12:25
30/7/2014

Scam z fałszywymi fakturami, który opisywaliśmy już przeszło miesiąc temu przeżywa swój renesans. Dziś kilkadziesiąt osób przesłało nam informacje o fałszywym żądaniu zapłaty od Allegro. Jak zawsze w przypadku tego typu fałszywych e-maili, w wiadomości znajduje się załącznik, którego otwarcie grozi zainfekowaniem naszego komputera złośliwym oprogramowaniem.

Fałszywe e-maile podszywające się pod Allegro

Oto przykład dzisiejszego e-maila, który podesłał jeden z naszych czytelników. Po lewej stronie widać oryginalną wiadomość, jaką Allegro wysyła w przypadku zaległości, a po prawej fałszywka:

Fałszywa wiadomość od Allegro - żądanie zapłaty

Fałszywa wiadomość od Allegro – żądanie zapłaty

Od: “Allegro” Temat: Opłaty Allegro za 7/2014

Witaj,
Oplaty Allegro
Jezeli otrzyma Pani/Pan te wiadomosc po dokonaniu wplaty (gdy pieniadze sa juz w drodze na konto Allegro.pl), prosimy uznac ponizsze informacje za nieaktualne. Jednoczesnie dziekujemy za uregulowanie naleznosci.

Informujemy, ze uplynal wyznaczony w poprzednim powiadomieniu termin zaplaty za uslugi Allegro.pl. Termin ten nie moze zostac przedluzony. Niestety do dzis nie otrzymalismy wplaty. Uprzejmie prosimy o uregulowanie platnosci zgodnie z rozliczeniem za miesiac 7/2014.

Biezaca kwota do zaplaty: -25,50 zl

W przypadku otrzymywania faktur, pamietaj aby oplacac je zgodnie z pozycja Razem kwota do zaplaty.

Dane do wplaty:
PayU S.A.
ul. Grunwaldzka 182
60-166 Poznan

mBank SA, O/REG. w Poznaniu,
77114011243630050002533390

Ta wiadomosc zostala wygenerowana automatycznie. Prosimy na nia nie odpowiadac.

Pozdrawiamy,
Zespol Allegro

Załącznik: wiadomosc_faktura.formularz przekazu.pdf.zip

Uwagę przykuwa dość dobre naśladownictwo oryginału (zapewne skorzystano z prawdziwego szablonu, z podmienionym numerem rachunku bankowego), brak umieszczenia imienia po “Witaj”, oraz wysyłka na adres e-mail biuro@domena, który może być automatycznie generowany.

Do e-maila oczywiście załączony jest plik zip, który po rozpakowaniu zawiera infekujący komputer złoślywym oprogramowaniem plik .pif

image006

Plik ten wykrywany jest na razie jedynie przez 5 niszowych antywirusów oraz Eseta:

Antivirus_scan_for_7c5f44e0ab11f12865d1cba238abd7b9177105f25ff5f7650465cfe8e05707b7_at_UTC_-_VirusTotal

Raport z Anubisa tutaj.

Fałszywe faktury od Netii

Wczoraj z kolei scamerzy podszywali się pod Netię.

Fałszywa faktura od Netii

Fałszywa faktura od Netii

Wcześniej scamerzy rozsyłali fałszywe e-maile z zainfekowanymi fakturami podszywając się pod UPC, Netię, oraz Pocztę Polską. Schemat zawsze jest ten sam, a e-maile trafiają nie tylko do klientów tych firm.

Przekażcie tę ifnormację swoim mniej świadomym kolegom i koleżankom, oraz przede wszystkim osobom obsługującym w Waszych firmach aliasy typu “biuro”, “info” czy “kontakt”. W przypadku scamu z Pocztą Polską, wiele asystentek/sekretarek po odebraniu e-maila udało się na pocztę po odbiór awizo, które …nie istniało.


Przeczytaj także:



121 komentarzy

Dodaj komentarz
  1. Maile przychodzą na wiele adresów. Nie tylko na biuro, kontakt czy info.

    Mam jedną domenę z mailem ustawionym na catch-all i od rana dostałem z 50 maili od Allegro i T-Mobile na adresy zaczynające się od imię@…

  2. ESET tego nie wykrywa jeszcze.

  3. Jeden z pracowników w mojej firmie również dostał e-mail od t-mobile.

    Ciekawe jest że przyszedł on z adresu e-mail:
    I tutaj moje pytanie. Jak oni to zrobili? Skąd ta domena? Pewnie jestem ślepy i czegoś nie przyuważyłem.

    Sama wiadomość wygląda tak (+ oczywiście załącznik):

    Wiadomość wysłana automatycznie – prosimy na nią nie odpowiadać

    Witaj,
    w załączeniu przesyłamy Twoją miesięczną f@kturę.

    Dane klienta:
    Numer faktury: 512339392727
    Data wystawienia: 2014-07-30
    Termin płatności: 2014-08-10
    Nazwa wystawcy: T-Mobile Polska S.A.
    ul. Marynarska 12, 02-674 Warszawa, NIP 526-10-40-567
    Numer konta: 51 1030 1957 7777 8006 3177 9729
    Forma płatności: przelew bankowy
    Kwota do zapłaty: 134,16 PLN

    (do kwoty przelewu doliczana jest prowizja 50 gr dla serwisu Przelewy24.pl)

    Chcesz zapoznać się ze szczegółowym wykazem połączeń i historią swoich rachunków? Zaloguj się do serwisu samoobsługowego iBOA.

    Szukaj mobilnych inspiracji na T-Mobile Trendy i odkrywaj najświeższe strony muzyki z T-Mobile Music:
    – Marcowe nowości w Audiotece,
    – Samsung Galaxy Core Plus – klasyka w nowoczesnym wydaniu,
    – Safari na iOS – przydatne wskazówki,
    – Najnowsze opinie redakcji muzycznej.

    W razie dodatkowych pytań skontaktuj się z nami.

    Pozdrawiamy,
    T-Mobile

    Informujemy, że załączony dokument w formacie PDF jest fakturą w rozumieniu Ustawy z dnia 11.03.2004 r. o podatku od towarów i usług. Można ją przechowywać w formie elektronicznej lub papierowej po wydrukowaniu.

    Jeżeli załącznik do niniejszej wiadomości nie otwiera się, zainstaluj bezpłatny program Adobe Reader dostępny pod linkiem.

    • Poprawka
      Już 2 osoby zgłosiły takiego e-maila.

    • > I tutaj moje pytanie. Jak oni to zrobili? Skąd ta domena? Pewnie jestem ślepy i czegoś nie przyuważyłem.
      https://niebezpiecznik.pl/post/jak-namierzyc-nadawce-falszywego-e-maila/

    • Ja rowniez otrzymalem takiego e-maila podszywajacego sie pod T-mobile z domeny kturat-moble.pl

    • u mnie domena jest ktura.t-mobile.pl i również nie wiem o co chodzi z tą domeną. Skąd mają taką subdomenę?

    • Kamilu, nie mają tej domeny. Spójrz sobie w nagłówki maila to wszystko stanie się jasne. Konkretnie pole “From:”. Możesz tam wpisać “whitehouse.gov” jak chcesz.

    • I wszystko jasne ;) dzięki za wyjaśnienie,
      Tak myślałem że to jakiś trik, tylko nie wiedziałem za bardzo jaki.

  4. U mnie to samo (catch all) – pełno maili “T-Mobile” na różne kombinacje mojego imienia i nazwiska oraz na maile, które krążą po bazach spamerskich. W mailach numery kont, kwoty i załączniki.

  5. Ja regularnie od kilku miesięcy dostaję e-maile od “T-Mobile”, jako zaległe faktury do zapłaty. Szkoda tylko, że na jakąś kobietę, która mieszka w dwóch miejscach naraz.

  6. Swoją drogą, w mailach od Allegro i “Allegro” czytamy, że do zapłaty jest -100/-25 PLN. Czyli, że oni mają mi zapłacić?

    • Otwórz fakturę to się dowiesz :D
      Może to kolejny haczyk który ma skłonić do otwarcia wiadomości :)

  7. Pierwsze co zwróciło moją uwagę w rzekomym mailu od Allegro to brak ogonków ;)

  8. moglby ktos przestudiowac dzialanie tego pifa i ladnie sie podzielic? :)

    • I co się wtedy stanie ?
      Złożysz sobie konto na fb i będziesz udawał specjaliste ?
      Napiszesz wypracowanie i twój nauczyciel gładząc cię po głowie powiem dobrze 5-
      , powinieneś dodać informacje o konieczności instalowania aktualnego oprogramowania Anty Wirusowego

  9. Otóż, działa tak: PIF PAF <<< i Twój komputer nie żyje. :D

  10. jak to jest możliwe że ktoś jawnie wyłudza pieniądze a wiadomo że idzie to na konto – w tym przypadku do BRE banku.

    • Konto może zostać założone przez słupa.
      Albo przez kradzież tożsamości.

  11. No proszę, nie ja jedyny. A już screeny przygotowywałem i miałem pierwszy raz coś wysyłać, ale nawał pracy mnie spowolnił w tej materii.
    Ja dostałem “fakturę od Ery”. .zip zamiast .pdf od razu przykuł moją czujność – próbę otworzenia archiwum zablokowała Avira.
    Podsyłam screeny:
    dobry: http://i.imgur.com/nMQhBSg.png
    fałszywy: http://i.imgur.com/UobsYbt.png
    Tu również brak nazwy firmy.

  12. Jako ciekawostkę załączam fragment nagłówka fałszywki – interesujący jest ten “return path” – przypominam, to faktura od Ery, nie od Allegro:

    Return-Path:
    Received: from alicegate (host2-27-static.58-79-b.business.telecomitalia.it [79.58.27.2])
    by —-.net (Postfix) with ESMTP id 802DE50D41E
    for ; Wed, 30 Jul 2014 09:01:52 +0000 (UTC)
    Received: from [132.52.185.58] (helo=zpbnovge.hrdoqzhqobfvaag.ru)
    by alicegate with esmtpa (Exim 4.69)
    (envelope-from )
    id 1MMW21-8737fb-VT
    for marooned@—-.net; Wed, 30 Jul 2014 10:06:46 +0100
    From: “T-Mobile – faktura”

  13. Jako ciekawostkę załączam fragment nagłówka fałszywki – interesujący jest ten “return path” – przypominam, to faktura od Ery, nie od Allegro:
    Niestety, w powyższym komentarzu wywaliło połowę tekstu (może moderator usunie, bo komentarz nie ma sensu). Tutaj wersja oryginalna:
    http://pastebin.com/2ZhZrudX

    • Dokładnie to samo doszło do 4 pracowników w mojej firmie.

    • Widzę, że nie tylko fakturę od “Ery” dostałem (30 lipca), ale też od Poczty Polskiej (23 lipca x3, 28 lipca x2, ), Orange (31 lipca oraz 16 lipca) i Netia (29 lipca). Do tego 2 “reklamacje Poczty polskiej” (31 lipca) i jeden “mms od mms.era.pl” (29 lipca).
      Wszystko na ten sam mail, którego praktycznie nie używam. Poza Erą, reszta trafiła do spamu.

  14. ja niestety przez własną głupotę :((( kliknęłam w załącznik .zip w fałszywym mailu od T-mobie, próba otwarcia się nie powiodła, jak mnie poinformowała przeglądarka Safarii ale jestem całkowitym laikiem jeżeli chodzi o takie ataki, przeskanowałam już dwa razy komputer programem antywirusowym Kaspersky ale mam obawy czy jest w stanie złośliwe oprogramowanie wykryć jeżeli coś mi się zainstalowało :(

    • Wygląda na to, że Kaspersky jeszcze nie rozpoznaje tego wirusa, ale już więcej antywirusów go widzi.
      Niebezpiecznik przeważnie podaje link do skanu VirusTotal, nie tylko screena, ale coś teraz nie widzę, więc podam:
      https://www.virustotal.com/pl/file/7c5f44e0ab11f12865d1cba238abd7b9177105f25ff5f7650465cfe8e05707b7/analysis/
      (Nazwa pliku jest inna, ale pod względem zawartości to ten sam plik – ten sam hash.)
      Polecam spróbować przeskanować czymś innym lub poczekać aż na liście będzie podane, że Kaspersky wykrywa tego wirusa i wtedy powtórzyć skan.
      W międzyczasie radzę _nie_ logować się do żadnych banków i innych ważnych kont z tego komputera – patrząc po tym jak część antywirusów go rozpoznaje jest to keylogger. (A jeśli już się zalogowało, to zmienić na innym komputerze lub jak już trojana się pozbędzie.)
      :)

  15. pawel: poczytaj oZUSie ;)

  16. Dlatego lepsza jest papierowa :]

  17. ciekawe ilu idiotów przelało mu pieniądze :) i ile

  18. Dostałem identyczny spam z “fakturą” od “T-mobile” (Polskie znaki w e-mailu były błędnie kodowane.

    T-Mobile: Twoją miesięczną f@kturę

    na adres na Yahoo (wykorzystany JEDYNIE do rejestracji bota w GG oraz IRCowego konta w Quakenecie).
    Załącznik .zip
    Avira wykryła “HIDDENEXT/Worm.Gen”.

  19. buahaha ciekawe że w mbanku kobieta po poinformowaniu jej o tym powiedziała że to nie jej sprawa i się rozłączyła a na chacie po poinformowaniu ich o tym że ktoś pierze pieniądze od nieświadomych lemingów wysyłając im fałszywe ponaglenia babka odpowiedziała mi że nie może tego zgłoszenia przyjąć bo nie ma takich możliwości .Ten bank to niepoważni ludzie (wcale bym się nie zdziwił jakby mieli w tym swój udział)
    http://www.fotosik.pl/pokaz_obrazek/pelny/d7e70b910083229d.html

  20. Kto ma dość allegro to polecam przenieść się na całkiem bezpłatny portal aledil.pl – to jest też jedyny portal w Polsce gdzie można sprzedawać w Bitcoinach

  21. Do Oli: jak już się robi jakiś portal to warto zadbać o kodowanie polskich znaków w czcionce którą się używa.

    • Jak już się do kogoś czepiamy, to warto używać prawidłowych wyrazów i nie mylić czcionki z fontem ;-)
      (tak, wiem, że polskie tłumaczenie Windows i w ogóle…)

    • @Marooned
      A jaka jest różnica pomiędzy czcionką a fontem?
      Oświeć mnie Boski!

