30/7/2014
Scam z fałszywymi fakturami, który opisywaliśmy już przeszło miesiąc temu przeżywa swój renesans. Dziś kilkadziesiąt osób przesłało nam informacje o fałszywym żądaniu zapłaty od Allegro. Jak zawsze w przypadku tego typu fałszywych e-maili, w wiadomości znajduje się załącznik, którego otwarcie grozi zainfekowaniem naszego komputera złośliwym oprogramowaniem.
Fałszywe e-maile podszywające się pod Allegro
Oto przykład dzisiejszego e-maila, który podesłał jeden z naszych czytelników. Po lewej stronie widać oryginalną wiadomość, jaką Allegro wysyła w przypadku zaległości, a po prawej fałszywka:
Od: “Allegro”
Temat: Opłaty Allegro za 7/2014 Witaj,
Oplaty Allegro
Jezeli otrzyma Pani/Pan te wiadomosc po dokonaniu wplaty (gdy pieniadze sa juz w drodze na konto Allegro.pl), prosimy uznac ponizsze informacje za nieaktualne. Jednoczesnie dziekujemy za uregulowanie naleznosci.Informujemy, ze uplynal wyznaczony w poprzednim powiadomieniu termin zaplaty za uslugi Allegro.pl. Termin ten nie moze zostac przedluzony. Niestety do dzis nie otrzymalismy wplaty. Uprzejmie prosimy o uregulowanie platnosci zgodnie z rozliczeniem za miesiac 7/2014.
Biezaca kwota do zaplaty: -25,50 zl
W przypadku otrzymywania faktur, pamietaj aby oplacac je zgodnie z pozycja Razem kwota do zaplaty.
Dane do wplaty:
PayU S.A.
ul. Grunwaldzka 182
60-166 PoznanmBank SA, O/REG. w Poznaniu,
77114011243630050002533390Ta wiadomosc zostala wygenerowana automatycznie. Prosimy na nia nie odpowiadac.
Pozdrawiamy,
Zespol AllegroZałącznik: wiadomosc_faktura.formularz przekazu.pdf.zip
Uwagę przykuwa dość dobre naśladownictwo oryginału (zapewne skorzystano z prawdziwego szablonu, z podmienionym numerem rachunku bankowego), brak umieszczenia imienia po “Witaj”, oraz wysyłka na adres e-mail biuro@domena, który może być automatycznie generowany.
Do e-maila oczywiście załączony jest plik zip, który po rozpakowaniu zawiera infekujący komputer złoślywym oprogramowaniem plik .pif
Plik ten wykrywany jest na razie jedynie przez 5 niszowych antywirusów oraz Eseta:
Raport z Anubisa tutaj.
Fałszywe faktury od Netii
Wczoraj z kolei scamerzy podszywali się pod Netię.
Wcześniej scamerzy rozsyłali fałszywe e-maile z zainfekowanymi fakturami podszywając się pod UPC, Netię, oraz Pocztę Polską. Schemat zawsze jest ten sam, a e-maile trafiają nie tylko do klientów tych firm.
Przekażcie tę ifnormację swoim mniej świadomym kolegom i koleżankom, oraz przede wszystkim osobom obsługującym w Waszych firmach aliasy typu “biuro”, “info” czy “kontakt”. W przypadku scamu z Pocztą Polską, wiele asystentek/sekretarek po odebraniu e-maila udało się na pocztę po odbiór awizo, które …nie istniało.
Maile przychodzą na wiele adresów. Nie tylko na biuro, kontakt czy info.
Mam jedną domenę z mailem ustawionym na catch-all i od rana dostałem z 50 maili od Allegro i T-Mobile na adresy zaczynające się od imię@…
ESET tego nie wykrywa jeszcze.
Jeden z pracowników w mojej firmie również dostał e-mail od t-mobile.
Ciekawe jest że przyszedł on z adresu e-mail:
I tutaj moje pytanie. Jak oni to zrobili? Skąd ta domena? Pewnie jestem ślepy i czegoś nie przyuważyłem.
Sama wiadomość wygląda tak (+ oczywiście załącznik):
Wiadomość wysłana automatycznie – prosimy na nią nie odpowiadać
Witaj,
w załączeniu przesyłamy Twoją miesięczną f@kturę.
Dane klienta:
Numer faktury: 512339392727
Data wystawienia: 2014-07-30
Termin płatności: 2014-08-10
Nazwa wystawcy: T-Mobile Polska S.A.
ul. Marynarska 12, 02-674 Warszawa, NIP 526-10-40-567
Numer konta: 51 1030 1957 7777 8006 3177 9729
Forma płatności: przelew bankowy
Kwota do zapłaty: 134,16 PLN
(do kwoty przelewu doliczana jest prowizja 50 gr dla serwisu Przelewy24.pl)
Chcesz zapoznać się ze szczegółowym wykazem połączeń i historią swoich rachunków? Zaloguj się do serwisu samoobsługowego iBOA.
Szukaj mobilnych inspiracji na T-Mobile Trendy i odkrywaj najświeższe strony muzyki z T-Mobile Music:
– Marcowe nowości w Audiotece,
– Samsung Galaxy Core Plus – klasyka w nowoczesnym wydaniu,
– Safari na iOS – przydatne wskazówki,
– Najnowsze opinie redakcji muzycznej.
W razie dodatkowych pytań skontaktuj się z nami.
Pozdrawiamy,
T-Mobile
Informujemy, że załączony dokument w formacie PDF jest fakturą w rozumieniu Ustawy z dnia 11.03.2004 r. o podatku od towarów i usług. Można ją przechowywać w formie elektronicznej lub papierowej po wydrukowaniu.
Jeżeli załącznik do niniejszej wiadomości nie otwiera się, zainstaluj bezpłatny program Adobe Reader dostępny pod linkiem.
Poprawka
Już 2 osoby zgłosiły takiego e-maila.
> I tutaj moje pytanie. Jak oni to zrobili? Skąd ta domena? Pewnie jestem ślepy i czegoś nie przyuważyłem.
https://niebezpiecznik.pl/post/jak-namierzyc-nadawce-falszywego-e-maila/
Ja rowniez otrzymalem takiego e-maila podszywajacego sie pod T-mobile z domeny kturat-moble.pl
u mnie domena jest ktura.t-mobile.pl i również nie wiem o co chodzi z tą domeną. Skąd mają taką subdomenę?
Kamilu, nie mają tej domeny. Spójrz sobie w nagłówki maila to wszystko stanie się jasne. Konkretnie pole “From:”. Możesz tam wpisać “whitehouse.gov” jak chcesz.
I wszystko jasne ;) dzięki za wyjaśnienie,
Tak myślałem że to jakiś trik, tylko nie wiedziałem za bardzo jaki.
U mnie to samo (catch all) – pełno maili “T-Mobile” na różne kombinacje mojego imienia i nazwiska oraz na maile, które krążą po bazach spamerskich. W mailach numery kont, kwoty i załączniki.
