روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ شما نوتیف تحویل دریافت می‌کنید ـ یا به‌سادگی بسته‌ای را جلوی در خانه پیدا می‌کنید درحالیکه هیچ چیزی سفارش نداده‌اید! البته چه کسی از اینکه بی‌خبر هدیه بگیرد و غافلگیر شود بدش می‌آید؟ اما در این مورد باید محتاط باشید. چندین نوع کلاهبرداری وجود دارد که با تحویل یک بسته به خانه شما آغاز می‌شوند. در این مقاله به آن‌ها پرداخته‌ایم. در این سناریو، طبیعتاً از با دوستان و اعضای خانواده‌تان ابتدا پرس و جو می‌کنید ـ شاید کسی چیزی برایتان فرستاده باشد بدون آن‌که اطلاع دهد. اما اگر هیچ‌کس چنین کاری نکرده باشد، احتمال زیادی وجود دارد که با یکی از طرح‌های کلاهبرداری توضیح داده‌شده در ادامه روبه‌رو باشید.

هشدار: تحت هیچ شرایطی کدهای QR یا شماره تلفن‌های چاپ‌شده روی بسته‌بندی را اسکن یا تماس نگیرید.

دستکاری سفارش‌ها

اصطلاح «اسکم براشینگ»از اصطلاحات عامیانه تجارت الکترونیک در چین می‌آید. واژه 刷单 به معنای تحت‌اللفظی «صیقل دادن سفارش‌ها» است ـ در واقع اشاره به نوعی کلاهبرداری برای بالا بردن فروش دارد. در ابتدا، این «brushing» نسبتاً بی‌خطر بود: شما محصولی را که سفارش نداده بودید دریافت می‌کردید و فروشنده با نام شما یک نقد و بررسی درخشان ثبت می‌کرد تا رتبه فروشش را بالا ببرد. برای انجام این کار، فروشندگان متقلب پایگاه‌های داده حاوی اطلاعات شخصی لو رفته را خریداری کرده، سپس با استفاده از نام و نشانی پستی قربانیان حساب‌های جدیدی در بازارهای آنلاین ایجاد می‌کردند ـ اما با استفاده از نشانی ایمیل و روش پرداخت خودشان. بنابراین، قربانیان مستقیماً متحمل ضرر مالی نمی‌شدند.

شانس با شماست؛ ولی قبل از هر چیز ـ نظر و امتیازتان را بدهید

با گذر زمان، این «براشینگِ»نسبتاً ملایم حالت خشن‌تری به خود گفت. امروزه کلاهبرداران تلاش می‌کنند گیرندگان بسته‌ها را با فریب به وب‌سایت‌های مخرب بکشانند. برای این کار، آنها همراه بسته یک کارت یا برچسب با کد QR قرار می‌دهند. داستانی که همراه این کد ارائه می‌شود متفاوت است، اما نمونه‌های رایج عبارت‌اند از:

• «یک هدیه دریافت کرده‌اید! کد را اسکن کنید تا متوجه شوید چه کسی آن را فرستاده است»
• « برای محصول ما نقد و بررسی بگذارید و یک کارت هدیه ۱۰۰ دلاری دریافت کنید!»
• «دریافت رایگان کالای خود را تأیید کنید!»

اگر قربانی کد QR را اسکن کند تا بفهمد فرستنده چه کسی بوده یا هدیه دیگری مطالبه کند، ادامه ماجرا طبق الگوی کلاسیک کوئیشینگ(فیشینگ از طریقQR)پیش می‌رود: یا قربانی ترغیب می‌شود داده‌های پرداخت خود را وارد کند (برای مثال، جهت «فعال‌سازی» کارت هدیه)، یا کدهایی از برنامه‌های بانکی/دولتی ارائه دهد، یا تشویق به نصب یک برنامه برای «تأیید» یا «فعال‌سازی» شود ـ که البته همان بدافزار است.

