„Masz nadpłatę w PGE”. Sprytne oszustwo, które czyści konto w kilka minut
Klienci PGE znów na celowniku cyberprzestępców. W sieci krąży kampania phishingowa, która wygląda jak standardowa informacja o nadpłacie za prąd. Problem w tym, że zamiast zwrotu pieniędzy można stracić wszystkie oszczędności.
Eksperci alarmują, że schemat jest dopracowany i wyjątkowo przekonywający. Oszuści wysyłają wiadomości, które do złudzenia przypominają oficjalne mejle PGE. Informują w nich o rzekomej nadpłacie i zachęcają do „aktualizacji danych”, by otrzymać zwrot.
Brzmi niewinnie. I właśnie na tym polega problem.
To nie jest przypadkowa, masowa wysyłka o niskiej jakości. Przestępcy zadbali o to, by cały proces wyglądał profesjonalnie i nie wzbudzał podejrzeń – zauważa Kamil Sadkowski, analityk cyberbezpieczeństwa z ESET.
W praktyce użytkownik trafia na stronę, która wygląda jak panel klienta PGE. Tam zaczyna się właściwy atak.
Trzy kroki do utraty pieniędzy
Mechanizm jest prosty, ale skuteczny. Jak tłumaczy ekspert ESET, przestępcy prowadzą ofiarę krok po kroku przez cały proces. Najpierw wyłudzają dane logowania do konta, podszywając się pod panel klienta. Następnie pokazują informację o rzekomej nadpłacie, która ma uwiarygodnić całą historię i zachęcić do dalszego działania.
Na końcu pojawia się kluczowy moment – prośba o dane karty płatniczej.
Wprowadzenie numeru karty, daty jej ważności oraz kodu CVV/CVC to dla cyberprzestępców otwarte zaproszenie do naszych oszczędności – ostrzega ekspert ESET.
Pieniądze mogą zniknąć w kilka minut
Po podaniu danych karta trafia w ręce przestępców. Nie muszą nawet włamywać się na konto bankowe.
W praktyce mogą od razu dodać kartę do cyfrowego portfela na swoim urządzeniu i zacząć z niej korzystać jak z własnej. Dane często wykorzystywane są też do płatności w internecie – zwłaszcza tam, gdzie nie jest wymagane dodatkowe potwierdzenie transakcji. W efekcie pieniądze mogą zniknąć z konta praktycznie natychmiast.
W wielu przypadkach środki znikają z konta w zaledwie kilka minut po ich wpisaniu na fałszywej stronie – podkreśla Kamil Sadkowski.
Nie podawaj kodu CVV
Eksperci wskazują na prostą zasadę, o której wielu użytkowników zapomina.
Prośba o podanie kodu CVV w kontekście zwrotu środków to niemal stuprocentowa pewność próby kradzieży – zaznacza analityk ESET.
To kluczowy sygnał ostrzegawczy. Żadna firma nie potrzebuje takich danych, żeby oddać pieniądze.
Więcej o rachunkach za prąd przeczytasz w Bizblog:
Jak się nie dać nabrać
Największym sprzymierzeńcem oszustów jest pośpiech i emocje. Informacja o „nadpłacie” działa jak magnes – łatwo kliknąć bez zastanowienia.
Dlatego eksperci zalecają jedno: nie korzystać z linków w mailach.
Zamiast tego:
- wejdź na stronę firmy ręcznie
- zaloguj się bezpośrednio do swojego konta
- skontaktuj się z infolinią z oficjalnej strony
Zamiast ufać linkom przesyłanym w wiadomościach, zweryfikujmy sprawę u źródła – podkreśla Sadkowski.
Schemat jest stary, ale działa, bo jest coraz lepiej dopracowany. Tym razem nie chodzi o „księcia z Nigerii”, tylko o coś znacznie bardziej wiarygodnego – rachunek za prąd.
