18:22
27/6/2016

Dziś od samego rana otrzymujemy dziesiątki zgłoszeń od czytelników z Polski, pod których firmę ktoś się podszył i wysłał do innej firmy (lub osoby) przypomnienie o płatności za nieopłaconą fakturę. Osoby te odbierają telefony z pretensjami, że rozsyłają e-maile ze złośliwym oprogramowaniem, kiedy tak naprawdę, to nie one stoją za atakiem. Choć nadawca jest fałszywy, to załącznik (rzekoma faktura) jest jak najbardziej prawdziwie złośliwa.

Jak wyglądają fałszywe e-maile?

Oto wygląd kilku wiadomości wykorzystywanych do dystrybucji złośliwego oprogramowania. Warto zauważyć, że tym razem przestępcy, aby zapewne zminimalizować ryzyko wykrycia malspamu, zmieniają nie tylko tematy wiadomości, numery faktur i wysokości kwoty, ale także podpisy i poszczególne słowa w wiadomości na ich synonimy (np. informacje vs szczegóły, opłacenie vs uregulowanie) a także stronę czynną na bierną (“nie otrzymaliśmy” vs “nie udało nam się otrzymać”). Część wiadomości łączy jednak adres nadawcy — e-maile są rozsyłane z domeny @t-online.de i @earthlink.net.

Drogi [NAZWA ODBIORCY],
Rozumiemy, ze latwo przeoczyc niektóre platnosci i chcielibysmy Ci przypomniec, ze niestety nie otrzymalismy twojej platnosci w kwocie 1,760.00 Zloty, której termin juz minal. Prosimy, bys zobaczyl dolaczona kopie faktury VAT.
Dziekujemy.

Magdalena XXX
XXX SP.J.
ADRES SPÓŁKI
NUMER TELEFONU SPÓŁKI

Nasze dane wskazuja, ze niestety nie udalo nam sie otrzymac twojej platnosci w kwocie 3,672 Zloty, której termin juz minal. Prosimy, bys zobaczyl dolaczona kopie elektroniczna faktury.

Dziekujemy za wspólprace.
[IMIE NAZWISKO]

Szanowny sklep,Prosimy o uregulowanie faktury #VAT01323419. Wiecej szczegółów w zalaczniku.
Numer Zamówienia:001970540
Data Platnosci:25/06/2016
Suma Zamówienia:4,260.00 PLN
Jesli wplata za fakture zostala juz rozliczona, prosimy zignorowac te wiadomosc.Dziekujemy za współprace!

[DANE SPÓŁKI Z NUMEREM TELEFONU]

Szanowny [adres e-mail adresata],

Uprzejmie informujemy, ze oplacenie faktury # VI/93280 musi byc dokonane. Wiecej informacji odnosnie zamówienia ponizej.
W razie jakichkolwiek watpliwosci, prosimy o skontaktowanie sie.

Numer Zamówienia: 000001-081612
Data Platnosci: 24/06/2016
Suma Zamówienia: 2,218.00 PLN

[DANE SPÓŁKI Z NUMEREM TELEFONU]

Witaj [user],

Prosimy o oplacenie faktury # PLN001205384. Wiecej szczególów w zalaczniku.

Numer Zamówienia: 001168826
Data Platnosci: 27/06/2016
Suma Zamówienia: 4,625.00 PLN
Jesli zaplata za fakture zostala juz rozliczona, prosimy zignorowac te wiadomosc.
Pozdrawiam!
[DANE SPÓŁKI]

Każda z wiadomości posiada także inny podpis, będący realną nazwą faktycznie istniejącej (choć nie mającej z atakiem nic wspólnego) firmy, niekoniecznie z nią związanym adresem (ale czasem należącym do innej firmy) i często wraz z numerem telefonu, także niekoniecznie powiązanym z firmą. Otrzymujemy bowiem sygnały, że numer może być losowany, gdyż kilku z czytelników odebrało dziś pełne oburzenia rozmowy, ale po wyjaśnieniach okazało się, że za każdym razem odbiorca malspamu, choć dzwonił na numer naszego czytelnika, to chciał się kontaktować z inną firmą. Jeden z czytelników (pod którego się podszyto) sugeruje, że przestępcy dane mogli wziąć z bazy WHOIS.

Dodanie numerów telefonów, to mała wpadka przestępców, ponieważ sporo zgłaszających się do nas ofiar twierdzi, że tylko telefon na podany numer ich uratował — a więc można przypuszczać, że konwersja ataku byłaby większa, gdyby poprawny numer telefonu nie pojawiał się w malspamie.

Analiza złośliwego załącznika

Wykonaliśmy pobieżną analizę złośliwego załącznika, którego nazwa ma następujący format (oto jeden z przykładowych):

bartek_(nie zaplacony)_004865248.doc

Plik .doc w formacie MS Office 2007+ (OpenXML) nie jest rozpoznawany przez antywirusy jako zagrożenie (silna obfuskacja, załącznik może być generowany dla każdej z ofiar z osobna), a po otworzeniu (i zezwoleniu na wykonanie makra) wywołuje złośliwy kod.

Złośliwy plik stara się przekonać ofiarę do aktywacji Makr

Złośliwy plik stara się przekonać ofiarę do aktywacji Makr

Makro wykrywa fakt analizy (uruchomienie pod maszyną wirtualną, tzw. anti-vm check) i jest zobfuscowane

a po uruchomieniu pobiera na komputer ofiary plik z adresu

hxxp://www.grandtetonvacationrental.com/office14.dat

Plik ten jest aplikacją (EXE) napisaną przy wykorzystaniu frameworku MFC (Visual Studio), i zawiera ślady chińskich domen:

0x695160 (70): Home Page: http://www.epoolsoft.com
0x695280 (72): MicroBlog: http://t.qq.com/epoolsoft
0x6d3010 (72): MicroBlog: http://t.qq.com/epoolsoft

Ciekawostka: na pierwszej z ww. stron znajduje się opublikowany zaledwie 3 dni temu “antywirus”.

Uruchomiony złośliwy program zawiera następujące nawiązania do API i usługi WebDAV, co może świadczyć o funkcjonalności przesyłania plików na zewnętrzne serwery jak i pobierania z nich dodatkowych danych (funkcje charakterystyczne dla trojanów).

0x75d7d0b0 (38): NoHTMLViewForWebDAV
0x7635dd55 (24): O6vDavGetUNCFromHTTPPath
0x7635dd70 (21): DavGetHTTPFromUNCPath
0x7635dd88 (19): DavGetExtendedError
0x7635dd9c (12): DavFlushFile
0x7635ddac (34): DavCheckAndConvertHttpUrlToUncName
0x7636994c (11): davhlpr.dll
0x7667591c (24): NoDavWWWRoot
0x76703ed0 (56): Enable Extended DAV Features
0x76921148 (20): DavWWWRoot
0x76a1d250 (11): DAVHLPR.dll
0x76a1f278 (12): DavFlushFile
0x76a1f288 (21): DavGetHTTPFromUNCPath
0x76a1f2a0 (21): DavGetUNCFromHTTPPath

Dodatkowo, funkcjonalność wstrzykiwania do pamięci innych procesów, złożona formuła rozpakowywania się w pamięci (mająca zapewne na celu utrudnienie analizy) świadczy o tym, iż autorem nie jest nowicjusz. Ciekawe jest też nawiązanie do “vermeer RPC packet”, przywołujące techniki ataków na oprogramowanie do tworzenia stron internetowych (FrontPage).

Według serwisu virustotal, plik jest identyfikowany jako złośliwy przez 12 na 54 antywirusy:

Antivirus_scan_for_31d6f8afc8949c2d0913b967c01c25999f7d91481019b86b621b68d1a28b5eed_at_UTC_-_VirusTotal

W ramach naszej pobieżnej analizy (która wciaż trwa) nie udało nam się znaleźć wyraźnych nawiązań do bankowości (co nie znaczy, że malware nie okaże się bankerem), natomiast liczne odwołania do usługi SQL (jakiegoś rodzaju serwera), a także inne ciągi znaków świadczą o funkcji oferowania serwera HTTP. Nasza analiza wciąż trwa — będziemy aktualizowali tego posta.

Szczegóły próbki

Złośliwy załącznik (plik .doc)
MD5 c61b41cc88676db668f86ceaa70faf66
SHA1 aa57b69d8ecc6fc587c79782d30e3693415d9e0a
SHA256 f6237670743969617737d7e8f310a5f4b3770d68cc3280492c838c2bbec9dccf

Zdroppowany payload (plik .dat)
MD5 c8a6bc271abf82cb0ad47ca08fd6c384
SHA1 d43a5c2f5663992b9fcd3dc7add5b06e28526a7b
SHA256 31d6f8afc8949c2d0913b967c01c25999f7d91481019b86b621b68d1a28b5eed

Jeśli ktoś z Was dostał wiadomość z innych domen niż t-online.de, dajcie nam znać. Pamiętajcie też, aby wszystkie przypadki “spamu” lub “malspamu” wysyłać do nas z pełnymi nagłówkami wiadomości e-mail, a ewentualne załączniki, co do których jest podejrzenie iż są zainfekowane, pakować na hasło “niebezpiecznik”, dzięki czemu Waszej wiadomości nie zablokują serwery pocztowe, a my będziemy mogli ją bez przeszkód otrzymać.

Dostałem takiego maila — co robić, jak żyć?

