Az elmúlt hetekben egyre többen számolnak be arról, hogy olyan csomagot kaptak, melyet nem is rendeltek meg. Bár elsőre akár szerencsés véletlennek is tĹąnhet a váratlan küldemény, a háttérben gyakran egy kifinomult online csalási forma, az úgynevezett brushing scam állhat – figyelmeztetnek az ESET kiberbiztonsági szakértői.

A globális e-kereskedelmi forgalom 2025-ben meghaladta a 6,4 billió dollárt, a vásárlások jelentős része mára az online piactereken folyik. Az ismert, sokak által használt és rengeteg visszajelzéssel bíró platformok kényelmet és biztonságot ígérnek, ugyanakkor komoly visszaélések célpontjai is: az Amazon például csak 2024-ben több mint 275 millió hamis értékelést blokkolt.

Mi az a brushing scam?

A brushing csalás során egy eladónak tĹąnő csaló egy alacsony értékĹą terméket küld egy valós, mit sem sejtő címzettnek, kizárólag azért, hogy a piactéren „valódi vásárlásként” jelenjen meg a tranzakció, és így hamis, ötcsillagos értékelést lehessen hozzákapcsolni.

A módszer jellemzően így mĹąködik:

• a csalók adatlopásokból vagy nyilvános forrásokból származó neveket és címeket használnak,

• ezekkel hamis felhasználói fiókot hoznak létre,

• saját terméküket „megvásárolják”, majd a csomagot az áldozat címére küldik,

• végül pozitív értékelést írnak, mesterségesen javítva a termék megítélését.

A címzett sokszor csak akkor szembesül az egésszel, amikor megérkezik a kéretlen csomag.

Miért veszélyes ez?

„A brushing scam nem csupán a vásárlói értékelési rendszerek kijátszásáról szól. Az, hogy valaki célponttá válik, arra utalhat, hogy a személyes adatai már megjelentek kiberbĹąnözői körökben, és a csalók akár egy komolyabb visszaélést készítenek éppen elő” – figyelmeztet Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője.

Egyes esetekben a csomag egy adathalász oldalra vezető QR-kódot is tartalmazhat, ami akár egy kártékony szoftver telepítésére próbál rávenni. Emellett nagyon fontos következmény, hogy az ilyen csalások hosszútávon aláássák az online piacterekbe vetett bizalmat is.

Több hasonló, akár a rendőrség látókörébe került kibercsalásról szól az ESET kiberbiztonsági podcastjének legfrissebb adása, ahol rendőrségi szakértő is beszélt a csalók módszereiről, a védekezés szerepéről.  

Hogyan ismerhető fel?

Gyanúra adhat okot, ha:

• nem rendeltünk, vagy a feladótól nem rendeltünk semmit

• nincs nyoma vásárlásnak sem az e-mailekben, sem a fiókunkban

• olcsó, gyenge minőségĹą terméket kaptunk, amit nem rendeltünk meg,

• hiányos vagy homályos a feladó megjelölése,

• QR-kód található a csomagon, vagy benne

Mit tegyünk, ha kéretlen csomagot kapunk?

Az ESET kiberbiztonsági szakértői az alábbi lépéseket javasolják:

• Győződjünk meg róla, hogy valóban nem egy családi vagy baráti ajándékról van szó, és ha így van, ne vegyük át a csomagot

• Semmiképp ne olvassuk be a kéretlen csomagban található QR-kódokat, ne próbáljuk meg a csomagot visszaküldeni a feladónak

• Érdemes ellenőrizni a bankszámlánkat és a bankkártyánk forgalmát is

• Kapcsoljuk be a többfaktoros hitelesítést a banki, e-mail és vásárlási fiókoknál

• Jelentsük az esetet az érintett piactérnek

Hogyan előzhetők meg az ilyen csalások?

A megelőzés kulcsa a személyes adatok védelme. Az ESET kiberbiztonsági szakértői szerint:

• rendszeresen cseréljünk jelszót

• egyedi jelszavakat, kétfaktoros hitelesítést, jelkulcsot használjunk bejelentkezésekhez

• minimalizáljuk a közösségi médiában megosztott személyes adatokat, információkat, melyek alapján könnyen profilozhatók vagyunk

Használjunk védelmi szoftvert, ami nemcsak kiszĹąri a rosszindulatú programokat és blokkolja a gyanús webhelyeket, adathalász kísérleteket, de több ezer webhelyet vizsgálva át – beleértve a dark web-et és feketepiaci csevegőszobákat – felismeri és értesít minket, ha személyes adataink illetéktelen kezekbe kerültek. (A Személyazonosság-védelem funkció elérhető az ESET Home Security Ultimate csomagban)

Csizmazia-Darab István hangsúlyozza, hogy ez csupán egy a számos technika közül, amelyet a csalók a személyes adatok megszerzésére és jogosulatlan felhasználására alkalmaznak. 

A tudatosság ma már nem elegendő, a megelőzés a feltétele annak, hogy a felhasználók biztonságosan élvezhessék a digitális szolgáltatások és az online vásárlás nyújtotta kényelmet.

English Summary

In recent weeks, more people have reported receiving packages they never ordered, a phenomenon often linked to a sophisticated online fraud known as a brushing scam, according to experts at ESET. As global e-commerce continues to grow, major platforms such as Amazon have become targets for abuse, including the posting of fake reviews. In a brushing scam, fraudsters use stolen or publicly available personal data to create fake accounts, “purchase” their own low-value products, and send them to unsuspecting individuals in order to post fraudulent five-star reviews. Although the recipient may see the package as a harmless mistake, it can signal that their personal data has been compromised. In some cases, the parcels may even contain QR codes leading to phishing sites or malware. Experts recommend checking account activity, enabling multi-factor authentication, avoiding suspicious QR codes, and reporting the incident to the relevant online marketplace.