Lažne poruke BH Pošte — neuspjela dostava i krađa podataka

Zašto baš pošta - i zašto poruke rade na oprezno nastrojenim ljudima

Prevara koja imitira BH Poštu je među najčešćima u BiH. Razlog nije u tome što je tehnički najsofisticiranija - razlog je što pogađa svakodnevicu. Mnogi ljudi u ovom trenutku stvarno čekaju neki paket: naručeno iz Kine, s AliExpressa, s OLX-a, rođak poslao nešto iz inostranstva. Kad u takvom trenutku stigne SMS koji tvrdi da dostava ne može biti izvršena, mozak ne pita „je li ovo stvarno BH Pošta" - misli „o moj, pa čekao sam to", i klikne.

To je tip prevare koji uspijeva i kod ljudi koji inače nisu lakovjerni. Nije potrebno da neko povjeruje u nagrade iz e-maila ili u nigerijskog princa - dovoljno je da baš tog dana čeka paket. BH Pošta je zbog toga više puta javno upozoravala korisnike, a u talasima raste i broj prijava ovog tipa prevare. Ovaj tekst objašnjava kako prevara funkcioniše, zašto je uvjerljiva i kako provjeriti stvarnu dostavu bez upadanja u zamku.

Kako tačno izgleda poruka - i šta se dešava iza linka

Tekst SMS-a varira, ali se uvijek vrti oko iste priče. Tipične varijante koje su kružile kroz BiH:

„Vaš paket je stigao u skladište i ne može biti isporučen zbog nepotpune adrese. Molimo upotrijebite poveznicu u nastavku da potvrdite svoju adresu u roku od 12 sati."
„JP BH Pošta - Podsjetnik: Zbog netačne adrese, isporuka je neuspješna dva puta. Molimo potvrdite vašu detaljnu adresu, inače će vaš paket biti vraćen."
„Kopirajte vezu i otvorite je u Safari pregledniku da biste dobili najnoviji logistički status."
„Za preuzimanje pošiljke potrebno je izvršiti dodatnu uplatu od 1,50 KM na sljedećem linku."

Zajednički elementi: nepoznat broj pošiljaoca (često inostrani), hitnost u roku („12 sati", „biće vraćen"), i link koji ne vodi na posta.ba. Tekst često ima sitne greške: „poveznica" umjesto „link", neobične formulacije koje zvuče kao mašinski prevod.

Klik na link vodi na stranicu koja izgleda kao BH Pošta - logo, boje, čak i mapa. Traži se unos adrese dostave, a onda - ključni korak - mala naknada za dostavu, tipično između 1 i 5 KM. Za tu „malu naknadu" traži se broj kartice, datum isteka, CVV kôd, ime na kartici. Iznos je namjerno mali da bi osoba pomislila „pa to je sitnica" - ali uz unos tih podataka kartica je cijela kompromitovana. Prevarant dalje koristi karticu za mnogo veće transakcije, ne za tih 1,50 KM.

Tehnički detalj koji je BH Pošta posebno isticala u upozorenjima: linkovi u lažnim porukama su automatski generisani i kamuflirani tako da izgledaju kao posta.ba. Tipičan trik je dodavanje prefiksa ili sufiksa - posta-ba.com, bh-posta-track.net, tracking-posta.info. Na malom ekranu telefona cijela adresa nije uvijek vidljiva, pa osoba vidi samo „posta" u početku i pomisli da je pravo. Stvarna domena BH Pošte je samo posta.ba - sve što ima dodatne riječi, crtice, ili drugi TLD je lažno.

Zašto ljudi kliknu - mehanika koja radi svaki put

Psihologija ove prevare je jednostavna i zato uspješna. Nekoliko stvari se poklapa:

Poklapanje s očekivanjem - osoba stvarno čeka neku pošiljku, pa poruka zvuči vjerodostojno.
Strah od gubitka - paket koji je već platila mogla bi izgubiti ako ne reaguje.
Mali iznos - traži se 1,50 KM, što djeluje kao sitnica. Mozak ne procesuira rizik isto za 1,50 KM kao za 150 KM.
Vremenski pritisak - „12 sati" ne ostavlja prostor za „provjeriti kasnije".
Izgled poverljivosti - logo, imena, font, sve je prepisano s prave BH Pošte.

Sve to zajedno pokreće impuls koji zaobilazi uobičajenu pažnju. Osoba koja bi inače primijetila čudnu domenu, u ovom trenutku vidi samo „moj paket" i klikne. Tek kasnije, kad novac počne nestajati s računa u većim iznosima, slika se sklopi.

Kako BH Pošta stvarno obavještava o pošiljci

BH Pošta je više puta javno iznijela šta zaista radi, a šta nikad ne radi. Suština:

Status pošiljke provjerava se kroz zvaničnu web stranicu www.posta.ba uz broj praćenja (tracking broj).
Kontakt centar BH Pošte je broj 1312 - tamo se mogu dobiti informacije o pošiljkama, dostavi i statusima.
BH Pošta ne traži lične podatke, broj kartice, CVV ni bilo kakve finansijske podatke kroz SMS, e-mail, Viber ili WhatsApp.
Obavještenje o pošiljci koja čeka stiže uobičajeno u pismenom obliku, pozivom iz lokalne pošte, ili kroz sistem za praćenje na posta.ba - ne kroz SMS s linkom.
Ako postoji potreba za dodatnom uplatom (carina, dostava), to se regulira kroz zvanične kanale pošte, ne kroz web stranicu na koju vas upućuje nepoznat SMS.
Prijava sumnjivih poruka: e-mail na [email protected] ili kroz zvanične Facebook i Instagram profile BH Pošte.

Ovo važi i za ostale dostavne službe koje rade u BiH - DHL, DPD, GLS, A2B Express, i druge. Sve one imaju vlastite kanale komunikacije i sisteme za praćenje. Stvarna obavijest o dostavi ne stiže kao SMS s linkom s inostranog broja, nego kroz kanal povezan s konkretnom uslugom koju ste koristili prilikom naručivanja.

Šta nije prevara - razlika između sumnjivog i stvarnog

Nisu sve poruke o pošiljkama prevare. Vrijedi razlikovati stvarne obavijesti od lažnih:

SMS obavještenje od kurirske službe čiju uslugu ste stvarno koristili, s brojem praćenja i informacijom bez zahtjeva za plaćanjem - uglavnom stvarno obavještenje.
E-mail od webshopa gdje ste nešto naručili, s brojem praćenja i linkom na prevoznika - obično stvarno. Ali ako takav e-mail traži dodatnu uplatu za dostavu koja nije dogovorena u kupovini, oprez.
Poruka od konkretne osobe koja vam šalje paket - nema razloga za dodatne klikove.
Obavijest o carini za pošiljku iz inostranstva - može biti stvarna, ali provjera uvijek ide kroz posta.ba ili direktan poziv lokalne pošte, ne kroz link u SMS-u.

Pravilo za razlikovanje: stvarna dostavna obavijest ne zahtijeva unos podataka kartice kroz link u SMS-u. Ako unos podataka kartice postoji, radi se o prevari - bez obzira kako uvjerljivo izgleda stranica.

Kako stvarno provjeriti pošiljku

Prisjetiti se šta je naručeno i od kojeg webshopa. Otići na zvaničnu stranicu tog webshopa (ne kroz link u poruci) i provjeriti status narudžbe.
Ako postoji broj praćenja (tracking number), ručno otići na posta.ba ili stranicu prevoznika i ukucati broj.
Ako ste izgubili broj praćenja, pozvati 1312 (BH Pošta kontakt centar) ili kontaktirati prevoznika direktno.
Ako ne očekujete paket, poruka koja tvrdi suprotno je skoro sigurno prevara - ignorisati.
Ako postoji stvaran problem s dostavom (nepotpuna adresa, potrebna carina), to će se rješavati kroz lokalnu poštu ili službeni e-mail prevoznika, ne kroz SMS s linkom.

