Oszustwo na kuriera "DPD"

Od kiedy pamiętam dostaję wysyłane łamaną polszczyzną, źle sformatowane fałszywki, które starają się podszyć pod jakąś popularną organizację.

Uwaga, od jakiegoś czasu takie oszustwa weszły na wyższy poziom. E-mail sformatowany poprawnie, językowo wszystko gra. Domena nadawcy bardzo podobna do oryginalnej, łatwa do przeoczenia.

Od: DPD Group Polska info@dpd.com.a <-- fałszywa domena DPD

Oczywiście, żaden z linków w e-mailu nie prowadzi do strony DPD, tylko do zupełnie nieznanej strony. Warto takie rzeczy sprawdzać zanim się kliknie.

Można też wejść na stronę https://www.dpd.com/pl/pl/ i wprowadzić numer przesyłki z fałszywego maila - upewniając się że taka przesyłka nie istnieje.

W sumie nie ma publicznego suffixu “.com.a” ani tym bardziej “.a

https://publicsuffix.org/list/public_suffix_list.dat

@Bradlee
Zapytam z ciekawości. Czy chociaż te fałszywe powiadomienia i numery paczek zgadzały się ze stanem faktycznym? To znaczy, czy akurat faktycznie coś zamawiałeś z dostawą kurierem i akurat tym kurierem, i on nie przybył? Jeżeli tak, to pojawia się pytanie, czy oszuści mogli mieć jakiś “podgląd” w procedury wysyłkowe rzeczywistej firmy kurierskiej?

Racja, zwykły e-mail spoofing, ale dlaczego na nieistniejącą domenę? Przecież mogli tam bez problemu wpisać www.dpd.com.pl

Możliwe, że sporo filtrów wyłapuje spoofing popularnych domen i musieli tam wpisać coś głupiego. Prawdziwym nadawcą jest sumi @ high-wood. co. jp

Mamy SPF, Sender ID, DKIM, DMARC ale widać, że to wciąż za mało, żeby takie maile przestały hulać w sieci. Chyba te zabezpieczenia powinny być obligatoryjnie wdrażane na każdym serwerze poczty.

Nie, nie miało to związku z moimi zamówieniami. Nie oczekiwałem na nic z DPD. Ten mail to typowa masówka wysyłana na dziesiątki tysięcy adresów e-mail w założeniu że 1/1000 odbiorców się nabierze.

Ponieważ teraz coraz więcej osób zamawia przez Internet, to szansa oszusta rośnie.

Mam zabytkowy e-mail, który jest chyba w każdej możliwej bazie spamerów, więc wykorzystuję go do obserwowania takich rzeczy :slight_smile:

W sumie ciekawe co jest za URL ukryty pod tym co niby można wpisać dowolnego:

<a href="#przekret">byle co</a>

Czyli inaczej, jest to bezczelna próba wejścia do domu, gdzie na pytanie z mieszkania “kto tam?”, pada z zewnątrz “swój”. I mimo, że głos całkiem obcy, intruz liczy, że drzwi zostają mu otworzone…

Nie miałem nigdy takich przypadków na “dopłatę dla kuriera”, ale u mnie sprawa zda się być prosta, bo nie nigdy dotąd niczego nie kupowałem z dostawą do domu kurierem, więc w razie czego mogłem łatwo rozpoznać fałszywkę. Ale dla odmiany, miałem wiele powiadomień mailem o “nagrodach”, które tylko kliknąć…
A od pewnego czasu mam zalew nieustający reklam zachęcających mnie do zakupu głównie bitcoinów. Rzecz jednak w tym, że wszystkie one posługują się moim loginem, który użyłem kiedyś do logowania się do pewnego dostawcy usług telekomunikacyjnych… Ten login jest bardzo charakterystyczny, różny od innych, więc nie ma złudzeń, że “ktoś” albo sprzedawał po cichu dane klientów, albo był jakiś włam, do którego nikt się nie przyznał. Ale te i tysiące innych spamowych wiadomości i tak ląduje u mnie w koszu Thunderbirda.

W sumie jak miałbym sprecyzować to jest bezczelna próba wyciągnięcia kaski (zakładam że przez kartę kredytową). Po kliknięciu w link pojawia się spreparowany formularz śledzenia paczki z informacją, że paczka nie została odebrana.

Następnie jest możliwość ponowienia próby dostawy za 12zł. Kolejne kroki zmierzają do wyciągnięcia kaski. Zakładam, że dużo większej. Pewnie zostaniemy poproszeni o numer karty z kompletem danych (nie wiem nie klikałem dalej)

Ten phishing wyróżnia jakość wykonania. Strony są ładne, teksty dobrze tłumaczone, mail ładnie sformatowany bez balastu. Może dlatego antyspam go nie złapał.

U mnie pierwszy antyspam jest w Thunderbirdzie, a drugi w mojej głowie. Przecież wspomniane przez mnie maile z ofertą zakupu bitcoinów przeszły przez ten pierwszy. Teraz już nie przechodzą, bo Thunderbird świetnie się uczy. Ale to znaczy, że druga linia obrony musi być stale w gotowości.