Uwaga na proste, perfidne i niezwykle skuteczne oszustwo z Paczkomatem w tle
Skuteczne oszustwa internetowe nie zawsze muszą być wyrafinowane technicznie. Czasem są proste jak budowa cepa, a nadal – jak cep – działają. W najnowszym oszustwie, sprzedając towar online, można stracić nawet kilka tysięcy złotych.
Sprzedajecie coś przez internet. Klient chce wysyłki z płatnością za pobraniem i proponuje, że sam zamówi i opłaci odpowiednią usługę transportu za pomocą Paczkomatu. Dostajecie etykietę na paczkę od InPostu, naklejacie i wysyłacie swój telefon, aparat fotograficzny czy inny cenny sprzęt. Odbiorca odbiera paczkę, lecz Paczkomat wydaje mu ją bez konieczności uiszczenia kwoty pobrania. Wy nie macie towaru, złodziej ma wasz towar. Koniec historii. Jak do tego doszło?
To był taki miły kupujący
Na podstawie otrzymanych informacji zrekonstruowaliśmy przebieg oszustwa z paczką za pobraniem krok po kroku – choć nie jest to wiele kroków. Oszust zaczyna od namierzenia atrakcyjnej oferty sprzedaży w jednym z popularnych serwisów handlowych – wybiera towar drogi, najlepiej nowy, niekoniecznie w super atrakcyjnej cenie. Kontaktuje się ze sprzedającym mailowo, wyraża zainteresowanie zakupem, lecz zastrzega, że zgodzi się jedynie na wysyłkę za pobraniem (w internecie jest pełno oszustów, prawda, lepiej uważać!). Aby nie obciążać sprzedającego kosztami swojego braku zaufania, oszust udający kupującego proponuje pozornie uczciwe rozwiązanie – sam opłaci koszt takiej usługi. Sprzedający musi podać swojego e-maila, numer telefonu i numer konta, a otrzyma „od InPostu” odpowiednią etykietę i po doręczeniu przesyłki środki wpłyną na jego rachunek. I faktycznie, po chwili etykieta przychodzi e-mailem. Wiadomość wygląda np. tak:
Wasze czujne oczy pewnie już zauważyły, że nadawcą tej wiadomości nie jest InPost – adres e-mail nie prowadzi do żadnej z domen InPostu. Nie każdy jednak ma tyle czujności (lub wiedzy), a etykieta wygląda całkiem OK. Oto jej powiększenie:
Aby nie podawać danych ofiar, odtworzyliśmy ją na naszym koncie, ale w oryginalnym ataku zawiera oczywiście fikcyjne dane rzekomego kupca.
Ofiara ataku, nie podejrzewając dalszego rozwoju sytuacji, drukuje etykietę, nakleja na paczkę i czeka na przelew od InPostu. Przelew niestety nie nadchodzi. Dlaczego?
Etykieta trochę prawdziwa, trochę fałszywa
Oszust dokonuje prostej modyfikacji etykiety przed jej wysłaniem – choć oznaczone jest pole „pobranie”, to kod kreskowy został skopiowany z innej etykiety – zwykłej przesyłki, bez pobrania. Zatem gdy oszust pojawi się po swój cenny łup, paczkomat nie poprosi go o uiszczenie kwoty pobrania – po prostu wyda mu zwykłą przesyłkę, której kod złodziej przekleił do etykiety pobraniowej. Proste? Bardzo. Skuteczne? Bardzo. Fałszywe paczki pobraniowe niestety zaczynają krążyć po Polsce.
Jak nie dać się oszukać?
Wiemy o różnych wariantach tego oszustwa – czasem nawet etykieta nie ma oznaczonego pola „pobranie”, lecz nie przeszkadza to ofiarom wpaść w sidła oszustów. By tego uniknąć, wystarczy trzymanie się prostej reguły – korzystanie tylko z mechanizmów wysyłki proponowanych przez serwis, za pomocą którego realizujecie transakcję lub samodzielne organizowanie transportu towaru. Używanie etykiety nadesłanej przez kupującego jest obarczone dużym ryzykiem.
