Trafił do Ciebie mail z banku z informacją, że ktoś logował się na Twoje konto? A może propozycja włączenia wyjątkowej oferty „jednym kliknięciem”? Zastanów się, zanim to zrobisz…

Kończą się wakacje. Niestety, tego nie powstrzymamy. Tak samo, jak faktu, że oszuści też z nich wracają. Z mniej lub bardziej przemyślnymi pomysłami, jak pozbawić nas pieniędzy. A jak uzyskać najlepszy „zwrot z inwestycji”? Oczywiście okradając ofiary z pieniędzy, zgromadzonych na koncie bankowym (a wcześniej z loginu i hasła).

„Nielegalnie użyta karta”

Przejęlibyście się takim mailem?

Twoja karta została nielegalnie użyta? Sztuczka socjotechniczna prosta/prostacka, ale wciąż dla wielu wystarczająca (i żeby było jasne – wcale się nie dziwię!).

Podany adres IP – super, urealnia całą sytuację. Hinduski Vodafone (stąd pochodzi adresacja, ale nikt poza bezpieczniakami tego nie sprawdza 🙂 – trochę dziwne, nie spodziewałbym się raczej nadużyć z tamtej części świata.

Po kliknięciu już standardowo jesteśmy przenoszeni na stronę, która od prawdziwej witryny banku (w przypadku próbek, które trafiły dziś do CERT Orange Polska są to Pekao S.A. i Santander Bank Polska) różni się tylko adresem. Tam wpisujemy nasz login i hasło, przekazujemy przestępcom, a oni okradają nas ze wszystkich pieniędzy i w miarę możliwości zaciągają kredyty.

Aktywuj usługę (nie)bezpieczeństwa

Efekty będą podobnie w przypadku trzeciego banku, kampanię na który zaobserwowaliśmy. Tym razem ofiarą jest BNP Paribas – i potencjalnie jego klienci – gdzie oszuści starają się przekonać adresatów maila o konieczności aktywacji nowej… usługi bezpieczeństwa.

Przyjrzyj się dokładnie treści. Tutaj łatwiej zorientować się, że coś jest nie tak. Dziwny temat wiadomości, dużo błędów stylistycznych, brak identyfikacji wizualnej nadużywanej marki. No i link, zupełnie inny niż ten, za który się podaje.

Bądźcie bezpieczni. Nie dajcie się oszukać! A przede wszystkim – jak w tytule:

Jeśli masz wątpliwości co do treści maila – zadzwoń do banku!

Hasło do banku. Dziś będzie chyba krótko, ale treściwie, na temat, który w zasadzie nieprzerwanie leży mi na sercu. Przyglądając się bowiem kolejnym phishing kitom, raz na jakiś czas tuningowanym przez oszustów, zastanawiam się… kto u licha wpisuje na dziwnej stronie tyle swoich danych?

Gwoli jasności – będę ostatnim, który „pojedzie po internautach”. Kilka lat temu, jeszcze gdy nikt nie myślał o pandemii, na konferencji Confidence Adam Haertle powiedział (w skrócie): „Bezpieczniaku, to nie user, który dał się złapać na phishing, jest idiotą. To ty nim jesteś! Bo nie użyłeś swojej wiedzy, by go uświadomić”. Od tamtego czasu to jeden z motywów pchających mnie do działania. Dlatego też powstaje ten tekst. Nie zmienia to jednak faktu, że często nie mogę wyjść z szoku dlaczego są ludzie, w których takie okna, na stronie której adres nie ma nic wspólnego z bankiem, nie budzą niepokoju:

Hasło do banku – i co jeszcze?

Przypomnijcie sobie, kiedy ostatnio wprowadzaliście hasło do banku. I co więcej było wtedy potrzebne? Bazując na moim doświadczeniu (i kontach w dwóch bankach) przy logowaniu w przeglądarce login i hasło, zaś przy aplikacji mobilnej – PIN lub odcisk palca. Wszystko jasne. A kiedy ostatnio używaliście PESELu lub panieńskiego nazwiska mamy? Ew. PINu do aplikacji mobilnej przy korzystaniu z przeglądarki na komputerze?

Konfigurując aplikację mobilną!

No właśnie! Co trzeba zrobić, żebyśmy zapamiętali, że tak wrażliwych danych jak te przytoczone powyżej nie podaje się przy płatności? Nie wiem, jak jest we wszystkich bankach (będę wdzięczny za informacje w komentarzach), ale w tym w którym korzystam z aplikacji mobilnej, w trakcie jej aktywacji słyszę bodaj pięciokrotnie informację do czego służy kod! Czego mam z nim nie robić, gdzie nie wpisywać i co robić, jeśli ktoś mnie o niego prosi. Zastanawiam się, czy tak wielu ludzi wtedy „odlatuje” myślami?

Błagam. Jeśli wykonujecie jakąkolwiek transakcję finansową online, bądźcie wyjątkowo uważni! Niczym za kierownicą, stosujcie zasadę ograniczonego zaufania. A jeśli cokolwiek budzi Wasz niepokój – odstąpcie od transakcji! Możecie stracić wszystkie pieniądze, a nawet więcej. Jasne, przestępcy będą używać wielu sztuczek, żeby przekonać Was do wpisania tych danych. Macie wątpliwości? Zadzwońcie do banku. Albo napiszcie do nas na cert.opl@orange.com. Nie ryzykujcie.

Kilkadziesiąt, a nawet przeszło sto dziennie. Tyle phishingowych domen, dotyczących wyłącznie oszustw „na wysyłkę” wpada codziennie do naszych systemów bezpieczeństwa. Przez jakiś czas było nieco spokojniej, nawet liczba ataków na sprzedających za pośrednictwem OLX wydawała się nieco maleć. W ostatnim czasie sytuacja jednak się zmieniła. Pod ostrzałem oszustów są sprzedający na OLX, Allegro i Vinted. Atakowani są nie tylko za pomocą podszycia pod dane marki. Przestępcy używają też witryn, udających InPost i DPD.

Jak wyglądają takie adresy? To część „urobku” z dzisiaj, oparta wyłącznie na jednej domenie głównej:

allegro-kdbu.id-info0328.me
vinted-iuq.id-info0328.me
vinted-iab.id-info0328.me
vinted-wkt.id-info0328.me
olx-medw.id-info0328.me
vinted-pkl.id-info0328.me
inpost-itgn.id-info0328.me
inpost-lnb.id-info0328.me
vinted-dkeh.id-info0328.me
inpost-raz.id-info0328.me
olx-hgm.id-info0328.me
inpost-zpc.id-info0328.me
dpd-rzu.id-info0328.me

Widzicie o co chodzi? Nadużywana marka znajduje się na samym początku adresu. To zachowanie wykorzystujące skłonność naszego mózgu do ograniczania zalewu danych. Często nie zdajemy sobie tego sprawy, ale nasz mózg – na poziomie podświadomości – potrafi w takiej sytuacji „odciąć” resztę adresu. W efekcie, działając automatycznie… klikamy w ten adres!

To nie Vinted, to nie kurier

Oszuści ostatnimi czasy tworzą fałszywe adresy hurtowo. Pod jedną domeną (w powyższych przypadkach id-info0328.me) od razu tworzą od kilkunastu do kilkudziesięciu adresów, w kilku wersjach na każdą markę. Tyle w tym dobrego, że nasza sztuczna inteligencja łatwo uczy się takich schematów. W efekcie CyberTarcza blokuje praktycznie wszystkie zanim ktokolwiek z klientów Orange Polska zdoła w nie kliknąć. Co jednak jeśli zdążysz kliknąć (lub nie masz naszych usług dostępu do internetu)?

Przestępcy – co już kilkakrotnie tutaj i na stronie CERT Orange Polska, opisywaliśmy – automatycznie skanują serwisy, rejestrując nowe oferty sprzedaży. W kolejnym kroku „żywy” oszust wybiera ofiarę i w swoim panelu generuje fałszywy link do oferty. Miałem kiedyś możliwość spojrzeć na taki interfejs administracyjny. Nie mogę jednak wrzucić nawet zrzutu ekranu – lepiej, by oszuści nie wiedzieli czy/gdzie mamy taki dostęp. W każdym razie po zalogowaniu wystarczy wkleić link do prawdziwej oferty, by wygenerować bliźniaczą stronę, a gdy tylko ofiara da się oszukać – w tym samym miejscu wyświetlają się wszystkie wyłudzone dane.

Jak wygląda taka witryna?

Gdyby nie adres w pasku na górze witryna w zasadzie nie wygląda podejrzanie, prawda? A co się stanie jeśli jednak zechcemy odebrać środki?

Standardowa sytuacja z fałszywą bramką płatności z aktywnymi linkami nawet do mniej popularnych banków. Czy to oznacza, że przestępcy mają przygotowane witryny na każdą okazję? Nie do końca. Jeśli wybierzemy popularny bank, zobaczymy podróbkę treści z oficjalnej witryny:

Czy są jakieś różnice w porównaniu z prawdziwym logowaniem do banku? Jeśli w systemie korzystacie z języka polskiego to w przypadku pierwszych dwóch już sam fakt, że są po angielsku, powinien sugerować, że coś jest nie tak. Dodatkowo w przypadku mBanku w treści jest też błąd ortograficzny i interpunkcyjny. Przede wszystkim jednak oszuści wymagają od nas:

• kodu PIN
• numeru PESEL
• numeru z tokenu RSA
• nazwisko panieńskie matki

te dodatkowe dane są niezbędne do aktywacji aplikacji mobilnej! Za jej pośrednictwem złodziej, już bez Twojej kontroli, wykradnie Ci wszystkie pieniądze i pozaciąga kredyty.

Login to za mało, dawaj numer karty!

A co się stanie, jeśli klikniemy na mniej popularny bank? To samo co po wpisaniu powyższych danych! Pokaże się monit o… podanie danych karty płatniczej.

Oczywiście jeśli już wpiszemy dane, nikt nam nie napisze: „Dzięki, właśnie dałeś się okraść!”. W zamian za to zobaczymy, że coś jest nie tak (cóż za zaskoczenie…).

Co robić?

Wiem (i ci z Was, którzy regularnie czytają Bloga, też wiedzą), że już o tym pisałem. I to nie raz. Jednak fakt, iż oszuści nie porzucili tego typu ataków, dowodzi, że ciągle są skuteczne. Analizując strony dwkurotnie skusiłem się nawet na próbę rozmowy z przestępcą. Tak, to nie problem – na każdej z tym stron w prawym dolnym rogu jest okno czatu z „obsługą klienta”. Niestety musiałem trafić na wyjątkowego skromnisia, bo gdy grzecznie spytałem, ile osób dziennie oszukuje i ile zarabia, wszystkie linki na stronie zaczęły nagle prowadzić do prawdziwych witryn Vinted i DPD.

Ale dość dygresji. Jak nie dać się oszukać?

Rozmawiaj wyłącznie przez interfejs aplikacji/strony (OLX, Vinted, Allegro)

Linki z rzekomo dokonanymi transakcjami są finalną częścią rozmów z ofiarą za pośrednictwem zewnętrznego komunikatora. A nad WhatsAppem, wykorzystywanym w polskich kampaniach, firmy pośredniczące w sprzedaży nie mają kontroli, nie mogą np. monitorować podejrzanych linków.

Pamiętaj, że firmy kurierskie (jak używane w tym oszustwie InPost, czy DPD) nie wypłacają pieniędzy sprzedającemu

One zajmują się dostarczeniem paczki lub ewentualnie pobraniem pieniędzy od kupującego.

Gdy na ekranie pojawia się strona płatności, obowiązkowo sprawdź adres w pasku przeglądarki

Przy prawidłowych płatnościach będzie to adres pośrednika płatności (zazwyczaj kończący się .pl, nigdy nie kończący się na dziwne zbitki liter, typu .me, .site, czy .xyz).

Nie wpisuj numeru karty, gdy to Ty masz dostać pieniądze

Jedyna sytuacja, w której spotkałem się z wykorzystaniem karty do otrzymania pieniędzy miała miejsce przy zwrocie artykułu w sklepie i wymagała włożenia jej do terminala.

Jeśli dysponujesz dwoma numerami telefonów, w serwisach pośredniczących w sprzedaży użyj tego, do którego nie masz podpiętych komunikatorów

Gdy numer nie jest skojarzony z WhatsAppem, nikt WhatsAppem nie napisze! Genialne, co nie?

A poza tym, jak mawiał Fox Mulder:

A przynajmniej nie obcym.

Pamiętacie czasy, gdy telefon służył do rozmów z innymi ludźmi? Wiem, że tzw. „dzisiejsza młodzież” może czuć się tym zaskoczona :). Tak samo jak tym, że było to urządzenie, ograniczone kablem. I nie było na nie gier! Dobra, żarty żartami, ale sami przyznacie, że coraz częściej posługujemy się po prostu komunikatorami. W dużych firmach, jak choćby Orange Polska, nasz wewnętrzny komunikator służy też do rozmów głosowych, również na numery telefoniczne. Komu przydają się najczęściej konwersacyjne możliwości telefonu? Marketingowcom, cwaniakom i złym ludziom, stosującym vishing. Nie zrozumcie mnie źle, mam na myśli trzy rozłączne grupy 🙂

(pół)Automat zawsze świeży i rześki

W każdym z testowanych przeze mnie smartfonów używam dwóch kart SIM. Mój podstawowy numer służbowy oraz prywatny, zaszłość dawnych czasów. Ten drugi utrzymuję w zasadzie za darmo (Nju Po Wieki, polecam!). Wrzucam go np. do ofert sprzedaży w różnych serwisach (dlatego nie dostaję scamu na OLX, bo pod tym nr nie mam WhatsAppa 🙂 ), czasami dzwonią nań dawno niesłyszani znajomi. A kto najczęściej? Scamerzy oczywiście!

Wczoraj w przypływie dobrego humoru odebrałem rozmowę z takiego numeru i po prostu milczałem. Co się działo?

– Dzień dobry!
[ok. 1,5 sekundy przerwy]
– Dzień dobry!
[ok. 1,5 sekundy przerwy]
– Dzień dobry!

Po trzecim razie rozłączyłem 🙂 Za każdym razem słyszałem ten sam głos. Co to oznacza? Ano to, że w sporej części tego typu przedsięwzięć nie rozmawia z nami wcale żywy człowiek! Tzn. po części rozmawia – on/a siedzi przed komputerem ze słuchawkami na uszach. W zależności od naszych odpowiedzi, klika odpowiedni punkt ze skryptu, a my słyszymy odpowiadającą mu wypowiedź. Z punktu widzenia „drugiej strony” – świetne, prawda? Nagrany głos nigdy nie będzie zirytowany, nie będzie w nim słychać zmęczenia, zawsze będzie świeży i rześki. Ale czy tylko dla mnie jest to sytuacja mroczna i co najmniej dziwna?

Vishing, czy prawdziwy bank?

Dlaczego w ogóle o tym piszę? Bo w ostatnim czasie znacząco rośnie tzw. vishing (voice phishing), czyli próby phishingu głosowego. O ile takie sytuacje jak ta, którą opisałem na początku, można traktować jako – hmmm – ciekawostkę, groźnie się robi, gdy odbierzemy rozmowę z ostrzeżeniem lub ofertą inwestycji. Niestety o ile np. adresów e-mail, z których przychodzą do Was nasze faktury nie da się podrobić (zespoofować) to z numerami telefonów nie jest już tak dobrze. Rozwój technologii VoIP i aplikacji do dzwonienia oraz fakt, iż tworząc podstawowe funkcjonalności telefonii nikt nie spodziewał się, że trzeba ją będzie zabezpieczyć przed cyberzagrożeniami, spowodowały iż bardzo łatwo możemy zadzwonić do kolegi przy biurku obok, a jemu na ekranie telefonu pokaże się numer banku. A to już pierwszy krok do uzyskania zaufania ofiary i sprawienia by ta „łyknęła” vishing!

A co można z nami zrobić, gdy na pierwszy rzut mózgu zaufamy rozmówcy? W zasadzie wszystko. Z drugiej strony słuchawki siedzą naprawdę sprawni socjotechnicy, a ci potrafią tak – wybaczcie kolokwializm – nawinąć makaron na uszy, że nawet świadomi internauci uwierzą im naprawdę w wiele. Na co zatem trzeba w takiej sytuacji uważać? Przede wszystkim na:

• prośby o login i/lub hasło
• próby „potwierdzenia” danych pozornie niegroźnych
• sugestię instalacji zewnętrznej aplikacji (głównie na komputerze, zazwyczaj jest to AnyDesk)

Pierwsza kwestia jest oczywista. W drugiej może to być np. nazwisko panieńskie matki, niezbędne w przynajmniej jednym banku do aktywacji aplikacji mobilnej. Trzecia – to aplikacja zdalnego pulpitu, dająca pełny dostęp do naszego komputera.

Dodatkowo, słuchajcie komunikatów, gdy dzwoni do Was bank. Ten prawdziwy. Wiem, są długie i nudne, ale bywają bardzo ważne. Coraz częściej na automatycznych infoliniach, gdy generowane jest dla nas hasło, jesteśmy informowani o tym fakcie i jego celu. Po to, by komunikat: „Nie podawaj tego kodu nikomu!” przekonał nas, że to vishing. A nasz rozmówca tylko podaje się za pracownika banku.

Nie musisz (jeszcze) niczego przelewać

Wiem, miało być o inwestycjach. Czy raczej „inwestycjach”, bo jedyny zysk mają na nich oszuści. Do niedawna ich aktywności ograniczały się do stron/reklam na Facebooku, obiecujących ogromne zyski ze złóż ropy, gazu, czy Bitcoinów. Ostatnio trafiłem na sprytny phishing hybrydowy. Zaczęło się od strony, sugerującej oddanie inwestycji w „ręce” automatu. Co więcej, nie musimy przelewać naszych pieniędzy! Tzn. musimy, ale – o dziwo – nie od razu. Najpierw poczytajmy stronę, opinie innych, zapiszmy się (oddając nasze personalia, mail i telefon oszustom) i… czekajmy na telefon! Tutaj oszuści w sprytniejszy sposób wzbudzają nasze zaufanie, podsuwając marchewkę i niczego (w pierwszym kroku) nie żądając. Stawiam ich wszystkie BTC, że dzwoniąc wezmą się za przekonywanie do instalacji AnyDeska albo czegoś podobnego.

Ten przykład to jednak wyjątek, scam „na bitcoiny” to wciąż nachalne reklamy w social mediach, czy – coraz częściej – rozmowy telefoniczne. W ostatnich dniach kilkakrotnie do CERT Orange Polska trafiły informacje o rozmówcach telefonicznych, próbujących przekonać, że „na naszej platformie czekają na pana bitcoiny do wypłaty”, zgodnie ze schematem, który opisywałem jakiś czas temu. Zdarza się, że rozmówcy przypadkowo się rozłączają, a gdy niedoszła ofiara oddzwania, słyszy kogoś innego! Właściciel numeru twierdzi, że nie ma pojęcia o żadnych bitcoinach, zdarza się, iż mówi, że to nie pierwszy taki telefon, który danego dnia odebrał. Nie wiadomo na jakiej zasadzie oszuści wybierają numery – nikomu z moich znajomych nie zdarzyło się jeszcze, by podszywali się pod niego.

A co robić w przypadku takiej rozmowy? To akurat proste. „Proszę pana/i, nie mam u was żadnych bitcoinów, żegnam”. Nie zaszkodzi z poziomu telefonu zablokować numeru, by nie próbowali nas przekonać, że jednak tak. Nikt nie rozdaje bitcoinów za darmo, a jeśli gdzieś zainwestowaliśmy nasze oszczędności w kryptowaluty, to przecież sami dobrze o tym wiemy!

Choć do tupetu i bezczelności sieciowych przestępców przez lata zdążyłem się już przyzwyczaić, zdarzają się sytuacje, gdy nóż po raz kolejny sam otwiera mi się w kieszeni. Co ciekawe, phishingowy schemat, który za chwilę opiszę, nie jest nowy. Jednak ewentualna niefrasobliwość ofiary pozwoli przestępcy zabrać jej wszystkie (i jeszcze więcej) pieniądze.

Znowu „drobne” do dopłacenia

Zaczyna się od SMSa, w naszym przypadku podszywającego się pod zaległość w fakturze za energię dla PGE.

Energetyczna spółka w ostatnim czasie jest jednym z ulubionych celów oszustów. Jeśli damy się przekonać, że nie dopłaciliśmy kilku złotych i klikniemy w link w wiadomości, „skracacz” rozwinie się na pełny adres.

