Każdego dnia DPD dostarcza tysiące paczek do polskich klientów. Tym razem nie otrzymują jednak oni wyczekiwanej przesyłki, tylko niespodziewany SMS z ważną informacją. Co ona oznacza?
DPD ostrzega klientów
Do wielu mieszkańców Polski regularnie wysyłane są wiadomości o rzekomo oczekującej paczce, która zostanie dostarczona tylko wtedy, gdy odbiorca uiści dodatkową opłatę. To oczywiście oszustwo, które ma na celu wyłudzenie danych bankowych od ofiary, aby później wyczyścić jej konto, a także często dodatkowo zaciągnąć zobowiązania finansowe w jej imieniu. Uzyskane w ramach kredytu pieniądze naturalnie też są kradzione.
Tym razem mieszkańcy Polski otrzymują SMS nie z informacją o rzekomo oczekującej paczce, tylko o potencjalnym wycieku ich numerów telefonów. DPD Polska wysyła bowiem wiadomości do wybranych klientów z komunikatem, że uzyskało informację, że u jednego z dostawców usług smsowych mogło dojść do nieuprawnionego ujawnienia Państwa numeru telefonu.
Co ważne – firma używa określenia „mogło”, co oznacza, że numery telefonów osób, które otrzymują SMS od DPD, nie musiały dostać się w niepowołane ręce. Mimo wszystko firma poczuła się zobowiązana do poinformowania klientów o tym incydencie. W wysłanej wiadomości nie wspomina natomiast o żadnych innych danych, które mogłyby wyciec w ramach tego zdarzenia.
Niebezpiecznik przekazuje, że SerwerSMS – platforma, z której korzysta DPD do rozsyłania wiadomości do swoich klientów – wykrył 17 kwietnia 2023 roku intruza na jednym ze swoich serwerów, który uzyskał dostęp do „fragmentu archiwalnej bazy” z numerami telefonów. Nie wiadomo jednak, czy zapisał zawarte w niej rekordy lub/i udostępnił/sprzedał je nieuprawnionym osobom (czyt. przestępcom).
Co można/należy zrobić w takiej sytuacji?
Przede wszystkim trzeba zaznaczyć, że intruz nie uzyskał dostępu do pełnej bazy numerów klientów DPD Polska, a jedynie jej fragmentu, na dodatek archiwalnej części. W związku z tym nie wszyscy klienci otrzymają SMS z informacją o potencjalnym wycieku – na przykład ani ja, ani naczelna Kasia nie dostaliśmy takiej wiadomości, choć nieraz korzystaliśmy z usług DPD.
Mimo wszystko nie można zbagatelizować tego incydentu, bowiem należy brać pod uwagę najczarniejszy scenariusz, tj. wykorzystanie przechwyconych numerów telefonów do ataków phishingowych i smishingowych. W związku z tym osoby, które otrzymały wiadomość od DPD Polska, powinny zachować czujność, jeśli w przyszłości dostaną podejrzany SMS, na przykład z informacją o oczekującej paczce czy niedopłacie za energię elektryczną i groźbą rychłego odłączenia prądu.
To samo powinni jednak robić wszyscy, bez względu na to, czy ich numer telefonu mógł wyciec, czy istnieje małe tego prawdopodobieństwo. Warto też wykupić usługę, która monitoruje użycie numeru PESEL w celu zaciągnięcia zobowiązania finansowego – taką oferuje m.in. Biuro Informacji Kredytowej za 36 złotych na rok, a także Orange (za 9,99 złotych miesięcznie) i platforma Chroń PESEL (od 49 złotych na 6 miesięcy).
Samo DPD również ostrzega na swojej stronie, że obserwuje wzmożoną aktywność wiadomości e-mail i SMS podszywających się pod markę DPD – pod linkiem znajdziecie różne przykłady schematów oszustw, warto się z nimi zapoznać i przekazać innym.
Jeśli chcecie sprawdzić, czy Wasz numer telefonu lub/i adres e-mail wyciekł w ramach zarejestrowanego wycieku danych, możecie to zrobić bezpłatnie na stronie haveibeenpwned.com.
