Wprowadzenie do problemu / definicja
Fałszywe powiadomienia o przesyłkach należą dziś do najskuteczniejszych technik socjotechnicznych wykorzystywanych przez cyberprzestępców. Atakujący podszywają się pod firmy kurierskie, operatorów logistycznych oraz sklepy internetowe, aby skłonić ofiarę do kliknięcia odnośnika, pobrania załącznika lub podania poufnych danych. Taki scenariusz jest wyjątkowo wiarygodny, ponieważ dotyczy codziennych zachowań użytkowników i powszechnego oczekiwania na paczki.
Rosnąca skala handlu internetowego sprawia, iż komunikaty o opóźnionej dostawie, błędzie adresowym czy konieczności dopłaty do przesyłki coraz częściej nie budzą podejrzeń. To właśnie ta pozorna normalność czyni kampanie „delivery phishing” tak skutecznymi zarówno wobec klientów indywidualnych, jak i pracowników organizacji.
W skrócie
Cyberprzestępcy coraz częściej wykorzystują motyw niedostarczonej przesyłki, nieudanej próby doręczenia lub konieczności uregulowania niewielkiej opłaty. Fałszywe wiadomości trafiają do ofiar przez e-mail, SMS, a czasem również przez komunikatory, prowadząc do stron phishingowych albo do pobrania złośliwego oprogramowania.
- Celem ataków jest kradzież danych logowania, danych osobowych i informacji płatniczych.
- Kampanie są masowe, wielojęzyczne i dostosowane do lokalnych marek kurierskich.
- W środowiskach firmowych pojedyncze kliknięcie może otworzyć drogę do dalszej kompromitacji infrastruktury.
- Przestępcy łączą klasyczny phishing z dystrybucją malware, w tym infostealerów i loaderów.
Kontekst / historia
Schemat oszustw wykorzystujących temat przesyłek funkcjonuje od lat, jednak jego znaczenie wyraźnie wzrosło wraz z popularyzacją zakupów online i komunikacji mobilnej. Im więcej paczek trafia do konsumentów i firm, tym łatwiej przestępcom ukryć złośliwą wiadomość wśród legalnych powiadomień o dostawie.
Początkowo tego typu kampanie miały formę prostego spamu z ogólnym komunikatem i niską jakością językową. Z czasem ewoluowały w kierunku dopracowanych operacji phishingowych, które wykorzystują elementy identyfikacji wizualnej znanych marek, lokalizację językową i domeny przypominające prawdziwe serwisy przewoźników.
Współczesne warianty często nie ograniczają się już do wyłudzenia danych. Coraz częściej stanowią pierwszy etap pełnego łańcucha ataku, w którym ofiara najpierw trafia na fałszywą stronę śledzenia przesyłki, a następnie pobiera plik inicjujący infekcję lub podaje dane płatnicze na spreparowanej bramce.
Analiza techniczna
Typowa kampania rozpoczyna się od wiadomości sugerującej problem z dostawą. Najczęściej pojawiają się komunikaty o nieudanej próbie doręczenia, konieczności potwierdzenia adresu, oczekującej opłacie celnej albo aktualizacji statusu paczki. Nadawca, temat oraz treść są zaprojektowane tak, aby wywołać pośpiech i skłonić do szybkiego działania.
Na poziomie technicznym ataki przyjmują kilka głównych form. Pierwsza to phishing poświadczeń, w którym użytkownik trafia na stronę imitującą witrynę przewoźnika lub operatora płatności i sam przekazuje login, hasło, dane karty lub informacje adresowe. Druga to dostarczenie malware poprzez załącznik albo pobrany plik, często ukryty jako dokument, archiwum lub skrypt. Trzecia obejmuje fałszywe mikropłatności, gdzie niewielka kwota ma obniżyć czujność ofiary.
Atakujący stosują również techniki utrudniające wykrycie kampanii przez systemy bezpieczeństwa. Obejmują one rotację domen i subdomen, krótkotrwałą infrastrukturę, wieloetapowe przekierowania oraz rozdzielenie ładunku ataku na kilka etapów. W wielu przypadkach ta sama infrastruktura jest wykorzystywana równolegle w e-mailach i wiadomościach SMS, co zwiększa skuteczność operacji.
Z perspektywy obrony problem jest szczególnie złożony, ponieważ legalne komunikaty od przewoźników są częścią codziennej pracy i życia prywatnego. Odróżnienie wiadomości prawdziwej od fałszywej bywa trudne, zwłaszcza gdy oszuści korzystają z poprawnego języka, znanych logotypów i realistycznych scenariuszy logistycznych.
Konsekwencje / ryzyko
Najbardziej bezpośrednim skutkiem takich kampanii jest utrata danych logowania, danych osobowych i informacji płatniczych. Dla użytkowników indywidualnych może to oznaczać przejęcie kont zakupowych, nieautoryzowane transakcje oraz dalsze próby oszustwa wykorzystujące wcześniej pozyskane informacje.
W środowiskach firmowych ryzyko jest znacznie szersze. Kliknięcie w złośliwy odnośnik lub uruchomienie załącznika może doprowadzić do kompromitacji stacji roboczej, kradzieży zapisanych haseł, przejęcia tokenów sesyjnych, a następnie do ruchu bocznego w sieci. o ile dostarczone zostanie złośliwe oprogramowanie klasy loader, trojan zdalnego dostępu lub infostealer, incydent może gwałtownie przekształcić się w poważne naruszenie bezpieczeństwa.
Dodatkowe zagrożenie wynika ze skali i elastyczności tych kampanii. Ten sam szablon ataku można łatwo dostosować do wielu krajów, języków i marek kurierskich, co czyni go opłacalnym i trudnym do długofalowego blokowania. Dla biznesu oznacza to nie tylko straty finansowe, ale także koszty obsługi incydentu, resetu poświadczeń, analizy śledczej i potencjalnych obowiązków regulacyjnych.
Rekomendacje
Organizacje powinny traktować fałszywe powiadomienia o przesyłkach jako stały element krajobrazu zagrożeń. Ochrona nie może opierać się wyłącznie na filtracji poczty, ale powinna obejmować zarówno kontrolę techniczną, jak i edukację użytkowników.
- Wdrożenie wielowarstwowej ochrony poczty, w tym analizy reputacji domen, sandboxingu załączników i kontroli adresów URL.
- Egzekwowanie polityk SPF, DKIM i DMARC w celu ograniczenia podszywania się pod legalnych nadawców.
- Blokowanie nowo zarejestrowanych i podejrzanych domen wykorzystywanych w kampaniach phishingowych.
- Monitorowanie telemetrii endpointów pod kątem uruchamiania skryptów i nietypowych pobrań z klienta pocztowego.
- Wdrożenie MFA dla usług krytycznych, aby ograniczyć skutki kradzieży haseł.
- Zapewnienie prostych procedur szybkiego zgłaszania podejrzanych wiadomości przez użytkowników.
Po stronie użytkownika najważniejsze znaczenie ma nawyk weryfikacji. Status przesyłki najlepiej sprawdzać przez manualne wejście na oficjalną stronę przewoźnika lub przez aplikację, a nie przez link otrzymany w wiadomości. Należy też unikać opłacania rzekomych kosztów dostawy bez wcześniejszego potwierdzenia źródła komunikatu i dokładnie sprawdzać adres strony przed podaniem jakichkolwiek danych.
Podsumowanie
Fałszywe powiadomienia o przesyłkach pozostają jednym z najbardziej praktycznych i skutecznych wektorów ataku, ponieważ łączą wysoką wiarygodność z niskim kosztem przygotowania kampanii. Cyberprzestępcy konsekwentnie wykorzystują codzienne przyzwyczajenia użytkowników, zaufanie do znanych marek oraz presję czasu związaną z dostawami.
Skuteczna obrona wymaga połączenia technologii, procedur i świadomości. Tylko wielowarstwowe podejście — obejmujące zabezpieczenia poczty, ochronę endpointów, monitorowanie infrastruktury oraz regularne szkolenia — pozwala ograniczyć ryzyko, iż zwykłe powiadomienie o paczce stanie się początkiem poważnego incydentu bezpieczeństwa.
Źródła
- https://www.infosecurity-magazine.com/news/surge-fake-delivery-holidays/
- https://www.infosecurity-magazine.com/news/fake-delivery-websites-surge-34/
- https://www.kaspersky.com/about/press-releases/kaspersky-reports-15-growth-in-malicious-email-attacks-in-2025
- https://usa.kaspersky.com/blog/covid-fake-delivery-service-spam-phishing/21611/
- https://www.infosecurity-magazine.com/news/email-phishing-surge-bypass/
