Do nieokreślonego profilu użytkowników trafiają wiadomości SMS, rzekomo od PGE (na numery prywatne i firmowe) z treścią o konieczności uregulowania płatności za energię elektryczną. Wiadomość z oszustwem jest rozsyłana na numery pochodzące prawdopodobnie z wycieku z jednego ze sklepów internetowych z elektroniką (wyciek z Motele.net). Nie wykluczamy, że równie dobrze może to być głośny incydent ujawnienia danych z Facebooka z numerami telefonów (przeczytaj komentarz prawnika).
Stary i archaiczny protokół SMS nie był projektowany z myślą o bezpieczeństwie, dlatego tak wiele jest nadużyć z wykorzystaniem tego rodzaju masowej komunikacji. Kwota podana w wiadomości, jak i termin uregulowania płatności, a także hiperłącze do strony internetowej, mogą się zmieniać w zależności od dnia wysłania SMS-owego oszustwa.
Jeżeli widzisz link prowadzący do nieznanej strony internetowej, to najprawdopodobniej jest to próba wyłudzania danych lub zainfekowanie smartfonu złosliwym oprogramowaniem!
Operatorzy powinni zrezygnować z powiadomień poprzez SMS – często alarmują o tym eksperci i apelują do firm i instutucji publicznych, aby zaprzestano używania tej technologii do komunikacji z klientami.
Oszustwo na PGE (Polska Grupa Energetyczna) najszybciej można rozpoznać po wyglądzie strony oraz np. po adresie internetowym:
hxxps://cli.co/platnosc-pge-ty4o3j
Uzytkownik po kliknięciu w link jest przenoszony w przeglądarce do strony:
hxxps://koleno.store/pge/891241974/1274917/index.php?pay
Na zrzutach ekranu poniżej ujawniamy dane, jakie oszust ma w zamiarze wyłudzić od nieostrożnych internautów:
- Numer klienta do bankowości internetowej.
- Hasło bankowe.
- Jednorazowy kod potwierdzający płatność.
Wyłudzenie jednorazowego kodu w oszustwie na PGE
Czynność wyłudzenia jednorazowego kodu jest wielokrotnie powtarzana tzn. po wpisaniu dowolnego ciągu cyfr, następuje odświeżenie strony.
W tak zwanym międzyczasie przestępca może próbować kupić dowolny produkt przez Internet i potwierdzić płatność za pośrednictwem banku ofiary. Jeżeli użytkownik nie zauważy potwierdzającego SMS-a, to taką operację niestety zaakceptuje. Równie dobrze, oprócz płatności, może to być dodanie przestępcy do bankowości internetowej jako zaufanego kontaktu.
Mamy nadzieję, że mechanizmy behawioralne banków zablokują nieumyślnie, lecz autoryzowane transakcje, a w razie jakichkolwiek prób nadużycia, nie zrzucą winy na użytkownika, który nie dochował należytej staranności korzystania z systemu bankowego.
Antywirus i VPN: zabezpieczenie na korzyść ofiary
Posiłkowanie się jakimkolwiek, dobrym zabezpieczeniem, pozwoli wyeliminować ryzyko kradzieży informacji bankowych. Polecamy tylko dobre rozwiązania, dlatego zapoznaj się z naszą rekomendacją zabezpieczeń na tej stronie internetowej.
Co więcej, jeżeli ofiara oszustwa, pomimo zastosowanych środków w postaci narzędzi i oprogramowania zostanie okradziona, to zainstalowany pakiet bezpieczeństwa może być solidnym argumentem dla obrony przeciwko bankowi.
Tak orzekł Sąd Najwyższy w 2018 roku (Sygn. akt V CSK 141/17) w sprawie kradzieży ponad 60 000 złotych z konta bankowego internauty.
Sąd przychylił się do skargi wniesionej przez osobę poszkodowaną o zwrot całej skradzionej kwoty i kosztów sądowych. Bank nie udowodnił winy, że ofiara nie dochowała należytej staranności podczas korzystania z systemu bankowego.
W celu spełnienia obowiązku… z chwilą otrzymania instrumentu płatniczego użytkownik podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.
(…)
Do utraty pieniędzy z rachunku bankowego powódki nie doszło bowiem w okolicznościach opisanych w przytoczonych przepisach, ale wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez Bank świadczenia usługi CUI (Centrum Usług Internetowych, dod. red).
(…)
Pozwany nie udowodnił, aby powódka dopuściła się rażącego niedbalstwa przy wykonywaniu umowy o świadczenie usług bankowości internetowej… Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy.
(…)
Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków.
(..)
Bank nie wykazał, że powódka umyślnie doprowadziła do nieautoryzowanej transakcji płatniczej.
