עד לפני כמה חודשים, לקבל בדואר חבילה שלא הזמנתם היה בעיקר סיפור מוזר שאפשר להתבדח עליו. פריט חסר שימוש, תרנגול גומי צורח, חיקוי זול של טטריס או צעצוע אחר, היה מגיע לכתובת המגורים שלכם, עם השם המלא ומספר הטלפון שלכם על החבילה, מבלי שנגעתם בכרטיס האשראי או אפילו התעניינתם באותו המוצר.
המטרה פשוטה למדי: סוחרים באתרים בינלאומיים השתמשו בפרטים אמיתיים של לקוחות כדי לשלוח להם משלוחים פיקטיביים ולתעד שבוצעה "רכישה", רק כדי להשאיר לאחר מכן ביקורות מזויפות בשם אותם הלקוחות. זו תופעת ה"בראשינג" (Brushing) – ותיקה, מציקה, אבל לא באמת מסוכנת.
התפנית שהצריכה את התערבות ה-FBI
בתקופה האחרונה ההונאה הזו קיבלה תפנית אפלה, כאשר ה-FBI ושירות הדואר האמריקאי הוציאו אזהרות רשמיות על כך שבאותן חבילות רנדומליות שאנשים מקבלים, החלו לפתע להופיע דפים עם קוד QR תמים לכאורה. הקורבנות, שמופתעים מהחבילה המוזרה אותה לא הזמינו, סורקים את הקוד בניסיון להבין מי שלח אותה – וכך בדיוק נופלים למלכודת.
אותו קוד QR זדוני מוביל לאתרי פישינג שמתחזים לשירות מוכר ודורשים פרטי אשראי, או מוריד באופן אוטומטי תוכנה זדונית לסמארטפון של הקורבן. במקרים אחרים הקוד מפנה לדפי "מתנה" או "סקר" שנראים לגיטימיים, אבל בפועל נועדו לשאוב מידע אישי ולבנות פרופיל שיאפשר לגנוב זהות או לפרוץ לחשבונות בנק.
מדובר בהתפתחות מדאיגה במיוחד. מה שהתחיל כטריק זול לניפוח דירוגי חנויות, הפך למנוף להונאות פיננסיות יעילות בקנה מידה עולמי, עם דיווחים על התופעה גם בישראל - הרי כולנו כבר רגילים לסרוק קודי QR במסעדות, בתחבורה הציבורית ובחנויות. הפושעים מנצלים את ההרגל הזה כדי להחדיר קודים גם למקומות הכי לא צפויים, וכעת זה כולל גם חבילות דואר.
אז איך מתגוננים?
פשוט לא סורקים קוד QR שמגיע ממקור לא ברור. חבילה שהגיעה בלי שהזמנתם אותם, במיוחד בלי פרטי שולח ברורים, צריכה לעורר את החשד המיידי שלכם (אין מתנות חינם, זוכרים?). ואם מצאתם בפנים קוד או כתובת אינטרנט - אל תיכנסו אליהם.
זכרו - מה שמתחיל כמוצר טיפשי שמגיע אליכם "בטעות", עלול להסתיים אפילו בפריצה לחשבון הבנק שלכם. בראשינג היא כבר לא תופעת שוליים מצחיקה, אלא הונאת סייבר מתוחכמת שמתחבאת בתוך חבילה תמימה עם תווית משלוח לגיטימית.
