Fałszywe cło za paczkę z Poczty Polskiej

TL;DR

Fałszywe cło za paczkę to phishing, który wykorzystuje bardzo prostą obietnicę: zapłać małą kwotę, a przesyłka ruszy dalej. CERT Orange Polska opisał kampanię podszywającą się pod Pocztę Polską, w której e-mail informował o rzekomym zatrzymaniu przesyłki przez służby celne i dopłacie 16,40 zł.

Niska kwota jest przynętą. Użytkownik nie myśli o dużym ryzyku, bo płatność wygląda jak drobna formalność. W rzeczywistości fałszywa strona może wyłudzić dane adresowe, komplet danych karty i kolejne kody autoryzacyjne.

Ten scenariusz powinien być traktowany jako klasyczny phishing na płatność i dane karty, a nie zwykły problem z dostawą. Dla firm jest ważny, bo podobne wiadomości mogą trafiać do pracowników kupujących prywatnie, działów administracji, magazynów, logistyki i e-commerce.

Jak działa oszustwo na cło za paczkę

Wiadomość udaje komunikat Poczty Polskiej. Informuje, że paczka została zatrzymana przez służby celne albo wymaga dopłaty. Nadawca może wyświetlać nazwę Poczty Polskiej, ale pełny adres e-mail często zdradza obcą domenę lub przejętą skrzynkę.

Użytkownik ma kliknąć przycisk płatności. Fałszywa strona kopiuje wygląd prawdziwego portalu: logo, kolory, menu i język administracyjny. W pierwszym kroku prosi o dane adresowe, a w kolejnym o numer karty, datę ważności i kod CVV/CVC.

Po zatwierdzeniu może pojawić się ekran oczekiwania. To nie jest neutralny element. W tym czasie oszuści mogą próbować użyć danych karty, dodać ją do portfela mobilnego albo przygotować kolejne żądanie kodu autoryzacyjnego.

Atak nie kończy się na 16,40 zł. Mała opłata jest tylko pretekstem do przejęcia danych płatniczych.

Dlaczego ten mechanizm działa

Paczki są codziennością. Wiele osób zamawia rzeczy online i nie pamięta wszystkich przesyłek. Komunikat o cle lub dopłacie brzmi wiarygodnie, zwłaszcza jeśli kwota jest mała, a e-mail wygląda formalnie.

Atakujący wykorzystują też niepewność użytkownika. Odbiorca może nie wiedzieć, kiedy cło jest naliczane, kto je pobiera i jak wygląda prawidłowa procedura. Wtedy łatwiej kliknąć w link, żeby sprawdzić szczegóły.

Drugi element to presja logistyczna. Użytkownik boi się, że paczka zostanie zwrócona, zatrzymana albo opóźniona. To skraca czas na analizę. Zamiast sprawdzić nadawcę i domenę, odbiorca przechodzi do płatności.

Trzeci element to fałszywy panel płatności. Jeśli strona wygląda jak znany serwis i kwota jest niska, użytkownik może potraktować wpisanie karty jak zwykłą opłatę online.

Polski i firmowy kontekst

W Polsce ten scenariusz może dotyczyć Poczty Polskiej, firm kurierskich, sklepów internetowych, marketplace’ów i zamówień z zagranicy. Dla użytkownika prywatnego skutkiem może być utrata danych karty. Dla firmy skutki mogą być szersze.

Pracownik administracji może otrzymać wiadomość o paczce firmowej. Magazyn może dostać e-mail o odprawie. Księgowość może potraktować drobną opłatę jako koszt operacyjny. W e-commerce podobne wiadomości mogą trafić do obsługi klienta i wywołać chaos, jeśli klient zacznie pytać o fałszywe dopłaty.

Jeżeli firma korzysta z kart służbowych, ryzyko jest jeszcze większe. Wpisanie danych karty na fałszywej stronie może oznaczać konieczność blokady karty, analizy transakcji i sprawdzenia, kto jeszcze dostał podobną wiadomość.

Warto łączyć ten temat z edukacją o smishingu, bo ten sam mechanizm dopłaty do paczki może przyjść SMS-em, e-mailem, komunikatorem albo reklamą.

Co powinien zrobić użytkownik

Nie należy płacić za przesyłkę przez link z e-maila lub SMS-a. Status paczki trzeba sprawdzić ręcznie na stronie przewoźnika albo w oficjalnej aplikacji. Numer przesyłki należy przepisać samodzielnie, zamiast klikać link.

Przed wpisaniem danych karty trzeba sprawdzić domenę. Jeżeli adres nie należy do oficjalnego operatora, a nazwa marki występuje tylko jako fragment dłuższej domeny, proces należy przerwać.

Warto też pamiętać, że sama zgodność wyglądu strony nie ma znaczenia. Fałszywe strony kopiują logotypy, kolory i układ portalu. Dowodem nie jest wygląd, tylko prawidłowy adres i samodzielnie rozpoczęta ścieżka.

Jeżeli komunikat dotyczy małej kwoty, nie oznacza to mniejszego ryzyka. Przy phishingu na kartę kwota początkowa jest często tylko przynętą.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik podał dane adresowe, powinien założyć, że mogą zostać użyte w kolejnych atakach. Warto zachować wiadomość, link i zrzuty ekranu oraz zgłosić incydent.

Jeżeli użytkownik podał dane karty, należy natychmiast skontaktować się z bankiem. W zależności od sytuacji trzeba zastrzec kartę, zablokować płatności internetowe, sprawdzić historię transakcji i alerty autoryzacyjne.

Jeżeli użytkownik wpisał kod z banku albo zatwierdził operację w aplikacji, sprawa jest pilna. To może oznaczać próbę dodania karty do portfela mobilnego albo wykonania transakcji. Kontakt z bankiem powinien nastąpić od razu.

W firmie incydent należy zgłosić do IT, Security lub finansów. Jeżeli użyto karty służbowej, trzeba sprawdzić limity, historię transakcji, odbiorców i ewentualne próby kolejnych płatności.

Jak ćwiczyć ten scenariusz

W testach phishingowych można przygotować scenariusz z małą opłatą za paczkę. Nie chodzi jednak o straszenie użytkownika, lecz o sprawdzenie, czy potrafi przerwać proces przed wpisaniem danych karty.

Dobre ćwiczenie mierzy kilka punktów: kliknięcie, sprawdzenie nadawcy, sprawdzenie domeny, wpisanie danych adresowych, wpisanie karty i zgłoszenie incydentu. To pokazuje, gdzie organizacja traci kontrolę.

Konkretna zasada na koniec: mała dopłata nie oznacza małego ryzyka. Jeżeli płatność za paczkę zaczyna się od linku w wiadomości, sprawdź przesyłkę ręcznie u operatora.