Осторожно посылка

Вы получаете уведомление о доставке или просто находите у своей входной двери уже доставленную посылку. Но вы ничего не заказывали… Хотя подарки любят почти все, нужно насторожиться. Есть несколько мошеннических схем, которые начинаются именно с физической доставки. Обман с физическими посылками и письмами — брашинг и квишинг
Конечно, стоит связаться с друзьями и близкими — может, кто-то из них сделал заказ, а вас не предупредил? Но если такой человек не нашелся, скорее всего, вас пытаются вовлечь в одну из схем обмана. Забегая вперед, скажем, что QR-коды на таких посылках сканировать ни в коем случае нельзя, равно как и звонить по контактным телефонам на упаковке.
Устоявшийся в английском языке термин brushing scam заимствован из китайского сленга, связанного с электронной торговлей, но в русском языке нужный смысл несет слово «накручивать». Первоначально брашинг был относительно невинным: вы получаете товар, который не заказывали, а продавец пишет от вашего имени хвалебный отзыв о товаре и накручивает себе статистику продаж. Чтобы проделать это, нечистоплотные продавцы покупают одну из утекших баз с персональными данными и регистрируют на маркетплейсах новые учетные записи с реальным именем и почтовым адресом «жертвы», но со своим адресом электронной почты и платежным инструментом. Те, кто стали мишенью, не несут прямого ущерба.
Полцарства за обзор
Со временем у брашинга появились более «зубастые» разновидности. Чтобы все же заработать на получателе товара, злоумышленники пытаются заманить его на вредоносный сайт. Для этого к товару прилагается карточка или наклейка с QR-кодом. Легенда, сопровождающая код, может быть разной:
• «Вам подарок! Узнайте отправителя, просканировав код»
• «Оставьте отзыв о нашем товаре и получите подарочный сертификат на $100!»
• «Подтвердите получение, чтобы доставка и товар были бесплатны!»
Если жертва просканирует QR-код, чтобы узнать отправителя или получить еще один подарок, дальше все развивается по канонам квишинга (quishing, или QR phishing): либо на сайте будут выманивать платежные данные (например, под предлогом активации подарочного сертификата) или коды от банковских приложений и госуслуг либо настаивать на установке приложения для якобы требуемых подтверждений и активаций — конечно, вредоносного.
Без товара?
Перечисленные схемы имеют смысл, когда интернет-магазин способен подарить свои товары в рамках своеобразной маркетинговой акции. А можно не тратиться на товар, но все равно выманить данные у жертвы. Вместо товара на пороге дома жертвы оставляют профессионально напечатанную открытку: «Увы, наша курьерская служба не смогла доставить вам посылку, вас не было дома. Подарок с объявленной ценностью $200 вручается только лично, свяжитесь с нами для назначения повторной доставки». На открытке есть QR-код, адрес сайта и иногда даже номер телефона, по которому можно назначить повторную доставку. Если позвонить или посетить указанный на открытке и в QR-коде вредоносный сайт, у вас будут выманивать платежные данные, пароли и одноразовые коды по одной из популярных «доставочных» схем.
• «Срочно выберите время доставки, чтобы товар не отправили обратно».
• «Заплатите сбор в $2 за повторную доставку». Цель — выманить платежные данные; дальше деньги будут списывать в гораздо больших объемах.
• «Заплатите таможенную пошлину». Вам якобы прислали ценную посылку, но нужно самостоятельно оплатить таможенную пошлину — и тут суммы могут быть уже не такие маленькие, в зависимости от цены якобы присланного товара. В некоторых странах за «таможенной пошлиной» может явиться курьер и принять оплату наличными.
Все эти схемы могут привести к потере личных и финансовых данных, но порой они развиваются и дальше — в телефонное мошенничество с крупным ущербом. Например, если вы заплатите вымышленный сбор за доставку, злоумышленники могут позвонить уже по телефону и сообщить, что доставить посылку не могут, потому что в ней обнаружены на#котики. Дальше последует давление, общение с вымышленной полицией и попытки выманить крупную сумму денег якобы для защиты жертвы от уголовного преследования.
Деньги при доставке
Еще одна популярная схема обмана — товары с оплатой после получения. Иногда злоумышленники заранее рекламируют товар и присылают его жертве с ее согласия, но есть и разновидность, когда посылка приезжает внезапно. Курьер говорит, что на ваше имя оформлена доставка и что он привез вашу посылку. Обычно на коробке сразу указано название какого-нибудь привлекательного товара — например, топового смартфона. Но… за него нужно заплатить. Правда, сумма меньше рыночной цены в 2–3 раза. Злоумышленники надеются, что жадность и спешка (курьер торопится, давайте скорее!) заставят жертву платить, не разбираясь с товаром подробно. Впоследствии окажется, что в коробке лежит либо дешевая подделка под искомый товар, либо вообще мусор. Если жертва атаки откажется оплачивать неизвестно что, у мошенников может быть наготове план «Б»: выманить одноразовый код подтверждения маркетплейса или банка под предлогом «подтверждения отмены заказа».
Что делать, если вы получили нежданную посылку
• Внимательно изучите упаковку, наклейки и сопроводительные документы.
• Сфотографируйте упаковку на всякий случай, но не переходите ни по каким ссылкам из QR-кодов и надписей. Сохраните упаковку на случай возможных разбирательств в будущем.
• Ни в коем случае не звоните по телефонам и не переходите по ссылкам, указанным на посылке.
• Ни в коем случае не платите никаких «сборов за доставку», «таможенных пошлин», не вводите и не сообщайте свои платежные данные.
• Не подключайте к компьютеру или смартфону неожиданно присланные вам цифровые носители.
• Если посылка доставлена крупной и хорошо вам известной службой доставки (Яндекс Маркет, Wildberries, Ozon, СДЭК, AliExpress, государственная почта), откройте официальный сайт этой организации, найдите контактные телефоны, онлайн-трекинг или онлайн-чат поддержки, проверьте статус посылки и узнайте ее отправителя. Если на посылке указан трек-номер — введите его вручную, а не сканируя какие-либо QR-коды на этикетке.
• Сообщите о подозрительной посылке в поддержку службы доставки и в полицию, даже если у вас не украли деньги.
По материалам Касперский