Jak nie paść ofiarą oszustów podszywających się pod firmy energetyczne?
Odpowiedź na wezwania do zapłaty od firm podających się za zakład energetyczny może nas drogo kosztować. Nierzadko bowiem pod spółki energetyczne podszywają się oszuści, którzy chcą wyłudzić pieniądze i nasze dane. Podobnie było i tym razem, kiedy do naszego redakcyjnego kolegi przyszedł SMS z rzekomym wezwaniem do uregulowania opłaty za prąd. Jak zareagować w takiej sytuacji, aby skutecznie ustrzec się przed oszustami?
Spis treści – Czego dowiesz się z artykułu?
Uważajcie na fałszywe SMS-y i e-maile od firm podających się za zakład energetyczny
Jeśli dostaliście SMS dotyczący konieczności zapłaty za prąd z groźbą wstrzymania dostaw energii elektrycznej, to trzeba zachować ostrożność, bo może oznacza oszustwo. Już od jakiegoś bowiem czasu, obserwuje się nową wzmożoną kampanię phishingową podszywającą się pod firmę PGE, która obsługuje ponad 5 milionów odbiorców energii elektrycznej. Na własnej skórze przekonał się o niej nasz redakcyjny kolega, który ku swojemu zaskoczeniu otrzymał SMS o następującej treści:
Źródło własne
Jak się jednak okazuje, link w tym SMS-ie prowadzi do fałszywej strony firmy PGE, łudząco zresztą przypominającej stronę logowania do elektronicznego Biura Obsługi Klienta PGE. Stamtąd z kolei, odbiorca tej wiadomości przenoszony jest na fałszywy panel płatności, z którego rzekomo można zalogować się na konto swojego banku lub też wybrać płatność BLIKiem. Oświadczenie w tej sprawie w lutym tego roku wydało samo PGE, które ostrzega swoich klientów przed kolejną akcją hakerską:
Ostrzegamy przed fałszywymi wezwaniami do zapłaty przesyłanymi drogą SMS przez oszustów podszywających się pod PGE Polską Grupę Energetyczną.
Źródło: pge-obrot.pl
Jak więc można zauważyć, ogólny schemat działania przestępców już od dłuższego czasu pozostaje niezmienny. Oszustwo to rozprzestrzenia się przez masową wysyłkę wiadomości tekstowych wraz z linkiem do opłacenia rzekomej należności za prąd. Przy czym sposób ten wzbogacony został o wprowadzenie dodatkowej możliwości płatności poprzez fałszywy panel BLIK. Wszystko po to, aby wykorzystując naszą nieuwagę, przy pomocy podanego kodu wyłudzić o wiele wyższą kwotę od tej widniejącej w wiadomości SMS.
Przed podobnym oszustwem ostrzega również Enea będąca jedną z największych grup energetycznych w Polsce (dostarcza ona swoje usługi do 2,6 mln odbiorców), która niedawno wykryła nasilone próby phishingu (podszywania się pod firmę w celu wyłudzenie poufnych informacji, pieniędzy czy zainfekowania urządzenia). W tym przypadku również chodziło o wiadomości od oszustów podszywających się pod firmy energetyczne wysyłane różnymi kanałami informacyjnymi, w tym również i SMS-ami, takimi, jak chociażby ten:
Na dzień 25.06 zaplanowano odłączenie energii elektrycznej prosimy o uregulowanie należności, 3.46 zł, zapłać teraz na https://cli.co/platnosc-[fragment-adresu-wycięty-dla-bezpieczeństwa]
Źródło: enea.pl
Enea przypominała wtedy, że nigdy nie wysyła do klientów wiadomości z linkiem do płatności elektronicznej i ostrzega przed klikaniem w linki umożliwiające rzekomo realizację np. zaległej płatności. Również PGE apeluje do swoich klientów:
Aby zachowali szczególną ostrożność, ignorowali takie wiadomości i pod żadnym pozorem nie klikali w aktywne linki w nich zawarte. PGE zgłasza przypadki wyłudzeń i oszustw do organów ścigania.
