Fałszywy DHL i 11 kroków do kradzieży hasła. Gdy phishing udaje normalny proces dostawy

2026-04-29

TL;DR

Forcepoint X-Labs opisał kampanię phishingową podszywającą się pod DHL, która nie potrzebuje złośliwego załącznika ani zaawansowanego malware. Jej siła leży w procesie. Ofiara dostaje wiadomość o potwierdzeniu przesyłki, trafia na fałszywą stronę z kodem OTP, przechodzi przez pozorną weryfikację, a później widzi stronę logowania oznaczoną marką DHL. Na końcu wpisane hasło oraz dane o urządzeniu i lokalizacji są wysyłane do atakującego przez legalną usługę EmailJS.

To dobry przykład współczesnego phishingu. Technicznie kampania jest lekka, ale psychologicznie dobrze zaprojektowana. Nie chodzi o jeden podejrzany link. Chodzi o sekwencję kroków, które mają sprawić, że użytkownik uzna cały proces za naturalny.

O co chodzi w tej kampanii

Według Forcepoint X-Labs kampania celuje w zwykłych użytkowników, a nie w jedną konkretną organizację lub jeden region. Przynętą jest wiadomość podszywająca się pod DHL Express i temat przesyłki, na przykład konieczność potwierdzenia listu przewozowego. W anglojęzycznych wiadomościach taki dokument często występuje jako waybill, czyli numer albo dokument przesyłki używany w logistyce.

To naturalny pretekst. Wiele osób odbiera paczki, zamawia towary, dostaje powiadomienia kurierskie i nie zawsze pamięta, co dokładnie jest w drodze. Phishing kurierski działa właśnie dlatego, że wpisuje się w codzienność.

W analizowanej próbce nadawca używał nazwy wyświetlanej DHL EXPRESS, ale rzeczywista domena nadawcy była niezwiązana z DHL i wskazywała na cupelva[.]com. To ważny szczegół. Wiadomość mogła przechodzić DKIM, czyli mechanizm podpisywania poczty, ale dla domeny atakującego, a nie dla domeny DHL. DKIM odpowiada na pytanie, czy wiadomość pasuje do domeny, która ją podpisała. Nie odpowiada na pytanie, czy ta domena faktycznie należy do marki widocznej w nazwie nadawcy.

Dalej użytkownik trafiał na stronę udającą proces obsługi paczki. Tam zaczynał się właściwy łańcuch zaufania.

Jak działał atak krok po kroku

Najpierw użytkownik dostawał e-mail udający DHL Express. Wiadomość sugerowała konieczność potwierdzenia przesyłki albo dokumentu przewozowego. Nazwa nadawcy wyglądała jak DHL, ale domena techniczna nie należała do DHL.

Po kliknięciu ofiara trafiała na fałszywą stronę OTP. OTP, czyli one-time password, to kod jednorazowy. W prawdziwych systemach pomaga potwierdzić tożsamość albo transakcję. W tej kampanii kod był generowany lokalnie w przeglądarce, więc nie potwierdzał żadnej tożsamości.

Następnie adres e-mail ofiary był przenoszony w URL do kolejnego etapu. Dzięki temu formularz wyglądał na spersonalizowany, bo strona mogła pokazać adres użytkownika bez ponownego pytania.

Potem użytkownik widział fałszywe logowanie oznaczone marką DHL i pole hasła. To był właściwy moment kradzieży danych.

Na końcu hasło oraz dane o urządzeniu trafiały przez EmailJS do skrzynki atakującego, a ofiara była przekierowywana na prawdziwą stronę DHL. Dzięki temu cały proces mógł sprawiać wrażenie, że zakończył się normalnie.

11 kroków, które budują złudzenie prawdziwego procesu

Forcepoint opisał ten atak jako lekki phishing kit z 11-etapowym łańcuchem. W uproszczeniu wygląda to tak: wiadomość e-mail, podszycie pod DHL, fałszywa strona OTP, wygenerowanie kodu po stronie klienta, pozorna weryfikacja, przenoszenie tożsamości ofiary w URL, fałszywe logowanie DHL, kradzież hasła, zebranie telemetrii urządzenia, wysyłka danych przez EmailJS i przekierowanie na prawdziwą stronę DHL.

Skuteczność tej kampanii nie wynika z jednego wyjątkowo zaawansowanego elementu. Wynika ze struktury. Każdy krok ma obniżyć czujność ofiary i sprawić, że następny będzie wyglądał logicznie. Skoro była wiadomość o przesyłce, kliknięcie wydaje się naturalne. Skoro pojawił się kod OTP, proces wygląda bezpieczniej. Skoro formularz zna adres e-mail, sprawia wrażenie bardziej wiarygodnego. Skoro na końcu pojawia się prawdziwa strona DHL, użytkownik ma poczuć, że wszystko było częścią normalnej obsługi paczki.

Właśnie dlatego taki atak warto czytać nie jako ciekawostkę o DHL, ale jako przykład coraz bardziej procesowego phishingu.

Fałszywy OTP, który niczego nie weryfikuje

Najbardziej pouczający element tej kampanii to fałszywa weryfikacja OTP. Użytkownicy kojarzą kody jednorazowe z bezpieczeństwem. Banki, poczta, serwisy płatnicze i aplikacje firmowe często proszą o dodatkowy kod, więc sama obecność OTP może wzmacniać zaufanie.

W tej kampanii kod nie ma realnej funkcji ochronnej. Forcepoint wskazuje, że sześciocyfrowy numer jest generowany lokalnie w JavaScripcie, czyli kodzie wykonywanym przez przeglądarkę użytkownika. Nie ma zaplecza serwerowego, wysyłki SMS, prawdziwej walidacji ani rzeczywistego potwierdzenia tożsamości. Ofiara ma przepisać kod, który strona sama jej pokazuje.

Po co ten krok istnieje? Po to, żeby użytkownik poczuł, że znajduje się w wiarygodnym, zabezpieczonym procesie. To nie jest mechanizm bezpieczeństwa. To element socjotechniki.

Opóźnienie, identyfikator ofiary i personalizacja

Forcepoint zwraca też uwagę na sztuczne opóźnienie przed pokazaniem sekcji OTP. Taki drobiazg ma znaczenie. Strona przez chwilę wygląda tak, jakby coś weryfikowała w tle. Dla użytkownika to sygnał, że system działa. W rzeczywistości nie dzieje się żadna prawdziwa walidacja.

Kolejny element to przenoszenie adresu e-mail ofiary przez URL. Skrypt odczytuje identyfikator z parametru albo fragmentu adresu, a potem przenosi go do następnego etapu. Dzięki temu kolejna strona może pokazać adres e-mail użytkownika bez pytania o niego ponownie.

To działa psychologicznie. Jeśli formularz już zna mój e-mail, to może naprawdę jest częścią procesu przesyłki. Taki efekt rozpoznania zwiększa wiarygodność, mimo że technicznie jest tylko prostym parametrem w adresie.

Fałszywe logowanie DHL i kradzież hasła

Po przejściu przez pozorny OTP użytkownik trafia na stronę oznaczoną marką DHL, która pokazuje znany kontekst przesyłki i prosi o hasło. To najważniejszy moment całego łańcucha.

Strona kurierska nie powinna potrzebować hasła do konta e-mail ani innego prywatnego konta użytkownika, żeby potwierdzić dostawę. Jeżeli formularz związany z paczką wymaga hasła, jest to bardzo mocny sygnał ostrzegawczy.

W tej kampanii hasło było głównym celem. Atakujący nie musieli instalować malware ani przejmować urządzenia. Wystarczyło, że użytkownik sam wpisał dane w procesie, który wydawał się logiczny.

To dobrze łączy się z naszym materiałem Co to jest phishing? Mechanizm oszustw e-mailowych. Zmienia się marka i liczba kroków, ale rdzeń pozostaje ten sam: zaufany pretekst, presja wykonania zadania i formularz, który przejmuje dane.

Telemetria ofiary, czyli więcej niż samo hasło

Kampania nie ograniczała się do przechwycenia hasła. Forcepoint opisuje, że skrypt zbierał również dane o ofierze: publiczny adres IP, typ urządzenia, system operacyjny, przeglądarkę, przybliżoną lokalizację, timestamp, pełny URL strony i tracking number, czyli numer śledzenia albo identyfikator przesyłki użyty w scenariuszu.

Takie dane nazywa się często telemetrią. W tym kontekście chodzi o informacje techniczne i kontekstowe, które pomagają opisać ofiarę oraz jej urządzenie.

Po co atakującemu takie informacje? Po pierwsze, pomagają odróżnić realną ofiarę od skanera bezpieczeństwa albo automatu analizującego phishing. Po drugie, pozwalają lepiej ocenić wartość przejętego konta. Po trzecie, mogą wspierać dalsze działania, takie jak przejęcie konta, fraud albo dopasowanie kolejnej wiadomości.

To ważny element, bo pokazuje, że nawet prosta kampania może mieć warstwę profilowania. Użytkownik widzi tylko DHL i paczkę. Atakujący widzi zestaw danych, który pomaga mu zdecydować, co zrobić dalej.

EmailJS jako legalna usługa użyta do wyniesienia danych

Jednym z ciekawszych elementów technicznych jest użycie EmailJS. To legalna usługa pozwalająca wysyłać e-maile bezpośrednio z aplikacji webowej. Programiści mogą używać jej do formularzy kontaktowych, powiadomień i prostych integracji.

W tej kampanii EmailJS został wykorzystany do exfiltracji, czyli wyniesienia danych poza środowisko ofiary do miejsca kontrolowanego przez atakującego. Mówiąc prościej: skradzione hasło i dane o urządzeniu zostały przesłane do skrzynki przestępcy przez usługę, która sama w sobie nie jest złośliwa.

Atakujący coraz częściej nadużywają legalnych usług, bo obniżają koszt infrastruktury i mogą wyglądać mniej podejrzanie niż własny serwer C2. Nie trzeba budować rozbudowanego backendu. Wystarczy formularz, JavaScript i zewnętrzna usługa wysyłkowa.

Podobny wzorzec widzimy w wielu nowoczesnych kampaniach, które opisujemy na PHISHLY: legalna platforma, legalna funkcja, legalny kanał komunikacji, ale złośliwy cel. Dobrym uzupełnieniem jest tekst n8n jako cichy nośnik phishingu i malware, bo tam również legalne narzędzie automatyzacji staje się elementem łańcucha ataku.

Przekierowanie na prawdziwy DHL zamyka pętlę

Po wysłaniu danych ofiara jest przekierowywana na prawdziwą stronę DHL. To klasyczny zabieg anty-podejrzeniowy. Użytkownik może uznać, że proces się zakończył albo że wcześniejsze strony były tylko częścią normalnego workflow. Nie widzi natychmiastowego błędu, więc rzadziej zgłasza incydent.

To ważny aspekt psychologiczny. Dobrze zaprojektowany phishing nie kończy się krzykiem. Kończy się ciszą. Ofiara ma odejść z poczuciem, że wszystko było normalne.

Dlaczego DHL jest tak dobrą przynętą

Firmy kurierskie są jednymi z najbardziej naturalnych marek do wykorzystania w phishingu. Powód jest prosty: paczka może dotyczyć niemal każdego. Odbiorca nie musi pamiętać konkretnego zamówienia, bo wiele osób ma równolegle kilka przesyłek, zakupy online, paczki od rodziny albo dostawy firmowe.

Oficjalne materiały DHL również ostrzegają przed fałszywymi e-mailami, SMS-ami i stronami podszywającymi się pod markę. DHL wskazuje, że podejrzane wiadomości i strony można zgłaszać do kanału Anti-Abuse pod adresem phishing@dhl.com. To dobry nawyk, bo takie zgłoszenia pomagają szybciej blokować infrastrukturę oszustów.

Ten temat warto połączyć z naszym wcześniejszym tekstem Fałszywy SMS od kuriera DPD. CERT Polska ostrzega przed kampanią podszywającą się pod firmę kurierską. Marka jest inna, kanał może być inny, ale mechanizm pozostaje ten sam: kurier, przesyłka, pilne potwierdzenie i link.

Najważniejsze sygnały ostrzegawcze dotyczące phishing DHL

Ten case dobrze pokazuje kilka praktycznych czerwonych flag. Pierwsza to rozjazd między nazwą wyświetlaną a prawdziwą domeną nadawcy. Jeśli wiadomość wygląda jak DHL, ale pochodzi z przypadkowej domeny, nie jest to drobny szczegół.

Druga to fałszywa weryfikacja. Kod OTP, który strona sama pokazuje i każe przepisać, nie potwierdza tożsamości. To teatr bezpieczeństwa.

Trzecia to prośba o hasło w procesie dotyczącym przesyłki. Potwierdzenie paczki nie powinno wymagać hasła do konta e-mail. Jeżeli strona kurierska nagle oczekuje hasła, trzeba przerwać proces.

Czwarta to przekierowanie przez obce domeny. Jeśli link prowadzi przez domeny, które nie należą do DHL, nie należy zakładać, że logo na stronie coś potwierdza.

Co powinien zrobić użytkownik

Jeśli dostajesz wiadomość o przesyłce, nie zaczynaj od kliknięcia w link. Wejdź samodzielnie na oficjalną stronę przewoźnika albo do aplikacji, której używasz do śledzenia paczek. Numer przesyłki można sprawdzić bez logowania do losowego formularza i bez podawania hasła do konta.

Jeśli kliknąłeś w link, ale nie podałeś hasła, zamknij stronę i nie przechodź dalej. Jeśli podałeś hasło, potraktuj to jako wyciek danych logowania. Zmień hasło w prawdziwej usłudze, sprawdź aktywne sesje, włącz lub zweryfikuj MFA i upewnij się, że tego samego hasła nie używałeś w innych miejscach.

Jeżeli wiadomość była SMS-em, w Polsce można przekazać ją na numer 8080 do CERT Polska. Jeśli była e-mailem lub fałszywą stroną DHL, warto skorzystać z kanału zgłaszania phishing@dhl.com.

Co powinny zrobić firmy

Firmy powinny traktować takie kampanie nie tylko jako problem konsumencki. Pracownicy odbierają paczki prywatne i służbowe, używają telefonów do pracy, klikają w e-maile kurierskie, a często mają te same odruchy w komunikacji prywatnej i zawodowej.

Po pierwsze, awareness powinien obejmować pełne łańcuchy ataku, a nie tylko pojedyncze fałszywe maile. Ten przypadek świetnie nadaje się do pokazania, jak fałszywy OTP buduje zaufanie przed kradzieżą hasła.

Po drugie, zespoły bezpieczeństwa powinny analizować nie tylko domenę nadawcy, ale również zgodność domeny z deklarowaną marką. DKIM pass dla obcej domeny nie oznacza, że wiadomość jest autentycznym DHL.

Po trzecie, warto zwracać uwagę na sytuacje, w których strona phishingowa wysyła dane przez legalne usługi formularzy, webhooki albo narzędzia automatyzacji. EmailJS nie jest złośliwy sam w sobie, ale w tym przypadku posłużył jako prosty kanał wyniesienia danych.

Po czwarte, użytkownicy powinni mieć prostą ścieżkę zgłaszania podejrzanych wiadomości kurierskich. Nie wystarczy powiedzieć nie klikaj. Trzeba dać pracownikowi jasną odpowiedź, co ma zrobić zamiast tego.

Dlaczego ten atak jest dobrą lekcją dla security awareness

Ta kampania działa, bo wygląda zwyczajnie. Nie potrzebuje malware. Nie potrzebuje skomplikowanego exploita. Nie potrzebuje rozbudowanej infrastruktury. Potrzebuje tylko tego, żeby użytkownik przeszedł przez kilka kroków bez zatrzymania.

To dobra lekcja dla programów security awareness. Ludzie powinni uczyć się rozpoznawać nie tylko podejrzane elementy, ale też podejrzane sekwencje. Jeśli wiadomość kurierska prowadzi do OTP, a potem do hasła, to nie jest bezpieczny proces. Jeśli strona paczki zbiera dane o urządzeniu i wysyła je przez zewnętrzną usługę, to nie jest obsługa dostawy. To kradzież danych.

Ten problem szerzej opisujemy w materiale Warstwa obrony przed phishingiem. Czego brakuje, gdy filtr poczty nie wystarcza. Obrona nie kończy się na zablokowaniu maila. Musi obejmować świadomość użytkownika, analizę linku, widoczność zachowania przeglądarki i reakcję po podaniu danych.

Najważniejsza lekcja z fałszywego DHL-a

Fałszywy DHL z 11-etapowym łańcuchem pokazuje, że phishing coraz częściej jest dobrze zaprojektowanym procesem. Kod OTP nie musi niczego zabezpieczać, żeby działał psychologicznie. Przekierowanie na prawdziwą stronę nie musi niczego potwierdzać, żeby uśpiło czujność. Legalna usługa EmailJS nie musi być złośliwa, żeby posłużyła do wyprowadzenia hasła.

Najważniejsza zasada jest prosta: jeśli strona związana z przesyłką prosi o hasło, to nie jest potwierdzenie dostawy. To sygnał alarmowy.

Jeżeli chcesz sprawdzić, czy użytkownicy wychwycą taki scenariusz zanim wpiszą dane, dobrym początkiem jest quiz phishingowy PHISHLY.