Az utóbbi hetekben egyre több ember fut bele ugyanabba a furcsa helyzetbe. Megérkezik egy csomag, rajta a neved és a címed, csak épp nem rendeltél semmit. Első pillantásra ez akár ártalmatlan tévedésnek, sőt szerencsés véletlennek is tűnhet, a valóságban viszont gyakran egy régóta ismert, mégis kifejezetten alattomos online trükk áll a háttérben. A módszer neve brushing scam, és a lényeg nem az, hogy te kapj valamit, hanem az, hogy valaki más a te adataiddal igazolja a saját kamu forgalmát, majd hamis értékelésekkel felhúzza egy termék vagy egy eladó reputációját.
A trükk működéséhez nem kell, hogy a csaló hozzáférjen a fiókodhoz, és az sem feltétel, hogy pénzt lopjon tőled. Elég neki a neved és a címed, ami adatlopásokból, szivárgásokból vagy akár nyilvánosan összekaparható forrásokból is összeállhat. Ezzel a párossal létrehoz egy felhasználói profilt valamelyik online piactéren, majd "megvásárolja" a saját termékét, a küldeményt pedig a te címedre kéri. A rendszer innentől úgy látja, hogy történt egy valós tranzakció, így az eladó hozzá tud csatolni egy ötcsillagos értékelést, és az egész olyan, mintha igazi vevőtől jött volna. A címzett legtöbbször csak a futárnál szembesül azzal, hogy belesodródott egy olyan játékba, amit nem is látott elindulni.
Az ESET szakértői azért tartják ezt veszélyesnek, mert a kéretlen csomag önmagában nem a fő probléma. Az igazi üzenet az, hogy a személyes adataid valahol már elérhetők voltak, és a csalók célzottan felhasználták őket. Ez nem jelenti automatikusan azt, hogy a bankszámlád veszélyben van, de azt igen, hogy érdemes komolyan venni a jelzést. A brushing sokszor csak egy alacsony kockázatú, "tesztüzem" jellegű visszaélés, ami mögött ugyanaz a logika áll, mint a komolyabb csalásoknál. Ha működik, jöhetnek a következő körök, agresszívabb módszerekkel.
A kéretlen csomagok egy része ráadásul nem csak olcsó, felejthető kacat. Előfordul, hogy a küldeményben QR-kód van, ami látszólag valamilyen átvételi, garanciális vagy visszaküldési folyamatra hivatkozik, valójában viszont adathalász oldalra terel, vagy olyan letöltést kínál, amely kártékony szoftverhez vezet. A trükk ebben a formában már nem csak az értékelési rendszert próbálja meghekkelni, hanem közvetlenül téged akar mozgásba hozni, és azt használja ki, hogy a "mi ez a csomag" helyzet feszültsége gyors döntésekre tol.
A gyanús jelek általában egyszerűek, csak könnyű félresöpörni őket. Nem találsz nyomot a rendelésről sem az e-mailjeidben, sem a fiókjaidban, a feladó megnevezése homályos vagy értelmezhetetlen, a termék olcsó, jellegtelen, és semmi nem utal rá, hogy ajándék lenne. Ha QR-kódot látsz, vagy bármilyen felszólítást arra, hogy "aktiválj", "igazolj", "vedd át online", az különösen erős figyelmeztető jel.
Ilyenkor a legfontosabb lépés az, hogy ne kezdd el reflexből intézni a "visszaküldést", és ne próbálj azonnal valamilyen linkre, kódra támaszkodva megoldást találni. Először érdemes kizárni a legegyszerűbb verziót, hogy nem családi vagy baráti ajándék érkezett-e, majd ha ez nem áll, akkor az átvételt is meg lehet tagadni. Ha már átvetted, a QR-kódot nem érdemes beolvasni, és az sem jó irány, hogy a csomagban talált adatok alapján "felveszed a kapcsolatot a feladóval", mert pont ez az a pont, ahol a csaló további információt tud kicsikarni.
A brushing csalás ugyan nem mindig jár azonnali anyagi kárral, mégis indokolt ilyenkor átnézni a bankkártyás és számlaforgalmat, valamint megnézni, nincs-e gyanús aktivitás a vásárlási fiókokban. A többfaktoros hitelesítés bekapcsolása az e-mailnél, a banki szolgáltatásoknál és a piactereknél nem látványos lépés, de pont az ilyen helyzetekben adja a különbséget a kellemetlenség és a komoly baj között. A csomagot érdemes jelezni annak a piactérnek is, amelyhez köthető, mert a módszer lényege az értékelési rendszer manipulálása, és ha sok bejelentés fut be, könnyebb az eladói hálózatot kiszűrni.
A megelőzés kulcsa nem az, hogy minden csomagot gyanakodva nézzünk, hanem az, hogy a személyes adataink minél nehezebben legyenek összekaparhatók és újrahasznosíthatók. Az egyedi jelszavak, a kétfaktoros belépés, a közösségi médiában szétszórt információk visszafogása mind olyan apró fék, ami lelassítja a csalókat. A brushing pont attól működik jól, hogy tömegesen skálázható, és a legtöbben legyintenek rá.