18:52
8/10/2015

Od wczoraj otrzymujemy wiele zgłoszeń od czytelników, którzy na swoje e-maile, podane tylko w sklepie Komputronik, otrzymali następującą wiadomość (fałszywe wezwanie do zapłaty, zawierające złośliwy załącznik):

From: Grzegorz Osinski g.osinski@osinski-windykacja.pl
Date: Wed, 07 Oct 2015 11:24:17 +0200
Subject: osinski-windykacja, wezwanie do zaplaty
Szanowni Panstwo,

Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty.

Haslo do zalacznika: przedsadowka2015

--
Grzegorz Osinski
Osinski-Windykacja
ul. Beneszka 83/1
70-760 Szczecin

Jeden z naszych czytelników przeanalizował dane teleadresowe — oto wynik jego śledztwa:

Z danych KRS-u wynika, że taka firma windykacyjna rzeczywiście istniała, natomiast została wykreślona z bazy danych w 2004 roku (http://www.krs-online.com.pl/m-z-osinski-sp-z-o-o-w-likwidacji-krs-141254.html). Ale jest strona internetowa http://www.osinski-windykacja.pl/kontakt.html, pytanie czy prawdziwa? Pod podanym na stronie numerem telefonu/mailem może przecież
zgłaszać się podstawiona osoba, która mi potwierdzi”autentyczność” maila.

Dziwna jest też sprawa z adresem, którym jest podpisany poniższy mail: ulica Beneszka nie istnieje w żadnym mieście, natomiast kod pocztowy prowadzi do Batalionów Chłopskich w Szczecinie, czyli ulicy z nieaktualnego KRS-u i z podejrzanej strony internetowej…

Wprawdzie większość tropów wskazywała na przekręt, ale ponieważ były w tym wszystkim elementy autentyczne, to wcale nie byłem już na 100 procent przekonany, że to próba wyłudzenia pieniędzy. Ostateczne potwierdzenie uzyskałem jak odpisałem na tego maila z prośbą o dokładne dane firmy (KRS, NIP, REGON, adres) i prośbą o kontakt telefoniczny w celu wyjaśnienia ewentualnej pomyłki (jednakże bez podawania swojego numeru telefonu z wiadomych przyczyn, jeśli faktycznie jest coś na rzeczy, to powinni mieć moje dane). Praktycznie od razu dostałem zwrot mojego maila z informacją, że użytkownik o takim adresie (g.osinski@osinski-windykacja.pl) nie istnieje.

Wyciek danych klientów Komputronika?

Ponieważ ponad połowa zgłaszających nam ten incydent czytelników twierdziła, że e-mail na który przyszedł spam wykorzystywała tylko w Komputroniku, wszystko wskazuje na to, że ktoś pozyskał bazę lub część bazy danych klientów Komputronika. Możliwości jest kilka:

Jeśli czyta nas osoba stojąca za tym atakiem, będziemy wdzięczni za anonimową informację, która z powyższych hipotez jest prawdziwa ;-)

PS. Podobna wpadka (tj. wyciek danych klientów) zdarzyła się też polskiemu DB Bankowi.


Przeczytaj także:



38 komentarzy

Dodaj komentarz
  1. Wszystko spoko ale po co tag “7zip”?

    • Tag 7zip pewnie dlatego, że w załączniku tej wiadomości jest paczka spakowana w formacie *.7z. Nie wspomniano co prawda o tym w artykule, ale załącznik zawiera spakowany plik o pięknym rozszerzeniu pdf.scr. Nie wiem niestety, co robi, bo na maszynie wirtualnej po odpaleniu w zasadzie nie zauważyłem żadnych anomalii..

    • Ominięcie prostackich filtrów na części kont – popularne formaty w postaci zip/rar są często odsiewane i dodatkowo skanowane, stąd też najpewniej dodatkowe hasło na archiwum dołączone w treści maila – bo kto analizuje treść pod kontem hasła do załączników?

  2. Już wiosną był podobny przypadek , informacja o fałszywych fakturach była nawet na stronie głównej “komputronika”
    czyżby powtórka , czy ew. powtórne wykorzystanie bazy z tamtego okresu

  3. Dostałem dwa takie maile w okolicach 1-3 października. Obydwa wysłane za pomocą skryptu na serwerach hostowanych przez nazwa.pl
    Temat od razu zgłoszony w nazwa.pl i od razu zwrotna informacja, że wysyłka została zablokowana. Generalnie pod obydwoma adresami, z których przyszły te wiadomości, był ten sam skrypt. Wystarczyło wejść, wypełnić formularz, wkleić listę adresów i kliknąć “Send”. Możliwe, że skrypty zostały załadowane na wspomniane serwery bez wiedzy właścicieli.

