Paczka ma problem z adresem - to może być pułapka na twoje dane

CERT Orange Polska ostrzega przed nową kampanią phishingową podszywającą się pod Allegro. Oszuści wysyłają fałszywe wiadomości e-mail o problemie z adresem dostawy paczki. Celem ataku jest wyłudzenie loginu, hasła, danych osobowych oraz pełnych danych karty płatniczej.

Mechanizm bazuje na pośpiechu i obawie przed utratą przesyłki. Wiadomość sugeruje, że zamówienie nie może zostać poprawnie przetworzone, ponieważ adres dostawy jest błędny, niekompletny albo nierozpoznany przez firmę kurierską.

Fałszywy mail wygląda jak wiadomość od Allegro

Według CERT Orange Polska wiadomość została przygotowana tak, aby przypominała oficjalną komunikację platformy. Oszuści wykorzystują pomarańczowe elementy graficzne, podobny układ maila i stopkę, które mają zwiększyć wiarygodność ataku.

Najważniejszy sygnał ostrzegawczy znajduje się jednak w szczegółach nadawcy. Zamiast oficjalnej domeny Allegro pojawia się adres admin@aruma.app. CERT Orange Polska przypomina, że komunikaty Allegro powinny pochodzić z domeny @allegro.pl.

Jak działa oszustwo

Po kliknięciu przycisku dotyczącego aktualizacji adresu dostawy użytkownik nie trafia od razu do formularza logowania. Najpierw pojawia się ekran przypominający zabezpieczenie Cloudflare z komunikatem o potwierdzeniu, że użytkownik jest człowiekiem.

Taki etap ma dwa cele. Po pierwsze, może obniżyć czujność ofiary, bo strona wygląda jak zabezpieczona. Po drugie, utrudnia automatyczne wykrycie fałszywej witryny przez systemy antyphishingowe.

Następnie użytkownik trafia na stronę logowania udającą Allegro. CERT Orange Polska wskazuje, że w pasku adresu nie ma domeny allegro.pl, lecz fałszywy adres allegro.clinicaactmedica[.]ro. To oznacza, że wpisane dane trafiają do przestępców.

Oszuści proszą też o dane karty

Po wpisaniu loginu i hasła ofiara przechodzi do kolejnego etapu. Fałszywa strona pokazuje informację o błędzie adresu i prosi o podanie danych osobowych, w tym imienia, nazwiska, ulicy, kodu pocztowego oraz numeru telefonu.

Później pojawia się rzekoma opłata za ponowną weryfikację kurierską. W analizowanym przykładzie była to kwota 10,49 zł. Formularz płatności prosi o:

• numer karty płatniczej,
• datę ważności karty,
• kod CVV/CVC,
• dodatkowy kod SMS lub potwierdzenie w aplikacji bankowej, jeśli bank tego zażąda.

CERT Orange Polska ostrzega, że oszuści mogą obserwować wpisywane dane w czasie rzeczywistym. Jeżeli bank poprosi o dodatkową autoryzację, przestępcy mogą wyświetlić kolejne fałszywe okno i próbować przejąć kod potwierdzający transakcję.

Na co uważać w podobnych wiadomościach

Fałszywy mail o paczce może trafić również do osób, które nie mają konta na Allegro. Przestępcy wykorzystują popularność znanych marek i liczą na to, że część odbiorców akurat czeka na przesyłkę.

Przed kliknięciem w link warto sprawdzić:

• pełny adres e-mail nadawcy, a nie tylko wyświetlaną nazwę,
• adres strony w pasku przeglądarki,
• czy domena faktycznie należy do danej platformy,
• czy wiadomość nie wymusza szybkiego działania,
• czy problem z zamówieniem widać po zalogowaniu bezpośrednio w oficjalnej aplikacji lub na stronie wpisanej ręcznie.

Bezpieczniejszym rozwiązaniem jest wejście do Allegro przez oficjalną aplikację lub ręczne wpisanie adresu w przeglądarce. Nie należy logować się przez linki z podejrzanych wiadomości.

Jak się zabezpieczyć

CERT Orange Polska zaleca korzystanie z uwierzytelniania dwuskładnikowego. 2FA utrudnia przejęcie konta nawet wtedy, gdy przestępcy poznają hasło użytkownika.

Warto też pamiętać, że komunikaty oznaczone jako pilne, wymagające natychmiastowego działania albo grożące problemem z kontem lub przesyłką powinny wzbudzać szczególną ostrożność. Skuteczny phishing nie musi być technicznie skomplikowany. Wystarczy wiarygodny pretekst, dobrze podrobiona strona i presja czasu.