Phishing PGE - Fałszywe SMS-y o uregulowanie należności

W ostatnich dniach otrzymujemy sporą liczbę zgłoszeń o atakach phishing podszywających się pod PGE. Polska Grupa Energetyczna to kolejna marka, po InPost czy OLX, która jest wykorzystywana do wyłudzania danych do bankowości internetowej na szeroką skalę. Linki do stron phishing dystrybuowane są w wiadomościach SMS.

W przypadku, który omówimy w niniejszym artykule, cyberprzestępcy w wiadomościach SMS informują, że rachunki za energię elektryczną nie zostały uregulowane, co z kolei będzie się wiązać z odłączeniem od dostaw prądu. Nie będąc klientem tego dostawcy, taką wiadomość można całkowicie zignorować. Co jeśli tak nie jest? Tutaj trzeba się zastanowić, w jaki sposób PGE wcześniej informowało Was o nieuregulowaniu należności. Tak naprawdę mało która firma będzie przypominać o zaległościach w płatnościach przy pomocy tak lakonicznej wiadomości SMS. Z reguły odbywa się to poprzez pocztę elektroniczną albo tradycyjnie listownie.

Fałszywe wiadomości SMS od PGE

Atak SMS phishing z wykorzystaniem marki PGE opisywaliśmy już jakiś czas temu na łamach sirt.pl. Tutaj jednak link znajdujący się w wiadomości SMS nie kieruje na fałszywą stronę logowania do serwisu PGE, lecz od razu do płatności za nieuregulowaną należność. Przykładowe wiadomości SMS mogą wyglądać tak, jak prezentujemy to poniżej.

Treść wiadomości SMS:
PGE: Na dzien xx.xx zaplanowano odlaczenie energii elektrycznej! Prosimy o uregulowanie naleznosci 10.50 zl [link]

Sama treść wiadomości może wydawać się podejrzana. Nie ma polskich znaków, a sam SMS jest w większości przypadków przesyłany z numeru kierunkowego +380, czyli z Ukrainy. Numery kontaktowe do PGE są zgoła inne, wystarczy zweryfikować je na oficjalnej stronie polskiego dystrybutora energii elektrycznej. Ponadto we wszystkich przypadkach kwota uregulowania należności jest podejrzanie niska, około 10 zł.
Oczywiście PGE nigdy nie będzie prosić o uregulowanie płatności za pobór prądu w taki sposób. Przy pomocy bardzo lakonicznej wiadomości SMS, która dodatkowo została przesłana z nieoficjalnych numerów kontaktowych. Tak naprawdę żaden z dostawców energii elektrycznej nie odłączy od dostaw prądu żadnego ze swoich klientów z dnia na dzień. Można od razu skontaktować się z dostawcą i wyjaśnić sytuację.

Natomiast otrzymany SMS prosimy przesłać do nas wykorzystując formularz zgłoszeniowy na zgłosincydent.pl. Codziennie otrzymujemy kolejne adresy stron phishing wykorzystywane przez cyberprzestępców, za co bardzo dziękujemy. Każde zgłoszenie jest przez nas weryfikowane, a złośliwe treści skutecznie blokowane. Kampania SMS z fałszywymi wiadomości od PGE trwa od kilku dni. Na bieżąco ujawniamy kolejne strony, za pomocą których wyłudzane są dane logowania kont bankowych lub kody BLIK.



Wszystkie zidentyfikowane przez nas domeny wykorzystywane w tym ataku są blokowane w BW DNS oraz dostępne w CTI Feed.



Przebieg ataku phishing

Po kliknięciu w link znajdujący się w SMS-ie następuje przekierowanie na stronę, gdzie możliwe będzie uregulowanie należności za energię elektryczną. Do złudzenia przypomina ona autentyczną stronę.

Na stronie jest widoczna kwota należności, a także fałszywy numer umowy z PGE. Po kliknięciu przycisku Przejdź do płatności pojawia się ekran, w którym należy podać numer telefonu, a także zaakceptować regulamin.

Po wprowadzeniu numeru telefonu, a także kliknięciu przycisku Dalej następuje przekierowanie do strony podszywającej się pod system płatności eCard. Tutaj jest możliwość wyboru bankowości, poprzez którą nastąpi uregulowanie należności za energię elektryczną.

Poniżej prezentujemy pierwsze strony logowania dla kilku bankowości. Wszystkie one do złudzenia przypominają te autentyczne, dlatego na tym etapie ataku phishing nietrudno o pomyłkę. Z tego względu tak istotne jest weryfikowanie adresu strony bankowości internetowej.

Fałszywa strona bankowości Credit Agricole.

Tu z kolei fałszywa strona bankowości banku ING.

Kolejny przykład to fałszywa strona logowania do bankowości internetowej mBank.

Fałszywa strona bankowości GETIN BANK.

Na przykładzie banku BNP Paribas zaprezentujemy pełną ścieżkę ataku phishing na bankowość internetową.
Po wybraniu sposobu płatności na fałszywej stronie systemu eCard następuje przekierowanie do witryny podszywającej się pod stronę logowania bankowości internetowej BNP Paribas.

W kolejnym kroku należy podać identyfikator lub login bankowości BNP Paribas.

Kolejne okno to dodatkowa autoryzacja, która w tym przypadku jest podaniem nazwiska panieńskiego matki.

Przechodząc do kolejnego etapu ataku, ukazuje się podsumowanie przelewu, jaki będzie realizowany. Tytuł nie odbiega znacząco od tego autentycznego, czyli widzimy nazwę odbiorcy, PGE Polska Grupa Energetyczna oraz nr faktury (oczywiście spreparowanej). Jest także kwota do uregulowania należności za energię elektryczną.

W ostatnim etapie ataku wyłudzany jest kod SMS do autoryzacji przelewu.

Po wprowadzeniu kodu i potwierdzeniu przyciskiem Potwierdź nie ukazuje się okno podsumowania, jak to zawsze bywa w przypadku realizacji płatności online. Z uwagi na to, że jest to fałszywa strona, nie jest możliwe zrealizowanie przelewu, natomiast wszystkie wprowadzane dane są przechwytywane w czasie rzeczywistym przez cyberprzestępców. Posiadając takie dane, mogą oni zrealizować inną transakcję z konta, do którego uzyskali dostęp.

Dla niektórych bankowości internetowych cyberprzestępcy nie przygotowali fałszywych stron logowania, zamiast tego uregulowanie należności dla PGE może nastąpić poprzez system płatności BLIK. Na stronie wyboru bankowości po wskazaniu np. na bank Santander, Bank Pocztowy czy Nest Bank następuje przekierowanie do wspomnianego już systemu płatności BLIK.

Teraz wystarczy wprowadzić kod BLIK wygenerowany z aplikacji bankowej i potwierdzić klikając w przycisk Wykonaj. Na koniec pozostaje tylko potwierdzenie płatności w aplikacji. Podobnie jak odbywa się to w każdym innym przypadku, wykorzystując ten sposób płatności online.

Warto w tym miejscu wspomnieć, że podając kod BLIK na fałszywych stronach, cyberprzestępcy mogą go wykorzystać np. do realizacji zakupów w dowolnym sklepie internetowym wspierającym płatność przy użyciu tego systemu.

Co robić w przypadku otrzymania fałszywego SMS-a od PGE

Celem cyberprzestępców w tego typu atakach nie jest pozyskanie tych kilku złotych od osób, które ostatecznie zrealizują przelewy. To dane logowania do bankowości internetowej i kody BLIK są dla nich cenne. Posiadając je, mogą np. realizować przelewy bankowe czy zakupy online.

Najlepszym rozwiązaniem będzie zignorowanie wiadomości i jej usunięcie. Już sama treść powinna wzbudzić Wasze podejrzenie. Nie warto z tego powodu klikać w zamieszczone linki, ani próbować odpisywać na tego typu SMS-y. Jeżeli koniecznie chcecie się upewnić, czy wiadomość jest fałszywa, to sugerujemy skontaktować się z oficjalną infolinią PGE.
Warto w tym miejscu nadmienić, że wskazane jest sprawdzanie adresów stron internetowych, do których kierują nas linki - czy to z wiadomości mailowej czy z SMS-a. Jeśli nie macie pewności co do autentyczności danej witryny, a tym bardziej bankowości internetowej czy serwisów szybkich płatności to nie wprowadzajcie na nich żadnych danych.