Ponadto, wszystkie przypadki fałszywych wiadomości są przez tego największego sprzedawcę energii na bieżąco monitorowane, a strony, które zawierające fałszywy link – blokowane. PGE Polska Grupa Energetyczna S.A. przypomina także, aby zawsze weryfikować informacje otrzymywane drogą elektroniczną, a zarówno elektroniczne Biuro Obsługi Klienta jak i usługa PGE eFaktura, umożliwia sprawdzenie takich danych, jak chociażby: saldo czy numer konta do opłaty faktury.
Oszuści podszywający się pod firmy energetyczne to stała praktyka w naszym kraju
Przykłady podobnych oszustw można wymieniać bardzo długo, często zresztą opisywaliśmy je na łamach naszego serwisu. Mowa tu m.in. o fałszywych fakturach przed którymi przestrzega PGE, czy też oszustami sprzedającymi prąd. W ostatnim czasie często pojawiały się także próby różnych innych wyłudzeń.
Fałszywe maile od oszustów podszywających się pod Tauron
Mowa tu na przykład o klientach firmy Tauron, będącej drugą co do wielkości zintegrowaną grupą energetyczną w Polsce. Wielu z nich otrzymało w ostatnim czasie fałszywe e-maile z następującą groźbą:
Jeżeli nie odnotujemy wpłaty w przeciągu 24 godzin, będziemy zmuszeni przerwać dostawę prądu.
W treści tego fałszywego e-maila znajdował się link i prośba o kliknięcie w niego (zrobienie tego powodowało uruchomienie wirusa infekującego urządzenie odbiorcy). W celu uniknięcia przykrych konsekwencji, warto pamiętać o tym, że wiadomości mailowe od Taurona wysyłane są zawsze z domeny @tauron.pl lub @tauron-dystrybucja.pl, a oszuści podszywający się pod tę firmę, bez większych problemów mogą spreparować jej logo firmy i użyć czcionki wykorzystywanej przez TAURONA, w komunikacji z klientami.
Oszuści podszywający się pod Energę
Z oszustami podszywającymi się pod sprzedawcę prądu mieli do czynienia również klienci firmy Energa. W zeszłym roku, nieznani sprawcy, wysyłali fałszywe e-maile informujące o zaległościach, które zawierały niebezpieczny plik:
Źródło: energa.pl
Wiadomości te zawierały logotyp spółki i fałszywe wezwanie do zapłaty zaległości, w tym faktury lub zestawienia nierozliczonych należności. Niestety, otwarcie pliku groziło zainfekowaniem urządzenia lub kradzieżą wrażliwych danych użytkownika (takich jak m.in. dane logowania do konta bankowego). Firma ostrzegała wówczas swoich klientów, przed tym, aby nigdy nie korzystali oni z linków, bądź załączników dołączonych do wiadomości, które budzą jakiekolwiek wątpliwości.
Swoich klientów ostrzega też PGNiG
Również Polskie Górnictwo Naftowe i Gazownictwo ostrzegało niedawno przed niebezpiecznymi i fałszywymi wiadomościami SMS, które rozsyłane były w celu wyłudzenia pieniędzy. Oszuści podszywający się pod Grupę PGNiG sugerowali wówczas potrzebę uregulowania rzekomych należności:
Źródło: pgnig.pl
Podejrzaną korespondencję PGNiG prosiło potraktować jako SPAM i oszustwo, na którą w żadnym wypadku nie można udzielać odpowiedzi. Ponadto nie można było również aktywować załączonych linków i otwierać załączników, a najlepszym rozwiązaniem było jak najszybsze usunięcie tej wiadomości ze skrzynki odbiorczej oraz „kosza” poczty elektronicznej.