Prośba
Ofiarami tego oszustwa na paczkę za pobraniem padają osoby mniej świadome mechanizmów pobraniowych i tego, jak działają Paczkomaty. Udostępnijcie im ten artykuł, opowiedzcie o tym rodzaju oszustwa – szczególnie, jeśli wiecie, że czasem coś sprzedają w sieci. Uratujmy ich przed oszustami, zanim będzie za późno.
Artykuł powstał we współpracy z firmą InPost i otrzymujemy za jego stworzenie i publikację wynagrodzenie. W innym przypadku też opisalibyśmy ten scenariusz – oszustów trzeba tępić przy każdej okazji.
W artykule poprawiliśmy opis przebiegu oszustwa.
Podobne wpisy
- Przejmowanie telefonów kodem QR i rozbierane zdjęcia w zaszyfrowanym archiwum
- Uwaga na fałszywe bramki BLIK używane przez polskich złodziei
- Chiński przekręt, czyli czy rozmawiałem z chińską AI?
- Podstawy Bezpieczeństwa: Jak fake newsy z Ukrainy służą przestępcom
- Jak rozpoznać fałszywe wiadomości SMS na przykładzie usług InPost
Chwila, ofiarą oszustwa jest inpost. Nadawcę nie obowiązuje kod kreskowy tylko wypełniony list przewozowy, którego tylko częścią jest kod kreskowy. List przewozowy jednoznacznie wskazywał na pobranie. Inpost powinien sprawdzać zgodność kodu z resztą danych na liście przewozowym.
paczka mogłaby nawet i być pobraniowa, z kwotą pobrania ustawioną np. na 5 groszy ;)
Tak samo paczka mogła byc pobraniowa ale numer konta na którym wylądują środki inny – przecież na etykiecie też nie ma numeru konta na którym wylądują środku.
Czyli mamy 3 różne rzeczy które mogły pójść nie tak jak powinny:
1) Pobranie mogło być na inną kwotę
2) Kwota z pobrania mogła lądować na innym koncie niż wskazany
3) Paczka w ogóle nie jest pobraniowa
a mimo to ludzie i tak dali się nabrać :S
Oryginalny list przewozowy dotyczył usługi przesyłki „normalnej” i taką Inpost zrealizował. Spreparowany list przewozowy został dostarczony sprzedawcy, więc to sprzedawca został oszukany. On to nabrał przekonania, że jest to list przewozowy pobraniowy a nie zwykły.
czytaj ze zrozumieniem !!!
Też miałem taki atak. Ludzie sprzedający na olx są w ten sposób „załatwiani”. W moim przypadku facet pisał na wiadomościach prywatnych i zapytał się czy wyślę mu telefon za pobraniem. Ale żebym to ja nie ponosił kosztu wysyłki, to on zamówi mi kuriera, a ja tylko druknę etykietę i przykleję na paczkę i wsadzę do paczkomatu :D Poprosił o podanie emaila i numeru telefonu żeby wysłać żeby można było zamówić usługę wysyłki. Email przyszedł ale jak słusznie zauważyliście, nie od inpost.pl tylko od jakieś domeny „z dupy”. Ze względu na to iż na codziennie zajmuję się cyber security nie dałem się naciąć :D
Ale postanowiłem paczkę wysłać żeby podtrzymać napięcie :D
W paczce umieściłem 4 dorodne ziemniaki i trochę mąki rozsypanej w środku – a coo niech złodziej się trochę po stresuje…
Trzeba było wypełnić brokatem. >:]
Tak mi się przypomniało: https://www.youtube.com/watch?v=h4T_LlK1VE4
;)
O tym samym pomyślałem!
Każdy kto otrzyma taka propozycje i wie że to jest na pewno oszustwo mogły nadać coś takiego + jakiś lokalizator GPS.
i bardzo dobrze….ale musiał mieć zdziwko dorodny kartofel a nie tel.
Jakie sprytne!!właśnie i ja od niedawna padam ofiarą oszustw. Proponują zakup przez link olx, gdzie wypełniasz pola dotyczące karty, lub tak, jak w Twoim przypadku, opłata kuriera, generowanie etykiety. Uffff jestem czujna, blondynka ale czujna :D
Przyznam, że ten patent jest genialny.
Ogłaszam sprzedaż fajnego nowego telefonu na portalu ogłoszeniowym i czekam aż zgłosi się do mnie oszust.
Oszust opłaca przesyłkę i wysyła mi zmodyfikowaną etykietę.
Ja weryfikuje kod kreskowy i sprawdzam w inpoście czy przesyłka jest zwykła czy pobraniowa.
Jeśli jest to zwykła przesyłka to nadaje do oszusta paczkę z gruzem w środku xD
nie lepiej z prostym modułem GPS, żeby poznać adres złodzieja, zgłosić i drania przyskrzynić?
otworzy przy paczkomacie albo w aucie i po wszystkim
Można by takich oszustów załatwić raz dwa – skoro znamy paczkomat odbiorczy do którego pojedzie paczka to paczkę oznaczyć jakąś czerwoną taśmą żeby rzucała się z daleka, policja po cywilnemu gdzieś w pobliżu paczkomatu ukryta i gdy tylko paczka zostanie wyciągnięta (z racji czerwonego koloru będzie się rzucać z daleka) to od razu aresztować tą osobę ;)
Tylko to wymagało by zaangażowania policji a z tym słabo…
Jak słusznie zauważyłeś, wymaga to minimalnego nakładu chęci ze strony policji a wiec zapolnij.
No właśnie – znudzony kulson z miejscowego komisariatu na propozycję zorganizowania takiej akcji by zareagował wytrzeszczeniem oczu ze zdziwienia i poinformowaniem nas, że policjanci są bardzo zajęci…
Takie paczki przeważnie odbiera tzw. „kurier”
Złe, ale poniekąd fascynujące w swojej prostocie.
Wysyłki tylko organizowane przez serwis? Co powiecie na to, że wysyłka przez OLX skończyła się na tym, że nie miałem ani paczki ani złotówek?
Kupujący wpłacił złotówki, zaniosłem paczkę do paczkomatu lecz się nie zmieściła. Próbowałem skontaktować się z OLX, nie da się. Wysłałem maila, pozostał 2 dni bez odpowiedzi, skontaktowałem się z Inpostem, poprosili bym podał numer nadania i aktywowali go ponownie. Wsadziłem paczkę w paczkomat kolejnego dnia kupujący pyta o co chodzi bo ma info o tym, że paczka idzie i jednocześnie dostał zwrot. Pytam OLX o co chodzi? 3 dni po zgłoszeniu problemu anulowali zakup :) Została więc nieopłacona paczka w paczkomacie i ja bez złotówek. Kupujący był na tyle uczciwy że mi te 300zł przelał po odbiorze paczki. Takie to są bezpieczne paczki z OLX.
To nie są właśnie takie paczki tylko ludzie, którzy nie umieją odczytać wartości z linijki i podają złe wymiary…
Można ludziom 5 lat wbijać do głów, że OLX to są ogłoszenia lokalne z odbiorem własnym, a oni dalej będą wysyłać jak na Allegro. Ale nie,m chciwość i chęć zarobku zawsze zwycięży. Nauczcie się w końcu.
A niby jaka to różnica?
W dodatku, jeśli kupuję coś unikatowego, co występuje tylko w jednym egzemplarzu na OLX, to nie będę robił cyrku z namawianiem na wystawienie na Allegro i podnoszeniem ceny o prowizję.
Z reszta… teraz Allegro Lokalnie wygląda jak OLX. I niby czym się różni?
To, że nikt tam za nic nie odpowiada. Nawet głupi vinted, na którym sprzedaje się spodnie za 15 zł ma coś takiego jak system ochrony kupującej i w razie jakichkolwiek problemów zwraca pieniądze czy pozwala na darmowy zwrot przez paczkomat. OLX tylko i wyłąćznie lokalnie i nie ma bata
Kilka zasad i nikt nikogo nie oszuka. Nie da się odebrać rzeczy z Warszawy, gdy mieszka się na drugim końcu Polski. Drogie rzeczy wysyłam tylko po otrzymaniu pieniędzy na konto. Mniej warte wysyłam za pośrednictwem OLX. Nie odpowiadam na wiadomości za pośrednictwem What’s app, tylko kieruję na portal. Jeśli ktoś zada pytanie smsem, odpowiadam. Jest czymś zainteresowany, odsyłam na OLX lub jeśli to droższa rzecz, a chce kupić podaję numer konta i wysyłam dopiero po otrzymaniu pieniędzy na konto. Nigdy nie wysyłam za pobraniem. Sama przesyłka za pośrednictwem OLX jest bezpieczna. Rozmiar przesyłki wybieramy sami w oparciu o to, co wysyłamy. Maksymalne wymiary podaje przewoźnik i ich przekroczenie,tak, że przesyłka nie mieści się w skrytce, nie jest winą OLX, a osoby nadającej.
Aż się prosi, żeby takiemu delikwentowi wysłać tracker GPS i śmierdzącą bombę. Czemu mi się takie rzeczy nie przydarzają :/
może dlatego że nie sprzedajesz na gównoportalach elektroniki
Mętnie opisane. Trudno zrozumieć
Jak mawiał klasyk , trzeba mówić prosto ale nie prościej. Jeśli nie rozumiesz proponuję przeczytać ze 3 razy skoro za 1 nie zaskoczyło. Mechanizm na tle innych „oszustw” bardzo prosty, tak prosty że aż trudno w to uwierzyć że takie numery przechodzą. Mądre główki od „wyłudzania” i „socjotechnik” na wszelkie możliwe sposoby szukają okazji a tutaj okazja genialna. Prawie tak dobra jak to Pan Adam mówił na jednej ze swoich prelekcji kupić od kogoś coś za „ujemną” wartość w bitcoinach które wpływają do Ciebie :) Tak wyłożył się jakiś tam serwis tylko że Panowie zapomnieli że nie mają piwnicy i historyjka nie skończyła się dla nich wesoło :)
Takich właśnie oszukują! ;)
Paczki za pobraniem nie dają w sumie żadnego bezpieczeństwa dla kupującego, https://totemat.pl/czy-paczki-za-pobraniem-sa-bezpieczne-niestety-nie/ na nie wie po co ktoś wybiera taką dostawę nawet jak z normalnego sklepu. A takie że jeszcze inpostowe za darmo przychodzi paczka to już całkiem w zasadzie mistrzostwo oszustwa. Jak by to sprawdzić dobrze by czekać na oszusta w cywilu aby go od razu przymknąć pod takim paczkomatem.
Dlatego nie wysyla sie za pobraniem.
1) Nie ma pieniedzy na koncie = nie ma wysylki.
2) Nie ma faktury = nie ma pieniedzy.
Czy to Kowalskim tak cholernie trudno zrozumiec? Wymagany poziom umyslowy 15latka.
Dokładnie. Na czym żeruje oszust? Na chęci szybkiego wzbogacenia się.
Taa nie wysyła się za pobraniem – tylko że ja kupuję (uczciwie !!!) tylko za pobraniem,bo z kolei ja nie mam pewności że sprzedawca jest uczciwy. I co ? I jak się nie obrócisz tyłek masz z tyłu…
Nie bez powodu kryminaluchy które siedziały po różnych forach na torach bawiły i raczej bawią się nadal w taki escrow we własnym zakresie – bo bandyta wie jak nikt inny,że inny bandyta może go oszukać. Proste.
W rzeczy samej escrow powinien być właśnie standardem przy uczciwych i legalnych zakupach.No i po części jest,bo w sumie może taką rolę pełnić może np. to całe payu i inne takie – gdyby jeszcze każdy jako klient miał do tej usługi zaufanie.
A z tym bywa niestety różnie,bo wiecie – niby takiemu OLXowi czy allegro powinno zależeć na eliminowaniu oszustów,ale z drugiej strony jeśli ci oszuści zapłacą za ogłoszenie czy prowizję,a zwroty pieniędzy to koszt w tabelce zamiast zysku – to różnie z tym może być – wiecie rozumiecie,za mało ludzi od zwalczania fraudów i słabo opłacani ble ble ble…
W końcu to jest międzynarodowy niechlubny „standard”,przecież też sporo przekrętów z paypalem przechodzi właśnie dzięki „niefrasobliwości” obecnych właścicieli paypala. Bo w sumie można by dowalić konkretniej oszustom i złodziejom tylko po co skoro to koszt albo ograniczenie zysków ?
Czegoś nie rozumiem. Przecież nigdzie w e-mailu ani na etykiecie nie ma podanego numeru konta do zwrotu pobrania ani jego kwoty. Nie trzeba nawet do tego preparować paczki, wystarczy podać „swój” numer konta albo kwotę np. 1 zł.
Owszem. Ale przeklejeniu kodu kreskowego jest pewniejsze.
@2021.04.19 10:28 Kamil mogłeś mu swojego klocka wysłać ;)
Proponuję wyraźnie napisać – po zauważeniu nieprawidłowości Inpost powinien pomóc i rozwiązać problem przy pomocy policji, łapiąc „kupującego” na gorącym uczynku przy paczkomacie!
Przecież to nie powinno być trudne
Przecież odbierać będzie Pan Zdzisio w zamian za 4pak vipa.
Trudne to nie jest, ale oszustw jest coraz więcej, a uczciwych i pracowitych policjantów – coraz mniej.
Macie psa i zbieracie kupy do worka? To już wiecie co zrobić z takim pobraniem 😁
Ja mam Bobasa i coraz bardziej śmierdzące pieluchy :D
Kamery na paczkomatach to atrapy??
Nieda się namierzyć kto opłacił przesyłkę?
Nieda się namierzyć numeru telefonu/ adresu email na które przychodzą kody?
Co robi w tym czasie policja???
To może rzeczywiście niegłupi pomysł wsadzić do paczki 0,5 grama zioła (albo czegoś co tak wygląda) zaczaić się pod paczkomatem i jak złodziej będzie odbierał to zadzwonić na policję.
Nie bedzcie dziecmi… Wszelkie kamery sa po to, aby jakies korpo nie mialo mniej kasy lub aby wladza przypadkiem nie stracila kontroli nad spoleczenstwem. Tu nikogo nie obchodzi bezpieczenstwo czy portfel Kowalskich, chocbys przyniosl zdjecie zlodzieja. I wiem o czym piszę.
Tak, tak, nie zapomnij zapasowej folii jak będziesz wychodzić z domu. Jedna to za mało.
Rozumiem, ze miales kontakty z Policja i piszesz z praktyki? Masz do czynienia z RODO i procesorowaniem danych osobowych? Twoi znajomi pracowali w IT bankow? Bo jesli nie to wracaj do ogladania TV panie Kowalski – tam Twoje miejsce.
> Kamery na paczkomatach to atrapy??
Nie, kamery są prawdziwe i można zajrzeć do archiwalnych nagrań.
> Nieda się namierzyć kto opłacił przesyłkę?
Czasem się nie da.
> Nieda się namierzyć numeru telefonu/ adresu email na które przychodzą kody?
Jeżeli e-mail jest z sieci Tor, to namierzenie jest trudne, a niekiedy niemożliwe.
> Co robi w tym czasie policja???
Jest zajęta różnymi sprawami. Oszustw internetowych jest coraz więcej, a rzetelnych, profesjonalnych policjantów zawsze było i jest niewielu.
gadasz takie glupoty o ktorych nie masz pojecia, nie ma czegos takiego jak ty to nazwales „mail z sieci tor” to co tu zrobili to mail spoofing albo po prostu wysylanie z randomowej domeny emaili pod inpost.
Jaja sobie robisz.
Jest trochę hostingów onion z emailami.
https://www.reddit.com/r/onions/comments/acodje/list_of_onion_email_providers_in_2019/
„Skrzynka w Torze” może być zarówno w ukrytej usłudze, jak i w otwartym Internecie, ale założona i używana tylko przez Tora. Utrudnia to służbom namierzenie sprawcy, często okazuje się to wręcz niemożliwe.
Co za perfidia: mail z od innego nadawcym, niz byc powinien. Nie do sprawdzenia. Skok wyrafinowany 10/10. Po prostu sprawa dla inspektora Clouseau.
Bardzo dojrzale zachowanie ze strony firmy. Nasz „rodzimy” biznes napewno wine zwalił by na kogoś innego a już o publikacji zapomnij.
Inpost to jak najbardziej rodzina firma ;) (ale rozumiem co miałeś na myśli)
Nie cep tylko cepy: dzierżak i bijak połączone gackami.
