InPost i przejęcie konta WhatsApp

TL;DR

Fałszywy SMS o paczce InPost nie musi już prowadzić do płatności kartą. W opisanym przez CERT Orange Polska scenariuszu użytkownik trafia na stronę udającą obsługę przesyłki, wybiera paczkomat, a następnie ma rzekomo potwierdzić tożsamość przez WhatsApp. W praktyce wykonuje czynność, która może podłączyć obce urządzenie do jego konta komunikatora.

To ważna zmiana w sposobie myślenia o smishingu. Użytkownik może uznać wiadomość za mniej groźną, bo nikt nie prosi go o kartę, BLIK ani hasło do banku. Celem jest jednak konto komunikatora, które później może zostać użyte do kolejnych oszustw na znajomych, rodzinę, klientów albo kontrahentów.

Dla firmy ten scenariusz jest szczególnie istotny, jeśli WhatsApp działa jako nieformalny kanał kontaktu z klientami, kierowcami, serwisem, sprzedażą, logistyką albo zespołem terenowym. Przejęte konto komunikatora może wyglądać dla odbiorców bardziej wiarygodnie niż anonimowy phishing.

Jak działa ten scenariusz

Atak zaczyna się od wiadomości SMS z podszyciem pod InPost. Wątek może wyglądać wiarygodnie, bo przy SMS-ach z nadpisem fałszywa wiadomość może trafić obok prawdziwych komunikatów od tego samego dostawcy. Użytkownik widzi informację o paczce, link i sugestię, że przesyłka została powiązana z jego numerem telefonu.

Po kliknięciu użytkownik trafia na stronę, która nie żąda od razu pieniędzy. To ważny element. W wielu wcześniejszych kampaniach kurierskich pojawiała się dopłata, cło, przekierowanie przesyłki albo koszt magazynowania. Tutaj strona najpierw pokazuje historię przesyłki, numer paczki, termin odbioru i wybór paczkomatu.

Dopiero po przejściu tych kroków pojawia się prośba o weryfikację przez WhatsApp. Użytkownik ma otworzyć aplikację, wejść w połączone urządzenia i wykonać czynność, która w rzeczywistości może dać atakującemu dostęp do konta komunikatora.

To nie jest kradzież hasła w klasycznym rozumieniu. To wykorzystanie prawdziwej funkcji komunikatora. Ofiara sama zatwierdza połączenie, bo fałszywa strona przedstawia je jako element odbioru paczki.

Dlaczego ten wariant może działać

Ten atak wykorzystuje kilka warstw zaufania. Pierwsza to marka kurierska. InPost jest w Polsce usługą masową, więc wiele osób realnie czeka na paczkę. Druga to numer telefonu. Jeżeli wiadomość sugeruje, że paczka jest powiązana z telefonem odbiorcy, użytkownik może uznać to za normalne.

Trzecia warstwa to brak płatności. Paradoksalnie brak prośby o kartę może obniżyć czujność. Użytkownik myśli: skoro nikt nie prosi o pieniądze, to może chodzi tylko o wybór paczkomatu. To moment, w którym atakujący zmienia cel z finansowego na tożsamościowy.

Czwarta warstwa to WhatsApp. Komunikator bywa traktowany jak prywatna przestrzeń, nie jak system, który może zostać przejęty i użyty do dalszych nadużyć. Tymczasem konto WhatsApp zawiera kontakty, historię rozmów, grupy, relacje z klientami i możliwość wysyłania wiadomości jako prawdziwa osoba.

W praktyce użytkownik nie musi rozumieć technicznie połączonych urządzeń. Wystarczy, że wykona instrukcję z fałszywej strony.

Co powinien zrobić użytkownik

Każdą wiadomość o paczce należy weryfikować poza linkiem z SMS-a. Najbezpieczniej otworzyć oficjalną aplikację operatora albo wejść ręcznie na stronę przewoźnika i sprawdzić numer przesyłki. Jeżeli numer nie istnieje lub strona wymaga czynności niezwiązanej z odbiorem paczki, proces trzeba przerwać.