اگر اصلاً هیچ محصولی وجود نداشته باشد چه؟

طرح‌های بالا تنها زمانی جواب می‌دهند که یک فروشگاه آنلاین بتواند به‌عنوان یک تاکتیک تبلیغاتی، محصولات را «رایگان» ارسال کند. اما آیا کلاهبرداران بدون فرستادن هیچ کالایی هم می‌توانند اطلاعات شما را به دست بیاورند؟ بله ـ و در عمل هم همین کار را می‌کنند. به‌جای بسته، قربانی کارت‌پستال حرفه‌ای چاپ‌شده‌ای را جلوی در پیدا می‌کند:
«متأسفانه، خدمات پیک ما نتوانست بسته شما را تحویل دهد چون خانه نبودید. یک هدیه به ارزش ۲۰۰ دلار تنها به‌صورت حضوری تحویل داده می‌شود ـ لطفاً برای هماهنگی تحویل دوباره با ما تماس بگیرید.»
روی کارت‌پستال یک کد QR، یک نشانی وب‌سایت و گاهی حتی یک شماره تلفن برای «تنظیم مجدد تحویل» درج شده است. اگر با شماره تماس بگیرید یا وارد وب‌سایت مخربی شوید که در کد QR پیوند داده شده، فریب خواهید خورد تا جزئیات پرداخت، رمزهای عبور یا کدهای یکبار مصرف را در یکی از سناریوهای رایج کلاهبرداری «تحویل» وارد کنید:

•          «همین حالا زمان تحویل را انتخاب کنید تا کالا به فرستنده بازگردانده نشود»
•          «۲دلار برای تحویل دوباره بپردازید». هدف اینجاست که اطلاعات پرداخت شما گرفته شود و سپس مبالغ بسیار بزرگ‌تری از حسابتان برداشت شود.
•          «عوارض گمرکی را بپردازید». به شما گفته می‌شود یک بسته ارزشمند برایتان ارسال شده اما باید خودتان عوارض آن را پرداخت کنید. این مبالغ بسته به ارزش ادعایی کالا می‌تواند بسیار زیاد باشد. در برخی کشورها حتی ممکن است یک «پیک» به‌صورت حضوری برای دریافت وجه نقد مراجعه کند.

تمام این طرح‌ها می‌توانند منجر به از دست رفتن اطلاعات شخصی و مالی شوند ـ اما گاهی به کلاهبرداری‌های تلفنی با خسارت‌های بسیار بیشتر هم منتهی می‌شوند. برای مثال، پس از پرداخت یک هزینه جعلی تحویل، کلاهبرداران ممکن است با شما تماس بگیرند و ادعا کنند بسته قابل تحویل نیست چون حاوی مواد مخدر است. در ادامه، فشار روانی تماس‌هایی از سوی یک «افسر پلیس» آغاز می‌شود و تلاش برای اخاذی مبالغ کلان به‌بهانه «حفاظت» شما در برابر اتهامات کیفری.

پرداخت در محل

یکی دیگر از کلاهبرداری‌های رایج مربوط به محصولاتی است که هزینه آن‌ها هنگام تحویل پرداخت می‌شود. گاهی کلاهبرداران محصولی را از قبل تبلیغ و با رضایت قربانی برایش ارسال می‌کنند ـ اما نسخه دیگری هم وجود دارد که در آن، بسته‌ای ناخواسته سر می‌رسد. یک روز، پیکی جلوی در خانه شما حاضر می‌شود با بسته‌ای به نام شما. معمولاً نام یک محصول جذاب به‌طور برجسته روی جعبه درج شده است ـ مثلاً یک گوشی هوشمند گران‌قیمت. اما… باید هزینه آن را بپردازید. قیمت معمولاً دو تا سه برابر کمتر از نرخ بازار است. کلاهبرداران روی طمع و حس فوریت قربانی حساب باز می‌کنند («پیک عجله دارد، سریع کار را تمام کنیم!») تا او بدون بررسی دقیق، پول را پرداخت کند. پیک به‌سرعت می‌رود و قربانی جعبه را باز می‌کند تا یا یک تقلبی بی‌ارزش از محصول ادعایی ببیند ـ یا فقط زباله.

اگر هدف حاضر به پرداخت هزینه برای این بسته ناشناخته نشود، کلاهبرداران ممکن است «پلن ب» را آماده کرده باشند ـ فریب دادن او برای دریافت یک کد یکبار مصرف مربوط به حساب بانکی یا فروشگاه اینترنتی، به بهانه «تأیید لغو سفارش».

حملات هدف‌دار

گاهی کلاهبرداری‌های مبتنی بر تحویل فیزیکی، قربانیان خاصی را هدف می‌گیرند. برای نمونه، مجرمان تلاش کرده‌اند با ارسال بسته‌هایی به صاحبان کیف‌پول سخت‌افزاری Ledger، رمزارز آن‌ها را سرقت کنند؛ بسته‌هایی که ادعا می‌شد «تعویض رایگان ضمانت دستگاه‌های معیوب» هستند. درون بسته یک کیف‌پول رمزارزی «جدید» قرار داشت ـ در واقع یک حافظه USB آلوده به بدافزاری که برای سرقت عبارت بازیابی کیف‌پول طراحی شده بود. ارسال USB آلوده همچنین توسط گروه باج‌افزاری FIN7 برای اجرای حملات باج‌افزاری هدفمند علیه سازمان‌های خاص استفاده شده است.

تهدید پنهان

ریشه ناخوشایند کلاهبرداری‌هایبراشینگ و کوئیشینگ در اینجاست: اگر چنین بسته‌هایی دریافت می‌کنید، به این معناست که نشانی و اطلاعات تماس شما در پایگاه‌های داده لو رفته و در انجمن‌های زیرزمینی دست‌به‌دست می‌شود. این مجموعه داده‌ها بارها فروخته می‌شوند، بنابراین احتمال زیادی وجود دارد که هدف انواع دیگر کلاهبرداری نیز قرار بگیرید. آماده باشید: احراز هویت دو مرحله‌ای را در همه‌جا فعال کنید، منتظر تماس‌های کلاهبرداری باشید، نرم‌افزاری برای حفاظت در برابر تماس‌های اسپم نصب، صورت‌حساب‌های بانکی خود را مرتب بررسی کنید و مطمئن شوید که روی همه دستگاه‌های خود از محافظت قابل‌اعتماد استفاده می‌کنید.

در صورت دریافت بسته‌ای غیرمنتظره باید چه کرد؟

•          بسته، برچسب‌ها و هرگونه مدارک همراه آن را با دقت بررسی کنید.
•          از بسته عکس بگیرید، اما هرگز لینک‌های روی کد QR یا متن چاپ‌شده را دنبال نکنید. بسته را نگه دارید تا در صورت نیاز به بررسی بعدی استفاده شود.
•          هرگز با شماره تلفن‌های درج‌شده روی بسته تماس نگیرید و دوباره تأکید می‌شود: به لینک‌های روی بسته هم مراجعه نکنید.
•          هرگز هیچ «هزینه تحویل» یا «عوارض گمرکی» پرداخت نکنید و اطلاعات پرداخت خود را در اختیار کسی قرار ندهید.
•          هرگز دستگاه‌های ذخیره‌سازی دیجیتال را که به‌طور ناخواسته دریافت کرده‌اید به رایانه یا گوشی هوشمند خود متصل نکنید.
•          اگر بسته توسط یکی از شرکت‌های پیک معتبر و شناخته‌شده (مثل Amazon، eBay، DHL Express، UPS، FedEx، AliExpress یا خدمات پستی ملی) تحویل شده است، به وب‌سایت رسمی همان شرکت بروید، شماره تماس‌ها، سامانه رهگیری آنلاین یا پشتیبانی زنده را پیدا کنید و وضعیت ارسال و اطلاعات فرستنده را بررسی کنید. اگر بسته شماره رهگیری دارد، آن را به‌صورت دستی وارد کنید ـ هیچ کد QR روی برچسب را اسکن نکنید. بسته مشکوک را به شرکت پیک و همچنین پلیس گزارش دهید ـ حتی اگر هیچ پولی از شما سرقت نشده باشد.
•          بسته مشکوک را به شرکت پیک و پلیس گزارش دهید ـ حتی اگر هیچ پولی از شما سرقت نشده باشد.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.