Jeśli dobrze zrozumiałem, kod kreskowy jest „prawdziwy”, wobec tego musiała zostać wygenerowana przez oszusta etykieta, za którą przecież musiał zapłacić (afair, inpost wysyła mailem etykiete po płatności).
Jaki problem śledzić konto, z którego poszła płatność za etykietę?
Mógł zapłacić kartą prezentową, która nie była zarejestrowana
Albo wpłacić na poczcie na rachunek bankowy papierowym druczkiem.
Trzeba być mało ogarniętym aby się na to zgodzić. Jaka mamy pewność, że kupujący podał nasz numer konta jako ten do wpływu pobrania?
Inpost też ponosi odpowiedzialność udostępniając możliwość wysyłki za pobraniem. Przecież to forma skazana na przewały a pożytek z tego żaden.
Dziś też miałem próbę
wystawiłem felgi na olx.
Szybka reakcja na Whatsapp z dziwnego nr tel bodajże Ukraina
Koles mówi że zamówi kuriera wygeneruje link podam nr karty bankowej a po weryfikacji zaplaci mi InPost bo on opłacił inpostowi koszty itd.
Nie podobało mi się to ale kliknąłem w link, na szczęście link został zablokowany przez cyber tarcze
Żadnych danych nie dałem
Ale myślenie jest czy ten link nie miał jakiegoś drugiego dna🤦♂️
A widzisz, mnie po kliknięciu w link przekierowało. Widniały pola do wypełnienia wszystkich danych z karty. No jasna cholera! nie wpisałam niczego, głupia nie jestem. Od razu wydało mi się to podejrzane, Suma summarum jestem za grzeczna, bo powinnam napisać że sprawa zgłoszona jest na policję. Podoba mi się pomysł Kamila z dnia 19 kwietnia b.r. Mam ochotę zrobić podobny kawał jakiemuś skurtentego!
Dzis Jan z numeru 503 360 669
Dane do inpost.rescue…..
Zablokowałam dziada. Nie wpsialam nic ale kliknęłam w link gdzie prosił o dane karty ale nie zrobiłam tego. Czy coś mi grozi ? Czy mógł zchakowac?
Uwaga nowsza odmiana, rzecz wystawiłem na Olx i zainteresowany zgłosił się na Whatsapp że mi link podeślę do autoryzacji karty, na którą w ciągu 15 min wpłyną pieniadze
NR tel +48 505 582 790
Jakoś nie chce mi się wierzyc😜 Zgłoszone do InPost
Mnie Pan probowal oszukać, weszlam oczywiscie w te linki, ale czerwona lampka zapalila mi się dopiero jak strona chciala moje haslo do konta i anulowalam transakcję, oszust się wściekł nieźle gdy nie doszlo do transakcji
Mnie Pan probowal oszukać, weszlam oczywiscie w te linki, ale czerwona lampka zapalila mi się dopiero jak strona chciala moje haslo do konta i anulowalam transakcję, oszust się wściekł nieźle gdy nie doszlo do transakcji. Odezwaly sie do mnie od razu 3 numery na what’s appie z prosba o wysylke przez inpost
+7 911 798-30-29
+48 795 879 560
+48 514 014 901
Oszust na olx, pisze na whatsupp, nt tel 514 014 922. Zdjecie jakiejs mlodej blondynki, pisze milutko, duzo emotikonow. Twierdzi, ze zamowi kuriera a pieniadze dostanie sie przez link inpost (jestem sprzedajacym). Link zakonczony jest domena .co, czyli Kolumbia. Inpost nie rejestrowal sie chyba w Kolumbii.
Na pytanie, dlaczgo inpost posiada domene najwyzszego poziomu o nazwie .co, osoba przestala byc aktywna, zdjecie profilowe zniknelo.
Można sie pobawić i wysyłać im cegły w paczce albo kwas masłowy :D
Pobranie ze sprawdzeniem działa tylko w Poczcie Polskiej
Etykiete samemu trzeba zrobić. Naiwność ludzi oraz niskie IQ i takie skutki.
dzięki za porady, chyba se coś zamówię z olx za darmo :)