  4. Tego samego maila otrzymali pracownicy sklepów na sklepowe adresy email ;)

  5. Też to dostałem, po wypakowaniu 7z taki oto plik → https://www.virustotal.com/pl/file/5aa9275b3047d3d8776d3c5c7882680b699901c59a8ddf3132aeb406b6463e31/analysis/

  6. Ja dostaję takie maile średnio raz na miesiąc. A to jakaś faktura, jakaś przesyłka Pocztą Polską, a to wezwanie w KRD – tu taj dziwne, bo ostatnio miałam niemiłą sytuację KRD i nagle zaczęły do mnie przychodzić maile z plikiem 7zip. Przypadek czy również wyciek z KRD? Nie ukrywam, że większość przechodzi przez serwery “nazwy” i czasem po zgłoszeniu takiego maila pracownicy “nazwa” nawet dziękują za zgłoszenie.

  7. Druga opcja pozyskania adresu. Byłem na niej ale maila nie dostałem a zakładam, że jakby ktoś to wysyłał to nie kleił by adres po adresie tylko od razu do wszystkich.

  8. Norton i kasperski nie wykryły… chyba faktycznie pora przesiąść się na NODA

  9. Z ciekowosci sprawdzilem swona skrzynke pod wzgledem frazy “komputronik” ku mojemu zdziwieniu znazlem jednego podejrzanego maila z 2015.07.29 o tresci

    Bardzo prosimy o zaplate faktury, haslo do PDFa to faktura

    Z wyrazami szacunku
    Roksana Zakoscielna

    Komputronik S.A
    Aleja Konstytucji 3 Maja 102
    66-400 Gorzow Wielkopolski”
    Jak latwo sie domyslic w mailu byl dodatkowo zalacznik .pdf spakowany do .rar

  10. Strona firmy stoi od 2011, wtedy Internet Archive ma pierwszą migawkę. Wygląda na to, że po prostu podszyto się pod istniejącą firmę.
    A, już się nawet do sprawy na stronie ustosunkowali, mając taką telefoniczną, mailową i pocztową nawałę “klientów bez wiedzy i zgody” nie chciałbym być w ich skórze.

  11. Dziwne ze Kasprzak tego nie wykrywa..

  12. Z tym DB, to “lekko” przesadziliście. Zalinkowany artykuł w żaden sposób nie udawadnia tezy, że wyciek z banku nastąpił. Stwierdzenie, że “Podobna wpadka (tj. wyciek danych klientów) zdarzyła się też” jest nieprawdziwe.

  13. A moi znajomi i tak wciąż sie dziwią dlaczego ciągle zamawiam z neta na fałszywe dane, na paczkomat i fałszywy mail i nr telefonu. W Komputroniku kupiłem kiedyś kilka rzeczy, ale dzięki takiemu podejściu wchodząc na Niebezpiecznika i czytając tytuł spokojnie piję kawę i współczuję pozostałym ;)

  14. Potwierdzam przyjście takiego e-maila 2 dni temu na mój unikatowy adres, użyty tylko w Komputroniku. :)

  15. Ja dostałem podobną wiadomość (proszono o uregulowanie faktury podanej w PDF w załączniku) i otrzymałem odpowiedź:
    “Dziękuję za informację, autorami nie jest żaden pracownik Komputronik S.A. wiadomość faktycznie zawiera wirusa, niestety nie mamy wpływu na to, że powstała.”

    Niestety konto w ich serwisie mam jeszcze zanim zacząłem aliasować, więc nie wiedziałem, czy wyciekło im, czy z innego źródła.

    • Zapomniałem dodać: to było 3 miesiące temu =p

  16. Te z to dostałem dzisiaj …Data: 2015-10-07 11:40 osinski-windykacja, wezwanie do zaplaty
    Grzegorz Osinski <g.osinski@osinski-windykacja.pl … zastosowałem formę …Zablokuj nadawcę … po sprawdzeniu otrzymałem taką informację …Wiadomość wysłana 09.10.2015 o godzinie 14:17 nie dotarła na adres: g.osinski@osinski-windykacja.pl.
    Najprawdopodobniej przyczyną jest to, że taki adres nie istnieje….

  17. Niedawno podobną wiadomość dostałem na ogólnodostępną firmową skrzynkę, z tym, że windykatorem była firma Kruk. W treści brakowało polskich znaków, w załączniku plik 7zip i hasło w treści.

  18. “ulica Beneszka nie istnieje w żadnym mieście”
    Jak to można sprawdzić?

  19. info ze strony http://www.osinski-windykacja.pl

    | 07-10-2015 | Firma M.Z. Osiński informuje, iż wszelkie maile wysyłane z tematem:
    osinski-windykacja, wezwanie do zaplaty

    Z podpisem
    Grzegorz Osinski
    Osinski-Windykacja
    ul. Beneszka 83/1
    70-760 Szczecin

    są jawnym oszustwem i podszywaniem się pod naszą firmę, natomiast załączników pod żadnym pozorem proszę nie otwierać.

    Za wszelkie niedogodności przepraszamy !
    Sprawę proszę kierować na Policję !

  20. Nie dostałem takiej wiadomości na unikalny adres email podany w komputroniku, ani żaden inny

  21. Z danych projektu Open Street Map, danych ewidencyjnych CODGiKu (dostępne chociażby przez geomorfologii.gov.pl), Google Maps… Źródeł jest sporo.

  22. “Haslo do zalacznika: przedsadowka2015”

    ktos rozpakowuje jeszcze archiwa z haslem?

    drugie pytanie

    z takim? ;)

    • U mnie w “firmie” otwierają ;) nawet uruchamiać próbują i dziwią się, że Eset kasuje bez pytania :)

  23. Ja też nie dostałem, ale może wysyłka została zablokowana zanim doszło do wysłania maila do mnie. Z tym, że ja konta nie miałem, kupowałem w Komputroniku bez rejestracji.

  24. To typowy rat :)

    • i do tego kradnie .
      Najlepsza analiza świata brzmi tak :
      To koń trojański który kradnie
      Rekomendacje: nie pobieraj konia który kradnie
      :)

  25. Również mam indywidualny adres dla każdego serwisu, ale nie otrzymałem żadnego maila (w zablokowanych również).
    Natomiast (co może być istotniejsze), ostatnio nie robiłem w Komputroniku żadnych zakupów.

  26. Ja otrzymałem emaila abym podał swój numer konta bo nastąpiła pomyłka i chcą mi dokonać zwrotu, tylko później po przelewie mam im podać hasło do konta – jako autoryzacja że przelew doszedł.
    Wiedziałem że fake ale numer konta podałem (preapaid) – o dziwo pieniądze przelali – prosząc w zwrotnej wiadomości o hasło .
    Co to za nowy atak ???

    • Przypomina to metodę na zakładanie kont.

    • Daj sobie spokój, pewnie metoda na “słupa”. Podasz im hasło do konta i dzięki temu autoryzują sobie konto założone przez internet, podając ten nr konta przy zakładaniu a przelew weryfikacyjny z hasłem, pójdzie na twój rachunek. Dzięki temu oni zrobią przekręt lub podadzą ten nowo założony nr konta do odblokowaniu “komputera” po zawirusowaniu. Następnie wypłacą całą kasę z tego konta, ulotnią się, a do ciebie zapukają poszkodowani i panowie w “niebieskich” mundurkach. Nie dajcie się łapać na takie rzeczy!

    • @tobiasz. Radzę zgłosić sprawę na Policję, gdyż te pieniądze niemal na pewno pochodzą z przestępstwa.

      Najbardziej w całej tej spawie dziwi mnie jak ludzie mogą się nabierać na wyłudzenie w tak prefidny sposób danych logowania do konta w banku. Przecież to chodzi jedynie o stworzenie nowego słupa.
      Podejrzane by było gdyby sklep nie wierzył własnemu bankowi i systemowi ELIXIR informującemu o fakcie dotarcia przelewu na wskazane konto.

  27. Tak,ja od dawna dostaję maile z adresu założonego tylko na yoyo.pl

  28. Tak na marginesie, to wszystkie wezwania mailem przesłane można zignorować, chyba ze wyraziło się zgodę na taką formę komunikacji jako wiążącą (np. w kontaktach z Urzędem Skarbowym). Przedsądowe wezwanie do zapłaty musi być wysłane poczta realna abby było skuteczne.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: