21:17
24/5/2021

⚠️ Uwaga na fałszywe SMSy od PGE

Trwa wysyłka złośliwych SMS-ów, w których ktoś podszywa się pod PGE. Oszust straszy odłączeniem prądu ze względu niewielką zaległość, którą rzecz jasna można uregulować, klikając w link w SMS-ie.

PGE: Na dzien 24.05 zaplanowano odlaczenie energii elektrycznej! Prosimy o uregulowanie naleznosci 3.46 zl Zaplac teraz na hxxps://cli[.]co/platnosc-pge-XXXXXX

SMS-y są rozsyłane z wielu numerów i kierują pod różne linki przekierowywane przez domenę “cli.co” (np. unite-many[.]xyz). Jeśli ktoś wejdzie pod wskazany w SMS-ie link, zobaczy stronę udającą serwis PGE:

…i przekierowującą na fałszywą bramkę płatności:

na której — w zależności od wyboru banku — realizowane są różne scenariusze ataku, od kradzieży przez BLIK (z wypłatą w bankomacie) aż do próby pozyskania danych służących do podpięcia dodatkowej aplikacji mobilnej do rachunku ofiary:

To kolejna fala ataku podszywającego się pod PGE

O pierwszych SMS-ach które w treści podszywały się pod PGE informowaliśmy 22 kwietnia. Przez miesiąc, co jakiś czas, oszuści realizowali kolejne kampanie o — jak szacujemy — mniejszej skali. Dziś, wnioskując po liczbie zgłoszeń, która do nas dotarła, dorzucili do pieca.

Co to oznacza? Na pewno nie to, że nikt się na te SMS-u nie nabiera i okradanie ludzi w ten sposób jest nieopłacalne.

Rozesłaliśmy alerty w tej sprawie

Pomimo tego, że jest to odgrzanie “starego kotleta”, to ze względu na skalę, zdecydowaliśmy się rozesłać w związku z tym atakiem ostrzeżenie do bazy osób subskrybującej nasze cyberalerty.

Jeśli chcesz otrzymywać alerty o aktualnych cyberatakach na swojego e-maila zapisz się na nasz alarmowy newsletter:


Bez obaw, Twoich danych nikomu nie przekażemy. Raz na jakiś czas, poza ostrzeżeniami o aktywnych atakach możesz od nas dostać inne informacje związane z bezpieczeństwem (np. zaproszenie na webinar o zagrożeniach w sieci). Jeśli lubisz czytać o RODO, kliknij tutaj.

Dziękujemy Wojtkowki, Marcinowi, Krzyśkowi, Romualdowi i dziesiątkom innych osób, które przesłały nam informację na temat tego ataku. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego, daj nam znać na redakcja@niebezpiecznik.pl

Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. Normalnie kocham was!
    Dzięki że jesteście i zabezpieczacie nas wszystkich :-)

  2. Mam na dachu fotowoltaikę za 70 tys. Jestem bezpieczny.

    • a ja folię śniadaniową za 3zł na głowie i też jestem bezpieczny

  3. Proszę o informację czy jeśli klinęłam na link ale nie weszłam do banku ani nie zapłaciłam w żaden sposób to mój iphone został zainfekowany? czy restart do ustawień fabrycznych uchroni mnie przed wyciekiem danych? z góry dziękuje.

  4. do tej pory nie dostawałem tego typu SMSów. Pojawiły się zaraz po wycieku z FB :(

  5. Ciekawe jak można wypłacić BLIKIEM w bankomacie skoro kod BLIK jest ważny chyba parędziesiąt sekund. Ktoś musiałby stać non stop przy bankomacie i otrzymywać informacje jaki jest kod BLIK osoby naciąganej. Poza tym w aplikacji mobilnej trzeba zatwierdzić kwotę przelewu BLIK. Czy dla kwoty trochę większej niż 3 złote ktoś będzie się trudził? No chyba że złodzieje potrafią oszukać informację wysyłaną z bankomatu do aplikacji i w aplikacji pokazać, że wypłata jest na 3 zł z groszem, a w rzeczywistości będzie to np 800 zł.
    Czy jest taka możliwość?

    • Sama sobie odpowiedziałaś :) Ludzie akceptują niestety blika, nie patrząc na to co jest napisane.