Ako je greška već napravljena

Uneseni podaci kartice na lažnoj stranici - odmah pozvati banku, blokirati karticu, zatražiti novu. Broj za hitnu blokadu nalazi se na poleđini kartice i u aplikaciji banke.
Uplata od 1-5 KM izvršena - i dalje kontaktirati banku, jer su podaci kartice sada u rukama prevaranta i mogu uslijediti veće transakcije. Blokada kartice i praćenje transakcija je obavezno.
Instalirana aplikacija koja je stigla kroz link - deinstalirati, provjeriti bankarske aktivnosti, pokrenuti antivirusnu provjeru uređaja.
Prijaviti slučaj BH Pošti ([email protected]) da im se dopune dokazi, i policiji - u RS Jedinici za visokotehnološki kriminalitet MUP-a RS, u FBiH nadležnom kantonalnom MUP-u.

Dalje čitanje

Često postavljena pitanja

Dobio sam poruku o paketu, a stvarno čekam neki. Kako da provjerim bezbedno?

Ne klikati na link iz poruke, bez obzira što baš u tom trenutku očekujete paket. Otvoriti zaseban browser ili aplikaciju, ukucati posta.ba ručno, i unijeti broj praćenja iz narudžbe. Ako ne radi, pozvati 1312 (BH Pošta kontakt centar). Poklapanje vremena između očekivanog paketa i lažne poruke nije dokaz da je poruka stvarna - prevaranti šalju poruke u talasima nasumično na stotine hiljada brojeva, i dio primalaca kojim se to slučajno poklopi s očekivanom pošiljkom tumači to kao autentično. Statistika radi protiv oprezne pretpostavke.

Koji broj BH Pošte koristiti za provjeru?

Zvanični Kontakt centar BH Pošte je 1312, i radi u standardnim radnim satima. Tamo se mogu dobiti informacije o pošiljkama, statusu dostave, eventualnim problemima. E-mail za prijavu sumnjivih poruka je [email protected]. Nijedan broj iz sumnjive poruke ne treba zvati - prevaranti ponekad stavljaju „hitni broj" koji vodi istom prevarantu.

Zašto poruke stižu baš kad čekam paket?

Prevaranti ne znaju da čekate paket - šalju poruke hiljadama brojeva istovremeno, nasumično. Kad od 10.000 primalaca njih 500 stvarno čeka neku pošiljku, tih 500 ljudi misli „ovo je za mene" i reaguje. Ostali ignorišu. Konverzija je dovoljna da se isplati slati poruke. Vremensko poklapanje nije dokaz autentičnosti.

Šta ako paket stvarno dolazi iz inostranstva i treba mu carina?

Carinska procedura za pošiljke iz inostranstva postoji, ali se ne rješava kroz SMS link. Ako pošiljka iz Kine, Turske ili druge zemlje podliježe carini, obavijest dolazi kroz lokalni poštanski ured (poziv, pisana obavijest u poštanskom sandučetu) ili kroz Carinsku upravu. Uplata carine ide kroz poštanski šalter ili bankarski transfer na zvaničan račun - ne kroz online formu na stranici koja je stigla kao link u SMS-u.

Da li je sigurno otvoriti SMS da samo pročitam tekst?

Samo čitanje teksta SMS-a nije opasno. Opasnost počinje kada se klikne na link, odgovori na poruku (što prevarantima potvrđuje da je broj aktivan), ili preuzme bilo kakav fajl. Preporuka je pročitati i obrisati - bez odgovora, bez klika. Na nekim uređajima se može i blokirati broj da ne bi slao još poruka.

Zašto se ove poruke ne filtriraju - zašto ih operater ne blokira?

Operateri u BiH imaju sisteme za filtriranje spam i phishing SMS-ova i kontinuirano ih poboljšavaju, ali prevaranti stalno mijenjaju brojeve, domene i tekstove. Dio poruka se filtrira automatski, dio prolazi. Zato odbrana ostaje kombinovana: filteri rade svoj dio, korisnici rade svoj. Prijavom poruke operateru i BH Pošti dajete dodatne podatke za poboljšanje filtera.