Krótko i na temat, bo chociaż w świecie idealnym nikt nie da się nabrać na żadne łgarstwa, żyjemy w świecie realnym, gdzie popyt kształtuje podaż także w branży oszustów — więc skoro istnieje ryzyko, że na „Zawiadomienie o porażce dostawy” ktoś da się oszukać, to ja to ryzyko spróbuję pomniejszyć.
Oto godzinę temu otrzymałem klasycznego esemesa o niemożności dostarczenia przesyłki ze względu na problem w adresie — z odnośnikiem do jakiejś spamerskiej domeny imitującej inPost.pl:
Twoja paczka została wstrzymana z powodu braku numeru ulicy na paczce. Zaktualizuj informacje o wysyłce [link do inpcstpl.icu/pl]
Stara i dobra zasada ’follow the money’ — i buzująca we mnie natura dziennikarza śledczego — podpowiedziała mi, że warto obadać scenariusz obmyślony przez oszustów. Niestety, dalszy schemat był przewidywalny jak poziom polskiej piłki nożnej: najsamprzód wyświetlił się wspaniały napis „Zawiadomienie o porażce dostawy” i standardowe objaśnienie:
Ponieważ adres dostawy nie jest jasny, pakiet nie jest dostarczany
po czym nastąpiło clou programu, czyli smishing — próba wyłudzenia danych karty płatniczej (tj. numeru karty, daty ważności i kodu CVV2, a także imienia i nazwiska jej posiadacza):
W celu ponownej dostawy musimy naliczyć niektóre opłaty za usługi. Twój pakiet zostanie ponownie dostarczany po płatności
No dobrze, ale przecież jest ustawa, która zakazuje nadużyć w komunikacji elektronicznej, można powiedzieć… ano jest, jest w niej też sakramentalne zdanie „zakazane są nadużycia w komunikacji elektronicznej” (m.in. smishing, generowanie sztucznego ruchu i CLI spoofing), jest nawet przepis karny, penalizujący podszywanie się pod inny podmiot w celu nakłonienia odbiorcy do przekazania danych osobowych, otwarcia strony internetowej, instalacji oprogramowania lub przekazania kodów dostępowych, etc.,etc. (i tu jest zagrożenie aż do 5 lat pozbawienia wolności)
Na szczęście jest też pewnego rodzaju szybka ścieżka: esmesy wyglądające jak smishing czy inny phishing należy zgłaszać do CSIRT NASK (incydent.cert.pl) — zgodnie z art. 5 ustawy najprościej i najszybciej przesyłając je w całości pod bezpłatny numer 8080. Na podstawie takich zgłoszeń CSIRT NASK: (i) „tworzy wzorzec wiadomości wyczerpującej znamiona smishingu, zwany dalej „wzorcem wiadomości”” (ii) udostępnia te informacje Centralnemu Biuru Zwalczania Cyberprzestępczości, UKE i przedsiębiorcom telekomunikacyjnym — zaś operatorzy (którzy mają obowiązek korzystać z systemu przeznaczonego do monitorowania smishingu) w oparciu o te dane decydują o blokowaniu przesyłanych wiadomości zgodnych ze wzorcem (lub też ich nie blokują, jeśli uznają, że treść wiadomości „nie wyczerpuje znamion smishingu” lub jeśli uznają dalsze blokowanie za bezcelowe).
Zamiast komentarza: w sumie nie do wiary, że ktoś może zareagować na oszustwo szyte tak grubymi nićmi — aczkolwiek lepiej kłaść do głów po stokroć, niż dywagować w nieskończoność czy uwierzytelnienie transakcji płatniczej jest jej autoryzacją…