    • mało tego, jak pierwsza płatność przejdzie to posuną ci ich jeszcze kilka pod pretekstem “transakcja nieudana, spróbuj jeszcze raz” i zatwierdzasz im 5 transakcji na 1000zł

    • Muszą mieć to dobrze ogarnięte logistycznie, bo zwykle w czasie ważności kodu zdążają wklepać go na bankomacie. Chcą wypłacić 1000 zł, licząc na akceptację operacji bez czytania.
      Niestety, raczej nie ma żadnego miejsca, gdzie można by to zgłosić policji do obsługi w czasie rzeczywistym, a szkoda, bo przy współpracy z PSP mogli by przynajmniej złapać słupa wypłacającego z bankomatu.

      PS. Strona płatności działa różnie w zależności od wskazanego banku, przy BNP stara się wyłudzić logowanie.

    • Ale po co mają stać przy bankomacie, skoro i tak liczą, że ktoś nie przeczyta treści potwierdzenia to równie dobrze mogą blikiem płacić za doładowanie konta na kryptogiełdzie albo za towar w sklepie internetowym, wygodnie siedząc przed komputerem i sącząc Harnasia.

    • @CzyżNie
      Żeby mieć gotówkę, wszystko, oprócz kupna kryptowaluty daje się powstrzymać, i zostawia więcej śladów.
      No i z treści potwierdzenia Blik widać, że chcą wypłacać w bankomacie.

    • @Igor
      Ale gotówka też “zostawia” ślady: Są kamery CCTV; jak noszą przy sobie jakiś telefon, to mogą być do dojechania na poziomie BTSów (kartę SIM pewnie mają na słupa, ale zawsze można analizować metadane)

  6. A skoro znany jest ten nr tel.nadawcy, to czy milicja lub operator nie mógłby z tym zrobić porządku?

    • i złapią pana Mietka spod mostu, który nieznanym mu osobom za tanią flaszkę kupuje hurtowo karty sim w kiosku.

  7. Też dostałam tego smsa i niestety kliknęłam w link. Potem zaraz z tego wyszłam nie logując się do banku. Czy samo kliknięcie w link z smsa może spowodować instalację złośliwego oprogramowania na telefonie.

    • Ciekawe jak?

    • @XDDDDD
      > Ciekawe jak?

      No chociazby podatnosc 0-day na nigdy nie aktualizowanym smartfonie. Do tego dochodzi sciaganie w tle i wcale nie takie rzadkie oprogramowanie z ciagotami do automatycznego odpalania sciagnietych z netu execów (kierujac sie najwyrazniej mantra: “bo a hu* – nie moj smartfon” czy podobna). Problem z tymi drugimi jest taki ze wykorzystuja w pewnym stopniu niewiedze uzytkownika, wiec przeciskaja sie pod obostrzeniami.

      Tak czy siak: jest to mozliwe, chociaz szansa nie jest jakas specjalnie duza – ale bardzo waznym czynnikiem jest kwestia higieny technologicznej utrzymywanej przez wlasciciela telefonu (updeaty, ustawienia, oprogramowanie, to co i jak czesto sprzatamy, etc).

  8. Czy samo kliknięcie w link bez zalogowania się do banku może spowodować instalację złośliwego oprogramowania?

    • Kurczę, ja też – sms wyglądał wiarygodnie, dopiero po kliknięciu w link zorientowałam się szybko że to scam – strona xyz, adres w Warszawie ze słowem “street” itp, więc zaraz wyszłam i nie kliknełam w płatności. Ale trochę się boję że mam teraz szpiega w telefonie – jak to sprawdzić? mam iphone.

    • Macie czyste telefony. To phishing, ewentualnie infekowanie Androida poprzez UMYŚLNE zezwolenie na instalację spoza sklepu.

  9. Na screenie pytanie o “PESEL” i “nazwisko panieńskie matki”. Czy tylko tyle danych trzeba by podpiąć aplikację mobilną MBanku? Nie muszę jeszcze czegoś tam potwierdzić?

    • Później trzeba podać jeszcze numerek otrzymany od IVR, i potwierdzić w aplikacji (jeśli ma się jakaś aktywną).
      Ten IVR upewnia się, że rozumiesz, co mówi (trzeba naciskać wskazane numerki na klawiaturze), i tłumaczy, że nie należy nikomu udostępniać kodu. Ciężko mi wyobrazić sobie, że ktoś przez całą ścieżkę przejdzie, i wpisze kod na stronie.

  10. Zgłosiłam dwa takie smsy z różnych numerów mailowo policji. Zero odpowiedzi od 3 tygodni.

    • A ja zgłosiłem, że ktoś powkręcał (złośliwie) wkręty na placu zabaw zarządzanym przez miasto w taki sposób, że dzieci o nie regularnie zahaczają, rwą ubrania i łatwo mogą się skaleczyć. Po 2 tygodniach informacja, że potrzebują więcej czasu by odpowiedzieć.

    • Policja woli łapać za brak maseczek lub prześladować przedsiębiorców – mniej roboty i łatwiejsze pieniądze :)

    • Policja potrafi stac i lapac na swiatlach ludzi przechodzacych na czerwonym swietle w momentach mniejszego ruchu, w tym samym czasie ignorujac kierowcow ktorzy przejezdzajac na bez skrepowania I KONSEKWENCJI na czerwonym, czy “poznym/wczesnym zoltym” (tez funkcjonalnie czerwonym) swietle ICH DO TEGO ZMUSZAJA… co skutkuje lzejsza praca (ukaranie pieszego wymaga znacznie mniej wysilku) i pieniezna incentywa dla policjantow (mandaty).

      Ps. Jak sie ktos zastanawia, przyklady:
      – Swiatla zielone dla pieszych zwlaszcza na “szybkich” drogach potrafia mignac na kilka sekund co kilkanascie minut – szanse na to ze ta okazjonalna chwila spokoju przydarzajaca sie od czasu do czasu sie z nia zsynchronizuje sa prawie zadne.
      – Sytuacja z niektorych skrzyzowan, ze piesi maja czerwone kiedy nic nie jedzie (zeby np. ewentualny chetny do zjazdu nie tamowal ruchu na “wazniejszych” pasach) a zielone dostaja w trakcie rotacji (bufor czasu pomiedzy pasami ze wzgledow bezpieczenstwa) ktorej nikt nie respektuje bo jedni dojezdzaja jeszcze na czerwonym a drudzy startuja jeszcze przed swoim swiatlem jak tylko zwolni sie droga, (perfidnie) zeby nie musiec czekac na pieszych ktorzy teraz zeby przejsc na swoim zielonym swietle musieli by wejsc w zapiep* sznur samochodow – co chociaz teoretycznie legalne/prawidlowe, efektywnie “jest karane” KALECTWEM LUB ŚMIERCIĄ!!! wiec czekaja az samochodo-hu* przejada, z nierealistyczna nadzieja ze ich swiatlo wciaz bedzie zielone.

  11. Ps. I znowy zeby pokazuja super-uzyteczne, profesjonalne i nowoczesne skracacze linkow – bo gdyby link byl dluzszy to jego klikniecie zabieralo by wiecej czasu?…

    • Skracacze są choćby po to, żeby użytkownik nie mógł się łatwo zorientować, że jest na lewej domenie. Same skracacze niekoniecznie są czerwoną flagą, bo tak samo mógłby ich użyć prawdziwy PGE, żeby link się zmieścił w smsie.
      Jeśli jesteśmy prawdziwym PGE, to słaba praktyka – wszystko powinno być na naszej domenie.

    • > Skracacze są choćby po to, żeby użytkownik nie mógł się łatwo zorientować,
      > że jest na lewej domenie.

      To troche tak jakby powiedziec, ze aspekt kolekcjonerski w odniesieniu do dowodow osobistych to nabieranie kredytow i wymigiwanie sie od wszelakich mandatow czy kar xD

      >Same skracacze niekoniecznie są czerwoną flagą,

      Czy wczesniej nie zdefiniowales przypadkiem ich glownego zastosowania jako wspieranie przekretow? Celem linkow jest dostarczenie informacji i ukrycie niezbyt przyjaznych dla uzytkownikow szczegolow technicznych, patrz: google * / mail – wiesz co to jest? wiesz czy mozesz bezpiecznie podac swoje dane?

      > bo tak samo mógłby ich użyć prawdziwy PGE, żeby link się zmieścił w smsie.

      XXI wiek k*, swoja droga… Nikt nie nakazuje robic dlugich linkow czy kupowac krotkich domen na wlasnosc (jest to cos co moze zrobic nawet kasjerka ze spozywczaka, bez zbytniego nadszarpniecia swojego budzetu) ale zawsze sa inne metody. Co bedzie nastepne? Zaczna przyjmowac wplaty wylacznie w formie x-gramowych woreczkow kokainy?

    • Ps. I tak tutaj psiocze, ale nie wiem (a nawet watpie) zeby PGE dzialalo w ten sposob.
      Ale sa idio* ktore odstawiaja takie glupoty (skracacze linkow) – co jest swietnie zobrazowane tym ze ktos postanowil takie bezsensowne i niebezpieczne praktyki bronic…

    • Oczywiście, że PGE nie powinno tak robić i jeśli mają takie powiadamiania SMSami, to od razu w smsie powinna być domena PGE.

      Co do skracaczy to trochę złego terminu użyłem: bo chodziło mi ogólnie o wszystkie redirecty. Szczególnym typem redirectów są skracacze.
      A jako przykład legitnego użycia redirectów można podać te wszystkie mailchimpy, itp. używane przy rozsyłaniu newsletterów, żeby śledzić czy kliknąłeś w linka w mailu.
      Domeny są inne niż docelowe, są redirecty, URLe koszmarnie długie i kompletnie nieczytelne dla przeciętnego internauty, więc wielu może odrzucić taki link, bo domena jest dziwna i internauta nie rozpoznaje jakiegoś mailchimp.com, czy list-manage.com jako domenty której się spodziewał.

      Albo powinno się w ogóle nie wyświetlać URL, ukrywać go dla technicznych, a użytkownikowi wyświetlać jakąś czytelną, sparsowaną wersję, bez tego crapu – jakichś ≥100 znaków w URL query.
      Albo – jako rozwiązanie przejściowe – te URLe muszą być czytelniejsze.
      Najlepiej jakby pierwsze było automatycznie zintegrowane z U2F. Teraz każdy z telefonem z androidem ≥ 7.0 automagicznie ma klucz U2F. Tylko to trzeba wiedzieć, chcieć, ustawić, powłączać sobie. Normalny człowiek nie ma do tego głowy, a mimo to powinien być chroniony – Powinno to być powłączane by default i out-of-the-box dla wszystkich.
      Miejmy nadzieję, że za 10 lat internety właśnie tak będą działać.

  12. XDDDD

  13. Ja dostałem takiego SMS-a i udałem się do CBŚ. Panowie popatrzyli na tego SMS-a i na mnie. Powiedzieli że skoro nie wpłaciłem kasy, to do przestępstwa nie doszło, a oni nie mają czasu na pierdoły. Tak więc ci którzy powinni się tą sprawą zająć wolą układać pasjansa.

    • @Andrzej,
      “Powiedzieli że skoro nie wpłaciłem kasy, to do przestępstwa nie doszło, a oni nie mają czasu na pierdoły.”

      Bzdura – jak sie chce, to przestepstwo zawsze sie znajdzie. SPAM, podszywanie sie pod jakikolwiek podmiot narusza jego interesy juz w momencie podszywania sie “aka: OSZUSTWA podszywania sie” nawet gdyby ich celem bylo rozdawanie biednym dzieciom sztabek zlota, bo instutucja/firma pod ktora sie podszywaja moze celowo kultywowac zla reputacje.

      Podobnie gdyby doszlo do wyludzenia zawsze mozna stwierdzic ze wspoldzialales z przestepcami w celu okradzenia skarbu panstwa czy to bezposrednio czy przez nie oplacenie podatku obrotowego (tutaj przestepstwem bylo by zgloszenie wyludzenia).

      ================================================================

      Rozwiazaniem jest zdrowy rozsadek, zglaszajacych i tych przyjmujacych zgloszenia.

  14. Momi, że technika znana od lat, to wciąż wiele osób nabiera się na tego typu sztuczki, i nie chodzi tu tylko o osoby starsze. Nie ma nawet potrzeby stosowania wyrachowanych sztuczek. :/

  15. Ja mam inne pytanie. Przecież złapać w dzisiejszych czasach tego rozsyłającego to powinna być kaszka z mleczkiem.
    Numer trzeba najpierw zarejestrować, a nawet jak się to robi na fałszywe dane to przecież zostaję telefon. Po IMEI operator może sprawdzić wiele, a służby nawet mogą zdjęcia robić wysylajacym smsy.
    Dlaczego zatem nie słychać ze złapano kolejnego przestępcę rozsyłającego fałszywe informacje ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: