Kurier puka do drzwi lub otrzymujesz powiadomienie o przesyłce w paczkomacie. Nie przypominasz sobie żadnych zakupów, ale na etykiecie widnieją Twoje poprawne dane: imię, nazwisko i adres. W środku znajduje się drobiazg – tania biżuteria, nasiona roślin albo plastikowy gadżet. Choć taka sytuacja może wydawać się nieszkodliwą pomyłką, w rzeczywistości to tzw. „brushing scam”. To metoda wykorzystywana przez cyberprzestępców, a dla odbiorcy jasny sygnał, że jego dane osobowe wyciekły i dysponuje nimi ktoś nieuczciwy.
Skala globalnego handlu elektronicznego jest trudna do wyobrażenia. Szacuje się, że w 2026 roku przychody z transakcji online osiągną zawrotną kwotę blisko 7 bilionów dolarów, co stanowi ponad 7-procentowy wzrost w stosunku do roku ubiegłego . Tak ogromny rynek przyciąga jednak nie tylko uczciwych sprzedawców, ale i cyberprzestępców, którzy szukają sposobów na szybkie zwiększenie zysków. Kluczowym narzędziem w walce o klienta stały się recenzje – to one budują zaufanie, którego często nie da się zdobyć inaczej niż poprzez wysokie oceny. Skalę problemu manipulacji opiniami dobrze obrazują działania największych graczy: tylko w 2024 roku firma Amazon musiała proaktywnie zablokować ponad 275 milionów podejrzanych recenzji, zanim trafiły one do klientów .
Celem tzw. „brushingu” jest właśnie tworzenie fałszywych, ale wiarygodnych opinii, a otrzymanie przez nas darmowej paczki to tylko produkt uboczny tego procesu. Aby oszustwo się udało, nieuczciwy sprzedawca musi najpierw wejść w posiadanie naszych danych: imienia, nazwiska i adresu. Wykorzystuje je do założenia konta na platformie sprzedażowej i wysłania pod nasz adres taniego drobiazgu. Ta fizyczna przesyłka jest mu potrzebna tylko po to, by w systemie sklepu pojawił się status „zakupu potwierdzonego”. Dzięki temu oszust może sam sobie wystawić najwyższą ocenę, która dla innych kupujących wygląda jak recenzja od realnego klienta. W ten sposób nasze dane służą do budowania sztucznej popularności sklepu, który może oszukiwać kolejne osoby.
– Otrzymanie przesyłki zaadresowanej do nas i zawierającej przedmioty, których nie zamawialiśmy, może świadczyć o tym, że nasze dane adresowe są w posiadaniu osób o nieczystych intencjach. Choć sama paczka z tanią zawartością wydaje się niegroźna, może być ona wstępem do znacznie poważniejszych konsekwencji. Niektóre z takich przesyłek zawierają kody QR prowadzące do stron wyłudzających dane logowania lub infekujących urządzenie złośliwym oprogramowaniem. Skanując taki kod z ciekawości, by dowiedzieć się, kto przysłał nam prezent, możemy nieświadomie otworzyć cyberprzestępcom drzwi do naszych prywatnych kont lub bankowości elektronicznej – ostrzega Kamil Sadkowski, analityk cyberzagrożeń ESET.
Co zrobić, jeśli otrzymamy taki „prezent”?
Jeśli otrzymasz przesyłkę, której nie zamawiałeś, eksperci zalecają podjęcie następujących kroków:
• Upewnij się, że to nie prawdziwy prezent: Sprawdź wśród domowników, rodziny i znajomych, czy ktoś nie zrobił Ci niespodzianki lub nie zamówił czegoś na Twój adres.
• Nie skanuj kodów QR: Pod żadnym pozorem nie skanuj kodów QR, które mogą znajdować się wewnątrz paczki lub na ulotkach do niej dołączonych.
• Monitoruj swoje finanse: Sprawdź historię transakcji na koncie bankowym.
• Włącz weryfikację wieloetapową (MFA): Aktywuj logowanie wieloskładnikowe we wszystkich serwisach zakupowych, poczcie e-mail oraz w mediach społecznościowych. To najskuteczniejsza bariera przed przejęciem konta.
• Zgłoś incydent platformie: Poinformuj serwis sprzedażowy (np. Amazon, Allegro), że padłeś ofiarą „brushingu”. Większość dużych platform posiada dedykowane formularze do zgłaszania nadużyć.
• Nie odsyłaj przedmiotu: Nie musisz tracić czasu ani pieniędzy na odsyłanie towaru do nadawcy. Jeśli chcesz, możesz go zatrzymać.
Jak nie trafić na celownik oszustów?
Choć jako użytkownicy nie mamy żadnego wpływu na bezpieczeństwo baz danych np. platform sprzedażowych, możemy podjąć kroki, które utrudnią przestępcom przejęcie kontroli nad naszymi kontami. Dane wykorzystywane do „brushingu” pochodzą najczęściej z masowych wycieków ze sklepów internetowych, które trafiają na czarny rynek w Dark Webie. W obliczu takich zdarzeń, naszą główną linią obrony staje się stosowanie unikalnych haseł oraz aktywacja weryfikacji dwuetapowej (MFA). W tym zadaniu pomocne jest sprawdzone oprogramowanie zabezpieczające, które dzięki wbudowanym menedżerom haseł pozwala bezpiecznie zarządzać wieloma dostępami. Dzięki temu, nawet jeśli nasz adres wycieknie z jednej bazy, oszuści nie zyskają łatwego dostępu do pozostałych usług, z których korzystamy.
– Bezpieczeństwo w świecie cyfrowym to suma naszych codziennych nawyków. „Brushing scam” przypomina nam o tym, że dane pozostawione w sieci mogą zostać wykorzystane przez oszustów nawet po długim czasie. Najlepszą formą ochrony jest świadome zarządzanie własną prywatnością: udostępnianie tylko niezbędnych informacji oraz korzystanie z narzędzi, które wspierają nas w pilnowaniu dostępu do naszych kont. Pamiętajmy, że każda dodatkowa bariera, jak choćby weryfikacja dwuetapowa czy solidne oprogramowanie ochronne, znacząco utrudnia działanie przestępcom i pozwala nam bezpieczniej korzystać z zakupów online – podsumowuje Kamil Sadkowski.