„Coletul tău așteaptă o mică taxă de livrare": cum funcționează frauda prin SMS și ce faci imediat

Aștepți de câteva zile un colet de la un magazin online, așa că atunci când îți pică pe telefon un SMS de la „curier\" care spune că livrarea nu a putut fi finalizată, ți se pare absolut firesc. Mesajul cere o sumă mică, câțiva lei, o „taxă de livrare\" sau o „taxă vamală\", și dă un link ca să o achiți repede, altfel coletul se returnează. Apeși, completezi datele cardului ca la orice plată online, iar pagina arată curat, cu sigla curierului. Câteva minute mai târziu primești de la bancă un cod prin SMS, îl introduci unde ți se cere, și totul pare în regulă. În realitate, tocmai ai dat unor escroci cheile contului tău.

Este una dintre cele mai frecvente fraude din România, prezentă tot anul: smishing-ul cu colete. Ghidul acesta e pentru oricine a primit un astfel de mesaj, fie că l-a ignorat, fie că a apucat să dea datele cardului și acum e în panică. Vei vedea pas cu pas cum funcționează mecanismul, de ce ți se cere de fapt acel cod prin SMS, semnele clare după care recunoști mesajul fals și, cel mai important, exact ce faci în primele minute dacă ai introdus deja datele.

Ce este, de fapt, smishing-ul cu colete

Cuvântul „smishing\" vine din combinația dintre SMS și phishing. Este aceeași înșelătorie ca phishing-ul prin email, doar că ajunge la tine prin mesaj text, unde lumea are garda mai jos. Pe telefon nu prea verifici adresa expeditorului, linkurile sunt scurtate și totul pare mai personal. Tocmai de aceea funcționează atât de bine.

În cazul coletelor, escrocii se dau drept firme de curierat cunoscute: Poșta Română, FAN Courier, Sameday, Cargus, DHL sau DPD. Directoratul Național de Securitate Cibernetică (DNSC) a emis avertismente repetate despre aceste campanii, în care victimele sunt direcționate către un site fals și sunt puse să plătească o presupusă taxă de livrare, uneori chiar printr-un transfer prin Revolut. Și firmele de curierat își avertizează clienții că nu trimit linkuri de plată prin SMS și că statusul coletului se verifică doar pe site-ul sau în aplicația lor oficială.

Mecanismul nu se bazează pe ceva tehnic complicat. Se bazează pe context și pe grabă. Românii comandă enorm online, deci mereu cineva chiar așteaptă un colet. Escrocul nu are nevoie să te cunoască: trimite milioane de mesaje identice și e suficient ca un mic procent dintre oameni să fie chiar în ziua în care așteaptă o livrare.

Cum arată mesajul fals, în practică

Textele variază, dar tiparul este aproape identic de fiecare dată. Mesajul anunță o problemă la livrare, inventează un motiv plauzibil și cere o acțiune rapidă, cu un link. Iată formulările pe care le vei recunoaște:

• „Coletul tău nu a putut fi livrat. Actualizează adresa aici: [link]\"
• „Pachetul tău așteaptă achitarea unei taxe de livrare de 2,99 lei: [link]\"
• „Coletul tău este reținut în vamă. Plătește taxa vamală pentru a fi eliberat: [link]\"
• „Ultima încercare de livrare a eșuat. Reprogramează în 24h sau coletul se returnează: [link]\"

Observă două lucruri. Primul: suma este mereu mică, sub zece lei. Nimeni nu intră în alertă pentru câțiva lei, deci ești dispus să plătești fără să stai pe gânduri. Al doilea: există presiune de timp. „În 24 de ore\", „ultima încercare\", „se returnează\". Graba este unealta principală a escrocului, fiindcă te împiedică să te oprești și să verifici. Este exact tiparul descris în ghidul nostru despre ingineria socială, manipularea prin care ești pus să acționezi înainte să gândești.

De ce acea „taxă de 2,99 lei\" nu e de fapt despre cei 2,99 lei

Aici se înșală mulți oameni. Cred că, în cel mai rău caz, pierd suma aceea mică. Dar escrocii nu vor cei câțiva lei. Vor datele complete ale cardului tău: numărul, data expirării și codul CVV de pe spate. Odată ce le-ai dat pe site-ul fals, ei le au pentru orice plată ulterioară.

