Важно Брашинг, квишинг и другие виды мошенничества

Вы получаете уведомление о доставке или просто находите у своей входной двери уже доставленную посылку. Но вы ничего не заказывали! Хотя подарки любят почти все, нужно насторожиться. Есть несколько мошеннических схем, которые начинаются именно с физической доставки.

Конечно, стоит связаться с друзьями и близкими — может, кто-то из них сделал заказ, а вас не предупредил? Но если такой человек не нашелся, скорее всего, вас пытаются вовлечь в одну из схем обмана, описанных ниже.

Забегая вперед, скажем, что QR-коды на таких посылках сканировать ни в коем случае нельзя, равно как и звонить по контактным телефонам на упаковке.

Начистить заказы!​

Устоявшийся в английском языке термин

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

заимствован из

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

, связанного с электронной торговлей. 刷单 буквально означает «начищать заказы», но в русском языке нужный смысл несет слово «накручивать».
Первоначально брашинг был относительно невинным: вы получаете товар, который не заказывали, а продавец пишет от вашего имени хвалебный отзыв о товаре и накручивает себе статистику продаж.
Чтобы проделать это, нечистоплотные продавцы покупают одну из утекших баз с персональными данными и регистрируют на маркетплейсах новые учетные записи с реальным именем и почтовым адресом «жертвы», но со своим адресом электронной почты и платежным инструментом.
Те, кто стали мишенью, не несут прямого ущерба.

Полцарства за обзор​

Со временем у брашинга появились более «зубастые» разновидности. Чтобы все же заработать на получателе товара, злоумышленники

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

.
Для этого к товару прилагается карточка или наклейка с QR-кодом. Легенда, сопровождающая код, может быть разной.

Популярные варианты:

• «Вам подарок! Узнайте отправителя, просканировав код»
• «Оставьте отзыв о нашем товаре и получите подарочный сертификат на $100!»
• «Подтвердите получение, чтобы доставка и товар были бесплатны!»

Если жертва (уже без кавычек) просканирует QR-код, чтобы узнать отправителя или получить еще один подарок, дальше все развивается по канонам

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

(quishing, или QR phishing): либо на сайте будут выманивать платежные данные (например, под предлогом активации подарочного сертификата) или коды от банковских приложений и госуслуг либо настаивать на установке приложения для якобы требуемых подтверждений и активаций — конечно, вредоносного.

А если без товара?​

Перечисленные схемы имеют смысл, когда интернет-магазин способен подарить свои товары в рамках своеобразной маркетинговой акции.
А можно не тратиться на товар, но все равно выманить данные у жертвы?

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

!

Вместо товара на пороге дома жертвы оставляют

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

: «Увы, наша курьерская служба не смогла доставить вам посылку, вас не было дома. Подарок с объявленной ценностью $200 вручается только лично, свяжитесь с нами для назначения повторной доставки».
На открытке есть QR-код, адрес сайта и иногда даже номер телефона, по которому можно назначить повторную доставку.

Если позвонить или посетить указанный на открытке и в QR-коде вредоносный сайт, у вас будут выманивать платежные данные, пароли и одноразовые коды по одной из популярных «доставочных» схем.

• «
  Чтобы увидеть нужно авторизоваться или зарегистрироваться.
  , чтобы товар не отправили обратно».
• «
  Чтобы увидеть нужно авторизоваться или зарегистрироваться.
  за повторную доставку». Цель — выманить платежные данные; дальше деньги будут списывать в гораздо больших объемах.
• «Заплатите таможенную пошлину». Вам якобы прислали ценную посылку, но нужно самостоятельно оплатить таможенную пошлину — и тут суммы могут быть уже не такие маленькие, в зависимости от цены якобы присланного товара. В некоторых странах за «таможенной пошлиной» может явиться курьер и принять оплату наличными.

Все эти схемы могут привести к потере личных и финансовых данных, но порой они развиваются и дальше — в телефонное мошенничество с крупным ущербом.

Например, если вы заплатите вымышленный сбор за доставку, злоумышленники могут позвонить уже по телефону и сообщить, что

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

.
Дальше последует давление, общение с вымышленной полицией и попытки выманить крупную сумму денег якобы для защиты жертвы от уголовного преследования.

Деньги при доставке​

Еще одна популярная схема обмана — товары с оплатой после получения. Иногда злоумышленники заранее рекламируют товар и присылают его жертве с ее согласия, но есть и разновидность, когда

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

.
Курьер говорит, что на ваше имя оформлена доставка и что он привез вашу посылку. Обычно на коробке сразу указано название какого-нибудь привлекательного товара — например, топового смартфона.
Но… за него нужно заплатить. Правда, сумма меньше рыночной цены в 2–3 раза. Злоумышленники надеются, что жадность и спешка (курьер торопится, давайте скорее!) заставят жертву платить, не разбираясь с товаром подробно.
Впоследствии окажется, что в коробке лежит либо дешевая подделка под искомый товар, либо вообще мусор.

Если жертва атаки откажется оплачивать неизвестно что, у мошенников может быть наготове план «Б»: выманить одноразовый код подтверждения маркетплейса или банка

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

.

Целевые атаки​

Порой атаки с физической доставкой тех или иных товаров жертве — целевые. Так, злоумышленники

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

, присылая владельцам аппаратных кошельков Ledger посылки с уведомлением о бесплатной замене дефектных устройств по гарантии.
В посылке лежал якобы новый криптокошелек, а на самом деле — флешка с вредоносным софтом, крадущим seed-фразу от криптокошелька.
Также рассылку USB-носителей

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

в рамках целевых ransomware-атак на интересные им организации.

Скрытая угроза​

У брашингов и квишингов есть неприятная первопричина. Если вы получаете эти посылки, значит, ваш адрес и другие контактные данные разошлись по базам утечек на подпольных форумах. Их продают многократно, поэтому вас, вероятно, будут атаковать и по другим жульническим схемам.
Будьте наготове:

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

, ждите звонков мошенников...

Что делать, если вы получили нежданную посылку​

• Внимательно изучите упаковку, наклейки и сопроводительные документы.
• Сфотографируйте упаковку на всякий случай, но не переходите ни по каким ссылкам из QR-кодов и надписей. Сохраните упаковку на случай возможных разбирательств в будущем.
• Ни в коем случае не звоните по телефонам и не переходите по ссылкам, указанным на посылке.
• Ни в коем случае не платите никаких «сборов за доставку», «таможенных пошлин», не вводите и не сообщайте свои платежные данные.
• Не подключайте к компьютеру или смартфону неожиданно присланные вам цифровые носители.
• Если посылка доставлена крупной и хорошо вам известной службой доставки (Яндекс Маркет, Wildberries, Ozon, СДЭК, AliExpress, государственная почта), откройте официальный сайт этой организации, найдите контактные телефоны, онлайн-трекинг или онлайн-чат поддержки, проверьте статус посылки и узнайте ее отправителя. Если на посылке указан трек-номер — введите его вручную, а не сканируя какие-либо QR-коды на этикетке.
• Сообщите о подозрительной посылке в поддержку службы доставки и в полицию, даже если у вас не украли деньги.

Оригинал:

Чтобы увидеть нужно авторизоваться или зарегистрироваться.