Ja regularnie od kilku miesięcy dostaję e-maile od “T-Mobile”, jako zaległe faktury do zapłaty. Szkoda tylko, że na jakąś kobietę, która mieszka w dwóch miejscach naraz.
Swoją drogą, w mailach od Allegro i “Allegro” czytamy, że do zapłaty jest -100/-25 PLN. Czyli, że oni mają mi zapłacić?
Otwórz fakturę to się dowiesz :D
Może to kolejny haczyk który ma skłonić do otwarcia wiadomości :)
Pierwsze co zwróciło moją uwagę w rzekomym mailu od Allegro to brak ogonków ;)
moglby ktos przestudiowac dzialanie tego pifa i ladnie sie podzielic? :)
I co się wtedy stanie ?
Złożysz sobie konto na fb i będziesz udawał specjaliste ?
Napiszesz wypracowanie i twój nauczyciel gładząc cię po głowie powiem dobrze 5-
, powinieneś dodać informacje o konieczności instalowania aktualnego oprogramowania Anty Wirusowego
Otóż, działa tak: PIF PAF <<< i Twój komputer nie żyje. :D
jak to jest możliwe że ktoś jawnie wyłudza pieniądze a wiadomo że idzie to na konto – w tym przypadku do BRE banku.
Konto może zostać założone przez słupa.
Albo przez kradzież tożsamości.
No proszę, nie ja jedyny. A już screeny przygotowywałem i miałem pierwszy raz coś wysyłać, ale nawał pracy mnie spowolnił w tej materii.
Ja dostałem “fakturę od Ery”. .zip zamiast .pdf od razu przykuł moją czujność – próbę otworzenia archiwum zablokowała Avira.
Podsyłam screeny:
dobry: http://i.imgur.com/nMQhBSg.png
fałszywy: http://i.imgur.com/UobsYbt.png
Tu również brak nazwy firmy.
Jako ciekawostkę załączam fragment nagłówka fałszywki – interesujący jest ten “return path” – przypominam, to faktura od Ery, nie od Allegro:
Return-Path:
Received: from alicegate (host2-27-static.58-79-b.business.telecomitalia.it [79.58.27.2])
by —-.net (Postfix) with ESMTP id 802DE50D41E
for ; Wed, 30 Jul 2014 09:01:52 +0000 (UTC)
Received: from [132.52.185.58] (helo=zpbnovge.hrdoqzhqobfvaag.ru)
by alicegate with esmtpa (Exim 4.69)
(envelope-from )
id 1MMW21-8737fb-VT
for marooned@—-.net; Wed, 30 Jul 2014 10:06:46 +0100
From: “T-Mobile – faktura”
Jako ciekawostkę załączam fragment nagłówka fałszywki – interesujący jest ten “return path” – przypominam, to faktura od Ery, nie od Allegro:
Niestety, w powyższym komentarzu wywaliło połowę tekstu (może moderator usunie, bo komentarz nie ma sensu). Tutaj wersja oryginalna:
http://pastebin.com/2ZhZrudX
Dokładnie to samo doszło do 4 pracowników w mojej firmie.
Widzę, że nie tylko fakturę od “Ery” dostałem (30 lipca), ale też od Poczty Polskiej (23 lipca x3, 28 lipca x2, ), Orange (31 lipca oraz 16 lipca) i Netia (29 lipca). Do tego 2 “reklamacje Poczty polskiej” (31 lipca) i jeden “mms od mms.era.pl” (29 lipca).
Wszystko na ten sam mail, którego praktycznie nie używam. Poza Erą, reszta trafiła do spamu.
ja niestety przez własną głupotę :((( kliknęłam w załącznik .zip w fałszywym mailu od T-mobie, próba otwarcia się nie powiodła, jak mnie poinformowała przeglądarka Safarii ale jestem całkowitym laikiem jeżeli chodzi o takie ataki, przeskanowałam już dwa razy komputer programem antywirusowym Kaspersky ale mam obawy czy jest w stanie złośliwe oprogramowanie wykryć jeżeli coś mi się zainstalowało :(
Wygląda na to, że Kaspersky jeszcze nie rozpoznaje tego wirusa, ale już więcej antywirusów go widzi.
Niebezpiecznik przeważnie podaje link do skanu VirusTotal, nie tylko screena, ale coś teraz nie widzę, więc podam:
https://www.virustotal.com/pl/file/7c5f44e0ab11f12865d1cba238abd7b9177105f25ff5f7650465cfe8e05707b7/analysis/
(Nazwa pliku jest inna, ale pod względem zawartości to ten sam plik – ten sam hash.)
Polecam spróbować przeskanować czymś innym lub poczekać aż na liście będzie podane, że Kaspersky wykrywa tego wirusa i wtedy powtórzyć skan.
W międzyczasie radzę _nie_ logować się do żadnych banków i innych ważnych kont z tego komputera – patrząc po tym jak część antywirusów go rozpoznaje jest to keylogger. (A jeśli już się zalogowało, to zmienić na innym komputerze lub jak już trojana się pozbędzie.)
:)
pawel: poczytaj oZUSie ;)
Dlatego lepsza jest papierowa :]
ciekawe ilu idiotów przelało mu pieniądze :) i ile
Dostałem identyczny spam z “fakturą” od “T-mobile” (Polskie znaki w e-mailu były błędnie kodowane.
T-Mobile: Twoją miesięczną f@kturę
na adres na Yahoo (wykorzystany JEDYNIE do rejestracji bota w GG oraz IRCowego konta w Quakenecie).
Załącznik .zip
Avira wykryła “HIDDENEXT/Worm.Gen”.
buahaha ciekawe że w mbanku kobieta po poinformowaniu jej o tym powiedziała że to nie jej sprawa i się rozłączyła a na chacie po poinformowaniu ich o tym że ktoś pierze pieniądze od nieświadomych lemingów wysyłając im fałszywe ponaglenia babka odpowiedziała mi że nie może tego zgłoszenia przyjąć bo nie ma takich możliwości .Ten bank to niepoważni ludzie (wcale bym się nie zdziwił jakby mieli w tym swój udział)
http://www.fotosik.pl/pokaz_obrazek/pelny/d7e70b910083229d.html
Kto ma dość allegro to polecam przenieść się na całkiem bezpłatny portal aledil.pl – to jest też jedyny portal w Polsce gdzie można sprzedawać w Bitcoinach
Do Oli: jak już się robi jakiś portal to warto zadbać o kodowanie polskich znaków w czcionce którą się używa.
Jak już się do kogoś czepiamy, to warto używać prawidłowych wyrazów i nie mylić czcionki z fontem ;-)
(tak, wiem, że polskie tłumaczenie Windows i w ogóle…)
@Marooned
A jaka jest różnica pomiędzy czcionką a fontem?
Oświeć mnie Boski!
