Szacowany czas czytania: 6 minut

Transakcje online i usługi kurierskie stały się codziennością, a cyberprzestępcy nieustannie doskonalą swoje metody działania. Skala zagrożenia jest znacząca; w 2023 roku phishing był najczęstszym typem cyberataku, stanowiąc aż 64% wszystkich incydentów obsłużonych przez CERT Polska. 

Wśród tych zagrożeń jedną z relatywnie nowych, a przy tym wyrafinowanych technik, jest phishing na etykietę. Metoda ta, wykorzystując zaufanie do popularnych firm przewozowych, stanowi poważne zagrożenie, omijając często standardowe mechanizmy obronne użytkowników. Jej skuteczność polega na manipulacji elementem, który z założenia ma potwierdzać autentyczność przesyłki – etykietą.

Czym dokładnie jest phishing na etykietę?

Phishing na etykietę to rodzaj oszustwa internetowego, w którym przestępca podszywa się pod firmę kurierską lub platformę sprzedażową w celu wyłudzenia towaru lub danych. Atak ten jest najczęściej skierowany do osób sprzedających produkty na popularnych portalach ogłoszeniowych. Scenariusz zazwyczaj opiera się na inżynierii społecznej, gdzie kluczową rolę odgrywa spreparowany list przewozowy, mający uśpić czujność ofiary.

W przeciwieństwie do klasycznego phishingu, którego celem jest głównie kradzież danych logowania czy informacji finansowych, ta odmiana koncentruje się na fizycznym przejęciu przedmiotu. Oszustwo to bazuje na przeświadczeniu sprzedającego, że cały proces wysyłki odbywa się w bezpieczny i standardowy sposób.

Jakie są mechanizmy ataku z wykorzystaniem etykiety?

Schemat działania przestępców jest zazwyczaj wieloetapowy i precyzyjnie zaplanowany. Proces ataku przebiega następująco:

  • Nawiązanie kontaktu: Oszust znajduje interesujące go ogłoszenie i kontaktuje się ze sprzedającym, wyrażając chęć zakupu.
  • Propozycja ułatwienia: Aby zdobyć zaufanie, przestępca oferuje, że sam zajmie się formalnościami i opłaci przesyłkę, a sprzedającemu prześle gotową do wydruku etykietę nadawczą.
  • Przesłanie fałszywej etykiety: Sprzedający otrzymuje etykietę, która wizualnie jest niemal identyczna z autentycznymi dokumentami przewozowymi, lecz w rzeczywistości jest spreparowana.
  • Manipulacja przesyłką: Kluczowy element oszustwa polega na tym, że wygenerowana przez przestępcę etykieta nie dotyczy usługi za pobraniem, a zwykłej, już opłaconej przesyłki.
  • Wysyłka i utrata towaru: Sprzedający, nieświadomy manipulacji, nakleja fałszywą etykietę na paczkę i nadaje ją. Odbiorca-oszust otrzymuje przesyłkę bez konieczności uiszczania opłaty.

Taktyka ta jest często wspierana przez masowo rozsyłane fałszywe wiadomości SMS, w których oszuści podszywają się pod firmy kurierskie takie jak InPost, DPD, DHL czy UPS. W wiadomościach tych informują o rzekomych problemach z dostarczeniem przesyłki lub konieczności zaktualizowania adresu, co ma na celu uwiarygodnienie kontaktu i wywarcie presji na ofierze.

Hipotetyczny scenariusz ataku

Wyobraźmy sobie następującą sytuację: Pani Anna wystawia na sprzedaż używany smartfon na popularnym portalu ogłoszeniowym. Po krótkim czasie kontaktuje się z nią potencjalny kupiec, przedstawiający się jako Jan. Wyraża on zdecydowaną chęć zakupu i proponuje wysyłkę za pobraniem za pośrednictwem firmy kurierskiej. Pani Anna zgadza się. 

Aby „ułatwić” cały proces, Jan oferuje, że sam wygeneruje i opłaci etykietę, ponieważ posiada konto biznesowe i korzysta ze zniżek. Prosi jedynie o dane do wysyłki.

Pani Anna, nie widząc w tym nic podejrzanego, zgadza się i podaje swoje dane. Po chwili otrzymuje wiadomość e-mail, która do złudzenia przypomina oficjalną korespondencję od przewoźnika, a w załączniku znajduje się gotowa do druku etykieta. 

Nakleja ją na paczkę i nadaje w punkcie. Problem w tym, że etykieta, mimo zapewnień kupującego, nie jest etykietą przesyłki pobraniowej, a zwykłej, opłaconej z góry paczki. Oszust odbiera telefon, za który nigdy nie zapłacił, a Pani Anna traci zarówno towar, jak i pieniądze.

Kto jest najczęstszym celem tego rodzaju phishingu?

Głównym celem ataków są indywidualni sprzedawcy oraz małe i średnie firmy korzystające z internetowych platform handlowych. Dane pokazują, że w 2024 roku cyberprzestępcy najczęściej podszywali się pod platformę OLX, co CERT Polska odnotował w 9 865 przypadkach. Popularnymi celami były również Allegro (4 053 przypadki) i Facebook (3 871 przypadków).

Podatność na ataki wynika nie tylko z zaufania do platform, ale również z niskiej świadomości cyfrowych zagrożeń. Badanie „Bezpieczeństwo Cyfrowe Polaków 2024” wykazało, że aż 46% Polaków nie wie, czym jest phishing

Co więcej, prawie co piąty respondent (17%) nie ma pewności, czy kiedykolwiek padł ofiarą oszustwa w sieci. Ta luka w wiedzy sprawia, że użytkownicy nie wiedzą, jak rozpoznać próbę wyłudzenia danych, a przyzwyczajeni do wygody i prostoty procesu nadawania paczek, mogą łatwo stracić czujność i zgodzić się na propozycje kupującego, oddając tym samym kontrolę nad kluczowym etapem transakcji.

Jakie są realne konsekwencje ataku?

Bezpośrednią i najbardziej oczywistą konsekwencją phishingu na etykietę jest utrata sprzedawanego towaru bez otrzymania za niego zapłaty. Straty finansowe mogą być znaczące, zwłaszcza że oszuści często celują w przedmioty o wysokiej wartości, takie jak elektronika.

Jednak skutki mogą być znacznie szersze. W trakcie korespondencji z oszustem ofiara często udostępnia swoje dane osobowe, takie jak imię i nazwisko, adres, numer telefonu czy adres e-mail. Informacje te mogą zostać wykorzystane do dalszych działań przestępczych, w tym kradzieży tożsamości czy kolejnych, bardziej spersonalizowanych ataków phishingowych.

Jak odzyskać kontrolę nad bezpieczeństwem wysyłek?

Ochrona przed phishingiem na etykietę wymaga przede wszystkim odzyskania i utrzymania pełnej kontroli nad procesem logistycznym. Kluczowe jest korzystanie z narzędzi, które eliminują potrzebę zaufania dokumentom generowanym przez osoby trzecie. Zamiast polegać na etykietach od kupujących, sprzedający powinien sam zarządzać tworzeniem listów przewozowych w zweryfikowanym i bezpiecznym środowisku.

Właśnie taką kontrolę zapewnia platforma logistyczna Apaczka.pl, która integruje usługi wielu przewoźników w jednym miejscu. Dzięki dostępnym integracjom, proces ten można zautomatyzować w ramach własnego sklepu internetowego. Korzystając z serwisu, sprzedający może samodzielnie i w prosty sposób nadać przesyłkę pobraniową

Cały proces odbywa się w ramach jednego panelu: wystarczy wypełnić dane przesyłki, w dedykowanym polu wpisać kwotę pobrania oraz numer konta do zwrotu środków. Platforma automatycznie generuje poprawną etykietę, gwarantując, że jest to dokument dla usługi pobraniowej, a nie zwykłej paczki.

W ten sposób Apaczka.pl eliminuje fundamentalne ryzyko związane z phishingiem na etykietę – sprzedający nigdy nie musi używać etykiety pochodzącej z niepewnego źródła.

Źródła

Avatar photo Barbara Bochenek
Pomagam firmom sprawniej zarządzać wysyłką i budować przewagę w logistyce dzięki trafnej komunikacji i rzetelnym treściom. Jako specjalistka ds. komunikacji i content marketingu z pasją do innowacji logistycznych tworzę artykuły, e-booki, materiały edukacyjne i case studies, które pokazują, jak rozwiązania Apaczka usprawniają procesy i wspierają rozwój biznesu. W pracy stawiam na jasny przekaz, konkretne dane i treści, które realnie ułatwiają klientom podejmowanie decyzji.