Obecnie jednak Polska Spółka Gazownictwa (PSG) – Narodowy Operator Systemu Dystrybucyjnego Gazu, która jest największą spółką Grupy Kapitałowej PGNiG, przestrzega przed kolejnymi oszustami. Tym razem podszywającymi się za pracowników gazowni, dokonującymi zuchwałych przestępstw. Przykładem czego, jest ostatnia sytuacja z Olsztyna, gdzie podający się za pracowników gazowniczej spółki, pod pretekstem kontroli instalacji gazowej, oferowali czujniki wykrywające tlenek węgla (ofiarą najczęściej padały osoby samotne w podeszłym wieku). Przy czym uwiarygadniać miał ich profesjonalny sprzęt do sprawdzania szczelności instalacji i teczka z rzekomymi listami adresowymi klientów. Po uzyskaniu zaufania właścicieli, przedstawiali im oni oferty sprzedaży wspomnianych czujników w cenie 300 zł, gdzie ich rynkowa wartość jest niemal czterokrotnie niższa.
Spółka PSG przypomina, że to od naszej postawy zależy bezpieczeństwo nie tylko nas samych, ale i innych osób. W związku z tym, w razie jakichkolwiek obiekcji, najlepiej skontaktować się z najbliższą jednostką gazowniczą. Ponadto do dyspozycji klientów jest także Contact Center.
Przedstawiciele Fortum Marketing and Sales Polska podszywający się pod dotychczasowego dostawcę prądu i gazu
Głośna była również w ostatnim czasie sprawa spółki Fortum Marketing and Sales Polska (dawniej Duon Marketing and Trading) z Gdańska, sprzedającej energię elektryczną i gaz, na którą docierały do Urzędu Ochrony Konkurencji i Konsumentów liczne skargi od konsumentów. Dotyczyły one prowadzonej przez jej przedstawicieli sprzedaży w domach, czyli poza lokalem przedsiębiorstwa. W lutym 2020 roku Tomasz Chróstny, Prezes UOKiK, wszczął postępowanie i postawił spółce zarzuty naruszania zbiorowych interesów konsumentów:
Wiele osób skarżyło się, że przedstawiciele Fortum Marketing and Sales Polska podszywali się pod dotychczasowego dostawcę prądu i gazu, niezgodnie z prawdą obiecywali niższe rachunki, zatajali istotne szczegóły promocji i nie zostawiali podpisanych dokumentów, przez co utrudniali odstąpienie od zawartej umowy. W efekcie takich praktyk konsumenci zawierali umowy niekorzystne dla nich finansowo.
Natomiast we września 2021 roku prezes UOKiK wydał decyzję, w której przyjął zobowiązania przedsiębiorcy. Dotyczyły one wypłaty rekompensaty w wysokości 49 zł i umorzenia lub zwrócenia poszkodowanym konsumentom wszelkich opłat związanych z rozwiązaniem przez nich umowy przed terminem. Należy tu od razu podkreślić, że 3 lipca tego roku weszła w życie nowelizacja ustawy Prawo energetyczne, która wprowadza m.in. zakaz zawierania umów sprzedaży energii elektrycznej i gazu z odbiorcami w gospodarstwach domowych poza lokalem przedsiębiorstwa w tzw. formule door-to-door.
Phishing to jedna z najczęściej stosowanych metod wyłudzenia danych osobowych
Działania nieuczciwych sprzedawców to problem, z którym zmagają się wszyscy operatorzy usług, nie tylko z branży energetycznej. Jeszcze do niedawna oszuści chętnie podawali się za pracowników wybranej przez siebie firmy, chodząc po domach i nakłaniając do podpisania nowej umowy na sprzedaż. Obecnie natomiast to phishing jest jedną z najczęściej stosowanych metod, która jest wykorzystywana przez cyberprzestępców do wyłudzenia wrażliwych danych. Pomimo, że jest to najprostsza forma ataku cybernetycznego, to wyróżnia się największą skutecznością i szkodliwością. Dzięki niej internetowi przestępcy uzyskać bowiem mogą wiele cennych informacji, w tym:
- numer PESEL;
- loginy i hasła;
- numery kart kredytowych.
W przypadku firm energetycznych, oszustów przyciąga wyjątkowo zamknięty rynek. Jak podkreśla Michał Łopacki, ekspert CERT Orange Polska:
Przy 4-5 dominujących firmach szansa trafienia „na ślepo” do klienta to aż 20-25 proc. Jeśli przestępca ma świadomość, jaka firma dominuje np. w danym mieście czy województwie dotarcie do niego jest możliwe z niemal stuprocentową szansą! Co więcej, specyfika tego typu dostawców pomaga w socjotechnicznych atakach. Jeśli potencjalną konsekwencją jest… wyłączenie prądu, wiele osób zareaguje automatycznie, kierując się emocjami.
Ataki phishingowe podszywające się pod firmy kurierskie
Dobrze jednak pamiętać o tym, że przestępcy podszywają się nie tylko pod firmy energetyczne. Zdecydowanie najpopularniejsze – ze względu na swoją masowość, są wśród nich firmy kurierskie. W końcu coraz więcej osób decyduje się na zakupy online, co oczywiście bezwzględnie próbują wykorzystać cyberprzestępcy, korzystający ze swojej ulubionej metody jaką niezmiennie pozostaje phishing. W ostatnim czasie atakujący postanowili wykorzystać takie popularne firmy kurierskie jak:
- InPost, w przypadku, której atakujący wykorzystali już znaną metodę dopłaty za przesyłkę;
- DPD, gdzie użytkownik otrzymywał informację o odesłaniu paczki do magazynu wraz z prośbą o zaplanowanie ponownej dostawy;
- DHL, gdzie klient otrzymywał wiadomość e-mail sugerującą, że jego przesyłka znajduje się w biurze DHL, jednak musi on w ciągu 48 godzin kliknąć odsyłacz i podać szczegółowe dane na stronie śledzenia przesyłki, w przeciwnym razie zostanie zwrócona nadawcy.
Phishing – fałszywe strony do banków
Oszuści chętnie atakują także klientów bankowości elektronicznej, w celu wyłudzenia pieniędzy lub danych osobowych, na które później zaciągają pożyczki. Również i tutaj niesłabnącą popularnością cieszy się klasyczny phishing. Tylko w ostatnich dniach eksperci ostrzegali np. przed witrynami, które podszywają się pod Alior Bank, czy ING Bank Śląski. Klienci tych banków dostawali e-mail lub SMS z linkiem kierującym do fałszywej strony (podszywającej się pod bank) z prośbą o pilne zalogowanie się na konto (podane adresy służące do logowania wyglądały tak: inq-login.com i aliorgroup.org.).
Kolejną, często stosowaną odmianą phishingu jest też tzw. voice-phishing, czyli vishing (mieli z nim ostatnio do czynienia m.in. klienci mBanku i Banku Ochrony Środowiska). Vishing jest również wyłudzaniem danych jednak w trakcie rozmowy telefonicznej. Oszuści podszywają się wówczas pod numery infolinii bankowej (odbiorca na wyświetlaczu telefonu widzi połączenie przychodzące z banku). Następnie zaś osoba przedstawiająca się jako konsultant bankowy nakłania swoją ofiarę do:
- zalogowania się na fałszywej stronie;
- zainstalowania „specjalnej” aplikacji;
- czy też podania wrażliwych danych przez telefon.
W efekcie czego, można nie tylko stracić pieniądze z rachunku bankowego, ale również paść ofiarą wyłudzenia przez oszustów kredytu gotówkowego na dane pokrzywdzonej osoby. Jeżeli padliście ofiarą tego rodzaju oszustwa, to należy bezzwłocznie:
- zmienić hasła dostępowe do bankowości elektronicznej i zastrzec posiadane karty płatnicze (w przypadku gdy ujawniliście takie informacje);
- zawiadomić o tym swój bank;
- złożyć zawiadomienie o popełnieniu przestępstwa na Policji lub w Prokuraturze.
