Przejdź do treści
NumerTel

Fałszywy SMS o dopłacie do paczki: jak rozpoznać oszustwo

Dostałeś SMS o drobnej dopłacie do paczki InPost lub DHL? Zobacz, jak działa ten smishing, po czym poznasz fałszywy link i gdzie zgłosić wiadomość.

Dzwonka nie ma, za to przychodzi SMS. Twoja paczka czeka w sortowni, ale brakuje drobnej dopłaty, na przykład 1,29 zł, i wystarczy kliknąć link, żeby ją uregulować. Kwota jest tak mała, że pierwsza myśl brzmi „zapłacę i mam spokój", i właśnie na tym odruchu opiera się całe oszustwo.

Dlaczego kwota jest groszowa

Oszustom nie chodzi o te 1,29 zł. Ta suma to wabik. Gdyby SMS żądał stu złotych, większość ludzi by się zatrzymała i zaczęła sprawdzać. Kilkadziesiąt groszy wygląda na błahostkę, której nie opłaca się weryfikować, więc ofiara klika bez namysłu, byle szybko zamknąć temat.

Link nie prowadzi jednak do żadnej dopłaty. Otwiera fałszywą stronę płatności albo logowania, łudząco podobną do panelu firmy kurierskiej lub banku. Tam podajesz dane karty albo logujesz się do bankowości, a oszust przechwytuje wszystko, co wpiszesz. Prawdziwy cel to nie 1,29 zł, tylko dane, które pozwolą wyczyścić całe konto. To klasyczny schemat oszustwa, w którym groszowa kwota ma uśpić czujność.

Jak działa smishing kurierski krok po kroku

Smishing to phishing przez SMS. Mechanizm jest powtarzalny i łatwy do rozpoznania, gdy raz zobaczysz go w całości.

  1. Dostajesz wiadomość podszywającą się pod InPost, DHL, Pocztę Polską albo DPD, często z numeru zwykłej komórki lub krótkiego, dziwnego nadawcy.
  2. Treść mówi o zatrzymanej paczce, niedopłacie, błędnym adresie albo dodatkowej opłacie celnej i zawsze dołącza link.
  3. Klikasz, a strona prosi o dane karty, kod z aplikacji banku albo o zalogowanie do bankowości.
  4. Po podaniu danych oszust loguje się na twoje konto albo wykonuje przelew, czasem instalując po drodze aplikację do zdalnego pulpitu.

Wzorzec gra na pośpiechu i rutynie. W sezonie zakupowym wiele osób faktycznie czeka na przesyłki, więc taki SMS trafia w realne oczekiwanie i wydaje się wiarygodny.

Po czym poznasz fałszywy SMS

Kilka sygnałów zdradza oszustwo, zanim cokolwiek klikniesz. Każdy z nich osobno powinien zapalić czerwone światło.

  • Link prowadzi spoza oficjalnej domeny firmy kurierskiej. Prawdziwe adresy kończą się na inpost.pl, dhl.com, poczta-polska.pl czy dpd.com.pl, a w SMS-ie zobaczysz dziwną końcówkę, literówkę, skracacz linków albo domenę z przypadkowych znaków.
  • Czekasz na paczkę, której nie zamawiałeś. Jeśli nie masz aktywnej przesyłki, żadna dopłata nie ma prawa się pojawić.
  • Kwota jest podejrzanie niska i okrągło-groszowa, bo ma cię zniechęcić do weryfikacji.
  • Wiadomość naciska na czas, grozi zwrotem paczki do nadawcy albo naliczeniem kary, żeby wymusić szybkie kliknięcie.

Firmy kurierskie informują o dopłatach przez własną aplikację albo na stronie, do której wchodzisz samodzielnie, a nie przez link wklejony w SMS. Numer nadawcy też warto sprawdzić. Możesz sprawdzić numer w naszej bazie i zobaczyć, czy ktoś już zgłosił go jako fałszywy.

Co zrobić, gdy dostaniesz taki SMS

Reguła jest prosta: nie klikaj i nie spiesz się. Sam SMS nie wyrządzi szkody, dopóki nie wejdziesz w interakcję z linkiem.

  1. Nie otwieraj linku i nie podawaj żadnych danych karty ani logowania.
  2. Status przesyłki sprawdź samodzielnie, wpisując adres firmy kurierskiej ręcznie w przeglądarce albo otwierając jej oficjalną aplikację, nigdy z linku w wiadomości.
  3. Jeśli zdążyłeś kliknąć i podać dane, natychmiast zadzwoń na infolinię banku, zastrzeż kartę i zablokuj dostęp do bankowości.
  4. Zachowaj wiadomość jako dowód, zanim ją zgłosisz, i zrób zrzut ekranu z numerem nadawcy.

Gdy podałeś dane logowania albo zainstalowałeś polecony program, zmień hasło do bankowości i poczty oraz włącz weryfikację dwuetapową. Przy realnej stracie pieniędzy zgłoś sprawę na Policję, a w nagłej sytuacji dzwoń pod numer 112.

Gdzie zgłosić fałszywy SMS

Zgłoszenie zajmuje chwilę i pomaga zablokować fałszywą stronę, zanim nabierze się ktoś inny. Przekaż podejrzaną wiadomość bezpłatnie do CERT Polska, przesyłając SMS na numer 8080. Pełniejszy opis incydentu wyślesz na [email protected]. Nadużycia związane z numeracją i wysyłką SMS zgłosisz do Prezesa UKE przez uke.gov.pl, a nieuczciwe praktyki rynkowe do UOKiK przez uokik.gov.pl.

Warto też ostrzec innych w naszej bazie. Opisz numer nadawcy w opinii, a jeśli chcesz zobaczyć, jak wyglądają podobne przypadki, zajrzyj do działu najczęstsze oszustwa telefoniczne. Im więcej zgłoszeń, tym szybciej dany numer trafia na radar.

Smishing to część większej układanki

Fałszywy SMS o paczce rzadko działa w pojedynkę. Często jest wstępem do telefonu od rzekomego konsultanta banku albo do podmiany numeru nadawcy, czyli spoofingu. Schemat jest zawsze ten sam, czyli wytworzyć presję, podsunąć fałszywą stronę i przejąć dane, zanim ofiara zdąży pomyśleć.

Najlepszą obroną jest jeden nawyk. Żadnej dopłaty, logowania ani potwierdzenia nie załatwiasz przez link z SMS-a, tylko samodzielnie, wchodząc na znaną stronę albo do aplikacji. Gdy to wejdzie w krew, groszowa dopłata przestaje być pułapką i staje się tym, czym naprawdę jest: zwykłym spamem do skasowania.

Wróć do bloga

Szanujemy Twoją prywatność.

Używamy technicznych plików cookie niezbędnych do działania strony oraz analityki ruchu bez plików cookie. Cookies reklamowe lub śledzące stosowalibyśmy wyłącznie za Twoją zgodą. Polityka cookies