„Zawiadomienie o porażce dostawy” (smishing esemesowy zgłaszamy na nr 8080)

Krótko i na temat, bo chociaż w świecie idealnym nikt nie da się nabrać na żadne łgarstwa, żyjemy w świecie realnym, gdzie popyt kształtuje podaż także w branży oszustów — więc skoro istnieje ryzyko, że na „Zawiadomienie o porażce dostawy” ktoś da się oszukać, to ja to ryzyko spróbuję pomniejszyć.


Zawiadomienie porażce dostawy
„Zawiadomienie o porażce dostawy” brzmi dostatecznie debilnie, żeby nikt nie dał się nabrać?

Oto godzinę temu otrzymałem klasycznego esemesa o niemożności dostarczenia przesyłki ze względu na problem w adresie — z odnośnikiem do jakiejś spamerskiej domeny imitującej inPost.pl:

Zawiadomienie porażce dostawy

Twoja paczka została wstrzymana z powodu braku numeru ulicy na paczce. Zaktualizuj informacje o wysyłce [link do inpcstpl.icu/pl]

Stara i dobra zasada ’follow the money’ — i buzująca we mnie natura dziennikarza śledczego — podpowiedziała mi, że warto obadać scenariusz obmyślony przez oszustów. Niestety, dalszy schemat był przewidywalny jak poziom polskiej piłki nożnej: najsamprzód wyświetlił się wspaniały napis „Zawiadomienie o porażce dostawy” i standardowe objaśnienie:

Ponieważ adres dostawy nie jest jasny, pakiet nie jest dostarczany

po czym nastąpiło clou programu, czyli smishing — próba wyłudzenia danych karty płatniczej (tj. numeru karty, daty ważności i kodu CVV2, a także imienia i nazwiska jej posiadacza):

W celu ponownej dostawy musimy naliczyć niektóre opłaty za usługi. Twój pakiet zostanie ponownie dostarczany po płatności

No dobrze, ale przecież jest ustawa, która zakazuje nadużyć w komunikacji elektronicznej, można powiedzieć… ano jest, jest w niej też sakramentalne zdanie „zakazane są nadużycia w komunikacji elektronicznej” (m.in. smishing, generowanie sztucznego ruchu i CLI spoofing), jest nawet przepis karny, penalizujący podszywanie się pod inny podmiot w celu nakłonienia odbiorcy do przekazania danych osobowych, otwarcia strony internetowej, instalacji oprogramowania lub przekazania kodów dostępowych, etc.,etc. (i tu jest zagrożenie aż do 5 lat pozbawienia wolności)

Na szczęście jest też pewnego rodzaju szybka ścieżka: esmesy wyglądające jak smishing czy inny phishing należy zgłaszać do CSIRT NASK (incydent.cert.pl) — zgodnie z art. 5 ustawy najprościej i najszybciej przesyłając je w całości pod bezpłatny numer 8080. Na podstawie takich zgłoszeń CSIRT NASK: (i) „tworzy wzorzec wiadomości wyczerpującej znamiona smishingu, zwany dalej „wzorcem wiadomości”” (ii) udostępnia te informacje Centralnemu Biuru Zwalczania Cyberprzestępczości, UKE i przedsiębiorcom telekomunikacyjnym — zaś operatorzy (którzy mają obowiązek korzystać z systemu przeznaczonego do monitorowania smishingu) w oparciu o te dane decydują o blokowaniu przesyłanych wiadomości zgodnych ze wzorcem (lub też ich nie blokują, jeśli uznają, że treść wiadomości „nie wyczerpuje znamion smishingu” lub jeśli uznają dalsze blokowanie za bezcelowe).

Zamiast komentarza: w sumie nie do wiary, że ktoś może zareagować na oszustwo szyte tak grubymi nićmi — aczkolwiek lepiej kłaść do głów po stokroć, niż dywagować w nieskończoność czy uwierzytelnienie transakcji płatniczej jest jej autoryzacją

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

25 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
25
0
komentarze są tam :-)x