Oszustwo z wykorzystaniem wizerunku PGE na dopłatę za energię elektryczną

9 maja, 2022
pge oszustwo

Do nieokreślonego profilu użytkowników trafiają wiadomości SMS, rzekomo od PGE (na numery prywatne i firmowe) z treścią o konieczności uregulowania płatności za energię elektryczną. Wiadomość z oszustwem jest rozsyłana na numery pochodzące prawdopodobnie z wycieku z jednego ze sklepów internetowych z elektroniką (wyciek z Motele.net). Nie wykluczamy, że równie dobrze może to być głośny incydent ujawnienia danych z Facebooka z numerami telefonów (przeczytaj komentarz prawnika).

scam PGE
Scam to bardziej dopracowana metoda phishingu.

Stary i archaiczny protokół SMS nie był projektowany z myślą o bezpieczeństwie, dlatego tak wiele jest nadużyć z wykorzystaniem tego rodzaju masowej komunikacji. Kwota podana w wiadomości, jak i termin uregulowania płatności, a także hiperłącze do strony internetowej, mogą się zmieniać w zależności od dnia wysłania SMS-owego oszustwa.

Jeżeli widzisz link prowadzący do nieznanej strony internetowej, to najprawdopodobniej jest to próba wyłudzania danych lub zainfekowanie smartfonu złosliwym oprogramowaniem!

Operatorzy powinni zrezygnować z powiadomień poprzez SMS – często alarmują o tym eksperci i apelują do firm i instutucji publicznych, aby zaprzestano używania tej technologii do komunikacji z klientami.

Oszustwo na PGE (Polska Grupa Energetyczna) najszybciej można rozpoznać po wyglądzie strony oraz np. po adresie internetowym:

hxxps://cli.co/platnosc-pge-ty4o3j

Uzytkownik po kliknięciu w link jest przenoszony w przeglądarce do strony:

hxxps://koleno.store/pge/891241974/1274917/index.php?pay

Na zrzutach ekranu poniżej ujawniamy dane, jakie oszust ma w zamiarze wyłudzić od nieostrożnych internautów:

  • Numer klienta do bankowości internetowej.
  • Hasło bankowe.
  • Jednorazowy kod potwierdzający płatność.

Wyłudzenie jednorazowego kodu w oszustwie na PGE

Czynność wyłudzenia jednorazowego kodu jest wielokrotnie powtarzana tzn. po wpisaniu dowolnego ciągu cyfr, następuje odświeżenie strony.

W tak zwanym międzyczasie przestępca może próbować kupić dowolny produkt przez Internet i potwierdzić płatność za pośrednictwem banku ofiary. Jeżeli użytkownik nie zauważy potwierdzającego SMS-a, to taką operację niestety zaakceptuje. Równie dobrze, oprócz płatności, może to być dodanie przestępcy do bankowości internetowej jako zaufanego kontaktu.

Mamy nadzieję, że mechanizmy behawioralne banków zablokują nieumyślnie, lecz autoryzowane transakcje, a w razie jakichkolwiek prób nadużycia, nie zrzucą winy na użytkownika, który nie dochował należytej staranności korzystania z systemu bankowego.

 

Antywirus i VPN: zabezpieczenie na korzyść ofiary

Posiłkowanie się jakimkolwiek, dobrym zabezpieczeniem, pozwoli wyeliminować ryzyko kradzieży informacji bankowych. Polecamy tylko dobre rozwiązania, dlatego zapoznaj się z naszą rekomendacją zabezpieczeń na tej stronie internetowej.

Co więcej, jeżeli ofiara oszustwa, pomimo zastosowanych środków w postaci narzędzi i oprogramowania zostanie okradziona, to zainstalowany pakiet bezpieczeństwa może być solidnym argumentem dla obrony przeciwko bankowi.

Tak orzekł Sąd Najwyższy w 2018 roku (Sygn. akt V CSK 141/17) w sprawie kradzieży ponad 60 000 złotych z konta bankowego internauty.

Sąd przychylił się do skargi wniesionej przez osobę poszkodowaną o zwrot całej skradzionej kwoty i kosztów sądowych. Bank nie udowodnił winy, że ofiara nie dochowała należytej staranności podczas korzystania z systemu bankowego.

W celu spełnienia obowiązku… z chwilą otrzymania instrumentu płatniczego użytkownik podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.

(…)

Do utraty pieniędzy z rachunku bankowego powódki nie doszło bowiem w okolicznościach opisanych w przytoczonych przepisach, ale wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez Bank świadczenia usługi CUI (Centrum Usług Internetowych, dod. red).

(…)

Pozwany nie udowodnił, aby powódka dopuściła się rażącego niedbalstwa przy wykonywaniu umowy o świadczenie usług bankowości internetowej… Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy.

(…)

Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków.

(..)

Bank nie wykazał, że powódka umyślnie doprowadziła do nieautoryzowanej transakcji płatniczej.

Czy ten artykuł był pomocny?

Oceniono: 33 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
111 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]