Do skrzynki mailowej redakcji Warszawa w Pigułce wpłynął dziś mail zatytułowany Informacja dotycząca przesyłki z oficjalnym logo Poczty Polskiej na górze. Wiadomość zaczynała się od zwrotu Szanowni Państwo i informowała iż przesyłka o numerze CP365283522PL oczekuje na dalszą realizację z powodu nieopłaconych należności celnych. Pod tekstem widniał link https poczta polska pl track CP365283522PL który wyglądał jak prawdziwy adres systemu śledzenia przesyłek. Mail zawierał informację iż po uregulowaniu należności przetwarzanie przesyłki zostanie wznowione oraz podpis Dział Obsługi Przesyłek. Formatowanie było profesjonalne polszczyzna bez błędów a całość wyglądała identycznie jak setki prawdziwych maili które wszyscy otrzymujemy od operatorów pocztowych. Przez minutę zastanawialiśmy się czy któryś z kolegów z redakcji nie zamówił czegoś z zagranicy i nie podał adresu firmowego. Dopiero dokładna analiza trzech elementów ujawniła iż to nie Poczta Polska tylko cyberprzestępcy którzy profesjonalnie podszywają się pod narodowego operatora aby wyłudzić dane kart płatniczych od Polaków czekających na paczki. Gdybyśmy kliknęli w ten link i wprowadzili dane karty firmowej na fałszywej stronie płatności stracilibyśmy dostęp do dziesiątek tysięcy złotych w ciągu kilku minut.
Fot. Warszawa w Pigułce
Numer przesyłki wygenerowany według prawdziwego schematu
Pierwszą rzeczą która przykuła naszą uwagę był numer przesyłki CP365283522PL który wyglądał absolutnie autentycznie. Format był zgodny z rzeczywistym schematem stosowanym przez Pocztę Polską dla przesyłek międzynarodowych: dwie wielkie litery CP oznaczające typ przesyłki dziewięć cyfr identyfikacyjnych oraz dwie litery PL wskazujące Polskę jako kraj docelowy. To nie był przypadkowy ciąg znaków ale numer wygenerowany według oficjalnego standardu Universal Postal Union który obowiązuje wszystkich operatorów pocztowych na świecie. Oszuści najwyraźniej dokładnie przestudiowali jak wyglądają prawdziwe numery śledzenia i stworzyli generator który produkuje numery nie do odróżnienia od autentycznych.
Sprawdziliśmy ten numer w prawdziwym systemie śledzenia Poczty Polskiej wpisując adres manualnie w przeglądarce i oczywiście system poinformował iż taka przesyłka nie istnieje w bazie danych. To kolejny dowód na oszustwo bo gdyby przesyłka faktycznie oczekiwała na odprawę celną jej numer musiałby być widoczny w oficjalnym systemie z informacją o statusie zatrzymana w urzędzie celnym lub oczekuje na uregulowanie należności. Prawdziwa Poczta Polska zawsze aktualizuje status przesyłek w czasie rzeczywistym więc jeżeli numer nie pojawia się w systemie śledzenia oznacza to iż albo został błędnie przepisany albo w ogóle nie istnieje czyli jest częścią oszustwa.
Treść maila była sformułowana w sposób który miał wywołać natychmiastową reakcję. Stwierdzenie iż przesyłka oczekuje na dalszą realizację z powodu nieopłaconych należności celnych brzmi pilnie i sugeruje iż jeżeli nie zareagujesz gwałtownie paczka może zostać odesłana do nadawcy lub zniszczona. To klasyczna socjotechnika: przestępcy liczą na to iż osoba czekająca na istotną przesyłkę szczególnie przed świętami gdy może to być prezent nie będzie zbyt długo analizować wiadomości tylko od razu kliknie w link i zapłaci żeby nie stracić paczki. Informacja iż w razie pytań pozostajemy do dyspozycji dodatkowo buduje pozory autentyczności bo wygląda jak standardowa grzecznościowa formuła używana przez prawdziwych operatorów.
Link który prowadzi gdzie indziej niż pokazuje
Drugi najważniejszy element który zdradził oszustwo to link zawarty w wiadomości. Wyświetlany tekst linku brzmiał https poczta polska pl track CP365283522PL co doskonale imitowało prawdziwy adres systemu śledzenia Poczty Polskiej. Na pierwszy rzut oka wszystko się zgadzało: protokół https sugerujący bezpieczne połączenie oficjalna domena poczta polska pl podkatalog track oraz numer przesyłki jako parametr. Gdybyśmy od razu kliknęli trafilibyśmy na fałszywą stronę kontrolowaną przez przestępców.
Na szczęście przed kliknięciem wykonaliśmy podstawowy test bezpieczeństwa: najechaliśmy myszką na link bez klikania i spojrzeliśmy w lewy dolny róg okna przeglądarki gdzie wyświetla się rzeczywisty adres docelowy. To co zobaczyliśmy było zupełnie inne niż wyświetlany tekst. Link prowadził do domeny która nie miała nic wspólnego z Pocztą Polską: zamiast oficjalnej domeny poczta-polska pl była to przypadkowa domena zarejestrowana przez oszustów prawdopodobnie na serwerach zagranicznych poza zasięgiem polskiego prawa. To najpopularniejsza technika stosowana przez cyberprzestępców: tworzą link który wygląda jak prawdziwy w tekście ale faktycznie prowadzi na ich własną stronę wyłudzającą dane.