Partea cea mai periculoasă vine după. Multe campanii recente, semnalate inclusiv de DNSC, nu se opresc la datele cardului. După ce le introduci, pagina îți cere și un cod primit prin SMS de la bancă. Pare logic, doar e o „confirmare\". În realitate, acel cod este aprobarea prin care escrocii îți înrolează cardul într-un portofel digital de pe telefonul lor, de tip Apple Pay sau Google Pay, sau confirmă o tranzacție. Din acel moment pot plăti cu cardul tău fără să mai aibă nevoie de tine, de obicei pe sume mari, telefoane scumpe sau haine de firmă, pe care apoi le revând.

Semnele după care recunoști un SMS fals de colet

Nu trebuie să fii expert ca să prinzi tiparul. Un singur semn poate fi întâmplător, dar combinația lor înseamnă aproape sigur fraudă. Iată la ce te uiți înainte să apeși orice link.

Regula de aur este simplă: nu plăti niciodată o taxă de livrare printr-un link primit pe SMS. Dacă ai dubii legate de un colet real, deschide tu aplicația curierului sau intră tu, tastând adresa, pe site-ul lui oficial, și verifică acolo statusul cu numărul de urmărire (AWB). Același principiu de bază, verifică pe canalul oficial, nu pe cel din mesaj, se aplică la orice tentativă de înșelăciune. Despre cum recunoști mesajele false în general am scris pe larg în ghidul despre cum recunoști un email de phishing, iar despre ce este fenomenul în ansamblu în ce este phishing-ul.

Am dat datele cardului. Ce fac chiar acum?

Dacă ai apucat să completezi datele cardului pe site-ul fals, nu intra în panică, dar mișcă-te repede. Primele minute contează enorm. Fă lucrurile în ordinea de mai jos.

Pașii detaliați, inclusiv ce le spui celor de la bancă și cum decurge contestarea unei plăți, sunt explicați pas cu pas în ghidul nostru dedicat: am dat datele cardului pe un site fals, ce fac. Dacă pe site-ul fals ai folosit o parolă pe care o reutilizezi și în alte locuri, merită să verifici și dacă parola ți-a fost deja scursă și să pui la punct autentificarea în doi pași.

Cum raportezi și de ce merită

Mulți oameni se simt rușinați și nu raportează, gândind că oricum nu schimbă nimic. Greșit. Raportarea ajută autoritățile să închidă site-urile false mai repede și să avertizeze restul lumii. Ai unde să te adresezi.

• DNSC, linia 1911. Este linia națională pentru incidente de securitate cibernetică, gratuită și apelabilă din orice rețea. Poți raporta și online, prin platforma DNSC (PNRISC).
• Operatorul tău de telefonie. Poți semnala numărul de la care a venit SMS-ul fals, ca să fie blocat.
• Poliția. Dacă ai pierdut bani, depune o plângere. Dovezile salvate (SMS, link, capturi) contează aici.
• Banca. Pe lângă blocarea cardului, cere-le să marcheze tranzacțiile ca fraudă, ca să poată porni procedura de recuperare.

Cum eviți complet capcana data viitoare

Vestea bună este că această fraudă se previne ușor odată ce îi cunoști tiparul. Reține câteva obiceiuri simple și ești în siguranță chiar dacă mesajul pare convingător.

• Nu apăsa linkuri de plată sau de „reprogramare livrare\" primite prin SMS, oricât de oficial ar părea mesajul.
• Verifică statusul oricărui colet doar în aplicația oficială a curierului sau tastând tu adresa site-ului oficial.
• Tratează orice „taxă mică și urgentă\" ca pe un semnal de alarmă, nu ca pe o cheltuială neglijabilă.
• Nu introduce niciodată pe un site un cod primit prin SMS de la bancă. Acel cod aprobă ceva, nu confirmă o livrare.
• Activează în aplicația băncii notificările pentru fiecare tranzacție, ca să prinzi imediat o plată neautorizată.

Aceleași principii te apără și împotriva variantelor înrudite, cum este frauda cu coduri QR false lipite peste cele reale, despre care poți citi în ghidul despre quishing, sau a mesajelor care imită instituții, ca în cazul emailurilor false în numele ANAF și SPV.