Szczególnym sygnałem alarmowym jest prośba o użycie WhatsApp, kodu, funkcji połączonych urządzeń, zewnętrznej aplikacji albo komunikatora. Wybór paczkomatu nie wymaga podłączania konta WhatsApp do obcego urządzenia.

Warto też pamiętać, że adres strony ma znaczenie. Sama obecność słowa InPost w domenie nie wystarcza. Atakujący mogą używać podobnych nazw, nietypowych końcówek domen i linków, które na małym ekranie telefonu wyglądają przekonująco.

Jeżeli coś budzi wątpliwość, lepiej sprawdzić przesyłkę ręcznie niż kontynuować proces na stronie z SMS-a. W phishingu najważniejszy moment często pojawia się nie przy pierwszym kliknięciu, ale przy wykonaniu kolejnej czynności, której użytkownik nie powinien robić.

Co powinny zrobić firmy

Firmy powinny traktować komunikatory jako realny obszar ryzyka, szczególnie jeśli pracownicy używają ich w pracy. WhatsApp może być prywatny, ale rozmowy z klientami, dostawcami, ekipami terenowymi lub kontrahentami mogą mieć skutki służbowe.

W procedurach warto jasno określić, czy WhatsApp jest dopuszczalnym kanałem kontaktu z klientem i jakie sprawy mogą być tam załatwiane. Nie powinno się przekazywać danych płatniczych, potwierdzać zmian rachunku, przesyłać dokumentów ani autoryzować działań tylko przez komunikator.

IT i Security powinny uwzględniać scenariusze przejęcia komunikatora w szkoleniach i testach. W testach phishingowych dla firm można sprawdzać, czy pracownik odróżnia zwykłą informację o paczce od prośby o wykonanie działania w komunikatorze.

SOC powinien mieć prostą ścieżkę zgłaszania podejrzanych SMS-ów i incydentów z komunikatorami. W wielu organizacjach użytkownik nie wie, czy przejęcie prywatnego WhatsAppa ma zgłaszać do firmy. Jeżeli konto było używane w procesie służbowym, odpowiedź brzmi: tak.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, ale nie podał danych ani nie wykonał instrukcji w WhatsApp, powinien zamknąć stronę i zgłosić wiadomość. W Polsce podejrzane SMS-y można przekazywać do odpowiednich zespołów reagowania, a w firmie do IT lub Security.

Jeżeli użytkownik połączył nieznane urządzenie z WhatsApp, powinien natychmiast wejść w ustawienia aplikacji, przejrzeć połączone urządzenia i usunąć wszystkie nieznane sesje. Następnie warto włączyć weryfikację dwuetapową w WhatsApp, jeśli nie była aktywna.

Trzeba też ostrzec kontakty. Oszust mógł wysłać wiadomości do innych osób, usunąć czaty albo próbować wyłudzić pieniądze przez fałszywe płatności. W firmie należy sprawdzić, czy z konta nie kontaktowano się z klientami, dostawcami lub pracownikami.

Jeżeli przez WhatsApp przekazano dane, dokumenty albo linki, trzeba ocenić zakres incydentu tak samo jak przy przejęciu konta pocztowego. Komunikator może być mniej formalny, ale skutki mogą być bardzo realne.

Jak ćwiczyć ten scenariusz w awareness

Ten scenariusz dobrze nadaje się do ćwiczeń, bo nie opiera się na oczywistej płatności. Można sprawdzić, czy pracownik zatrzyma się przy prośbie o użycie komunikatora, a nie tylko przy formularzu karty.

W ćwiczeniu warto pokazać, że atak może wyglądać spokojnie: paczka, wybór paczkomatu, neutralny ekran, brak pieniędzy. Dopiero później pojawia się dziwna czynność. To uczy użytkowników, że podejrzany nie jest tylko link, ale cały proces.

Dobra zasada końcowa brzmi: żadna paczka nie wymaga podłączenia obcego urządzenia do WhatsApp. Jeśli odbiór przesyłki nagle wymaga komunikatora, kodu albo połączonych urządzeń, proces trzeba przerwać.