Knoe – ja żaden boski i nie będę Cię oświecał. Niech to zrobią mądrzejsi ode mnie:
http://typografia-w-praktyce.blogspot.com/2012/04/czcionka-font-istotne-rozroznienie.html
Zamiast ironizować warto czasem poszerzyć horyzonty. Wszak wiadomo, że człowiek uczy się całe życie.
Peace.
Ten cały mbank to śmiech na sali tam pracują idioci i złodzieje .Koleś ewidentnie pierze brudny szmal od lemingów (stawiam kratę piwa że jego lewe konta kupione za BC już dawno się zwróciły) a w mbanku nic o tym nie wiedzą nawet zgłoszenia nie chcą przyjąć ! .Żal dupę ściska w moneybrokers już dawno koleś miałby poblokowane konta a tu w Polsce może sobie kręcić wałki w ch… i jeden dzień dłużej
Polska to wyjątkowo opóźniony kraj (nie mam na myśli ludzi którzy wyjechali ale wyznaczoną przez obce mocarstwa władze sprzedawczyków)
Mam pytanie, jezeli ktos otworzyl tylko plik ZIP, aby zobaczyc zawartosc tego archiwum, nie klikajac w plik .pif to juz ma zainfekowany komputer? Czy wirus aktywuje sie dopiero przy probie otwarcia pliku pif ?
Wystarczy, że spojrzysz na ten e-mail, a ty i twoja rodzina (do 5 pokoleń) będziecie mieli przeje..ne!
ja właśnie też mam ten sam problem, kliknęłam w załącznik, który się nie otworzył, komputer n-ty raz przeskanowany Kasperskym ale dalej mam obawy czy się gdzieś jakieś dziadostwo nie zainstalowało, może ktoś coś podpowie jak sprawdzić ? mi się w ogóle ten plik nie otworzył, teraz już dokładnie nie pamiętam jaki był komunikat ale coś że nie można właśnie otworzyć archiwum
Łukasz samo podejrzenie zawartości archiwum czy nawet podejrzenie zawartości pliku (np. podgląd w Total Commander przez “F3” ) nie powoduje infekcji. Infekcja prawdopodobnie* będzie jeśli uruchomisz plik ( skrypt). *zależnie od posiadanych programów zabezpieczających.
Nowa,
z dużym prawdopodobieństwem można przyjąć że masz już zainfekowany komputer. Wszystkie komunikaty o błędach przy otwarcia pliku są celowo wprowadzone. Infekcje nie są tak spektakularne jak się pokazuje w filmach, gdzie po otwarciu pliku na ekranie pojawia się trupia czacha czy coś podobnego ;) Skoro Kaspersky nie opracował jeszcze sygnatury to możesz im sama podesłać próbkę do analizy. Puki co ściągnij sobie CureIt od DrWeb’a. [ http://www.freedrweb.com/cureit/?lng=pl ] Jest to darmowy skaner niewymagający instalacji. Z linku na virustotal widzę, że DrWeb już wykrywa ten malware. Czyli powinien wykryć infekcję o ile ona faktycznie tam jest. Tak z ciekawości pracujesz na komputerze z uprawnieniami administratora?
a ma to jakieś znaczenie przy infekcji komputera lub skanowaniu antywirusem ??
mBank nic nie wiem i nic nie robi mimo wielu zgłoszeń
Avast wykrywa maila z fakturą pdf.pif a dostałem ich ostatnio z pięć :)
A u mnie cisza… :)
Tyle się napracowali ale ą/ę nie dali rady już użyć…
Też dostałam ten fałszywy email oe T- mobile, od razu mi podpadło bo dzień wcześniej dostałam powiadomienie smsem o wystawionej fakturze a dzień później kolejną tylko,że z innym niż standardowy numer konta, bez nazwiska i z inną kwotą. Od razu mi to zaśmierdziało jakimś oszustwem. Uważajcie i nie dajcie się nabrać, czytajcie dokładnie nadsyłane faktury.
Poprawka najpierw dostałam SMS- em powiadomienie o wystawieniu faktury, potem to samo na email jak zawsze, podejrzane było to,iż dzień później dostałam kolejną fakturę na email ale z inną kwotą, bez danych osobowych z inym numerem konta niż zwykle i inym okresem rozliczeniowym. Uważajcie
Właśnie dostałem coś takiego z T-Mobile na kwotę stu zł. Faktura nie jest imienna, więc już zapala się czerwona lampka. Poza tym – nie mam z T-Mobile nic wspólnego, mam telefon w innej sieci. Jeśli ktoś takowy ma i żyje w pośpiechu, pewnie może się nabrać i na to pewnie liczą oszuści. Trzeba sprawę nagłośnić.
Mamy również “polski” akcent:
Return-path:
Envelope-to: !HIDE!
Delivery-date: Wed, 30 Jul 2014 14:53:33 +0200
Received: from rtr.npa.pl ([91.188.97.250]) by !HIDE! with esmtp
(envelope-from ) id !HIDE! for
!HIDE!; Wed, 30 Jul 2014 !HIDE! +0000
Received: from [67.134.175.193] (helo=!HIDE!.sgwpchcg.ua) by rtr.npa.pl
with esmtpa (Exim 4.69) (envelope-from ) id !HIDE! for
!HIDE!; Wed, 30 Jul 2014 !HIDE! +0100
From: T-Mobile faktura
To:
Subject: T-Mobile: Twoją miesięczną f@kturę
Date: Wed, 30 Jul 2014 !HIDE! +0100
MIME-Version: 1.0
X-Priority: 3
Message-ID:
Widać że wreszcie “zatrudnili” kogoś kto zna polski ale parę błędów jeszcze im zostało do poprawienia.
A ja nie mam nic do powiedzenia, tylko piszę po to, żeby dostawać powiadomienia o nowych tutaj wpisach :)
A te całe zamieszanie jest przez operatorów wciskających na siłe e-faktury.
A ja od ponad roku dostałem tylko JEDEN spam nie mając żadnego filtra antyspamowego. Jak to robię? Swój własny serwer mailowy hMailServer, który chodzi w domu 24h. Dla bardziej zaufanych znajomych/instytucji/firm daję konkretne aliasy, np. firmaxxx.paniagata@domowadomena.pl. Pani Agata zastanowi się dwa razy zanim sprzeda takiego maila komuś innemu ;) Do jakichś szybkich rejestracji na necie, o których mogę zaraz zapomnieć używam mytrashmail, mailinator itp. Rozdałem już ze 150 unikatowych adresów i do tej pory dostałem tylko jeden śmieć od jakiejś prywatnej osoby a maila sprzedał Armor Games :P Polecam samemu sobie taki serwerek postawić, nic trudnego, trzeba tylko trochę posiedzieć nad konfiguracją, poczytać dokumentację itp. (ale to normalna Windowsowa okienkowa aplikacja). Koniecznie trzeba tylko skorzystać z jakiegoś zewnętrznego serwera SMTP, bo inaczej nasze maile nie doją do odbiorcy, bo nasz serwer nie znajduje się na whiteliście (np. darmowe TurboSMTP). To wszystko mam na dynamcznym IP, ale to też nie problem.