Przypominamy, aby nie otwierać załączników od osób, od których wiadomości (z załącznikiem) się nie spodziewamy. W przypadku faktur należy raczej spodziewać się plików PDF, a nie Worda. Ale nawet jeśli odbierzecie wiadomość od znajomego kontrahenta, to nigdy, przenigdy Nie uruchamiajcie Makr. To zazywczaj nie prowadzi do niczego dobrego…

P.S. Jeśli chcielibyście dowiedzieć się jak szybko analizować tego typu złośliwe załączniki (jak dowiedzieć się, co konkretnie robi malware, z jakich narzędzi skorzystać do analizy, jak przeprowadzić deobfuskację oraz jak dynamicznie i statycznie przeanalizować złośliwą próbkę) to zapraszamy na nasze lipcowe szkolenie z Analizy Malware’u, które odbędzie się w Krakowie — zostało jeszcze tylko 5 wolnych miejsc.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

82 komentarzy

Dodaj komentarz
  1. Ja też to dostałem. Jednak inny plik, nie wykrywany przez antywirusy: https://www.virustotal.com/en/file/40eb8babf5ec5a79465392001d08785cf7595bca73edc9e8d7b1490266a24c52/analysis/1467041528/

  2. Dostaliśmy takiego maila ale z domeny cerhartic@earthlink.net
    Co gorsza 1 na 54 antywirusy go wykrywa

    Drogi kontakt,

    Piszemy do Ciebie z informacja, ze niestety nie otrzymalismy twojej platnosci w kwocie 4,720.00 Zloty, w terminie. Prosimy, bys przyjrzal sie dolaczona kopie faktury VAT.

    Z powazaniem.
    Innowa Sp. Z O.O
    KROMSKI I SYNOWIE S.C.

    ul 1 Maja 6/1 Tarnow malopolskie 33-100
    +48604122127

    • Dostałem identycznego maila, tylko inne dane.

  3. Dostałem to samo, ale załącznik nie był spakowany, a mail przyszedł z domeny earthlink.net.

    • U mnie też przyszło z earthlink.net a plik miał format PDF. Gdyby nie to, że przywitali mnie tekstem “Witaj seo” (nazwę seo mam w domenie), być może odruchowo bym go otworzyła.

  4. Dziś rano przyszedł do mnie też ten Trojan przy czym nie był spakowan RARem tylko zwykły DOC. Przed poludniem jeszcze zaden z antywirusów nic nie wykrywał. Zgłosiłem natychmiast do f-secure oraz na VirusTotal i jak widać po poludniu próbka jest już wykrywana

  5. Dzwonią do mnie ludzie od kilkunastu dni że niby dostali od mojej firmy maila że mi wiszą kasę.
    Najlepsze jest to że to jest mój nr prywatny i chyba występuje w niektórych z tych maili.

    Do tej pory dzwoniło z 5 osób, więc wygląda że nie we wszystkich mailach jest mój numer :-)

    • Też tak mam. Na szczęście telefon stacjonarny z ogólnej bazy danych z neta (obecnie telefon moich rodziców) . Byłem z tym na policji ale nie bardzo wiedzą co z tym zrobić. Jak by tam był nr konta lub dobra f-ra to podobno już poważna sprawa by była.
      Pozdrawiam

    • No ja już z 10 połączeń od środy mam.
      Również prywatny numer telefonu, ludzie nawet dzwonią o 7 rano, i jacy oburzeni

    • Też do mnie dzwonią na prywatny, zgłosiłem na policji – ale od razu dostałem info że zerowa szansa na znalezienie sprawcy podszywania pode mnie:):)

  6. Czy anti-vm check dotyczy QEMU i PCem? :)

  7. Gwoli ścisłości, imię i nazwisko, dane spółek i telefony są przemieszane.
    Dziś dostałem z 6 telefonów od ludzi, niektóre mniej inne bardziej przyjemne, raz nawet groźby.

  8. Mój tata dostał właśnie taki e-mail z domeny t-online.de , i otworzył załącznik . Co w takim wypadku mam zrobić?

    • Zależy czy miał makra…

    • Odłącz kabel od internetu (jak najszybciej) i przede wszystkim nie restartuj, ani nie wyłączaj komputera. Na noc wystarczy wyłączyć sam monitor. Zgłoś na Policję. Pogrzebią trochę i mogą coś wyszukać.

  9. Mam inny hash pliku doc, ale też z t-online.de

    • W zasadzie to patrząc po komentarzach to w wielu (w każdym?) jest inny hash i inna wykrywalność każdego pliku, ale najczęściej oscyluje około 0-1 antywirusa.

  10. u nas to samo dziś z domeny t-online.de, o 12.00 na virustotal wykrywalność 0/54 teraz 2/54

    https://www.virustotal.com/pl/file/003d0d45b0356d671a96081d693048bf57cf7c04bb999c1a753260f9cf62d6e1/analysis/1467048788/

  11. W którymś z tych spamów wygenerował sie mój nr tel i od paru dni miałem 2 telefonu z pytaniem co to za faktura i za co

  12. Mój Tata otrzymał maila z skrzynki pocztowej należącej do grupy o2.pl (końcówka maila tlen.pl), by zapłacić fakturę na nie istniejąca już spółkę. Również na naszej poczcie wydziałowej (WMiI UMK) przychodziły takie maile.

  13. Dostałem dzisiaj dwa telefony od osób, które otrzymały zainfekowanego maila. W jednym z przypadków w mailu był mój numer telefonu, w drugim mój stary adres zamieszkania.
    Dane czerpane są z bazy whois domen globalnych (tylko tam mam jeszcze stare dane).

  14. Co zrobić jeśli z rozmachu otworzyło się plik?

    • Jeżeli nie uruchomiłeś makr nic sie nie stało

    • Jestem kompletnym laikiem, Norton Internet security nie odezwał się. Otworzyłem plik.doc i zorientowałem się dopiero że to wirus, były tam grafiki imitujące nieaktualne wersję office . Co znaczy stwierdzenie “nie uruchomiłeś makr”?

  15. A oto mail który ja dzisiaj otrzymałem:
    Chcialibysmy Ci przypomniec, ze niestety nie udalo nam sie otrzymac twojej platnosci w kwocie 1,952.50 zl, w terminie. Prosimy, bys zobaczyl zalaczona kopie elektroniczna faktury VAT.

    Dziekujemy za wspólprace.
    P.H.U. Krystel
    METALKAS SP. Z O.O.

    Pocztowa 613 Zary Zary 68-200
    +48601507757

  16. Heh, dostałem dzisiaj takiego maila na firmową skrzynkę, nawet dość wiarygodny, ale jak zobaczyłem .doc to byłem pewien co to jest i pokazywałem koledze czego ma nie robić. Na liuxie mam Libre Office i od razu krzyczy, że są makra i domyślnie są wyłączone. Stary trick. Po co we fakturze włączać makra? ;)

  17. Ja też dostałem z earthlink.net, wcześniej wysłany z Rosji

    https://www.spamcop.net/sc?id=z6250961376z9d9d8d5b2d44fd4068ab3f74f7c379a4z

  18. A to od razu podejrzany mail jaki pojawił się u mnie.

    ——– Original Message ——–

    Subject: dariusz, prosba o uregulowanie naleznosci 159189
    Date: Mon, 27 Jun 2016 11:08:00 -0700
    From: “Piotr Sasadeusz”
    To: dariusz@dkam.pl

    Drogi dariusz,

    Jako, ze nie otrzymalismy listu zakonczenia kontrkatu, zakladamy mogles najwzyczajniej pominac swoja fakture EU-5423171 (Niezaplacona). Gdybys chcial zakonczyc konta, tylko wyslij krótkie powiadomownie. Wiedz, ze kary za wczesna rezygnacje moga zostac tu zastosowane .

    Przyjrzyj sie dolaczonym dokumentom dotyczacym szczególów platnosci.

    Dziekuje.
    Piotr Sasadeusz.

    KULCZUGA KRZYSZTOF
    T. +48226229073

    załącznik o nazwie : dariusz_faktura_000414.doc

    ———————
    Drogi NIEBEZPIECZNIKU bardzo dziękuję za tego arta – upewnił mnie, że to syf i pierwsza decyzja o natychmiastowym usnięciu tego maila była właściwa :D

  19. Poniewaz nie otrzymalismy listu cesji uslugi, werzymy, ze mogles najwzyczajniej pominac swoja fakture PLN9288760 (Nie zaplacona w terminie). Jesli chcial zrezygnowac z umowy, prosimy o powiadomownie. Wiedz, ze kary za wczesna rezygnacje moga zostac tu zastosowane .

    Przyjrzyj sie dolaczonym dokumentom dotyczacym informacji o rachunku.

    Pozdrawiam,
    Mariusz Rysz.

    ODYS
    T. +48324151513

  20. A co jeśli się otworzyło Makra? Co robić?

    • za karę musisz się wychłostać

  21. Dostaliśmy dziś taki mail. Kliknęłam na załącznik ale się nie otworzył – to mam zainfekowany komputer czy nie ?

  22. Mam takie pytanko ponieważ dziewczyna otwarła załącznik naszczęscie odłaczyłem internet chyba w porę czy zwykły format załatwi sprawę ?
    Prosze o szybką odpowiedz :)

  23. Co za parszywe .

  24. Mój numer telefonu także znalazł się w rozsyłanej korespondencji, miałem już wczoraj dwa telefony. Przestrzegam osoby, które do mnie dzwonią przed wirusem, ale pytanie co ja mogę zrobić w tej sytuacji. Czy jest jakiś inne wyjścia poza zmianą numeru, który mam od kilkunatu lat?

  25. Czy obfuskacja nie ma dobrego polskiego odpowiednika? Nie każdy przypuszczam wie co to znaczy, poza tym brzmi podobnie do obstrukcji.

    • Ma “zaciemnianie”. Nie rozjaśnia…

  26. Witam,
    Również otrzymaliśmy maile tego typu, ale w naszym przypadku zagrożenie wykrył Eset Endpoint Security i usunął zagrożenie wskazując na trojana.

  27. Moj numer komórkowy jest podawany w ramach danych spółki rzekomo wysyłającej mejle, dzis już cztery telefony z pytaniami co to za faktura…. jak żyć?

