Lassan két éve, hogy megírtuk, hogyan verik át meg nem rendelt csomagokkal az ügyfeleket csalók, de azóta is rengeteg levelet kapunk olvasóinktól, amelyekben arról írtak, hogy kéretlen csomagot kaptak. A figyelmesebbek nem vették át ezeket a csomagokat, azonban a levélírók közül sokan lépre mentek, és kifizették a hozzájuk kivitt küldeményt, amelyben többnyire valami haszontalan holmi volt. Utána meg hiába futottak a pénzükért.
Az ESET biztonsági szakértői szerint az elmúlt hetekben egyre többen számolnak be arról, hogy olyan csomagot kaptak, melyet nem is rendeltek meg. Bár elsőre akár szerencsés véletlennek is tűnhet a váratlan küldemény, a háttérben gyakran egy kifinomult online csalási forma, az úgynevezett brushing scam állhat – figyelmeztetnek rá a kiberbiztonsági szakértők.
Megemlítik, hogy a globális e-kereskedelmi forgalom 2025-ben meghaladta a 6,4 billió dollárt, a vásárlások jelentős része mára az online piactereken folyik. Az ismert, sokak által használt és rengeteg visszajelzéssel bíró platformok kényelmet és biztonságot ígérnek, ugyanakkor komoly visszaélések célpontjai is: az Amazon például csak 2024-ben több mint 275 millió hamis értékelést blokkolt.
Mi az a brushing scam?
A brushing csalás során egy eladónak tűnő csaló egy alacsony értékű terméket küld egy valós, mit sem sejtő címzettnek, kizárólag azért, hogy a piactéren „valódi vásárlásként” jelenjen meg a tranzakció, és így hamis, ötcsillagos értékelést lehessen hozzákapcsolni.
A módszer jellemzően így működik:
- a csalók adatlopásokból vagy nyilvános forrásokból származó neveket és címeket használnak,
- ezekkel hamis felhasználói fiókot hoznak létre,
- saját terméküket „megvásárolják”, majd a csomagot az áldozat címére küldik,
- végül pozitív értékelést írnak, mesterségesen javítva a termék megítélését.
A címzett sokszor csak akkor szembesül az egésszel, amikor megérkezik a kéretlen csomag.
Miért veszélyes a brushing scam?
A brushing scam nem csupán a vásárlói értékelési rendszerek kijátszásáról szól. Az, hogy valaki célponttá válik, arra utalhat, hogy a személyes adatai már megjelentek kiberbűnözői körökben, és a csalók akár egy komolyabb visszaélést készítenek éppen elő
– figyelmeztet rá Csizmazia-Darab István, a Sicontact Kft. kiberbiztonsági szakértője.
Egyes esetekben a csomag egy adathalászoldalra vezető QR-kódot is tartalmazhat, ami akár egy kártékony szoftver telepítésére próbál rávenni. Emellett nagyon fontos következmény, hogy az ilyen csalások hosszú távon aláássák az online piacterekbe vetett bizalmat is.
Hogyan ismerhető fel a brushing scam?
Gyanúra adhat okot, ha:
- nem rendeltünk vagy a feladótól nem rendeltünk semmit,
- nincs nyoma vásárlásnak, sem az e-mailekben, sem a fiókunkban,
- olcsó, gyenge minőségű terméket kaptunk, amelyet nem rendeltünk meg,
- hiányos vagy homályos a feladó megjelölése,
- QR-kód található a csomagon vagy benne.
Mit tegyünk, ha kéretlen csomagot kapunk?
A kiberbiztonsági szakértők az alábbi lépéseket javasolják:
- győződjünk meg róla, hogy valóban nem egy családi vagy baráti ajándékról van szó, és, ha így van, ne vegyük át a csomagot,
- semmiképp ne olvassuk be a kéretlen csomagban található QR-kódokat, ne próbáljuk meg a csomagot visszaküldeni a feladónak,
- érdemes ellenőrizni a bankszámlánkat és a bankkártyánk forgalmát is,
- kapcsoljuk be a többfaktoros hitelesítést a banki, e-mail- és vásárlási fiókoknál,
- jelentsük az esetet az érintett piactérnek.
Hogyan előzhetők meg a kéretlen csomagos csalások?
A megelőzés kulcsa a személyes adatok védelme. A kiberbiztonsági szakértők szerint:
- rendszeresen cseréljünk jelszót,
- egyedi jelszavakat, kétfaktoros hitelesítést, jelkulcsot használjunk bejelentkezésekhez,
- minimalizáljuk a közösségi médiában megosztott személyes adatokat, információkat, melyek alapján könnyen profilozhatók vagyunk.
Használjunk védelmi szoftvert, amely nemcsak kiszűri a rosszindulatú programokat és blokkolja a gyanús webhelyeket, adathalász-kísérleteket, hanem több ezer webhelyet vizsgálva át – beleértve a dark webet és feketepiaci csevegőszobákat – felismeri és értesít minket, ha személyes adataink illetéktelen kezekbe kerültek.
Csizmazia-Darab István hangsúlyozza, hogy ez csupán egy a számos technika közül, amelyet a csalók a személyes adatok megszerzésére és jogosulatlan felhasználására alkalmaznak. A tudatosság ma már nem elegendő, a megelőzés a feltétele annak, hogy a felhasználók biztonságosan élvezhessék a digitális szolgáltatások és az online vásárlás nyújtotta kényelmet.
