egyéb adataink kompromittálódhattak és elképzelhető, hogy a későbbiekben más támadásokhoz is felhasználják majd a kiszivárgott adatainkat. Ilyen esetekben nem árt felkészülnünk, ahol csak lehet, engedélyezzük a kétfaktoros azonosítást és legyünk gyanakvóak a váratlan hívásokkal szemben!
Mi a teendő, ha váratlan csomag érkezik?
- Vizsgáljuk meg alaposan a csomagot gyanús jelek után kutatva és olvassuk el figyelmesen a kísérőlevélben szereplő információkat!
- Készítsünk fényképeket a csomagról, illetve felbontás esetén is őrizzük meg a csomagolást, ha a későbbiekben esetleg bizonyítékot kéne felmutatnunk róla!
- Soha ne olvassuk be a csomagon szereplő QR-kódokat, illetve link feltüntetése esetén se látogassunk el a csomagon feltüntetett weboldalra!
- Soha ne hívjuk fel a csomagon feltüntetett telefonszámokat, ugyanis megeshet, hogy azok is a csalás részét képezik.
- Soha ne fizessünk váratlan csomagért (szállítási és vámdíjat sem) és ne adjunk meg pénzügyi adatokat futároknak!
- Váratlan csomaggal érkezett adathordozókat és egyéb elektronikai eszközöket ne csatlakoztassunk számítógépünkhöz, okoseszközeinkhez!
- Amennyiben a váratlan csomag egy ismert futárszolgálattal (Amazon, DHL Express, GLS, DPD, stb.) érkezik, keressük fel a futárszolgálat hivatalos weboldalát és ott keressünk információkat a csomagról (küldemény állapota, feladó adatai, stb.)! Amennyiben a csomag rendelkezik követési számmal, manuálisan adjuk meg a futárszolgálat hivatalos weboldalán és ne QR-kód segítségével olvassuk be!
- A gyanúsnak vélt csomagokat jelentsük a futárszolgálatnak és a rendőrségnek egyaránt!