  28. Do mnie trafił taki mail: “Chcialibysmy Ci przypomniec, ze niestety nie otrzymalismy twojej platnosci w kwocie 3,836.50 PLN, w terminie. Uprzejmie prosimy, bys przyjrzal sie dolaczona kopie faktury.

    Dziekujemy za poswiecenie uwagi sprawie.
    Zbigniew Kozik”

    I załącznik w formacie doc.

  29. dostaliśmy takiego maila i to już parę dni temu, chyba w okolicach piątku 24.06

  30. DO AUTORA:
    A jak wygląda sytuacja jeśli ktoś używa zamiast Microsoft Office ich darmowych odpowiedników – Open Office lub Libre Office?

    Czy zagrożenie jest takie samo?

  31. U nas były już 22 czerwca, od tamtej pory przyszło ich kilkanaście. Każdy z nieco inną treścią, inną sygnaturą i inaczej zobfuscowanymi makrami. Ani clamav na utmie (to mnie nie dziwi akurat) ani kaspersky na stacjach roboczych nie wykrył nic podejrzanego. Dopiero wczoraj pierwsze pliki zaczęły być wykrywane (te z wczoraj nadal niewykryte, zgłoszone). Kilka osób uporczywie próbowało uruchomić te makra, ale polityka na to na szczęście nie pozwala (telefony nie brzmiały “chyba mam wirusa” tylko “nie mogę otworzyć pliku z fakturą”).

    Słówko PRIVATE niżej wskazuje na dane z whois.

    W załączniku: sekretariat.doc ( https://www.virustotal.com/pl/file/5c747ff19d85ea9771709a27fdd5f9c2783f82f7e179b4b8708a4973d9031687/analysis/1467101619/ )

    FROM: Slawomir Randak
    TO: sekretariat
    SENT: Wednesday, June 22, 2016 6:47 PM
    SUBJECT: sekretariat ; Nie odnotowalismy wplaty za fakture 10964942

    Szanowny sekretariat,

    Zauwazylismy, ze faktura numer # EU/589583 nie zostala do tej pory
    oplacona.
    Prosimy o zaplacenie nie pózniej niz 28.06.2016. Kwota platnosci
    wynosi: 3,129.00 PLN
    Jesli oplata za fakture zostala juz dokonana, prosimy zignorowac te
    wiadomosc.

    Pozdrawiam,
    Slawomir Randak,

    PRIVATE
    T.: +48608508641
    MKPOL Maciej Kocialkowski Sloneczna Poznan, wielkopolskie 60-148

  32. Już dwie osoby dzwoniły na mój prywatny numer w sprawie jakiejś faktury. Wygląda na to, że to ten wątek i numery telefonów są generowane losowo i niestety trafiło też na mnie.

  33. Cześć,

    otworzyłem niestety wieczorem ten link, było późno i jakoś bez myślne to otworzyłem. Jak mogę sprawdzić czy faktycznie mam już puszczone to makro i jak sobie z tym radzić?

    Proszę o podpowiedzi.

  34. mój brat dostał taki mail, otworzył załącznik i kliknął “enable” co teraz? McAfee nic nie wykrywa.

  35. A wystarczy wymusić uwierzytelnianie nadawcy certyfikatem. Poczta niepodpisana powinna być odfiltrowana na poziomie serwerów pocztowych. Skończył by się spam , fraudy i cała reszta. Certyfikaty powinny wydawać te same zaufane Centra co dziś, po podaniu danych i wysłaniu skanu dokumentu potw. tożsamość. Tylko trzeba by to zrobić globalnie na szczeblu międzynarodowym.

    • Nikt nie będzie walczył z głupotą międzynarodowym paraliżem ruchu w sieci.

      Tak to już jest, że za głupotę (często nie swoją) płaci się frycowe. Gdy cały zespół straci przez cryptolockera miesiąc pracy, albo konkurencja pozna supertajne dane, mądry szef zwolni administratora (przed większością tych ataków można się przecież zabezpieczyć, a umiejętność czytania ze zrozumieniem jest mocno przereklamowana), ale kumple i tak będą wiedzieć, kto załatwił im nocki (słodka Jola od PR czy uśmiechnięty Krzysio z prawnego).

  36. Ja mam zgoła inny problem – na fakturach, które otrzymują niektórzy widnieje mój numer telefonu. Dalej możecie sobie wyobrazić co się dzieje – mnóstwo telefonów z pretensjami.
    Jakieś wskazówki co dalej z tym zrobić?

  37. Może to głupie, ale 2 z 3 osób które do mnie dziś dzwoniły w sprawie tej “faktury” dzwoniły z numeru stacjonarnego o kierunku +48 (32). Ciekawe, czy to może sugerować cel ataku, czy osoby z Górnego Śląska są ostrożne, czy po prostu przypadek…

  38. Maile przychodzą też z domen niewymienionych w newsie, np. @wp.pl

  39. No do mnie też dzwonią, już 4 telefony miałem. Jedna z ofiar przesłała mi tego maila, GMAIL od razu taguje go jako spam i blokuje załącznik jako wirus.

  40. Mój numer telefonu też jest na “fakturach”. Już 2 osoby do mnie dzwoniły.
    Zgłaszać sprawę na Policję?

  41. Witam !

    Od ponad tygodnia dzwonią do mnie ludzie, że dostali ode mnie właśnie takiego maila o jakim mowa w artykule. Proszę Państwa, proponuję każdemu z Państwa którego numer jest wykorzystany w tym mailu zgłosić sprawę na policje. Ja tak zrobiłem. Zgłaszać należy do Wydziału Przestępstw Gospodarczych.

  42. Też dostałem, domena @t-online.de załącznik doc.

    Jak ktoś chce zgłaszać na policję to sugeruję najpierw przejrzeć kodeks karny i pójść z gotowymi paragrafami, bo mówiąc delikatnie panowie (i panie) przyjmujący w “zwykłym” komisariacie często są nieobeznani a aktualnym prawem,a stare książkowe kodeksy z lat 90-tych (sądząc po stanie i kolorze) często nie zawierają “przestępstw komputerowych” . Byłem, widziałem. Można też od razu do prokuratury pisać, ale pewnie i tak się skończy wezwaniem na świadka.

  43. Proszę nie molestować słowa “funkcjonalność” i w jego miejsce wstawiać po prostu “funkcja”. Robienie takiej kalki z języka angielskiego to popularny i denerwujący błąd, z którym walczę również w firmie, w której pracuję. Rozumiem, że ktoś może nie być orłem z polskiego, ale pewnych rzeczy można się nauczyć na pamięć. Pozdrawiam. Do mnie ciągle przychodzą “faktury” z PGE.

  44. A ja jestem pokrzywdzonym. Mój numer telefonu pojawił się w tych mailach. Ludzie do mnie dzwonią z informacją, że otrzymali ode mnie takiego maila. Miałem do tej pory 5 takich telefonów. Iść z tym na policję?
    Co doradzacie?

  45. Ja również otrzymałem maila dn. 27.06 z adresu moebius.martina@t-online.de.

    Treść wiadomości:
    Drogi krzak90,

    Piszemy do Ciebie z informacja, ze niestety nie udalo nam sie otrzymac twojej platnosci w kwocie 4,832.00 PLN, w terminie. Uprzejmie prosimy, bys zobaczyl zalaczona kopie elektroniczna faktury VAT.

    Z powazaniem.
    Marcin Blank
    AMP;QUOT; SP.C.

    Pulaskiego 252 Kluczbork dolnoslaskie 46-200
    +48586992005

  46. Do mnie podobny mail przyszedł (26.06) z poczty .o2 – Po uruchomieniu pliku Word-a zareagowały Webroot i Zemana wskazując na trojana.

  47. Debile wyłudzający pieniądze. Lepiej usunąć wiadomość e-mail (z niewykrywalnym wirusem) i ma się z bani. Do czasu, aż przyjdzie następny wyłudzacz. To walczyć i nie dać im się dobrać do kompa.

  48. te kilka wolnych miejsc nie wymaga zapłaty za fakturę?

  49. Dostalam dzisiaj maila o tresci :
    “Przesyłam faktur do opłacenia. dRUGA STRONA SMYCZY “z przesunięciem”
    Proszę o akceptację przesłanie potwierdzenia” w tytule maila “zamowienie 4520szt”. Wiadomosc od sekretariat”tlen.pl w zalaczniku plik .doc

  50. Kiedyś dostałem fałszywą fakturę. Po pierwsze przyszła na inny adres niż podałem u operatora i tu już mi się śmiać zachciało! Poza tym brak było pliku potwierdzającego bezpieczeństwo. Nawet kwota się zgadzała ze zdjęciami na stronie operatora. Zwracanie uwagi na drobiazgi, czasem pomaga. Ale widzę, że tym razem kwoty są inne. Po pierwsze przy takich kwotach proponuję dzwonić na infolinię i pytać co się dzieje przed klikaniem. Lekka paranoja jest lepsza niż strata gotówki! Gość zalogował się kiedyś na podstawionej stronie i na następny dzień miał czyste konto. Niby oczywista i powtarzana wszędzie zasada “nie klikać jak leci wszystkiego”, a jednak ktoś się złapał. A jak teraz rachunki popłacić, czy choćby załadować kartę miejską?

  51. Masakra! Kiedyś (tak powiedzmy jeszcze rok temu) te e-maile z kilometra można było wyczuć “ściemą” i jak się ktoś nabierał to go uważałem za idiotę ale obecnie treści są tak “dobrze ułożone” że prawie sam się ostatnio prawie nabrałem. Jednak pomysłowość spamerów nie zna granic. Najwięcej tego typu e-maili miałem ostatnio od kwietnia do maja 2017. Wszystkim osobom życzę ostrożności i więcej takich artykułów musi powstać aby publika była wyczulona – Dobra robota! Pozdrawiam.

  52. Uwaga temat powrócił tym razem do mnie, tym razem na niższą kwotę:

    Dzień dobry,
    przesyłam dokument Faktura 90/11/2017 na kwotę 359,50 PLN brutto.

    Link do podglądu: Faktura 90/11/2017


    Jan …..
    Os……
    31-813 Kraków , Polska

    Dodaj do wydatków + Pobierz PDF Podgląd ‣
    Korzystając z przycisku dodaj do wydatków możesz automatycznie zaimportować fakturę do bazy swoich kosztów. Korzystanie z bazy wydatków w systemie Fakturownia.pl jest bezpłatne.
    Wysłano z programu
    Fakturownia.pl fakturownia.pl

  53. Witam, do nas trafił dzisiaj mail treść poniżej.
    Pytanie moje brzmi, gdzie to można zgłosić, żeby ktoś za maile tego typu odpowiadał?!

    Pozdrawiam

    cytuję:
    “Szanowni Panstwo,

    Dziekujemy za skorzystanie z uslug FILPLAST Sp. z o.o..
    Jednoczesnie informujemy, ze dnia 2017-11-20 zostal wystawiony dokument Faktura 4275 na kwote 2783.95 zl, ktory przesylamy w zaalaczeniu.

    Pobierz fakture w pliku Faktura nr 4275/11/20.pdf

    Haslo do otworzenia faktury brzmi: 29062016

    Prosimy o uregulowanie naleznosci zgodnie z terminem platnosci, podanym na fakturze.

    Z powazaniem,
    Wisniewska Adelajda
    Dyrektor generalny

    FILPLAST Sp. z o.o.
    ul. Pocztowa 8 Stargard PL
    NIP: PL9792159842”

    • Pachnie przekrętem na kilometr – przecież nikt dziś nie nosi imienia Adelajda ;-P

    • Poszukaj danych tej – o ile istnieje – firmy i wyślij im mail jako załącznik. Niech Oni się martwą, co z tym zrobić.

  54. Zaglądajcie na strony operatorów przed zapłatą faktur! Mi przyszła niewielka kwota i nawet dane (łącznie z numerem klienta) chyba się zgadzają. Problem w tym, że po sprawdzeniu ze stroną operatora nie ma zaległości. Oczywiście poszedł mail do operatora ze zrzutami ekranu.

  55. ja także dostałem takiego maila tylko:
    1. napisanego przez kolegę z pracy (podpis imię nazwisko ok, adres inny)
    2. mail jest po francusku
    3. ostatnio dostałem 3 podobne:
    a)dwa od kolegi
    b) jeden z maila mcardenas@intertraffic.com.mx
    c) jeden z maila info@rjptfe.com

    z czego wszystkie podpisane nazwiskiem kolegi oraz 2 z 3 zawierały załącznik w postaci .doc

    Kaspersky wykrył plik jako zagrożenie

  56. Mi wczoraj przyszedł mail następującej treści

    Tytuł maila: wykaz faktur
    Adres nadawcy: Joanna Kościelak
    Treść:
    Witam

    Przesyłam wykaz faktur, w tym faktura po terminie. Prosimy o jej uregulowanie W przypadku jakichkolwiek pytań proszę o kontakt.

    Z poważaniem

    Joanna Kościelak

    ENERGETYK ENERGY

    Spółka z Ograniczoną Odpowiedzialnością Sp. K.

    ul. Korczak 100

    62-800 Kalisz

    NIP: 618-205-68-53

    Załącznik – FAKTURA_0552.zip
    Skaner poczty wykrył mi tą wiadomość jako Wirus: Trojan.Downloader.JUIK (Skaner A)

    oraz druga wiadomość

    Tytuł maila: Faktury
    Adres nadawcy: Rafał Kowalski
    Treść:
    Szanowny Kliencie,

    W załączniku przesyłam dane do faktur i rozliczenia.

    Pozdrawiam

    Rafał Kowalski

    Biuro POLBUD

    Załącznik – FV04499004407.zip
    Tutaj skaner poczty początkowo nic nie wykrył.

  57. UWAGA NA OSZUSTÓW!!!

    Dziś taki mail:

    Wtorek, 3 Lipca 2018 04:13
    Od: Wentkowska Aleksandra

    Reply-To Wentkowska Aleksandra

    Załączniki:
    1 załącznik |

    Temat:
    nieuregulowane płatności

    Szanowni Państwo,

    Informujemy, że do dnia dzisiejszego nie wpłynęła do nas płatność za faktury-wykaz w załączniku .

    Bardzo prosimy o jak najszybsze jej uregulowanie.
    W przypadku niezgodności, w tym nie otrzymania przez Państwa wymienionej faktury, prosimy o kontakt.

    Z poważaniem

    Wentkowska Aleksandra

    ENERGETYK ENERGY

    Spółka z Ograniczoną Odpowiedzialnością Sp. K.

    ul. Korczak 100

    62-800 Kalisz

    NIP: 618-205-68-53

    Załączniki:
    FV_875894954.zip
    __________________________________________________________________________________

    Sprawdziłam najpierw firmę, od której przyszedł ten mail. Firma faktycznie istnieje, ale nigdy nie miałam z nią nic wspólnego. Od razu wydało mi się to podejrzane… Nie otwierałam załącznika.

  58. Pierwszy e-mail:
    Twoja faktura z 25 lipca 2018 r
    Od:BERNIER Company

    Szanowny *****@interia.pl
    Pański numer klienta to: AM000315

    Wysyłamy Panu ten e-mail, by poinformować o zapłacie powiązanej z zamówieniem N°0031564 z dnia 25/07/2018 Pan wybrał płatność za pośrednictwem karty kredytowej
    Pańska faktura jest dostępna na tym adresie i pozostanie do 24-godzin od rozpoczęcia ściągania

    Jesteśmy dostępni od poniedziałku do piątku, od 9:00 do 19:00 na numerze widocznym na nagłówku faktury

    Pozdrawiamy.

    Tu podświetlone słowa to: “tym adresie” i “faktury”.

    Drugi e-mail:
    Data: 2018-08-06
    Twoja faktura #209626
    Od:Serwis klienta firmy CHRETIEN

    Drogi anwiki@interia.pl,
    Twoja klient numer: 209626.

    Wysyłamy do ciebie powiadomienie dla potwierdzać otrzymania zapłata w wysokości 1430 zł.
    Wybrałeś płatność kartą płatniczą.
    Twoja, faktura jest dostępna pod tym linkiem i zostaje tam 24 do godziny po pierwszym pobraniu.

    Jesteśmy do dyspozycji od poniedziałku do piątku z 8:00 do 19:00, numer telefonu znajduje się na fakturze.

    Pozdrawiamy,
    Serwis klienta firmy CHRETIEN

    Tu podświetlone słowa to: “linkiem” i “fakturze”.

  59. Na maila firmowego dostaliśmy dziś:

    “Witam,
    przesyłam dokument Faktura 16/08/2018 na kwotę 183,00 zł .

    Z poważaniem,

    M**** P****

    I****o”

    Firma istnieje, pan z podpisu również. Mail z post.pl, wygląda na prywatnego.

    W załączniku plik fv12708172.rar

  60. Ja dostalam takiego maila. Firma istnieje i kobieta tez tylko se Ewa Gryc a nie Gryca

    Ewa Gryca
    do mnie
    Dzień dobry,

    W imieniu Papierland przesyłam fakturę, jednocześnie prosząc o terminową płatność.
    Oryginały dokumentów prześlemy pocztą tradycyjną.

    Z poważaniem,

    Ewa Gryca

    Papierland

    I zalacznik z fakturą zapakowany w pliku rar

  61. Ja dostałam dziś takiego maila od help@blackbooty.net
    Witam

    licencje na kwote 944.10 pl, aby dowiedziec sie wiecej, kliknij link : http://mesg.pipeinspectionsoftware.com/cmt/x.php?email=092f1@0ea30

    Z powazaniem

    Wentkowska Aleksandra
    MDDP MICHALIK DŁUSKA DZIEDZIC I PARTNERZY

  62. Cześć, mnie także zaniepokoił jeden mail – datego też znalazłam się na tej stronie. Wiadomość przyszła z maila i.kossakowska@goldcare.pl:

    Witam,
    W załączniku druga faktura do opłaty, po potwierdzeniu będzie można odebrać towar.
    Proszę o przesłanie potwierdzenia otrzymania faktury.

    Szczegóły przelewu w pdf: https://drive.google.com/file

    pozdrawiam
    Łukasz Słota
    “Proggres-Chem” Sp. z o.o.
    PL 02-699 Warszawa
    ul. Trzciana 234 47-125 Żędowice
    tel. 77 8532332 fax. 743922331

  63. Takie maile to już chleb powszedni. Bardzo ciężko poradzić sobie z nimi wykorzystując nawet najlepsze filtry antyspamowe.

    • Zawsze można próbować blokować po słowach kluczowych. Poza tym KONIECZNIE powiadomić firmę na którą się autor maila powołuje i producenta antywirusa. Już nazwa załącznika dziwnie wygląda.

  64. To kolejny na przestrzeni tygodnia, rzekoma faktura jest w załączniku z rozszerzeniem html: document_11902168962(.)html

    Witam,
    Dziś dostałam informację z księgowości, że zapłaciliście Państwo 1865,35 zł , pozostało do zapłaty 1607,47 zł.
    Proszę o przesłanie potwierdzenia otrzymania faktury.

    Pozdrawiam
    Radosław Rudnicki
    PHU “Astra”
    NIP: 607 – 22 – 08 – 607

  65. Bardzo często sam dostaję takie mejle z fałszywymi fakturami, trzeba uważać!

  66. Ostatnio dostaje coraz więcej tego typu wiadomości. Całe szczęście, że większość z nich ląduje w spamie. Dobrze, że są takie artykuły jak ten, dzięki którym więcej osób będzie doinformowane i unikną niemiłych sytuacji.

Odpowiadasz na komentarz Janke

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: