Złodzieje, zajmujący się wyłudzaniem danych, nie próżnują i co rusz wynajdują kolejne metody oszukiwania bliźnich. Od wczoraj ruszyła kolejna kampania, mająca na celu wyłudzenie danych użytkowników serwisu fakturownia.pl.
Fakturownia.pl to serwis, którego celem jest umożliwienie przedsiębiorcom łatwiejszego wystawiania faktur i innych dokumentów rozliczeniowych dla klientów. Jeśli jeszcze o nim nie słyszeliście, to nic dziwnego – w końcu skierowany jest do przedsiębiorców. Według firmy obsługuje już 40,000 podmiotów i najwyraźniej jej potencjał zauważyli również przestępcy. Niestety, część odbiorców phishingu podała im swoje dane.
Od wczoraj otrzymaliśmy już trzy zgłoszenia od Czytelników, którzy dostali na swoje skrzynki identyczną wiadomość:
Od: Fakturownia <[email protected]> Data: 9 października 2013 16:04:51 CEST Do: [email protected] Temat: Faktura Proforma numer P1/06/2013 L6 Odpowiedz-do: <[email protected]> Dzień dobry, prosimy o opłacenie Faktura Proforma numer P1/06/2013 na kwotę 5500 brutto - termin płatności już minął. Link do podglądu: http://fakturownia.pl/1122455535 MERILOS GLONE Sp. z o.o. 44-100 Glone ul.Prymasa S.Wyszyńskiego 145 NIP: 611-232-49-09
Wiadomości rozsyłane są w formacie HTML, a link do strony fakturownia.pl tak naprawdę prowadzi do zupełnie innego serwisu. Trzy różne adresy docelowe, które znaleźliśmy, to:
http://195.88.202.79/~ledstuff/fakturo/Logowanie -Fakturownia.htm http://74.220.215.57/~morefash/fakturo/Logowanie - Fakturownia.htm http://185.5.98.24/~u2129245/fakturo/Logowanie - Fakturownia.htm
W kodzie strony nie znaleźliśmy żadnych złośliwych elementów, zatem samo odwiedzenie linka nie powinno nieść za sobą negatywnych konsekwencji. Dane z wiadomości nie mają oczywiście żadnego pokrycia w rzeczywistości. Firma MERILOS GLONE nie istnieje, kod pocztowy wskazuje na Gliwice, nie ma takiej miejscowości jak Glone, a numer NIP nie przechodzi podstawowej walidacji. Krótko mówiąc, oszuści nie przyłożyli się zbytnio do swojej pracy. Co jednak jest ich celem?
Wbrew pozorom nie wygląda na to, by była to próba wyłudzenia 5500 PLN od adresata. Po otwarciu linka z wiadomości użytkownik ląduje na fałszywej witrynie, udającej stronę fakturownia.pl i jej panel logowania.
Fałszywa strona fakturownia.pl
Ile osób dało się złapać?
Próba wpisania tam loginu i hasła powoduje zapisanie tych danych w pliku tekstowym na serwerze. Na dwóch serwerach docelowych znaleźliśmy dane, podawane w formularzu. Ze 134 wpisów, co najmniej 37 zawierało dane, wyglądające jak prawidłowe adresy email (często należące do dużych firm) i hasła. Niektórzy użytkownicy potrafili logować się do panelu po kilka razy, sprawdzając, czy nie popełnili błędu w haśle. W logach widać także, że atakujący najpierw testował każdy skrypt, posługując się adresem IP 216.254.229.189.
Na co zatem liczą oszuści? Prawdopodobnie chodzi o wyłudzenie danych przedsiębiorców, korzystających z serwisu fakturownia.pl, by następnie wykraść dane, przechowywane w serwisie lub podmienić numer rachunku, umieszczany na fakturach. Czekamy jeszcze na komentarz Fakturowni w tej sprawie. Możliwe jest też, że wyłudzone dane zostaną wykorzystane w próbach logowania do skrzynek pocztowych ofiar lub systemów firm, dla których one pracują.
Sama zaatakowana firma wie już o istniejącym zagrożeniu. Pod adresem http://fakturownia.pl/1122455535 umieściła już odpowiedni komunikat dla odwiedzających. Nie jest to też pierwszy przypadek tego spamu – poprzednia, identyczna fala miała miejsce niecały miesiąc temu, ok. 16 września. Jak zatem widać, nie tylko duże, popularne wśród setek tysięcy użytkowników serwisy mogą stać się celem ataku przestępców.
Aktualizacja 17:30
Otrzymaliśmy komentarz firmy Fakturownia, który zamieszczamy poniżej
Za przesłanie informacji dziękujemy Łukaszowi, Jarkowi i Tomkowi.
Komentarze
A ja miałem taki adres:
http://174.133.208.82/~hotelesh/fakturo/Logowanie – Fakturownia.htm
Ja mam taki: http://184.173.221.32/~coahuila/fakturo/Logowanie
Cluster ustawil bo sie duzego ruchu spodziewal ;)
jest kolejna „kampania” od [email protected]
z załącznikiem faktura_VAT_08_10_2013.PDF.scr
Możesz podesłać kopię wiadomości z nagłówkami na adam(małpka)zaufanatrzeciastrona.pl?
Adres IP z którego była testowana strona wskazuje na niezabezpieczony (domyślne haslo) ruter.
ja z kolei dostałem maila we wrześniu (http://87.106.135.41/fakturo/Logowanie%20-%20Fakturownia.htm) i w październiku – wczoraj (http://74.220.215.57/~morefash/fakturo/Logowanie%20-%20Fakturownia.htm)
rozum odebralo? z fakturownia korzystac :)
Dzisiaj dostałem identycznego maila z fakturą proforma do zapłacenia na kwotę 5500.
Czujności nigdy za wiele.
pozdr.
A może warto by było w takich komercyjnych serwisach zrobić logowanie kluczem ?
Byłoby o połowę mniej problemów.
Jestem osobą fizyczną, nie korzystałam nigdy z fakturowni.pl Dziś dostałam maila od noreply@fakturownia .com Do zapłacenia podobno 7tys.
Załącznika boję się otwierać. O co chodzi?
Prześlij proszę otrzymaną wiadomość na adam(małpa)zaufanatrzeciastrona.pl
potwierdzam takiego maila z wczoraj, rowniez kwota 7000, i tez z domeny *.com.
(niestety nie przesle, bo juz zostal skasowany)
Witam 24.11.2014r. otrzymałam e-mail z adresu [email protected] kwota 7070,00 zł. brutto ? Szok
Dzień dobry,
przesyłam Faktura 24/11/2014 na kwotę 7 844,00 PLN brutto.
Link do podglądu: Faktura 24/11/2014
a ja takie cos dostalam, tez z [email protected]