Váratlan csomagot kaptál? Lehet, hogy csalók szerezték meg az adataidat

Security

Az elmúlt hetekben egyre többen számolnak be arról, hogy olyan csomagot kaptak, melyet nem is rendeltek meg. Bár elsőre akár szerencsés véletlennek is tűnhet a váratlan küldemény, a háttérben gyakran egy kifinomult online csalási forma, az úgynevezett brushing scam állhat – figyelmeztetnek az ESET kiberbiztonsági szakértői.

A globális e-kereskedelmi forgalom 2025-ben meghaladta a 6,4 billió dollárt, a vásárlások jelentős része mára az online piactereken folyik. Az ismert, sokak által használt és rengeteg visszajelzéssel bíró platformok kényelmet és biztonságot ígérnek, ugyanakkor komoly visszaélések célpontjai is: az Amazon például csak 2024-ben több mint 275 millió hamis értékelést blokkolt.

Mi az a brushing scam?
A brushing csalás során egy eladónak tűnő csaló egy alacsony értékű terméket küld egy valós, mit sem sejtő címzettnek, kizárólag azért, hogy a piactéren „valódi vásárlásként” jelenjen meg a tranzakció, és így hamis, ötcsillagos értékelést lehessen hozzákapcsolni.

A módszer jellemzően így működik:

  • a csalók adatlopásokból vagy nyilvános forrásokból származó neveket és címeket használnak,
  • ezekkel hamis felhasználói fiókot hoznak létre,
  • saját terméküket „megvásárolják”, majd a csomagot az áldozat címére küldik,
  • végül pozitív értékelést írnak, mesterségesen javítva a termék megítélését.

A címzett sokszor csak akkor szembesül az egésszel, amikor megérkezik a kéretlen csomag.

Miért veszélyes ez?
„A brushing scam nem csupán a vásárlói értékelési rendszerek kijátszásáról szól. Az, hogy valaki célponttá válik, arra utalhat, hogy a személyes adatai már megjelentek kiberbűnözői körökben, és a csalók akár egy komolyabb visszaélést készítenek éppen elő” – figyelmeztet Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője.

Egyes esetekben a csomag egy adathalász oldalra vezető QR-kódot is tartalmazhat, ami akár egy kártékony szoftver telepítésére próbál rávenni. Emellett nagyon fontos következmény, hogy az ilyen csalások hosszútávon aláássák az online piacterekbe vetett bizalmat is.

Több hasonló, akár a rendőrség látókörébe került kibercsalásról szól az ESET kiberbiztonsági podcastjének legfrissebb adása, ahol rendőrségi szakértő is beszélt a csalók módszereiről, a védekezés szerepéről. 

Hogyan ismerhető fel?
Gyanúra adhat okot, ha:

  • nem rendeltünk, vagy a feladótól nem rendeltünk semmit
  • nincs nyoma vásárlásnak sem az e-mailekben, sem a fiókunkban
  • olcsó, gyenge minőségű terméket kaptunk, amit nem rendeltünk meg,
  • hiányos vagy homályos a feladó megjelölése,
  • QR-kód található a csomagon, vagy benne

Mit tegyünk, ha kéretlen csomagot kapunk?
Az ESET kiberbiztonsági szakértői az alábbi lépéseket javasolják:

  • Győződjünk meg róla, hogy valóban nem egy családi vagy baráti ajándékról van szó, és ha így van, ne vegyük át a csomagot
  • Semmiképp ne olvassuk be a kéretlen csomagban található QR-kódokat, ne próbáljuk meg a csomagot visszaküldeni a feladónak
  • Érdemes ellenőrizni a bankszámlánkat és a bankkártyánk forgalmát is
  • Kapcsoljuk be a többfaktoros hitelesítést a banki, e-mail és vásárlási fiókoknál
  • Jelentsük az esetet az érintett piactérnek

Hogyan előzhetők meg az ilyen csalások?
A megelőzés kulcsa a személyes adatok védelme. Az ESET kiberbiztonsági szakértői szerint:

  • rendszeresen cseréljünk jelszót
  • egyedi jelszavakat, kétfaktoros hitelesítést, jelkulcsot használjunk bejelentkezésekhez
  • minimalizáljuk a közösségi médiában megosztott személyes adatokat, információkat, melyek alapján könnyen profilozhatók vagyunk

Használjunk védelmi szoftvert, ami nemcsak kiszűri a rosszindulatú programokat és blokkolja a gyanús webhelyeket, adathalász kísérleteket, de több ezer webhelyet vizsgálva át - beleértve a dark web-et és feketepiaci csevegőszobákat - felismeri és értesít minket, ha személyes adataink illetéktelen kezekbe kerültek. (A Személyazonosság-védelem funkció elérhető az ESET Home Security Ultimate csomagban)

Csizmazia-Darab István hangsúlyozza, hogy ez csupán egy a számos technika közül, amelyet a csalók a személyes adatok megszerzésére és jogosulatlan felhasználására alkalmaznak.
A tudatosság ma már nem elegendő, a megelőzés a feltétele annak, hogy a felhasználók biztonságosan élvezhessék a digitális szolgáltatások és az online vásárlás nyújtotta kényelmet.