Ale można też skorzystać z gotowych rozwiązań. Przykładowo poczta na Wirtualnej Polsce obsługuje tzw. ekstra aliasy. Czyli np. posiadasz podstawowy email jan.nowak@wp.pl. Dla swojego operatora telekomunikacyjnego/kontrachenta tworzysz np.taki jan.nowak+dostawca_uslugi@wp.pl ( pomiędzy nazwą konta a małpą wstawiasz “+”i “przypisaną nazwę”. Gmail z tego co pamiętam też posiada taką funkcję.
Jak już się czepiamy to kròj pisma (typeface) a nie czcionka (font)
Fałszywe PKO rozsyła również zawiadomienia o zablokowaniu dostępu online lub potrzebie weryfikacji danych:
Twój dostep on-line zostala zablokowana
Dla Twojego bezpieczenstwa, mamy zablokowane konta.
Aby przywrócic dostep do swojego konta, kliknij: Zaloguj sie do iPKO i przystapic do procesu weryfikacji.
Dostęp został zablokowany.
Aby odblokować dostęp do serwisu, kliknij tutaj
Przygotuj numer klienta i hasło, do odblokowania dostępu konieczne będzie użycie kodu jednorazowego.
Zaktualizować dane
Twoje konto nie działa prawidłowo.
Aby mieć dostęp do wszystkich opcji w swojej bankowości internetowej należy zaktualizować informacje o profilu.
Proszę kliknąć na poniższy link i zaktualizować dane.
https://www.ipko.pl/aktualizacja_profilu/identyfikacja=887053007311149026
Moim zdaniem trzeba to nagłaśniać bo przy dzisiejszym tempie życia uczciwych ludzi nieuczciwi mogą się obłowić.
dzisiaj dostałem jeszcze takie cudo z orange :) Całkiem dobrze przygotowane, już z PL znaczkami itd.
“Witamy,
Przesyłamy fakturę Orange Polska w wersji elektronicznej za sierpień 2014.
Dla bezpieczeństwa i potwierdzenia oryginalności faktury załączamy link do bezpłatnej aplikacji weryfikującej: hxxp://sigillum.pl/pliki_do_pobrania.html wraz z wykazem osób upoważnionych do podpisywania dokumentów. Plik z fakturą można otworzyć za pomocą programu Adobe Acrobat Reader.”
hmm… u mnie eset nie wykrywa tego
Teraz zaś lecą “reklamacje” z “poczty polskiej” – ciekawe jaki będzie następny “temat mailingu”?
już jest – “Paczkomaty InPost – POTWIERDZENIE ODBIORU PACZKI”
Return-path:
Envelope-to: !adresat!
Delivery-date: Thu, 31 Jul 2014 11:24:55 +0200
Received: from [31.210.14.44]
by xxxxxxxxx with esmtp (Exim 4.68)
(envelope-from )
id 1XCmbW-0005mg-W1
for !adresat!; Thu, 31 Jul 2014 11:24:55 +0200
Received: from [134.59.81.10] (helo=hlyktqkedluy.mvysigp.net)
by with esmtpa (Exim 4.69)
(envelope-from )
id 1MM1T5-2874jq-TE
for !adresat!; Thu, 31 Jul 2014 11:24:42 +0200
Received: from [196.25.97.4] (helo=jffqedggryq.alukahvgduybv.tv)
by with esmtpa (Exim 4.69)
(envelope-from )
id 1MMDD9-1698os-BB
for !adresat!; Thu, 31 Jul 2014 11:24:42 +0200
Date: Thu, 31 Jul 2014 11:24:42 +0200
From: “Paczkomaty InPost”
To:
Subject: Paczkomaty InPost – POTWIERDZENIE ODBIORU PACZKI
MIME-Version: 1.0
X-Priority: 3
Message-ID:
A dziś dla odmiany Paczkomaty InPost – POTWIERDZENIE ODBIORU PACZKI
“Witaj ponownie!
Potwierdzamy, że w dniu 31-07-2014 zarejestrowano odebranie Twojej paczki o nr 60204478908404203325582.
Mamy szczerą nadzieję, że było wygodnie odwrócić cały proces, kiedy to paczka czeka na Ciebie, a nie Ty na poczcie lub na kuriera!
Ze słońcem twarzą w twarz.
Ze słońcem twarzą w twarz,
Zespół Paczkomaty InPost
PS. Odwiedź nasz fanpage na Facebook’u facebook.com/paczkomaty. Zawsze w piątki nakręcamy weekend ulubionymi piosenkami. Możesz nam coś polecić?
Wszelkie kreatywne pomysły dotyczące usprawnienia usługi lub uwagi dotyczące Twojego doświadczenia z nimi możesz przekazać nam osobiście 801 400 100 lub z telefonu komórkowego 722 444 000 oraz mailem na info@paczkomaty.pl.”
oraz załacznik 60206715701221386362230.pdf.zip
Czy SPF nie rozwiązałby części tych problemów?
Rozwiązałby – o ile i jedni (firmy pod ktore sie podszywaja) i drudzy (ofiary) mieliby go skonfigurowanego poprawnie. A tak nie jest. No i zawsze przestepcy moga z podobnej, a nie oryginalnej domeny napisac, to najprostszy trick ;-)
Następne jest potwierdzenie odbioru paczki z InPost.
ja dostałem jeszcze z:
“Paczkomaty InPost – POTWIERDZENIE ODBIORU PACZKI
Witaj ponownie!
Potwierdzamy, że w dniu 31-07-2014 zarejestrowano odebranie Twojej paczki o nr 60202634169682446143728.
wewnątrz zip z wirusem
Do niechlubnej listy dołączają Paczkomaty i potwierdzenia odbioru paczki w formie załącznika.
Mail ma postać :
Witaj ponownie!
Potwierdzamy, że w dniu 31-07-2014 zarejestrowano odebranie Twojej paczki o nr 60202831890459917539622.
Mamy szczerą nadzieję, że było wygodnie odwrócić cały proces, kiedy to paczka czeka na Ciebie, a nie Ty na poczcie lub na kuriera!
Ze słońcem twarzą w twarz.
Ze słońcem twarzą w twarz,
Zespół Paczkomaty InPost
PS. Odwiedź nasz fanpage na Facebook’u facebook.com/paczkomaty. Zawsze w piątki nakręcamy weekend ulubionymi piosenkami. Możesz nam coś polecić?
Wszelkie kreatywne pomysły dotyczące usprawnienia usługi lub uwagi dotyczące Twojego doświadczenia z nimi możesz przekazać nam osobiście 801 400 100 lub z telefonu komórkowego 722 444 000 oraz mailem na info@paczkomaty.pl.