    • Knoe – ja żaden boski i nie będę Cię oświecał. Niech to zrobią mądrzejsi ode mnie:
      http://typografia-w-praktyce.blogspot.com/2012/04/czcionka-font-istotne-rozroznienie.html

      Zamiast ironizować warto czasem poszerzyć horyzonty. Wszak wiadomo, że człowiek uczy się całe życie.
      Peace.

  22. Ten cały mbank to śmiech na sali tam pracują idioci i złodzieje .Koleś ewidentnie pierze brudny szmal od lemingów (stawiam kratę piwa że jego lewe konta kupione za BC już dawno się zwróciły) a w mbanku nic o tym nie wiedzą nawet zgłoszenia nie chcą przyjąć ! .Żal dupę ściska w moneybrokers już dawno koleś miałby poblokowane konta a tu w Polsce może sobie kręcić wałki w ch… i jeden dzień dłużej

    Polska to wyjątkowo opóźniony kraj (nie mam na myśli ludzi którzy wyjechali ale wyznaczoną przez obce mocarstwa władze sprzedawczyków)

  23. Mam pytanie, jezeli ktos otworzyl tylko plik ZIP, aby zobaczyc zawartosc tego archiwum, nie klikajac w plik .pif to juz ma zainfekowany komputer? Czy wirus aktywuje sie dopiero przy probie otwarcia pliku pif ?

    • Wystarczy, że spojrzysz na ten e-mail, a ty i twoja rodzina (do 5 pokoleń) będziecie mieli przeje..ne!

    • ja właśnie też mam ten sam problem, kliknęłam w załącznik, który się nie otworzył, komputer n-ty raz przeskanowany Kasperskym ale dalej mam obawy czy się gdzieś jakieś dziadostwo nie zainstalowało, może ktoś coś podpowie jak sprawdzić ? mi się w ogóle ten plik nie otworzył, teraz już dokładnie nie pamiętam jaki był komunikat ale coś że nie można właśnie otworzyć archiwum

    • Łukasz samo podejrzenie zawartości archiwum czy nawet podejrzenie zawartości pliku (np. podgląd w Total Commander przez “F3” ) nie powoduje infekcji. Infekcja prawdopodobnie* będzie jeśli uruchomisz plik ( skrypt). *zależnie od posiadanych programów zabezpieczających.

      Nowa,
      z dużym prawdopodobieństwem można przyjąć że masz już zainfekowany komputer. Wszystkie komunikaty o błędach przy otwarcia pliku są celowo wprowadzone. Infekcje nie są tak spektakularne jak się pokazuje w filmach, gdzie po otwarciu pliku na ekranie pojawia się trupia czacha czy coś podobnego ;) Skoro Kaspersky nie opracował jeszcze sygnatury to możesz im sama podesłać próbkę do analizy. Puki co ściągnij sobie CureIt od DrWeb’a. [ http://www.freedrweb.com/cureit/?lng=pl ] Jest to darmowy skaner niewymagający instalacji. Z linku na virustotal widzę, że DrWeb już wykrywa ten malware. Czyli powinien wykryć infekcję o ile ona faktycznie tam jest. Tak z ciekawości pracujesz na komputerze z uprawnieniami administratora?

    • a ma to jakieś znaczenie przy infekcji komputera lub skanowaniu antywirusem ??

  24. mBank nic nie wiem i nic nie robi mimo wielu zgłoszeń

  25. Avast wykrywa maila z fakturą pdf.pif a dostałem ich ostatnio z pięć :)

  26. A u mnie cisza… :)

  27. Tyle się napracowali ale ą/ę nie dali rady już użyć…

  28. Też dostałam ten fałszywy email oe T- mobile, od razu mi podpadło bo dzień wcześniej dostałam powiadomienie smsem o wystawionej fakturze a dzień później kolejną tylko,że z innym niż standardowy numer konta, bez nazwiska i z inną kwotą. Od razu mi to zaśmierdziało jakimś oszustwem. Uważajcie i nie dajcie się nabrać, czytajcie dokładnie nadsyłane faktury.

  29. Poprawka najpierw dostałam SMS- em powiadomienie o wystawieniu faktury, potem to samo na email jak zawsze, podejrzane było to,iż dzień później dostałam kolejną fakturę na email ale z inną kwotą, bez danych osobowych z inym numerem konta niż zwykle i inym okresem rozliczeniowym. Uważajcie

  30. Właśnie dostałem coś takiego z T-Mobile na kwotę stu zł. Faktura nie jest imienna, więc już zapala się czerwona lampka. Poza tym – nie mam z T-Mobile nic wspólnego, mam telefon w innej sieci. Jeśli ktoś takowy ma i żyje w pośpiechu, pewnie może się nabrać i na to pewnie liczą oszuści. Trzeba sprawę nagłośnić.

  31. Mamy również “polski” akcent:

    Return-path:
    Envelope-to: !HIDE!
    Delivery-date: Wed, 30 Jul 2014 14:53:33 +0200
    Received: from rtr.npa.pl ([91.188.97.250]) by !HIDE! with esmtp
    (envelope-from ) id !HIDE! for
    !HIDE!; Wed, 30 Jul 2014 !HIDE! +0000
    Received: from [67.134.175.193] (helo=!HIDE!.sgwpchcg.ua) by rtr.npa.pl
    with esmtpa (Exim 4.69) (envelope-from ) id !HIDE! for
    !HIDE!; Wed, 30 Jul 2014 !HIDE! +0100
    From: T-Mobile faktura
    To:
    Subject: T-Mobile: Twoją miesięczną f@kturę
    Date: Wed, 30 Jul 2014 !HIDE! +0100
    MIME-Version: 1.0
    X-Priority: 3
    Message-ID:

    Widać że wreszcie “zatrudnili” kogoś kto zna polski ale parę błędów jeszcze im zostało do poprawienia.

  32. A ja nie mam nic do powiedzenia, tylko piszę po to, żeby dostawać powiadomienia o nowych tutaj wpisach :)

  33. A te całe zamieszanie jest przez operatorów wciskających na siłe e-faktury.

  34. A ja od ponad roku dostałem tylko JEDEN spam nie mając żadnego filtra antyspamowego. Jak to robię? Swój własny serwer mailowy hMailServer, który chodzi w domu 24h. Dla bardziej zaufanych znajomych/instytucji/firm daję konkretne aliasy, np. firmaxxx.paniagata@domowadomena.pl. Pani Agata zastanowi się dwa razy zanim sprzeda takiego maila komuś innemu ;) Do jakichś szybkich rejestracji na necie, o których mogę zaraz zapomnieć używam mytrashmail, mailinator itp. Rozdałem już ze 150 unikatowych adresów i do tej pory dostałem tylko jeden śmieć od jakiejś prywatnej osoby a maila sprzedał Armor Games :P Polecam samemu sobie taki serwerek postawić, nic trudnego, trzeba tylko trochę posiedzieć nad konfiguracją, poczytać dokumentację itp. (ale to normalna Windowsowa okienkowa aplikacja). Koniecznie trzeba tylko skorzystać z jakiegoś zewnętrznego serwera SMTP, bo inaczej nasze maile nie doją do odbiorcy, bo nasz serwer nie znajduje się na whiteliście (np. darmowe TurboSMTP). To wszystko mam na dynamcznym IP, ale to też nie problem.

    • Ale można też skorzystać z gotowych rozwiązań. Przykładowo poczta na Wirtualnej Polsce obsługuje tzw. ekstra aliasy. Czyli np. posiadasz podstawowy email jan.nowak@wp.pl. Dla swojego operatora telekomunikacyjnego/kontrachenta tworzysz np.taki jan.nowak+dostawca_uslugi@wp.pl ( pomiędzy nazwą konta a małpą wstawiasz “+”i “przypisaną nazwę”. Gmail z tego co pamiętam też posiada taką funkcję.

  35. Jak już się czepiamy to kròj pisma (typeface) a nie czcionka (font)

  36. Fałszywe PKO rozsyła również zawiadomienia o zablokowaniu dostępu online lub potrzebie weryfikacji danych:

    Twój dostep on-line zostala zablokowana
    Dla Twojego bezpieczenstwa, mamy zablokowane konta.
    Aby przywrócic dostep do swojego konta, kliknij: Zaloguj sie do iPKO i przystapic do procesu weryfikacji.

    Dostęp został zablokowany.
    Aby odblokować dostęp do serwisu, kliknij tutaj
    Przygotuj numer klienta i hasło, do odblokowania dostępu konieczne będzie użycie kodu jednorazowego.

    Zaktualizować dane

    Twoje konto nie działa prawidłowo.
    Aby mieć dostęp do wszystkich opcji w swojej bankowości internetowej należy zaktualizować informacje o profilu.
    Proszę kliknąć na poniższy link i zaktualizować dane.
    https://www.ipko.pl/aktualizacja_profilu/identyfikacja=887053007311149026

  37. Moim zdaniem trzeba to nagłaśniać bo przy dzisiejszym tempie życia uczciwych ludzi nieuczciwi mogą się obłowić.

  38. dzisiaj dostałem jeszcze takie cudo z orange :) Całkiem dobrze przygotowane, już z PL znaczkami itd.

    “Witamy,

    Przesyłamy fakturę Orange Polska w wersji elektronicznej za sierpień 2014.

    Dla bezpieczeństwa i potwierdzenia oryginalności faktury załączamy link do bezpłatnej aplikacji weryfikującej: hxxp://sigillum.pl/pliki_do_pobrania.html wraz z wykazem osób upoważnionych do podpisywania dokumentów. Plik z fakturą można otworzyć za pomocą programu Adobe Acrobat Reader.”

  39. hmm… u mnie eset nie wykrywa tego

  40. Teraz zaś lecą “reklamacje” z “poczty polskiej” – ciekawe jaki będzie następny “temat mailingu”?

    • już jest – “Paczkomaty InPost – POTWIERDZENIE ODBIORU PACZKI”

      Return-path:
      Envelope-to: !adresat!
      Delivery-date: Thu, 31 Jul 2014 11:24:55 +0200
      Received: from [31.210.14.44]
      by xxxxxxxxx with esmtp (Exim 4.68)
      (envelope-from )
      id 1XCmbW-0005mg-W1
      for !adresat!; Thu, 31 Jul 2014 11:24:55 +0200
      Received: from [134.59.81.10] (helo=hlyktqkedluy.mvysigp.net)
      by with esmtpa (Exim 4.69)
      (envelope-from )
      id 1MM1T5-2874jq-TE
      for !adresat!; Thu, 31 Jul 2014 11:24:42 +0200
      Received: from [196.25.97.4] (helo=jffqedggryq.alukahvgduybv.tv)
      by with esmtpa (Exim 4.69)
      (envelope-from )
      id 1MMDD9-1698os-BB
      for !adresat!; Thu, 31 Jul 2014 11:24:42 +0200
      Date: Thu, 31 Jul 2014 11:24:42 +0200
      From: “Paczkomaty InPost”
      To:
      Subject: Paczkomaty InPost – POTWIERDZENIE ODBIORU PACZKI
      MIME-Version: 1.0
      X-Priority: 3
      Message-ID:

  41. A dziś dla odmiany Paczkomaty InPost – POTWIERDZENIE ODBIORU PACZKI

    “Witaj ponownie!

    Potwierdzamy, że w dniu 31-07-2014 zarejestrowano odebranie Twojej paczki o nr 60204478908404203325582.

    Mamy szczerą nadzieję, że było wygodnie odwrócić cały proces, kiedy to paczka czeka na Ciebie, a nie Ty na poczcie lub na kuriera!

    Ze słońcem twarzą w twarz.

    Ze słońcem twarzą w twarz,
    Zespół Paczkomaty InPost

    PS. Odwiedź nasz fanpage na Facebook’u facebook.com/paczkomaty. Zawsze w piątki nakręcamy weekend ulubionymi piosenkami. Możesz nam coś polecić?

    Wszelkie kreatywne pomysły dotyczące usprawnienia usługi lub uwagi dotyczące Twojego doświadczenia z nimi możesz przekazać nam osobiście 801 400 100 lub z telefonu komórkowego 722 444 000 oraz mailem na info@paczkomaty.pl.”

    oraz załacznik 60206715701221386362230.pdf.zip

  42. Czy SPF nie rozwiązałby części tych problemów?

    • Rozwiązałby – o ile i jedni (firmy pod ktore sie podszywaja) i drudzy (ofiary) mieliby go skonfigurowanego poprawnie. A tak nie jest. No i zawsze przestepcy moga z podobnej, a nie oryginalnej domeny napisac, to najprostszy trick ;-)

  43. Następne jest potwierdzenie odbioru paczki z InPost.

  44. ja dostałem jeszcze z:

    “Paczkomaty InPost – POTWIERDZENIE ODBIORU PACZKI

    Witaj ponownie!

    Potwierdzamy, że w dniu 31-07-2014 zarejestrowano odebranie Twojej paczki o nr 60202634169682446143728.

    wewnątrz zip z wirusem

  45. Do niechlubnej listy dołączają Paczkomaty i potwierdzenia odbioru paczki w formie załącznika.

    Mail ma postać :

    Witaj ponownie!

    Potwierdzamy, że w dniu 31-07-2014 zarejestrowano odebranie Twojej paczki o nr 60202831890459917539622.

    Mamy szczerą nadzieję, że było wygodnie odwrócić cały proces, kiedy to paczka czeka na Ciebie, a nie Ty na poczcie lub na kuriera!

    Ze słońcem twarzą w twarz.

    Ze słońcem twarzą w twarz,
    Zespół Paczkomaty InPost

    PS. Odwiedź nasz fanpage na Facebook’u facebook.com/paczkomaty. Zawsze w piątki nakręcamy weekend ulubionymi piosenkami. Możesz nam coś polecić?

    Wszelkie kreatywne pomysły dotyczące usprawnienia usługi lub uwagi dotyczące Twojego doświadczenia z nimi możesz przekazać nam osobiście 801 400 100 lub z telefonu komórkowego 722 444 000 oraz mailem na info@paczkomaty.pl.

    Centrala: Paczkomaty InPost Sp. z o.o., ul. Malborska 130, 30-624 Kraków
    Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, XI Wydział Gospodarczy
    Krajowego Rejestru Sądowego, KRS 0000255841, NIP 679-28-95-061
    Kapitał zakładowy 11 550 000 zł opłacony w całości.

    • Nie wiem, czy warto tak zaśmiecać forum, ale się odezwę. Po wcześniejszych “fakturach” z DHL i Polskiej Poczty – w poprzedniej fali, teraz dostałem od razu dwie sztuki:

      1. Paczkomaty InPost
      2. efaktura@orange

      Może nie będę wchodził w szczegóły, bo to zaczyna robić się nudne. Mam tylko jedno spostrzeżenie:

      Mimo, że mam kilka adresów poczty elektronicznej, ale wszystkie złośliwe maile otrzymałem tylko na jeden adres na portalu “elektroda”, który używałem dosyć rzadko i tylko do hobbystycznej korespondencji oraz zamawianiu próbek elementów elektronicznych.

      Jeszcze tylko uwaga, nie pamiętam, bym kiedykolwiek używał paczkomatów ani też nie mam niczego zarejestrowanego w orange…

  46. Ignorujcie również maile z paczkomatów InPost, sytuacja jak wyżej.

  47. Dziś wysyłane są maile od:
    “orange.com”
    From: e-fakturaF@orange.com
    Return-Path:
    Received: from bb118-200-232-228.singnet.com.sg [118.200.232.228] (HELO bb118-200-232-228.singnet.com.sg)
    Received: from [78.43.182.3] (helo=xolacs.sswmndfxuusazza.tv)
    by bb118-200-232-228.singnet.com.sg with esmtpa (Exim 4.69)
    Message-ID:

    “Poczta Polska S.A. eReklamacje”
    From: “Poczta Polska S.A. eReklamacje”
    Return-Path:
    Received: from 82-76-188-112.rdsnet.ro [82.76.188.112] (HELO 82-76-188-112.rdsnet.ro)
    Received: from [60.34.10.155] (helo=ssarfjkrbwoyxp.sprbdbebucd.tv)
    by 82-76-188-112.rdsnet.ro with esmtpa (Exim 4.69)
    (envelope-from )
    id 1MMTEY-9269sw-CH
    Message-ID:

    “Paczkomaty InPost”
    From: “Paczkomaty InPost”
    Return-Path:
    Received: from 151.13.27.114 [151.13.27.114] (HELO [151.13.27.114])
    Received: from [20.84.54.49] (helo=rwkalfbtpoxtka.zzripq.info)
    by with esmtpa (Exim 4.69)
    (envelope-from )
    id 1MM3RQ-3451qg-8M
    Received: from [144.74.23.82] (account diplomataq3@paczkomaty.pl HELO jwsltbf.eijyylqz.su)
    by (CommuniGate Pro SMTP 5.2.3)
    with ESMTPA id 254028641

  48. Nastepnie: “Twoja Zielona faktura Plus”

    Co lepsze to:
    Return-path:
    Envelope-to: XXXX
    Delivery-date: Thu, 31 Jul 2014 13:04:08 +0200
    Received: from mail by XXXX.com with spam-scanned (Exim 4.83)
    (envelope-from )
    id 1XCo9U-0000Rs-6K
    for XXXX

    XXXX – to fragment wycięty

    • w poprzednim wycięło mi źródło i zwrot maila a jest to: @paczkomaty.pl

  49. W tej wchwili otrzymałem maila z fakturą od Plusa :)

    Szanowni Państwo,
    uprzejmie informujemy o wystawieniu Zielonej faktury za ostatni okres rozliczeniowy.
    Podstawowe informacje dotyczące wystawionej faktury:
    Kwota wystawionej faktury: 27,92 zł

    Data wystawienia faktury: 31.07.2014
    Data płatności: 015.08.2014
    Numer konta bankowego: 30 1020 1026 2883 0000 1885 1433
    Razem do zapłaty (brutto): 29,95 zł

    W załączeniu znajduje się faktura za ostatni okres rozliczeniowy.
    Wszystkie wystawione faktury oraz informacje o zrealizowanych płatnościach znajdą Państwo na stronie Plus online, po uprzednim zalogowaniu się na swoje konto.
    W przypadku jakichkolwiek pytań prosimy o kontakt z numerem telefonu 2601* w sieci Plus, 601 102 601** z dowolnej sieci lub przesłanie wiadomości elektronicznej na adres: bok@plus.pl.

    Dziękujemy za wybór Zielonej faktury – dzięki temu wspólnie przyczyniamy się do ochrony środowiska naturalnego.
    PLUS
    * Koszt połączenia z Automatycznym Systemem Informacji Głosowej – 0,96 zł z VAT (dla Użytkowników i Abonentów Plus na Kartę: oferta Simplus, 36i6 oraz MixPlus IV Duo, Mix V, Mix6, Mix20 – 1,97 z VAT). Połączenie z Konsultantem – 1,97 zł z VAT (w taryfach MixPlus III i Mix4 – 0,96 zł z VAT).
    W przypadku połączenia się z Konsultantem Działu Obsługi Klienta opłata za połączenie z Automatycznym Systemem Informacji Głosowej nie będzie naliczana.
    ** koszt połączenia zgodny z taryfą operatora.
    Polkomtel sp. z o.o. z siedzibą w Warszawie przy ul. Postępu 3, 02-676 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla m.st. Warszawy XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS: 0000419430, kapitał zakładowy: 3.510.300.000 zł, NIP 527-10-37-727, REGON 011307968

  50. i żeby nie było nudno, pora na Plus GSM ;) Nie próżnują…

    Twoja Zielona faktura Plus nr: [EME/FAKTURA/1089401126291]
    faktura Plus 7740399512870.PDF.zip

    Return-path:
    Envelope-to: !adresat!
    Delivery-date: Thu, 31 Jul 2014 13:09:30 +0200
    Received: from [88.247.154.135] (helo=88.247.154.135.dynamic.ttnet.com.tr)
    by xxxxxxx with esmtp (Exim 4.68)
    (envelope-from )
    id 1XCoEj-0004K2-7f
    for !adresat!; Thu, 31 Jul 2014 13:09:30 +0200
    Received: from [120.45.93.85] (helo=lvxjwbotwftqhiw.gwvxyuutfdzd.ua)
    by 88.247.154.135.dynamic.ttnet.com.tr with esmtpa (Exim 4.69)
    (envelope-from )
    id 1MMW8N-3373jc-1E
    for !adresat!; Thu, 31 Jul 2014 13:09:17 +0200
    Received: from [184.81.81.2] (account gamownvn@paczkomaty.pl HELO sedriipud.ikzohpvbon.tv)
    by 88.247.154.135.dynamic.ttnet.com.tr (CommuniGate Pro SMTP 5.2.3)
    with ESMTPA id 791710032 for !adresat!; Thu, 31 Jul 2014 13:09:17 +0200

  51. Wczoraj miałam maila z T-mobile, dzisiaj z InPost, nic nie otwierałam nawet zgłosiłam do T-mobile wczoraj (zero odzewu). Mam nadzieje, że codziennie nie będę tego dostawać. masakra

  52. Ale trzeba przyznać że pomysł przedni.

  53. Dostałem maila, ale na szczęście wcześniej przeczytałem na Netiowym Facebooku żeby uważać. Najgorsze jest to że ludzi jak owieczki klikają, logują się bez żadnego sprawdzenia.

  54. Ciekawe czy którakolwiek z firm pod która podszywają się wysyłający maile, zgłosiła temat do jakichkolwiek organów.
    Jest tu jakakolwiek podstawa do zgłoszenia przestępstwa wykroczenia?

    • Bardzo dobre pytanie.

      “Ciekawe czy którakolwiek z firm pod która podszywają się wysyłający maile, zgłosiła temat do jakichkolwiek organów”?

      Może Redakcja wysłała by zbiorowe pytanie do tych firm?
      To zawsze jakaś forma walki ze SPAMem i materiał na artykuł który zainteresuje wielu “poszkodowanych”.

    • Na profilu InPostu – https://www.facebook.com/paczkomaty – piszą coś o przesyłaniu do Nich takich maili w celu zgłoszenia na Policję.

      Poza tym, mieli świetny czas reakcji porównując z innymi firmami, chyba czytają niebezpiecznik na bieżąco :)

  55. Ja dzisiaj byłam zgłosić sprawę w t- mobilu, zobaczymy co będzie, czy się tym zainteresują aby ostrzec klientów przed oszustami.

  56. Ja też dostałem z Plusa maila z info jak wyżej o zilonej fajturze

  57. pomysł prymitywny a nie przedni

  58. Na facebookuT- mobile pojawił się baner i ostrzeżenie o fałszerzach.

  59. i ja dokładnie też dostałem…

    Szanowni Państwo,
    uprzejmie informujemy o wystawieniu Zielonej faktury za ostatni okres rozliczeniowy.
    Podstawowe informacje dotyczące wystawionej faktury:
    Kwota wystawionej faktury: 24,62 zł
    Data wystawienia faktury: 31.07.2014
    Data płatności: 015.08.2014
    Numer konta bankowego: 30 1020 1026 2883 0000 1885 1433
    Razem do zapłaty (brutto): 29,95 zł
    W załączeniu znajduje się faktura za ostatni okres rozliczeniowy.
    Wszystkie wystawione faktury oraz informacje o zrealizowanych płatnościach znajdą Państwo na stronie Plus online, po uprzednim zalogowaniu się na swoje konto.
    W przypadku jakichkolwiek pytań prosimy o kontakt z numerem telefonu 2601* w sieci Plus, 601 102 601** z dowolnej sieci lub przesłanie wiadomości elektronicznej na adres: bok@plus.pl.
    Dziękujemy za wybór Zielonej faktury – dzięki temu wspólnie przyczyniamy się do ochrony środowiska naturalnego.
    PLUS
    * Koszt połączenia z Automatycznym Systemem Informacji Głosowej – 0,96 zł z VAT (dla Użytkowników i Abonentów Plus na Kartę: oferta Simplus, 36i6 oraz MixPlus IV Duo, Mix V, Mix6, Mix20 – 1,97 z VAT). Połączenie z Konsultantem – 1,97 zł z VAT (w taryfach MixPlus III i Mix4 – 0,96 zł z VAT).
    W przypadku połączenia się z Konsultantem Działu Obsługi Klienta opłata za połączenie z Automatycznym Systemem Informacji Głosowej nie będzie naliczana.
    ** koszt połączenia zgodny z taryfą operatora.
    Polkomtel sp. z o.o. z siedzibą w Warszawie przy ul. Postępu 3, 02-676 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla m.st. Warszawy XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS: 0000419430, kapitał zakładowy: 3.510.300.000 zł, NIP 527-10-37-727, REGON 011307968

  60. podstawą w tej sytuacji powinna być natychmiastowa blokada kont podanych do przelewu ! a co robi mbank NIC ! umożliwia bandytom pranie pieniędzy nie blokując ich kont bankowych .Wczoraj zgłosiłem to do mbanku
    na infolini powiedziano mi że nie mogą tego przyjąć (kobiecina nic nie słyszała)
    na chacie powiedzieli mi że nie mogę tego przyjać
    na emailu kontaktowym odpowiedzili mi w ten sposób

    http://1drv.ms/UDmQid

    Wystarczyło by @!$# zablokować konta i uniemożliwić przelewy i już by atak się skończył (ciekawe ile kont lewych są w stanie założyć 10,20 ?) szybka reakcja banków byim utrudniła życie tymczasem jest na odwrót przynajmniej w mbanku

    • Bank nie ma podstaw żeby cokolwiek blokować, przede wszystkim konta nie muszą należeć do osób rozsyłających te wiadomości, może to być przecież konkurencja.

  61. Aż mnie dziw bierze że wielki niebezpiecznik, uważany za znający się na rzeczy rozsyła masę spamu. Ludzie jak nie odczytam subskrypcji TO NIE PRZYSYŁAJCIE KOLEJNYCH POWIADOMIEŃ. To standard i odrobina kultury. Jak będę miał czas i odczytam to wówczas włącza się subskrypcja ponownie a nie to co teraz, 50 maili że ktoś napisał. To mocno wpływa na Wasz wizerunek.

    • @Artur, spoko – daj nazwę pluginu, który to tak reaguje to podmienimy. Kosztem jest to, że trzeba będzie trackować użytkowników naruszając ich prywatność i nie będzie to działało ze wszystkimi e-mailami. PS. spam to niechciana wiadomość – a ty zapisałeś się sam na informowanie o nowych komentarzach w dość popularnym temacie. BTW: Zawsze możesz korzystać z RSS-ów dla komentarzy.

    • A ja akurat uważam to za dobrą opcję. Przez to, że można tu odpowiadać, nie ma jak chronologicznie przeczytać wszystkiego od ostatniej wizyty. A tak przeglądasz maile i wchodzisz tylko, jak jest coś interesującego. Jeden minus, że w mailu nie ma backlinka do konkretnego komentarza.

    • Faktycznie brak backlinka jest upierdliwy i szukanie swojego komentarza w gąszczu innych jest czasochłonne, szczególnie że czasami interesują mnie tylko odpowiedzi na mój komentarz i nie mam czasu lub chęci na czytanie wszystkiego, co później zostało napisane.

      A co do spamu od Niebezpiecznika, to o czym kolega wspomniał jest raczej trudne do zrobienia, bo musiałby wchodzić przez link na stronę by potwierdzić odczytanie, bo z samego maila chyba ciężko, chociaż Outlook itp. jakoś sobie radzi. W każdym bądź razie najprościej i najefektywniej byłoby zrobić tak, jak jest na niektóych stronach (akurat nie pamiętam na której, ale gdzieś to widziałem), że jest powiadomienie o nowym poście i następne powiadomienia nie przychodzą do momentu odczytania tego postu. Bo przyznam, że też się dziś zdziwiłem, jak miałem ok. 30 wiadomości od Niebezpiecznika, szczególnie, że większość dotyczyła tego samego tematu, i w dodatku nikt nie odpowiedział na mój komentarz.

      Przydałaby się opcja “informuj mnie o odpowiedziach” oraz oddzielnie to co jest teraz “Informuj mnie o nowych komentarzach pod tym postem”.

  62. Ja dostałam kolejne emaile razem dostałam już trzy: t- mobile,in post i plus

  63. “który po rozpakowaniu zawiera infekujący komputer złoślywym oprogramowaniem plik .pif”

    Droga redakcjo, może czas zatrudnić jakąś osobę do korygowania błędów? Bo w niemal każdym wpisie jakiś babol :P

  64. uwaga – ten sam schemat powtarza się od T-mobile, Orange, Plusa, Playa, Poczty Polskiej, AMAZONa, InPOST, TNT, DHL, booking.com oraz często “MMS” od Orange i inne

  65. […] Atak zdaje się nie być powiązany z ostatnią falą fałszywych faktur i potwierdzeń i żądań […]

  66. rozumiem wykorzystanie domen z literówkami, ale jak to się dzieje, że maile wysyłane są z oficjalnych domen, np. Orange.com?

  67. Niby można ustawić dowolny ale to nie zadziała, trzeba mieć jakiś hakerski system, testowałem u siebie i TheBat krzyczy że błędny nadawca.

    • Jak ktoś używa nietoperka do wysyłania sfałszowanych wiadomości, to nic dziwnego, że nie działa. Nawet sendmail ma taką możliwość.

  68. UWAGA: zainfekowane są również “Zielone faktury” wysłane z Plusa z adresu e(małpa)fakturaplus.pl oraz z InPostu “POTWIERDZENIE ODBIORU PACZKI” wysłane z adresu info(małpa)paczkomaty.pl

    Wszystkie te oszukane wiadomości wyglądają bardzo podobnie do oryginałów.
    Charakterystyczny jest załącznik wielkości 23KB o nazwach *.xml.zip lub *.pdf.zip

    Niestety jeden z największych producentów programów AV dla korporacji nie wykrywa zagrożenia.

    Ta akcja jest zakrojona na zbyt szeroką skalę, jak na jakiegoś script kiddies…

    • Aleś odkrył rozmawiamy o tym od tygodnia.

    • Ciekawe jest to, że załączniki *.zip to puste pliki wypełnione tylko ciągiem znaków 00h długości powyżej 22KB. Podobnie logo Plusa w pliku plus_01.jpg.
      Nie bardzo rozumiem jaki jest cel przesłania takich plików. Chyba, że filtry antywirusowe na serwerze pocztowym Onetu wykryły zagrożenie i wyczyściły szkodliwą zawartość tych plików. Ktoś sprawdzał załączniki?

      Poniżej załączyłem nagłówki maili z danymi pierwszego serwera SMTP przyjmującego oszukane maile.

      Mail od Plusa:

      Received: from [24.42.37.45] (helo=cdgol.hkczsjgqr.biz)
      by ppp-94-67-156-103.home.otenet.gr with esmtpa (Exim 4.69)
      (envelope-from )
      id
      for ; Thu, 31 Jul 2014 13:35:40 +0200

      Maila od InPost:

      Received: from [164.48.48.11] (account mozarto441@paczkomaty.pl HELO jnucseirk.yeewrvmvgopnq.va)
      by bband-dyn145.178-40-206.t-com.sk (CommuniGate Pro SMTP 5.2.3)
      with ESMTPA id for ; Thu, 31 Jul 2014 11:07:05 +0100

      Oczywiście domena jest oszukana, wykorzystali prawdopodobnie dziurawe serwery pocztowe w Ericsson LIR oraz LCPR-HSD – Liberty Cablevision of Puerto Rico LTD.

    • Już domyślam się, dlaczego wspólnym mianownikiem wszystkich tych maili jest EXIM <= 4.69 http://cvedetails.com/cve/2010-4344 oraz CommuniGate Pro SMTP 5.2.3, którego nie łatają już od ponad 4 lat: https://www.communigate.com/main/support/

      Gdyby nie źle opłacani i/lub niedouczeni admini, to takie akcje były trudne do przeprowadzenia.

      Proponuję nową akcję #ŁatajSerwer wbrew P…….!

  69. AV Microsoftu na szczęście wykrywa i przy okazji dowiedziałem się, że MS udostępnia takie coś: http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Trojan%3aWin32%2fTinba.A&threatid=2147657487#tab=2
    Ogólnie jest już wykrywany przez większość popularnych AV: https://www.virustotal.com/pl/file/be54163d0967a91813aaca582d5c6bb2db764f99a8599527fdc91b88c6f8b6d6/analysis/1406973775/
    Analizował ktoś to coś, gdzie się łączy? ;>

  70. Na motyw z fakturą nigdy by mnie nie złapali. Zawsze płacę sporo po terminie, a czasem nawet dopiero po wezwaniach, a to tez nie od razu :)

    Ale paczkomat już mógłbym kliknąć. Sprytne.

  71. […] dziwnego, że tyle osób nabiera się na fałszywe wiadomości e-mail z fakturami, skoro same firmy im to ułatwiają… Dziś 2 ciekawe przypadki prawdziwych (!!!) e-maili od […]

  72. Mnie zaś zastanawia, dlaczego oszuści wysyłają spam z fałszywych adresów e-mailowych, skoro mogą się podszyć pod oryginalne e-maile. Wystarczy w PHP napisać prosty formularz mailowy, który jako nadawcę będzie podawał… to co sobie dowolnie wpiszemy w formularzu. Już tak kiedyś robiłem z ciekawości i faktycznie w polu “wiadomość od:” było to, co wpisałem. Dzięki czemu mogłem wysłać koledze (a najpierw sobie) wiadomość z teoretycznie jego własnego adresu i napisać tam, że znam jego hasło mailowe i radze mu je zmienić :P Myślę, że to nie było nielegalne, bo nic nie wykradłem w ten sposób, aczkolwiek jestem świadom tego, że ta metoda może zostać wykorzystana do wyłudzania pieniędzy, zarówno przez typowy spam/pishing, jak również podszywając się pod Sprzedającego na Allegro podsyłającego Kupującemu inny nr konta do wpłaty. Zatem jedyne, czego brakuje do sfinalizowania oszustwa, to konto na słupa, ale to jak wiadomo również łatwo uzyskać, dzięki aktywacji konta przez przelew. W sumie to zastanawiam się też, czy opisywanie tego tu w komentarzu jest bezpieczne, bo ktoś może to przeczytać i wykorzystać w niecnym celu. Zatem istnieje prawdopodobieństwo, że moderator w ogóle nie dopuści tego komentarza do publikacji lub znacząco go ocenzuruje. W takim przypadku byłbym wdzięczny za odpowiedź Niebezpiecznika w tej sprawie.

  73. A ja od kilku dni dostaję pseudofaktury za niewiadomo co od presspublica sp z oo ( z maila no-reply.faktury.zwroty@gratka.pl :) treść maila łudząco przypomina prawdziwa, ale dane spółki (adres, krs, kapitał ) zmyślone. Odbiorca faktury zgodnie z treścią maila jest oczywiście mój adres mailowy… Faktura oczywiście do oddrukowania jak u innych z linka…

  74. Sprawa jest nam znana – informowaliśmy o niej na naszej stronie internetowej w dniu 30.07. Ostrzegamy przed wiadomościami zawierającymi szkodliwe oprogramowanie, w których przestępcy podszywają się pod różne firmy usługowe. Fałszywe maile zawierają informacje o niedokonaniu zaległej płatności lub o wystawieniu faktury do zapłaty. Szczegółowe informacje znajdziecie na naszym blogu: http://www.mbank.pl/aktualnosci/post,5719.html. Dodatkowo ostrzegamy również przed atakami na smartfony klientów bankowości elektronicznej: http://www.mbank.pl/aktualnosci/post,5723.html.

    Pozdrawiamy,
    Zespół mBanku

    Zespół mBanku, zapraszamy do dyskusji lub kontaktu bezpośredniego. Chętnie odpowiemy na pytania dotyczące naszej oferty.

    • Ostrzeżenia to jedno, ale w komentarzach przewijało się pytanie czy macie prawo oraz czy robicie cokolwiek z takim kontem, które używane jest do tego typu oszustw?

      Chodzi o to, czy nie zachowujecie się jak sprzedawca, który wywiesza przy kasie tabliczki, że alkoholu nie sprzedają młodzieży (odpowiednik Waszego ostrzeżenia), a na boku dalej zarobek trwa (odpowiednik nie zablokowania konta).

  75. [QUOTE]
    Marooned 2014.08.05 15:14 | # |

    Ostrzeżenia to jedno, ale w komentarzach przewijało się pytanie czy macie prawo oraz czy robicie cokolwiek z takim kontem, które używane jest do tego typu oszustw?

    Chodzi o to, czy nie zachowujecie się jak sprzedawca, który wywiesza przy kasie tabliczki, że alkoholu nie sprzedają młodzieży (odpowiednik Waszego ostrzeżenia), a na boku dalej zarobek trwa (odpowiednik nie zablokowania konta).
    [/QUOTE]

    A na jakiej podstawie bank miałby zablokować dane konto? Jak ja roześle spamik i dam Twoje konto to też mają je zablokować? Warto pomyśleć.

    • Chyba zbyt mocny skrót myślowy. Może nie zablokować, ale zainteresować się nim. Sprawdzić właściciela, poinformować go (jak piszesz – właściciel może nie wiedzieć, bo np. weszli w posiadanie jego danych logowania i sobie przelewy robią) etc. Generalnie cokolwiek poza brakiem reakcji.

      Poza tym, ja tylko pytam co może bank i co robi w takiej sytuacji.
      Relax

  76. No i nowość ;) jednorazowy bilet z e-podroznik.pl

    Return-path:
    Envelope-to: !adresat!
    Delivery-date: Wed, 06 Aug 2014 10:08:25 +0200
    Received: from 71.red-81-39-177.dynamicip.rima-tde.net ([81.39.177.71])
    by s5.masternet.pl with esmtp (Exim 4.68)
    (envelope-from )
    id 1XEwGO-0002hI-Q7
    for !adresat!; Wed, 06 Aug 2014 10:08:25 +0200
    Received: from [150.169.187.186] (account quac8@dhl.com HELO gdihrrissnkr.yzdqjirs.net)
    by 71.Red-81-39-177.dynamicIP.rima-tde.net (CommuniGate Pro SMTP 5.2.3)
    with ESMTPA id 820957067 for !adresat!; Wed, 6 Aug 2014 09:07:41 +0100
    From: bilety@e-podroznik.pl
    To:
    Subject: Bilet jednorazowy e-podroznik.pl
    Date: Wed, 6 Aug 2014 09:07:41 +0100
    MIME-Version: 1.0
    X-Priority: 3
    Message-ID:

  77. […] nam się zachwycać kunsztem atakujących, bo przytłaczająca większość masowych ataków to nudne phishingi i oklepane błędy w webaplikacjach albo małofinezyjne DDoS-y. Tym razem jednak jesteśmy pełni […]

  78. Znowu coś dostałem, ale tym razem zupełnie bez sensu:

    Szanowny Kliencie,
    Informujemy, że nie otrzymaliśmy jeszcze wpłat zaległych należnościza usługi świadczone przez Multimedia Polska.
    Prosimy o niezwłoczne uregulowanie następujących należności:

    DokumentNumer dokumentuData dokumentuTermin płatnościKwota dokumentuKwota do zapłaty

    Faktura VAT za usługi tel.FVT/MMP/00289552/01362014-07-102014-08-11139.76139.76

    Łączna kwota zaległości139.76

    Jeśli dokonali już Państwo wyżej wymienionych płatności, to prosimyo uznanie tej wiadomości za nieważną.
    W przypadku pytań prosimy o wysłanie wiadomości na adresebok_info@multimedia.pl lub kontakt z naszą Infolinią 244 244 24

    Bez załącznika i linku…

  79. Nie tylko faktury – do mnie docierają z kolei maile z zawirusowanymi pifami, wysyłanymi głównie z losowych kont @poczta.onet.pl lub @wp.pl (co ciekawie niektóre maile wyglądają na autentyczne czyjeś – więc albo przejęte czy tylko podszyte)- jako załącznik plik zip, podpisany zwykle skan lub scany – w treści podpisane Skany listów, albo np. “problem z dostarczeniem Twojej wiadomości” o zawartości: “Uwaga! Jeden z Twoich listów nie dotarł do adresata. Wiadomość adresowana do użytkownika nie została dostarczona z powodu błędnego adresu. Sprawdź czy podany adres jest prawidłowy i wyślij wiadomość ponownie lub w razie dalszych wątpliwości możesz zgłosić się o pomoc do administratora Poczty WP”.

  80. Wczoraj fałszywa reklamacja z dhl, dziś faktura z orange

  81. Ja dziś otrzymałam wiadomość, że przypominają o zapłacie faktury wystawionej 28.08 a płatnej do 5.09 na kwotę 3.526 zł. I tyle a i załącznik faktura. Ja buch na fakturę, ale avast od razu blokada. Teraz skanuję cały komputer. czy komuś też się to przytrafiło?

  82. […] z fałszywymi i zainfekowanymi fakturami zmienił się w fałszywe raporty z KRD — także zawierające złośliwy dokument Worda jako […]

  83. […] w swoim raporcie FireEye,  w 2013 roku i w przeciwieństwie do słabych e-maili z literówkami (jakich pełno także w Polsce) były dopracowane — zarówno na warstwie językowej (korzystano z odpowiedniego […]

  84. Artykuł •Uwaga na “powiadomienie o wciągnięciu na listę dłużników KRD” został zablokowany przez Kaspersky Total Security:
    Dostęp zabroniony
    Żądany adres nie może zostać pobrany
    Żądany obiekt pod adresem:
    https://niebezpiecznik.pl/post/uwaga-na-powiadomienie-o-wciagnieciu-na-liste-dluznikow-krd/?similarpost
    Wykryto:

    obiekt jest zainfekowany przez HEUR:Trojan-Downloader.Script.Generic

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: