Звонок в дверь. Курьер с коробкой. Фамилия и адрес совпадают. Одна деталь не сходится — заказ никто не делал.
Эта ситуация перестала быть редкостью. Мошенники освоили физическую доставку как инструмент социальной инженерии — метода манипуляции, при котором жертва сама отдаёт свои данные злоумышленнику. Посылка становится первым шагом в цепочке, которая заканчивается потерей денег или доступа к аккаунтам.
Как работает схема
Механизм построен на доверии к привычному процессу. Курьерская доставка ассоциируется с покупками на маркетплейсах, и человек принимает коробку, не задумываясь. Дальше возможны несколько сценариев.
Сценарий с QR-кодом. Внутри коробки или на упаковке размещён QR-код с надписью вроде «Отсканируйте, чтобы активировать гарантию» или «Получите подарок к заказу». Код ведёт на фишинговый сайт — поддельную страницу, которая имитирует интерфейс банка, маркетплейса или почтового сервиса. На этом сайте запрашиваются логин, пароль, номер карты. Введённые данные уходят злоумышленникам.
Сценарий со звонком. Через несколько минут после доставки раздаётся звонок. Собеседник представляется сотрудником службы доставки и говорит, что произошла ошибка — нужно подтвердить возврат. Для этого просят назвать код из SMS. Код оказывается подтверждением входа в онлайн-банк или привязки нового устройства к аккаунту.
Сценарий с предоплатой. Курьер сообщает, что посылка наложенным платежом — необходимо оплатить. Человек платит за товар, который не заказывал. Внутри оказывается пустая коробка или дешёвый предмет.
Все три варианта объединяет одно: жертва совершает целевое действие сама. Никакого взлома в техническом смысле не происходит. Мошенники эксплуатируют привычку и невнимательность.
Почему схема эффективна
Физическая посылка создаёт ощущение легитимности. Электронное письмо от неизвестного отправителя вызывает подозрение. Но курьер с коробкой — другое дело. Человек видит своё имя на упаковке и воспринимает ситуацию как обычную доставку.
Персональные данные для адресации посылки берутся из утечек баз данных. ФИО, адрес и номер телефона — информация, которая многократно фигурировала в различных утечках и свободно продаётся в даркнете. Мошенникам не нужно ничего взламывать: достаточно купить готовую базу.
Ещё один фактор — скорость. Между получением посылки и звонком «от службы доставки» проходит несколько минут. Жертва не успевает проанализировать ситуацию. Давление времени заставляет действовать на автомате.
Что делать при получении незаказанной посылки
Алгоритм действий прост, но требует хладнокровия.
Первое — не принимать посылку. Если нет уверенности в заказе, от коробки можно отказаться. Курьер обязан принять отказ и вернуть отправление. Подписывать документы или подтверждать получение не нужно.
Второе — проверить историю заказов. Зайти в приложения маркетплейсов и почтовых служб. Раздел «Мои заказы» покажет, есть ли активные доставки. Легитимный заказ будет отображаться с трек-номером и деталями.
Третье — не сканировать QR-коды. Любой QR-код на незаказанной посылке — потенциальная угроза. Код может перенаправить на фишинговую страницу или инициировать загрузку вредоносного приложения.
Четвёртое — не сообщать коды из SMS. Ни курьер, ни сотрудник доставки, ни представитель банка не запрашивает одноразовые коды. Код из SMS — элемент двухфакторной аутентификации (дополнительной проверки при входе в аккаунт). Передача кода равносильна передаче ключа от квартиры.
Пятое — если данные уже введены. Позвонить в банк по номеру, указанному на обратной стороне карты. Заблокировать карту. Сменить пароли на всех сервисах, где использовались те же учётные данные. Подать заявление в полицию — это можно сделать через портал Госуслуг.
Как защититься заранее
Профилактика эффективнее реагирования. Несколько мер снижают риск.
Подключение уведомлений о входе в аккаунт — банки и маркетплейсы поддерживают push-уведомления о каждой авторизации. Незнакомый вход будет заметен.
Использование разных паролей для разных сервисов — если один пароль утёк, остальные аккаунты остаются защищёнными. Менеджеры паролей помогают хранить уникальные комбинации.
Настройка запрета на получение посылок без предварительного подтверждения — некоторые службы доставки позволяют установить правило: доставлять только заказы с определённым трек-номером.
Проверка утечек — существуют сервисы, которые показывают, фигурировал ли email или номер телефона в известных утечках. Знание об утечке помогает понять, откуда мошенники получили контактные данные.
Итог
Незаказанная посылка — не ошибка логистики. Это спланированная атака, которая использует физический объект для обхода цифровой бдительности. Коробка на пороге вызывает меньше подозрений, чем подозрительное письмо на почте.
Правило одно: если не заказывали — не принимайте, не сканируйте, не сообщайте коды. Любая нестандартная ситуация с доставкой — повод остановиться и проверить информацию через официальные каналы.