Centrala: Paczkomaty InPost Sp. z o.o., ul. Malborska 130, 30-624 Kraków
Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, XI Wydział Gospodarczy
Krajowego Rejestru Sądowego, KRS 0000255841, NIP 679-28-95-061
Kapitał zakładowy 11 550 000 zł opłacony w całości.
Nie wiem, czy warto tak zaśmiecać forum, ale się odezwę. Po wcześniejszych “fakturach” z DHL i Polskiej Poczty – w poprzedniej fali, teraz dostałem od razu dwie sztuki:
1. Paczkomaty InPost
2. efaktura@orange
Może nie będę wchodził w szczegóły, bo to zaczyna robić się nudne. Mam tylko jedno spostrzeżenie:
Mimo, że mam kilka adresów poczty elektronicznej, ale wszystkie złośliwe maile otrzymałem tylko na jeden adres na portalu “elektroda”, który używałem dosyć rzadko i tylko do hobbystycznej korespondencji oraz zamawianiu próbek elementów elektronicznych.
Jeszcze tylko uwaga, nie pamiętam, bym kiedykolwiek używał paczkomatów ani też nie mam niczego zarejestrowanego w orange…
Ignorujcie również maile z paczkomatów InPost, sytuacja jak wyżej.
Dziś wysyłane są maile od:
“orange.com”
From: e-fakturaF@orange.com
Return-Path:
Received: from bb118-200-232-228.singnet.com.sg [118.200.232.228] (HELO bb118-200-232-228.singnet.com.sg)
Received: from [78.43.182.3] (helo=xolacs.sswmndfxuusazza.tv)
by bb118-200-232-228.singnet.com.sg with esmtpa (Exim 4.69)
Message-ID:
“Poczta Polska S.A. eReklamacje”
From: “Poczta Polska S.A. eReklamacje”
Return-Path:
Received: from 82-76-188-112.rdsnet.ro [82.76.188.112] (HELO 82-76-188-112.rdsnet.ro)
Received: from [60.34.10.155] (helo=ssarfjkrbwoyxp.sprbdbebucd.tv)
by 82-76-188-112.rdsnet.ro with esmtpa (Exim 4.69)
(envelope-from )
id 1MMTEY-9269sw-CH
Message-ID:
“Paczkomaty InPost”
From: “Paczkomaty InPost”
Return-Path:
Received: from 151.13.27.114 [151.13.27.114] (HELO [151.13.27.114])
Received: from [20.84.54.49] (helo=rwkalfbtpoxtka.zzripq.info)
by with esmtpa (Exim 4.69)
(envelope-from )
id 1MM3RQ-3451qg-8M
Received: from [144.74.23.82] (account diplomataq3@paczkomaty.pl HELO jwsltbf.eijyylqz.su)
by (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 254028641
Nastepnie: “Twoja Zielona faktura Plus”
Co lepsze to:
Return-path:
Envelope-to: XXXX
Delivery-date: Thu, 31 Jul 2014 13:04:08 +0200
Received: from mail by XXXX.com with spam-scanned (Exim 4.83)
(envelope-from )
id 1XCo9U-0000Rs-6K
for XXXX
XXXX – to fragment wycięty
w poprzednim wycięło mi źródło i zwrot maila a jest to: @paczkomaty.pl
W tej wchwili otrzymałem maila z fakturą od Plusa :)
Szanowni Państwo,
uprzejmie informujemy o wystawieniu Zielonej faktury za ostatni okres rozliczeniowy.
Podstawowe informacje dotyczące wystawionej faktury:
Kwota wystawionej faktury: 27,92 zł
Data wystawienia faktury: 31.07.2014
Data płatności: 015.08.2014
Numer konta bankowego: 30 1020 1026 2883 0000 1885 1433
Razem do zapłaty (brutto): 29,95 zł
W załączeniu znajduje się faktura za ostatni okres rozliczeniowy.
Wszystkie wystawione faktury oraz informacje o zrealizowanych płatnościach znajdą Państwo na stronie Plus online, po uprzednim zalogowaniu się na swoje konto.
W przypadku jakichkolwiek pytań prosimy o kontakt z numerem telefonu 2601* w sieci Plus, 601 102 601** z dowolnej sieci lub przesłanie wiadomości elektronicznej na adres: bok@plus.pl.
Dziękujemy za wybór Zielonej faktury – dzięki temu wspólnie przyczyniamy się do ochrony środowiska naturalnego.
PLUS
* Koszt połączenia z Automatycznym Systemem Informacji Głosowej – 0,96 zł z VAT (dla Użytkowników i Abonentów Plus na Kartę: oferta Simplus, 36i6 oraz MixPlus IV Duo, Mix V, Mix6, Mix20 – 1,97 z VAT). Połączenie z Konsultantem – 1,97 zł z VAT (w taryfach MixPlus III i Mix4 – 0,96 zł z VAT).
W przypadku połączenia się z Konsultantem Działu Obsługi Klienta opłata za połączenie z Automatycznym Systemem Informacji Głosowej nie będzie naliczana.
** koszt połączenia zgodny z taryfą operatora.
Polkomtel sp. z o.o. z siedzibą w Warszawie przy ul. Postępu 3, 02-676 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla m.st. Warszawy XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS: 0000419430, kapitał zakładowy: 3.510.300.000 zł, NIP 527-10-37-727, REGON 011307968
i żeby nie było nudno, pora na Plus GSM ;) Nie próżnują…
Twoja Zielona faktura Plus nr: [EME/FAKTURA/1089401126291]
faktura Plus 7740399512870.PDF.zip
Return-path:
Envelope-to: !adresat!
Delivery-date: Thu, 31 Jul 2014 13:09:30 +0200
Received: from [88.247.154.135] (helo=88.247.154.135.dynamic.ttnet.com.tr)
by xxxxxxx with esmtp (Exim 4.68)
(envelope-from )
id 1XCoEj-0004K2-7f
for !adresat!; Thu, 31 Jul 2014 13:09:30 +0200
Received: from [120.45.93.85] (helo=lvxjwbotwftqhiw.gwvxyuutfdzd.ua)
by 88.247.154.135.dynamic.ttnet.com.tr with esmtpa (Exim 4.69)
(envelope-from )
id 1MMW8N-3373jc-1E
for !adresat!; Thu, 31 Jul 2014 13:09:17 +0200
Received: from [184.81.81.2] (account gamownvn@paczkomaty.pl HELO sedriipud.ikzohpvbon.tv)
by 88.247.154.135.dynamic.ttnet.com.tr (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 791710032 for !adresat!; Thu, 31 Jul 2014 13:09:17 +0200
Wczoraj miałam maila z T-mobile, dzisiaj z InPost, nic nie otwierałam nawet zgłosiłam do T-mobile wczoraj (zero odzewu). Mam nadzieje, że codziennie nie będę tego dostawać. masakra
Ale trzeba przyznać że pomysł przedni.
Dostałem maila, ale na szczęście wcześniej przeczytałem na Netiowym Facebooku żeby uważać. Najgorsze jest to że ludzi jak owieczki klikają, logują się bez żadnego sprawdzenia.
