Oszuści węglowi porwali się na PGG. Spółka ostrzega przed fałszywymi SMS-ami

Przestrzegamy przed fałszywymi wiadomościami SMS informującymi, że został wystawiony węgiel na półkę sklepową wraz z linkiem do sklepu – poinformowała wczoraj Polska Grupa Górnicza S.A. na swojej stronie internetowej.

Jak zastrzega spółka w komunikacie, nie jest ona adresatem tych wiadomości, a link znajdujący się w SMS-ie nie kieruje do strony sklepu PGG. Choć odnośnik wygląda na autentyczny, to w rzeczywistości przenosi odbiorcę do spreparowanych fałszywych witryn.

PGG S.A. nie kieruje do swoich Klientów wiadomości w formie SMS – przekazuje spółka.

Wszystkie komunikaty Polskiej Grupy Górniczej zamieszczane są na bieżąco w aktualnościach sklepu lub na stronie spółki na Facebooku, klienci nie powinni więc spodziewać się wiadomości, które przychodzą bezpośrednio na ich telefon. 

Przestrzegamy przed SMS-ami z linkiem do e-sklepu #PGG❗️ Fałszywe odnośniki prowadzą do spreparowanych witryn❗️#PGG ⚒️ nie wysyła do swoich Klientów wiadomości SMS. Komunikaty są zamieszczane w https://t.co/cgTpP1GsLO lub na FB "Fanpage PGG - polski węgiel prosto od producenta". pic.twitter.com/d3ZPFjPPFT

— PolskaGrupaGórnicza (@BiuroPrasowePGG) August 4, 2022

Czy e-sklep jest skutecznie chroniony przed oszustami?

Na kanwie fałszerstwa, którego ostatnio dopuścili się oszuści w kontekście rzekomego sklepu internetowego spółki Węglokoks Kraj, PGG S.A. poinformowało swoich klientów o zabezpieczeniach i blokadach, które chronią e-sklep spółki.

Zabezpieczenia te mają uniemożliwiać dokonanie oszustwa, zakup z fikcyjnych kont, użycie nieuczciwego oprogramowania, podszywanie się pod inne osoby i wyłudzenie nienależnego węgla.

Po pierwsze, i najistotniejsze, węgiel kupić mogą w PGG S.A. tylko klienci, którzy zarejestrowali się do sklepu, a więc podali niezbędne do transakcji dane osobowe, numer pesel i konta bankowego oraz adres. Klient nie jest więc w sklepie anonimowy.

Rozwiązania Google reCaptcha, które wykorzystują zaawansowane techniki sztucznej inteligencji, uniemożliwiają rejestrację fałszywych użytkowników oraz próby użycia botów. Rejestracja jest dwuetapowa: klient musi odpowiedzieć na wysłany e-mail, co eliminuje posługiwanie się fałszywymi kontami poczty elektronicznej. W sklepie PGG S.A. na ten sam pesel i adres mailowy można zarejestrować się tylko jeden raz – tłumaczą specjaliści IT Polskiej Grupy Górniczej.

W e-sklepie PGG szczególnie chroniony jest moment przejścia do płatności za zamówiony węgiel - przede wszystkim działają tam limity bazujące na numerze pesel i adresie domowym, dzięki którym nikomu nie uda się kupić więcej niż dozwolone 5 ton. Ponadto aplikacja sklepu zapisuje fakt dokonania transakcji wraz z numerem IP, z którego ją wykonano.

Logi systemowe są na bieżąco przeglądane i analizowane przez administratorów, a informacje o podejrzanych próbach transakcji przekazuje się do Biura Kontroli Wewnętrznej w spółce, które ściśle współpracuje z organami ścigania – zastrzegają administratorzy e-sklepu. 

Węgla w e-sklepie nie kupią też oszuści spoza terytorium Polski, ponieważ wprowadzono w nim m.in. geolokalizację - zastosowane mechanizmy IP Intelligence sprawdzają, jakim IP posługuje się klient i porównują dany adres z aktualizowanymi spisami adresów proxy, botnetami lub siecią TOR.  

Co więcej stosowane przez PGG S.A. mechanizmy weryfikacji behawioralnej potrafią nawet sprawdzić, czy przeglądarką www użytkownika posługuje się żywy człowiek czy też bot zakupowy – dodają administratorzy.

Poza tym sklepu internetowego z węglem PGG S.A. strzeże również tzw. Web Application Firewall, mechanizmy zliczające częstotliwość odświeżania strony internetowej i bezpośrednia praca administratorów, którzy śledzą ruch przychodzący z internetu i przeglądają logi systemowe i aplikacyjne tak, aby na bieżąco reagować na pojawiające się zagrożenia. 

Ostatnim ogniwem zabezpieczającym proces zakupowy jest kontrola przez operatorów sklepu i służby kopalniane dokumentów, oświadczeń i deklaracji CEEB (Centralnej Ewidencji Emisyjności Budynków) składanych przez klientów pod kątem ich zgodności ze sobą i z danymi zarejestrowanymi w sklepie internetowym. Na tym ostatnim etapie sprawdza się również, czy płatności w transakcjach nie są realizowane z tych samych kont bankowych – opisują specjaliści IT Polskiej Grupy Górniczej S.A.

Mimo zabezpieczeń, spółka i tak przestrzega przed oszustami. Jak widać, nie ma dla nich ograniczeń, a ludzka nieuwaga czy zwykła ufność w otrzymywane wiadomości może sprowadzić na klientów spore problemy.

Bądź co bądź, ruch związany ze sklepem PGG S.A. może kusić oszustów, chcących szybko zarobić pieniądze, bo, jak informuje spółka, od początku roku e-sklep PGG S.A. obsłużył ponad 152 tys. klientów, a gdy tylko węgiel pojawia się w sprzedaży na półce e-sklepu, na kontrolerze dostarczania aplikacji liczba odwołań do witryny w jednej chwili dochodzi do 650 tysięcy.