Oszuści podszywający się pod firmy komunikacyjne
Również w zeszłym roku CERT Polska, który powołany został do reagowania na zdarzenia naruszające bezpieczeństwo w sieci, ostrzegał przed oszustami podszywającymi się pod operatorów sieci Orange i Play. Ten atak phishingowy na klientów telekomów polegał na wysyłaniu e-maile zawierających w załączniku złośliwe oprogramowanie lub przekierowujących do fałszywej strony płatniczej, co skutkować mogło utratą wszystkich pieniędzy z rachunku bankowego. Oszuści straszyli wówczas odbiorców następującą wiadomością:
Jeśli Twoja sytuacja nie zostanie rozwiązana w ciągu 24 godzin, zamkniemy twoje usługi zgodnie z twoimi przepisami i ogólnymi warunkami.
Innym natomiast razem cyberprzestępcy wysyłali SMS-y od numerów podszywających się pod operatorów z fałszywą informacją dotyczącą rzekomej aktualizacji ustawień dostępu do internetu. Głośno było również o oszustwie w postaci loterii, za pomocą której oszuści chcieli przejąć dane użytkowników Orange. Można w niej było wygrać jedną z cennych nagród, wśród których znajdował się iPhone Xs, Samsung Galaxy S10 czy też Apple Watch:
Źródło: CERT Orange Polska
Od kilku miesięcy prawdziwą plagą są też fałszywe linki do bramek płatniczych. Jeszcze do niedawna na celowniku oszustów znajdowali się klienci portali Allegro i OLX Polska. Od pewnego jednak czasu banki ostrzegają przed podobnymi oszustwami na innych platformach, takich jak chociażby Vinted.
Phishing – jak się przed nim chronić?
Tak samo jak w realnym życiu, również w cyberświecie każdy z nas jest narażony na kradzież danych osobowych, tym bardziej, że coraz chętniej dokonujemy zakupów online. Warto więc zabezpieczyć się przed takimi atakami i uczulić na nie naszych bliskich. Zwłaszcza, że rozpoznawanie phishingu nie zawsze jest łatwe. Dlatego też dobrze być wyczulonym zwłaszcza gdy:
- oferta brzmi zbyt dobrze, aby była prawdziwa (mowa tu np. o wygranej na loterii) lub gdy nadawca straszy nas poważnymi konsekwencjami;
- rozpoznajemy nadawcę, jednak jest to osoba, z którą normalnie się nie komunikujemy (szczególnie jeśli treść wiadomości, którą od niej dostaliśmy nie ma np. nic wspólnego z naszymi obowiązkami zawodowymi) lub też jesteśmy odbiorcami w polu „DW” w wiadomości e-mail do osób, których nawet nie znamy;
- wiadomość zawiera nieoczekiwane lub nietypowe załączniki, czy też wyglądające dziwnie łącza.