Ciekawe czy którakolwiek z firm pod która podszywają się wysyłający maile, zgłosiła temat do jakichkolwiek organów.
Jest tu jakakolwiek podstawa do zgłoszenia przestępstwa wykroczenia?
Bardzo dobre pytanie.
“Ciekawe czy którakolwiek z firm pod która podszywają się wysyłający maile, zgłosiła temat do jakichkolwiek organów”?
Może Redakcja wysłała by zbiorowe pytanie do tych firm?
To zawsze jakaś forma walki ze SPAMem i materiał na artykuł który zainteresuje wielu “poszkodowanych”.
Na profilu InPostu – https://www.facebook.com/paczkomaty – piszą coś o przesyłaniu do Nich takich maili w celu zgłoszenia na Policję.
Poza tym, mieli świetny czas reakcji porównując z innymi firmami, chyba czytają niebezpiecznik na bieżąco :)
Ja dzisiaj byłam zgłosić sprawę w t- mobilu, zobaczymy co będzie, czy się tym zainteresują aby ostrzec klientów przed oszustami.
Ja też dostałem z Plusa maila z info jak wyżej o zilonej fajturze
pomysł prymitywny a nie przedni
Na facebookuT- mobile pojawił się baner i ostrzeżenie o fałszerzach.
i ja dokładnie też dostałem…
Szanowni Państwo,
uprzejmie informujemy o wystawieniu Zielonej faktury za ostatni okres rozliczeniowy.
Podstawowe informacje dotyczące wystawionej faktury:
Kwota wystawionej faktury: 24,62 zł
Data wystawienia faktury: 31.07.2014
Data płatności: 015.08.2014
Numer konta bankowego: 30 1020 1026 2883 0000 1885 1433
Razem do zapłaty (brutto): 29,95 zł
W załączeniu znajduje się faktura za ostatni okres rozliczeniowy.
Wszystkie wystawione faktury oraz informacje o zrealizowanych płatnościach znajdą Państwo na stronie Plus online, po uprzednim zalogowaniu się na swoje konto.
W przypadku jakichkolwiek pytań prosimy o kontakt z numerem telefonu 2601* w sieci Plus, 601 102 601** z dowolnej sieci lub przesłanie wiadomości elektronicznej na adres: bok@plus.pl.
Dziękujemy za wybór Zielonej faktury – dzięki temu wspólnie przyczyniamy się do ochrony środowiska naturalnego.
PLUS
* Koszt połączenia z Automatycznym Systemem Informacji Głosowej – 0,96 zł z VAT (dla Użytkowników i Abonentów Plus na Kartę: oferta Simplus, 36i6 oraz MixPlus IV Duo, Mix V, Mix6, Mix20 – 1,97 z VAT). Połączenie z Konsultantem – 1,97 zł z VAT (w taryfach MixPlus III i Mix4 – 0,96 zł z VAT).
W przypadku połączenia się z Konsultantem Działu Obsługi Klienta opłata za połączenie z Automatycznym Systemem Informacji Głosowej nie będzie naliczana.
** koszt połączenia zgodny z taryfą operatora.
Polkomtel sp. z o.o. z siedzibą w Warszawie przy ul. Postępu 3, 02-676 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla m.st. Warszawy XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS: 0000419430, kapitał zakładowy: 3.510.300.000 zł, NIP 527-10-37-727, REGON 011307968
podstawą w tej sytuacji powinna być natychmiastowa blokada kont podanych do przelewu ! a co robi mbank NIC ! umożliwia bandytom pranie pieniędzy nie blokując ich kont bankowych .Wczoraj zgłosiłem to do mbanku
na infolini powiedziano mi że nie mogą tego przyjąć (kobiecina nic nie słyszała)
na chacie powiedzieli mi że nie mogę tego przyjać
na emailu kontaktowym odpowiedzili mi w ten sposób
http://1drv.ms/UDmQid
Wystarczyło by @!$# zablokować konta i uniemożliwić przelewy i już by atak się skończył (ciekawe ile kont lewych są w stanie założyć 10,20 ?) szybka reakcja banków byim utrudniła życie tymczasem jest na odwrót przynajmniej w mbanku
Bank nie ma podstaw żeby cokolwiek blokować, przede wszystkim konta nie muszą należeć do osób rozsyłających te wiadomości, może to być przecież konkurencja.
Aż mnie dziw bierze że wielki niebezpiecznik, uważany za znający się na rzeczy rozsyła masę spamu. Ludzie jak nie odczytam subskrypcji TO NIE PRZYSYŁAJCIE KOLEJNYCH POWIADOMIEŃ. To standard i odrobina kultury. Jak będę miał czas i odczytam to wówczas włącza się subskrypcja ponownie a nie to co teraz, 50 maili że ktoś napisał. To mocno wpływa na Wasz wizerunek.
@Artur, spoko – daj nazwę pluginu, który to tak reaguje to podmienimy. Kosztem jest to, że trzeba będzie trackować użytkowników naruszając ich prywatność i nie będzie to działało ze wszystkimi e-mailami. PS. spam to niechciana wiadomość – a ty zapisałeś się sam na informowanie o nowych komentarzach w dość popularnym temacie. BTW: Zawsze możesz korzystać z RSS-ów dla komentarzy.
A ja akurat uważam to za dobrą opcję. Przez to, że można tu odpowiadać, nie ma jak chronologicznie przeczytać wszystkiego od ostatniej wizyty. A tak przeglądasz maile i wchodzisz tylko, jak jest coś interesującego. Jeden minus, że w mailu nie ma backlinka do konkretnego komentarza.
Faktycznie brak backlinka jest upierdliwy i szukanie swojego komentarza w gąszczu innych jest czasochłonne, szczególnie że czasami interesują mnie tylko odpowiedzi na mój komentarz i nie mam czasu lub chęci na czytanie wszystkiego, co później zostało napisane.
A co do spamu od Niebezpiecznika, to o czym kolega wspomniał jest raczej trudne do zrobienia, bo musiałby wchodzić przez link na stronę by potwierdzić odczytanie, bo z samego maila chyba ciężko, chociaż Outlook itp. jakoś sobie radzi. W każdym bądź razie najprościej i najefektywniej byłoby zrobić tak, jak jest na niektóych stronach (akurat nie pamiętam na której, ale gdzieś to widziałem), że jest powiadomienie o nowym poście i następne powiadomienia nie przychodzą do momentu odczytania tego postu. Bo przyznam, że też się dziś zdziwiłem, jak miałem ok. 30 wiadomości od Niebezpiecznika, szczególnie, że większość dotyczyła tego samego tematu, i w dodatku nikt nie odpowiedział na mój komentarz.
Przydałaby się opcja “informuj mnie o odpowiedziach” oraz oddzielnie to co jest teraz “Informuj mnie o nowych komentarzach pod tym postem”.
Ja dostałam kolejne emaile razem dostałam już trzy: t- mobile,in post i plus
“który po rozpakowaniu zawiera infekujący komputer złoślywym oprogramowaniem plik .pif”
Droga redakcjo, może czas zatrudnić jakąś osobę do korygowania błędów? Bo w niemal każdym wpisie jakiś babol :P
uwaga – ten sam schemat powtarza się od T-mobile, Orange, Plusa, Playa, Poczty Polskiej, AMAZONa, InPOST, TNT, DHL, booking.com oraz często “MMS” od Orange i inne
[…] Atak zdaje się nie być powiązany z ostatnią falą fałszywych faktur i potwierdzeń i żądań […]
rozumiem wykorzystanie domen z literówkami, ale jak to się dzieje, że maile wysyłane są z oficjalnych domen, np. Orange.com?
Adres nadawcy można sobie ustawić dowolny, nawet prezydent@prezydent.pl – liczy się serwer pocztowy, z którego nadano wiadomość (zawartość nagłówków Received:) – a te nie są pokazywane na tzw. “kopercie”, czyli tym co pokazuja programy mailowe. Popatrz tu: https://niebezpiecznik.pl/post/jak-namierzyc-nadawce-falszywego-e-maila/
Niby można ustawić dowolny ale to nie zadziała, trzeba mieć jakiś hakerski system, testowałem u siebie i TheBat krzyczy że błędny nadawca.
Jak ktoś używa nietoperka do wysyłania sfałszowanych wiadomości, to nic dziwnego, że nie działa. Nawet sendmail ma taką możliwość.
UWAGA: zainfekowane są również “Zielone faktury” wysłane z Plusa z adresu e(małpa)fakturaplus.pl oraz z InPostu “POTWIERDZENIE ODBIORU PACZKI” wysłane z adresu info(małpa)paczkomaty.pl
Wszystkie te oszukane wiadomości wyglądają bardzo podobnie do oryginałów.
Charakterystyczny jest załącznik wielkości 23KB o nazwach *.xml.zip lub *.pdf.zip
Niestety jeden z największych producentów programów AV dla korporacji nie wykrywa zagrożenia.
Ta akcja jest zakrojona na zbyt szeroką skalę, jak na jakiegoś script kiddies…
Aleś odkrył rozmawiamy o tym od tygodnia.
Ciekawe jest to, że załączniki *.zip to puste pliki wypełnione tylko ciągiem znaków 00h długości powyżej 22KB. Podobnie logo Plusa w pliku plus_01.jpg.
Nie bardzo rozumiem jaki jest cel przesłania takich plików. Chyba, że filtry antywirusowe na serwerze pocztowym Onetu wykryły zagrożenie i wyczyściły szkodliwą zawartość tych plików. Ktoś sprawdzał załączniki?
Poniżej załączyłem nagłówki maili z danymi pierwszego serwera SMTP przyjmującego oszukane maile.
Mail od Plusa:
Received: from [24.42.37.45] (helo=cdgol.hkczsjgqr.biz)
by ppp-94-67-156-103.home.otenet.gr with esmtpa (Exim 4.69)
(envelope-from )
id
for ; Thu, 31 Jul 2014 13:35:40 +0200
Maila od InPost:
Received: from [164.48.48.11] (account mozarto441@paczkomaty.pl HELO jnucseirk.yeewrvmvgopnq.va)
by bband-dyn145.178-40-206.t-com.sk (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id for ; Thu, 31 Jul 2014 11:07:05 +0100
Oczywiście domena jest oszukana, wykorzystali prawdopodobnie dziurawe serwery pocztowe w Ericsson LIR oraz LCPR-HSD – Liberty Cablevision of Puerto Rico LTD.
Już domyślam się, dlaczego wspólnym mianownikiem wszystkich tych maili jest EXIM <= 4.69 http://cvedetails.com/cve/2010-4344 oraz CommuniGate Pro SMTP 5.2.3, którego nie łatają już od ponad 4 lat: https://www.communigate.com/main/support/
Gdyby nie źle opłacani i/lub niedouczeni admini, to takie akcje były trudne do przeprowadzenia.
Proponuję nową akcję #ŁatajSerwer wbrew P…….!
AV Microsoftu na szczęście wykrywa i przy okazji dowiedziałem się, że MS udostępnia takie coś: http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Trojan%3aWin32%2fTinba.A&threatid=2147657487#tab=2
Ogólnie jest już wykrywany przez większość popularnych AV: https://www.virustotal.com/pl/file/be54163d0967a91813aaca582d5c6bb2db764f99a8599527fdc91b88c6f8b6d6/analysis/1406973775/
Analizował ktoś to coś, gdzie się łączy? ;>
Na motyw z fakturą nigdy by mnie nie złapali. Zawsze płacę sporo po terminie, a czasem nawet dopiero po wezwaniach, a to tez nie od razu :)
Ale paczkomat już mógłbym kliknąć. Sprytne.
[…] dziwnego, że tyle osób nabiera się na fałszywe wiadomości e-mail z fakturami, skoro same firmy im to ułatwiają… Dziś 2 ciekawe przypadki prawdziwych (!!!) e-maili od […]
Mnie zaś zastanawia, dlaczego oszuści wysyłają spam z fałszywych adresów e-mailowych, skoro mogą się podszyć pod oryginalne e-maile. Wystarczy w PHP napisać prosty formularz mailowy, który jako nadawcę będzie podawał… to co sobie dowolnie wpiszemy w formularzu. Już tak kiedyś robiłem z ciekawości i faktycznie w polu “wiadomość od:” było to, co wpisałem. Dzięki czemu mogłem wysłać koledze (a najpierw sobie) wiadomość z teoretycznie jego własnego adresu i napisać tam, że znam jego hasło mailowe i radze mu je zmienić :P Myślę, że to nie było nielegalne, bo nic nie wykradłem w ten sposób, aczkolwiek jestem świadom tego, że ta metoda może zostać wykorzystana do wyłudzania pieniędzy, zarówno przez typowy spam/pishing, jak również podszywając się pod Sprzedającego na Allegro podsyłającego Kupującemu inny nr konta do wpłaty. Zatem jedyne, czego brakuje do sfinalizowania oszustwa, to konto na słupa, ale to jak wiadomo również łatwo uzyskać, dzięki aktywacji konta przez przelew. W sumie to zastanawiam się też, czy opisywanie tego tu w komentarzu jest bezpieczne, bo ktoś może to przeczytać i wykorzystać w niecnym celu. Zatem istnieje prawdopodobieństwo, że moderator w ogóle nie dopuści tego komentarza do publikacji lub znacząco go ocenzuruje. W takim przypadku byłbym wdzięczny za odpowiedź Niebezpiecznika w tej sprawie.
A ja od kilku dni dostaję pseudofaktury za niewiadomo co od presspublica sp z oo ( z maila no-reply.faktury.zwroty@gratka.pl :) treść maila łudząco przypomina prawdziwa, ale dane spółki (adres, krs, kapitał ) zmyślone. Odbiorca faktury zgodnie z treścią maila jest oczywiście mój adres mailowy… Faktura oczywiście do oddrukowania jak u innych z linka…
Sprawa jest nam znana – informowaliśmy o niej na naszej stronie internetowej w dniu 30.07. Ostrzegamy przed wiadomościami zawierającymi szkodliwe oprogramowanie, w których przestępcy podszywają się pod różne firmy usługowe. Fałszywe maile zawierają informacje o niedokonaniu zaległej płatności lub o wystawieniu faktury do zapłaty. Szczegółowe informacje znajdziecie na naszym blogu: http://www.mbank.pl/aktualnosci/post,5719.html. Dodatkowo ostrzegamy również przed atakami na smartfony klientów bankowości elektronicznej: http://www.mbank.pl/aktualnosci/post,5723.html.
Pozdrawiamy,
Zespół mBanku
Zespół mBanku, zapraszamy do dyskusji lub kontaktu bezpośredniego. Chętnie odpowiemy na pytania dotyczące naszej oferty.
Ostrzeżenia to jedno, ale w komentarzach przewijało się pytanie czy macie prawo oraz czy robicie cokolwiek z takim kontem, które używane jest do tego typu oszustw?
Chodzi o to, czy nie zachowujecie się jak sprzedawca, który wywiesza przy kasie tabliczki, że alkoholu nie sprzedają młodzieży (odpowiednik Waszego ostrzeżenia), a na boku dalej zarobek trwa (odpowiednik nie zablokowania konta).
[QUOTE]
Marooned 2014.08.05 15:14 | # |
Ostrzeżenia to jedno, ale w komentarzach przewijało się pytanie czy macie prawo oraz czy robicie cokolwiek z takim kontem, które używane jest do tego typu oszustw?
Chodzi o to, czy nie zachowujecie się jak sprzedawca, który wywiesza przy kasie tabliczki, że alkoholu nie sprzedają młodzieży (odpowiednik Waszego ostrzeżenia), a na boku dalej zarobek trwa (odpowiednik nie zablokowania konta).
[/QUOTE]
A na jakiej podstawie bank miałby zablokować dane konto? Jak ja roześle spamik i dam Twoje konto to też mają je zablokować? Warto pomyśleć.
Chyba zbyt mocny skrót myślowy. Może nie zablokować, ale zainteresować się nim. Sprawdzić właściciela, poinformować go (jak piszesz – właściciel może nie wiedzieć, bo np. weszli w posiadanie jego danych logowania i sobie przelewy robią) etc. Generalnie cokolwiek poza brakiem reakcji.
Poza tym, ja tylko pytam co może bank i co robi w takiej sytuacji.
Relax
No i nowość ;) jednorazowy bilet z e-podroznik.pl
Return-path:
Envelope-to: !adresat!
Delivery-date: Wed, 06 Aug 2014 10:08:25 +0200
Received: from 71.red-81-39-177.dynamicip.rima-tde.net ([81.39.177.71])
by s5.masternet.pl with esmtp (Exim 4.68)
(envelope-from )
id 1XEwGO-0002hI-Q7
for !adresat!; Wed, 06 Aug 2014 10:08:25 +0200
Received: from [150.169.187.186] (account quac8@dhl.com HELO gdihrrissnkr.yzdqjirs.net)
by 71.Red-81-39-177.dynamicIP.rima-tde.net (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 820957067 for !adresat!; Wed, 6 Aug 2014 09:07:41 +0100
From: bilety@e-podroznik.pl
To:
Subject: Bilet jednorazowy e-podroznik.pl
Date: Wed, 6 Aug 2014 09:07:41 +0100
MIME-Version: 1.0
X-Priority: 3
Message-ID:
[…] nam się zachwycać kunsztem atakujących, bo przytłaczająca większość masowych ataków to nudne phishingi i oklepane błędy w webaplikacjach albo małofinezyjne DDoS-y. Tym razem jednak jesteśmy pełni […]
Znowu coś dostałem, ale tym razem zupełnie bez sensu:
Szanowny Kliencie,
Informujemy, że nie otrzymaliśmy jeszcze wpłat zaległych należnościza usługi świadczone przez Multimedia Polska.
Prosimy o niezwłoczne uregulowanie następujących należności:
DokumentNumer dokumentuData dokumentuTermin płatnościKwota dokumentuKwota do zapłaty
Faktura VAT za usługi tel.FVT/MMP/00289552/01362014-07-102014-08-11139.76139.76
Łączna kwota zaległości139.76
Jeśli dokonali już Państwo wyżej wymienionych płatności, to prosimyo uznanie tej wiadomości za nieważną.
W przypadku pytań prosimy o wysłanie wiadomości na adresebok_info@multimedia.pl lub kontakt z naszą Infolinią 244 244 24
Bez załącznika i linku…
Nie tylko faktury – do mnie docierają z kolei maile z zawirusowanymi pifami, wysyłanymi głównie z losowych kont @poczta.onet.pl lub @wp.pl (co ciekawie niektóre maile wyglądają na autentyczne czyjeś – więc albo przejęte czy tylko podszyte)- jako załącznik plik zip, podpisany zwykle skan lub scany – w treści podpisane Skany listów, albo np. “problem z dostarczeniem Twojej wiadomości” o zawartości: “Uwaga! Jeden z Twoich listów nie dotarł do adresata. Wiadomość adresowana do użytkownika nie została dostarczona z powodu błędnego adresu. Sprawdź czy podany adres jest prawidłowy i wyślij wiadomość ponownie lub w razie dalszych wątpliwości możesz zgłosić się o pomoc do administratora Poczty WP”.
Wczoraj fałszywa reklamacja z dhl, dziś faktura z orange
Ja dziś otrzymałam wiadomość, że przypominają o zapłacie faktury wystawionej 28.08 a płatnej do 5.09 na kwotę 3.526 zł. I tyle a i załącznik faktura. Ja buch na fakturę, ale avast od razu blokada. Teraz skanuję cały komputer. czy komuś też się to przytrafiło?
[…] z fałszywymi i zainfekowanymi fakturami zmienił się w fałszywe raporty z KRD — także zawierające złośliwy dokument Worda jako […]
[…] w swoim raporcie FireEye, w 2013 roku i w przeciwieństwie do słabych e-maili z literówkami (jakich pełno także w Polsce) były dopracowane — zarówno na warstwie językowej (korzystano z odpowiedniego […]
Artykuł •Uwaga na “powiadomienie o wciągnięciu na listę dłużników KRD” został zablokowany przez Kaspersky Total Security:
Dostęp zabroniony
Żądany adres nie może zostać pobrany
Żądany obiekt pod adresem:
https://niebezpiecznik.pl/post/uwaga-na-powiadomienie-o-wciagnieciu-na-liste-dluznikow-krd/?similarpost
Wykryto:
obiekt jest zainfekowany przez HEUR:Trojan-Downloader.Script.Generic