мошенничество
Вы получаете уведомление о доставке или просто находите у своей входной двери уже доставленную посылку. Но вы ничего не заказывали! Хотя подарки любят почти все, нужно насторожиться. Есть несколько мошеннических схем, которые начинаются именно с физической доставки.
Конечно, стоит связаться с друзьями и близкими — может, кто-то из них сделал заказ, а вас не предупредил? Но если такой человек не нашелся, скорее всего, вас пытаются вовлечь в одну из схем обмана, описанных ниже.
Забегая вперед, скажем, что QR-коды на таких посылках сканировать ни в коем случае нельзя, равно как и звонить по контактным телефонам на упаковке.
Начистить заказы!
Устоявшийся в английском языке термин brushing scam заимствован из китайского сленга, связанного с электронной торговлей. 刷单 буквально означает «начищать заказы», но в русском языке нужный смысл несет слово «накручивать». Первоначально брашинг был относительно невинным: вы получаете товар, который не заказывали, а продавец пишет от вашего имени хвалебный отзыв о товаре и накручивает себе статистику продаж. Чтобы проделать это, нечистоплотные продавцы покупают одну из утекших баз с персональными данными и регистрируют на маркетплейсах новые учетные записи с реальным именем и почтовым адресом «жертвы», но со своим адресом электронной почты и платежным инструментом. Те, кто стали мишенью, не несут прямого ущерба.
Полцарства за обзор
Со временем у брашинга появились более «зубастые» разновидности. Чтобы все же заработать на получателе товара, злоумышленники пытаются заманить его на вредоносный сайт. Для этого к товару прилагается карточка или наклейка с QR-кодом. Легенда, сопровождающая код, может быть разной. Популярные варианты:
- «Вам подарок! Узнайте отправителя, просканировав код»
- «Оставьте отзыв о нашем товаре и получите подарочный сертификат на $100!»
- «Подтвердите получение, чтобы доставка и товар были бесплатны!»
Если жертва (уже без кавычек) просканирует QR-код, чтобы узнать отправителя или получить еще один подарок, дальше все развивается по канонам квишинга (quishing, или QR phishing): либо на сайте будут выманивать платежные данные (например, под предлогом активации подарочного сертификата) или коды от банковских приложений и госуслуг либо настаивать на установке приложения для якобы требуемых подтверждений и активаций — конечно, вредоносного.
А если без товара?
Перечисленные схемы имеют смысл, когда интернет-магазин способен подарить свои товары в рамках своеобразной маркетинговой акции. А можно не тратиться на товар, но все равно выманить данные у жертвы? Мошенники уверенно отвечают «да»!
Вместо товара на пороге дома жертвы оставляют профессионально напечатанную открытку: «Увы, наша курьерская служба не смогла доставить вам посылку, вас не было дома. Подарок с объявленной ценностью $200 вручается только лично, свяжитесь с нами для назначения повторной доставки». На открытке есть QR-код, адрес сайта и иногда даже номер телефона, по которому можно назначить повторную доставку.
Фишинговая открытка от якобы Royal Mail с адресом сайта и QR-кодом выглядит максимально правдоподобно — злоумышленники уделили много внимания деталям. Источник
Если позвонить или посетить указанный на открытке и в QR-коде вредоносный сайт, у вас будут выманивать платежные данные, пароли и одноразовые коды по одной из популярных «доставочных» схем.
- «Срочно выберите время доставки, чтобы товар не отправили обратно».
- «Заплатите сбор в $2 за повторную доставку». Цель — выманить платежные данные; дальше деньги будут списывать в гораздо больших объемах.
- «Заплатите таможенную пошлину». Вам якобы прислали ценную посылку, но нужно самостоятельно оплатить таможенную пошлину — и тут суммы могут быть уже не такие маленькие, в зависимости от цены якобы присланного товара. В некоторых странах за «таможенной пошлиной» может явиться курьер и принять оплату наличными.
Все эти схемы могут привести к потере личных и финансовых данных, но порой они развиваются и дальше — в телефонное мошенничество с крупным ущербом. Например, если вы заплатите вымышленный сбор за доставку, злоумышленники могут позвонить уже по телефону и сообщить, что доставить посылку не могут, потому что в ней обнаружены наркотики. Дальше последует давление, общение с вымышленной полицией и попытки выманить крупную сумму денег якобы для защиты жертвы от уголовного преследования.
Деньги при доставке
Еще одна популярная схема обмана — товары с оплатой после получения. Иногда злоумышленники заранее рекламируют товар и присылают его жертве с ее согласия, но есть и разновидность, когда посылка приезжает внезапно. Курьер говорит, что на ваше имя оформлена доставка и что он привез вашу посылку. Обычно на коробке сразу указано название какого-нибудь привлекательного товара — например, топового смартфона. Но… за него нужно заплатить. Правда, сумма меньше рыночной цены в 2–3 раза. Злоумышленники надеются, что жадность и спешка (курьер торопится, давайте скорее!) заставят жертву платить, не разбираясь с товаром подробно. Впоследствии окажется, что в коробке лежит либо дешевая подделка под искомый товар, либо вообще мусор.
Если жертва атаки откажется оплачивать неизвестно что, у мошенников может быть наготове план «Б»: выманить одноразовый код подтверждения маркетплейса или банка под предлогом «подтверждения отмены заказа».
Целевые атаки
Порой атаки с физической доставкой тех или иных товаров жертве — целевые. Так, злоумышленники пытались украсть криптовалюту у жертв, присылая владельцам аппаратных кошельков Ledger посылки с уведомлением о бесплатной замене дефектных устройств по гарантии. В посылке лежал якобы новый криптокошелек, а на самом деле — флешка с вредоносным софтом, крадущим seed-фразу от криптокошелька. Также рассылку USB-носителей практиковали вымогатели группировки FIN7 в рамках целевых ransomware-атак на интересные им организации.
Скрытая угроза
У брашингов и квишингов есть неприятная первопричина. Если вы получаете эти посылки, значит, ваш адрес и другие контактные данные разошлись по базам утечек на подпольных форумах. Их продают многократно, поэтому вас, вероятно, будут атаковать и по другим жульническим схемам. Будьте наготове: включайте везде двухфакторную аутентификацию, ждите звонков мошенников, ставьте на смартфон Kaspersky Who Calls для защиты от телефонного спама, чаще проверяйте банковские выписки и обязательно установите надежную защиту от фишинга на все устройства.
Что делать, если вы получили нежданную посылку
- Внимательно изучите упаковку, наклейки и сопроводительные документы.
- Сфотографируйте упаковку на всякий случай, но не переходите ни по каким ссылкам из QR-кодов и надписей. Сохраните упаковку на случай возможных разбирательств в будущем.
- Ни в коем случае не звоните по телефонам и не переходите по ссылкам, указанным на посылке.
- Ни в коем случае не платите никаких «сборов за доставку», «таможенных пошлин», не вводите и не сообщайте свои платежные данные.
- Не подключайте к компьютеру или смартфону неожиданно присланные вам цифровые носители.
- Если посылка доставлена крупной и хорошо вам известной службой доставки (Яндекс Маркет, Wildberries, Ozon, СДЭК, AliExpress, государственная почта), откройте официальный сайт этой организации, найдите контактные телефоны, онлайн-трекинг или онлайн-чат поддержки, проверьте статус посылки и узнайте ее отправителя. Если на посылке указан трек-номер — введите его вручную, а не сканируя какие-либо QR-коды на этикетке.
- Сообщите о подозрительной посылке в поддержку службы доставки и в полицию, даже если у вас не украли деньги.
О других способах мошенничества с QR-кодами, маркетплейсами и службами доставки читайте здесь:
Советы