Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Pewna firma kilka miesięcy po wzięciu udziału w Targach Poznańskich, otrzymuje pocztą list… zobaczcie na ten nietypowy scam
Jeśli chodzi o scam kierowany do osób prywatnych, mamy tu zarówno próby straszenia Policją, jak i wabienia nagrodą. Zdarzają się nawet przypadki scamów w formie analogowej. Tym razem jednak celem są firmy, a nośnikiem zwykły list.
Niespodziewanie, kilka miesięcy po wzięciu udziału w Targach Poznańskich, pewna firma otrzymuje pocztą list – opatrzony nazwą tychże Targów – który na pierwszy rzut oka wydaje się prośbą o potwierdzenie danych firmy, na dodatek przesyłka zawiera kopertę zwrotną z uiszczoną opłatą pocztową. Wystarczy jedynie podpisać i odesłać… ale czy należy?
Przede wszystkim list (zamieszczony w kopercie bez informacji o nadawcy), jest napisany w języku angielskim, a i logo Targów nie do końca się zgadza. Firma zaczyna więc wnikliwiej czytać zawartość…
Formularz potwierdzenia danych z dopiskiem o zamówieniu na dole
…i dalej robi się ciekawie (niestety wyłącznie z punktu widzenia badacza). Okazuje się, że pod formularzem potwierdzenia danych – drobnym drukiem, rzecz jasna – widnieje informacja, że podpisując się pod nim, zgadzamy się na trzyletnią umowę reklamową z firmą z Kostaryki za jedyne 1212 euro na rok (w przypadku braku rozwiązania umowy z odpowiednim, trzymiesięcznym wypowiedzeniem, domyślnie przedłużaną o rok). Ale gdzie szczegóły umowy? Znajdują się one na odwrocie tej samej kartki, tyle że są nadrukowane w kolorze ok. 5% czerni, czyli w pierwszej chwili cały nadruk wygląda na jedynie przebijającą poprzednią stronę (tym bardziej, że w tym samym miejscu znajduje się nagłówek, choć nadawca zapomniał odbić go lustrzanie, by uzyskać odpowiedni efekt).
Aby odczytać treść, trzeba wręcz unieść kartkę pod światło. I tam właśnie znajduje się faktyczna treść zobowiązania.
Zdjęcie fragmentu szczegółów umowy na odwrocie. Po zeskanowaniu na zwykłym skanerze nic nie jest widoczne.
Dodatkowym smaczkiem jest fakt, że aby odciąć się od wszelkich posądzeń o oszustwo, w liście przewodnim (osobna kartka) na dole strony umieszczono informację o tym, że dane Targów Poznańskich wykorzystano tu tylko przy okazji i na korzyść organizatora (dosłownie: „for the benefit of the organizer” – chociaż chyba wpływa to raczej negatywnie na jego wizerunek, a nie pozytywnie) i nie ma związku z firmą, z którą podpisujemy umowę. Tym sposobem ewentualne pretensje o oszustwo będą odrzucane, bo przecież wszystko jest wyjaśnione.
Dodatkowe pismo przewodnie z klauzulą o braku powiązania z MTP.
Problem w tym, że socjotechnicznie jest to tak skonstruowane, iż mało kto zwróci uwagę na tego typu szczegóły, nie mówiąc już o zauważeniu nawet treści umowy – tym bardziej, że taka korespondencja prawdopodobnie najczęściej trafia do biur czy sekretariatów firm lub innych instytucji biorących udział w Targach, do których codziennie docierają dziesiątki podobnych formularzy do podpisania i odesłania (potwierdzenia sald, zapytania o faktury korygujące itd.) i zapewne nikt nie ma czasu ani ochoty czytać szczegółowo każdego z dokumentów.
Wniosek jest jeden i ten sam cały czas – za każdym razem, zanim na coś się zdecydujemy, podpiszemy i zaakceptujemy, warto dać sobie chwilę na analizę, czy na pewno ktoś nami nie próbuje manipulować.
Krzysztof Wosiński, @SEINT_pl
Było już coś takiego kiedyś. Dawno temu poczatek lat 2000
Pewnie masz na myśli to
https://krakow.naszemiasto.pl/podpisali-cyrograf-teraz-boja-sie-komornika-ofiary/ar/c1-6669975
Wiadomo czy ktoś zostawił materiał genetyczny w tych listach? Jakieś włosy odciski palców, itp?
Hmmm… A gdyby tak przerobić treść umowy na swoją korzyść w Photoshopie i odesłać? Nie sądzę, aby wnikliwie czytali własny SCAM :)
I dopisać, że roszczenia mogą dotyczyć również pełnomocników. Słup może być goły, ale jego adwokat niekoniecznie.
Wpis do katalogu interenowego. Drobną czcionką dopisek że jest to płatne:) Krążyło około 2010 roku. Firma z okolic Beneluxu.