Natomiast, w celu ochrony przed phishingiem należy:
- przede wszystkim stosować zasadę ograniczonego zaufania (szczególnie ryzykowne jest odruchowe klikanie w linki i pobieranie plików z nieznanych źródeł);
- przyjrzeć się danym nadawcy wiadomości. Ponieważ adresy mailowe, którymi posługują się cyberprzestępcy, mogą się różnić od autentycznych łatwymi do przeoczenia szczegółami (takimi jak przekręcona czy niepełna nazwa firmy, lub też literówka w nazwie domeny);
- stosować silne hasła. Najlepiej nikomu ich nie przekazywać, nie zapisywać i zadbać o to żeby były one skomplikowane (ważne, aby stosować różne hasła w różnych systemach). Dla przykładu, czas złamania hasła o długości 8 znaków to 1 dzień, zaś hasła o długości 10 znaków to już 591 dni;
- przed kliknięciem w link dokładnie mu się przyjrzeć. Często bowiem wykorzystuje się, banalne ale trudne do wykrycia sztuczki (np. zastępując literę „O” cyfrą „0”, czy literę „l” cyfrą „1”;
- dokładnie przeczytać e-maila. Często te fałszywe zawierają błędy ortograficzne, gramatyczne i interpunkcyjne. A w przypadku wątpliwości wiadomość taką porównać z innymi e-mailami od tego samego nadawcy;
- w przypadku jakichkolwiek wątpliwości, czy wiadomość na pewno pochodzi od danej firmy czy instytucji, skontaktować się z jej przedstawicielem (np. za pośrednictwem infolinii);
- upewnić się, czy korzystamy z najnowszej wersji przeglądarki internetowej i zaktualizowanego systemu operacyjnego, a na urządzeniu zainstalowane jest oprogramowanie antywirusowe;
- znaleźć certyfikaty bezpieczeństwa takiej strony internetowej, które najczęściej ukryte są pod ikonką „kłódki”;
- pod żadnym pozorem nie udostępniać innym osobom swoich haseł i loginów;
- nigdy nie klikać łączy w wiadomościach e-mail, chyba że wiemy dokąd prowadzą Jeśli natomiast otrzymamy wiadomość e-mail z nieznanego źródła, to wówczas bezpieczniej jest przejść do podanego łącza ręcznie, wprowadzając adres strony internetowej do przeglądarki;
- w przypadku poproszenia nas o podanie poufnych informacji, sprawdzić czy adres URL strony zaczyna się od „HTTPS”, a nie tylko „HTTP”. Ponieważ „S” oznacza Bezpieczny i jest skrótem od metody wysyłania żądań HTTP z warstwą zabezpieczeń SSL/TLS na górze, szyfrując dane, aby zapobiec podsłuchom. Oczywiście nie daje nam to pełnej gwarancji, że ta witryna jest zgodna z prawem, ale większość tych legalnych działających korzysta z bardziej bezpiecznego protokołu HTTPS;
- nie przekazywać poufnych danych przez telefon – w przypadku gdy nie mamy pewności, co do tego z kim rozmawiamy to na wszelki wypadek nie przekazujmy tej osobie wrażliwych informacji (zwłaszcza haseł dostępowych przez telefon)
- robić zakupy i transakcje wyłącznie za pośrednictwem oficjalnych stron i aplikacji mobilnych;
- w przypadku jakichkolwiek obiekcji, że otrzymana wiadomość e-mail nie jest zgodna z prawem, skopiować jej nazwę lub też tekst z wiadomości i sprawdzić w wyszukiwarce, czy istnieją może takie same ataki phishingowe, jak nasz;
- nie pobierać aplikacji z niezaufanych źródeł – aplikacje na telefon, zawsze trzeba pobierać z autoryzowanego serwisu (App Store, Google Play), nigdy natomiast z nieautoryzowanych sklepów;
- pamiętać o tym, że uczciwi dostawcy usług nigdy nie proszą o podanie przez internet naszych danych i nie żądają też autoryzacji płatności;
- ustawić w swojej poczcie filtry antyspamowe, które będą przechwytywać i oznaczać podejrzane wiadomości.
Każdego dnia oszuści próbują nowych metod kradzieży środków, wykorzystując słabe strony technologii i niestety często też naszą naiwność. Dlatego też, aby nie paść ofiarą oszustów podszywających się, czy to pod firmy energetyczne, czy inne przedsiębiorstwa, z których usług korzystamy, należy także zachować zdrowy rozsądek i daleko idącą ostrożność, zwłaszcza w sytuacji, gdy w grę wchodzą nasze pieniądze. Jednym ze sposobów na monitorowanie tego, czy nasze dane są bezpieczne i czy przypadkiem nikt nie próbuje zaciągnąć na nie kredytu są również Alerty BIK, które będą nas chronią przed wyłudzeniem, szczególnie teraz, gdy większość naszej aktywności odbywa się online, przez co jesteśmy bardziej narażeni na kradzież danych osobowych lub ich wyciek.
