Kupujesz na AliExpress lub Temu? Tylko klikniesz i stracisz pieniądze
Ruszyła kolejna, zmasowana kampania phishingowa wymierzona w osoby oczekujące na przesyłki. Jak ostrzega CERT Orange Polska, oszuści rozsyłają fałszywe e-maile podszywające się pod Pocztę Polską, informując o rzekomym zatrzymaniu paczki przez służby celne. Cel jest jeden: kradzież danych karty płatniczej.
CERT Orange Polska przestrzega przed nową falą oszustw, wymierzoną w osoby, które kupują towary za granicą. Dotyczy to klientów chińskich platform jak AliExpress czy Temu, ale narażeni są też użytkownicy Amazona, czekający na przesyłkę z USA lub Wielkiej Brytanii.
Strona wygląda legitnie, łatwo się nabrać
Atak rozpoczyna się od wiadomości e-mail. Z jej treści wynika, że paczka została zatrzymana do kontroli celnej. W kampanii używany jest stały, spreparowany numer PL93840211502XP, choć niewykluczone, że z czasem mogą pojawić się jego modyfikacje.
Podszywając się pod celników, oszuści domagają się o uregulowania niewielkiej kwoty – w tym przypadku jest to zaledwie 16,40 zł cła i opłaty operacyjnej. Niska kwota ma sprawić, że ofiara kliknie w link i opłaci należność bez głębszego zastanowienia.
Choć w polu nadawcy widnieje napis „Poczta Polska S.A.”, wystarczy spojrzeć na faktyczny adres e-mail. Wiadomości są wysyłane z adresu support@periti-industriali[.]firenze[.]it – włoskiej domeny, która najprawdopodobniej została przejęta przez hakerów.
Kliknięcie w przycisk „Ureguluj opłatę online” przenosi ofiarę na spreparowaną stronę internetową. Cyberprzestępcy zadbali o detale – witryna wygląda niemal identycznie jak prawdziwy portal Poczty Polskiej. Oszuści skopiowali logotypy, charakterystyczną czerwoną kolorystykę oraz menu.
Teraz zaczyna się najważniejsze. Ofiara musi wypełnić formularz, podając imię, nazwisko oraz dokładny adres. Następnie pojawiają się pola do wprowadzenia pełnych danych karty płatniczej: numeru, daty ważności oraz kodu CVV/CVC. Po wpisaniu danych karty i zatwierdzeniu formularza na ekranie pojawia się animacja ładowania z informacją, że „płatność jest weryfikowana”. To kulminacyjny moment ataku.
Kiedy ofiara wpatruje się w ekran, myśląc, że system przetwarza transakcję na kwotę 16,40 zł, oszuści po drugiej stronie aktywnie działają. W tym czasie próbują dodać skradzioną kartę do wirtualnych portfeli (np. Apple Pay lub Google Pay) lub też dokonać natychmiastowych zakupów w internecie na wysokie kwoty. Ekran ładowania ma zatrzymać użytkownika na stronie do momentu, aż bank wyśle mu SMS-em kod autoryzacyjny. Oszuści spróbują wyłudzić ten kod na kolejnej, podmienionej podstronie.
Jak nie dać się złapać?
Eksperci z CERT Orange Polska przypominają podstawowe zasady, które pozwolą uchronić się przed utratą oszczędności. Po pierwsze Poczta Polska nigdy nie wysyła linków bezpośrednio do zewnętrznych paneli płatności w mailach czy SMS-ach.
Jeśli faktycznie czekasz na paczkę od tego operatora, zweryfikuj numer swojej przesyłki i sprawdź jej status na stronie przewoźnika
Trzeba też zwracać uwagę na pasek przeglądarki. Końcówki adresów .ro, .it czy .net w połączeniu z nazwą polskiej instytucji to sygnał alarmowy. W podanym przykładzie zamiast domeny Poczty Polskiej widniał adres z rumuńskim rozszerzeniem poczta-polska[.]aniamis[.]ro/checkout.html. Łatwo jednak przeoczyć ten szczegół, myśląc o jak najszybszym zakończeniu formalności celnych.