Tu wprawne oko dojrzy nie tylko nie mający nic wspólnego z PGE ani jakimikolwiek płatnościami adres (hxxps://thepostowanie[.]xyz). Zobaczycie także to, przed czym od miesięcy ostrzegamy – drobną kwotę do zapłaty. To prostacka socjotechniczna sztuczka, mająca uspokoić nasz mózg. „To przecież drobna kwota, na takie kwoty się nie okrada!”. To prawda – chcą Was okraść na znacznie większą. Ale o tym zaraz. Jeśli przejdziemy do „płatności”, pojawi się kolejna czerwona flaga. Spójrzcie:

Co to jest to „48”? Można się domyślić, że chodzi o numer telefonu, ale z treści stron nic nie wynika. Spodziewałbym się jednak, że to też niedługo ulegnie zmianie. Przestępcy postarają się, żeby wyglądało jeszcze naturalniej. Kolejny krok to już znany standard:

z informacją „dane nabywcy” tam gdzie – jak zakładam – oszuści chcieliby dostać numer telefonu ofiary.

Co mnie zatem tak wyjątkowo zdenerwowało?

Instalują mobilną aplikację banku!

Zazwyczaj przestępcy w kolejnym kroku podstawiają na swojej stronie formularz logowania do banku, wykradając nasz login i hasło. Tu jednak jest inaczej:

Od kiedy do mTransferu potrzebny jest PESEL i nazwisko panieńskie matki? Ano od nigdy – to dane potrzebne, by aktywować aplikację mobilną banku (i dać jej pełne uprawnienia do naszego konta)! Kolejne kroki mogą się udać tylko w przypadku osób, które nigdy nie korzystały z aplikacji mobilnej, dlatego to bardzo ważne, byście w tym aspekcie uświadomili mniej świadome osoby, np. seniorów, którzy nie korzystają z aplikacji na smartfony.

Przestępcy proszą bowiem o podanie dwóch kluczowych kodów. Najpierw PINu, „uwalniającego” blokadę drugiego ciągu cyfr, a po jego wpisaniu – finalnego kodu, aktywującego aplikację mobilną. Po drodze automatyczny konsultant WIELOKROTNIE komunikuje (do znudzenia wręcz), że kody te służą on do aktywacji aplikacji i by nie podawać ich NIKOMU, wpisując na klawiaturze telefonu (!) i w aplikacji! To miało ukrócić praktyki przestępców, ale skoro wciąż atakują m.in. klientów mBanku należałoby założyć, że nawet takie ostrzeżenie nie zawsze działa!

Uważajcie i ostrzeżcie mniej technicznych członków rodziny/znajomych. Ja wiem, że słuchanie IVRów potrafi być ekstremalnie nudne, ale gdy idzie o transakcje finansowe

słuchamy dokładnie i szczegółowo, co do nas mówi automat!

Taka ostrożność wystarczy, by nie zostać oszukanym w opisywanym przeze mnie schemacie.

Kto za tym stoi?

Wiele wskazuje na to, że ataki „na faktury” to kolejny odłam wschodni grup cyberprzestępczych, które wydają się celować w dominację na polskim rynku. Starając się co najmniej iść krok w krok z nimi (czasami udaje się nawet wyprzedzać kryminalistów) sporo widzimy, choćby nie tylko zbieżność modus operandi z atakami „na Allegro”, czy „na OLX”, ale także zbyt bliskie podobieństwa w zakresie używanej infrastruktury. Na poprawę skuteczności może wpłynąć też fakt, iż oszuści zaczęli wysyłać phishingowe SMSy z polskich numerów (wcześniej przychodziły m.in. z niemieckiej numeracji +49).

Utrudnieniem dla zespołów bezpieczeństwa może być też fakt, iż do kradzieży używana jest niestandardowa infrastruktura. Nie mamy do czynienia z klasycznym botnetem, kierowym przez oszusta sprzed peceta. Analiza ruchu sieciowego wskazuje, iż strony przestępców komunikują się z nimi za pośrednictwem protokołu aplikacji Telegram. To rozwiązanie, używane często w społeczeństwach totalitarnych. Utrudnia ono służbom specjalnym dotarcie do nadawców wiadomości, ale także zespołom bezpieczeństwa wyśledzenie cyfrowych napastników. Na szczęście mamy też inne sposoby. Również te, które całkiem niedawno opisywałem.

No i bloga, za pośrednictwem którego możemy ostrzec Was i poprosić, byście przekazali tę wiedzę wszystkim, co do których obawiacie się, że mogliby dać się oszukać. I oczywiście nie sugerujcie się tym, że aktualna kampania jest na PGE – przestępcy mogą za kolejnym razem wybrać zupełnie inną firmę. Chodzi o schemat działania, który naprawdę warto zapamiętać.