Próba wyłudzenia danych – faktura na 5500 PLN

dodał 10 października 2013 o 13:52 w kategorii Info  z tagami:
Próba wyłudzenia danych – faktura na 5500 PLN

(źródło: Nomadic Lass)

Złodzieje, zajmujący się wyłudzaniem danych, nie próżnują i co rusz wynajdują kolejne metody oszukiwania bliźnich. Od wczoraj ruszyła kolejna kampania, mająca na celu wyłudzenie danych użytkowników serwisu fakturownia.pl.

Fakturownia.pl to serwis, którego celem jest umożliwienie przedsiębiorcom łatwiejszego wystawiania faktur i innych dokumentów rozliczeniowych dla klientów. Jeśli jeszcze o nim nie słyszeliście, to nic dziwnego – w końcu skierowany jest do przedsiębiorców. Według firmy obsługuje już 40,000 podmiotów i najwyraźniej jej potencjał zauważyli również przestępcy. Niestety, część odbiorców phishingu podała im swoje dane.

Od wczoraj otrzymaliśmy już trzy zgłoszenia od Czytelników, którzy dostali na swoje skrzynki identyczną wiadomość:

Wiadomości rozsyłane są w formacie HTML, a link do strony fakturownia.pl tak naprawdę prowadzi do zupełnie innego serwisu. Trzy różne adresy docelowe, które znaleźliśmy, to:

W kodzie strony nie znaleźliśmy żadnych złośliwych elementów, zatem samo odwiedzenie linka nie powinno nieść za sobą negatywnych konsekwencji. Dane z wiadomości nie mają oczywiście żadnego pokrycia w rzeczywistości. Firma MERILOS GLONE nie istnieje, kod pocztowy wskazuje na Gliwice, nie ma takiej miejscowości jak Glone, a numer NIP nie przechodzi podstawowej walidacji. Krótko mówiąc, oszuści nie przyłożyli się zbytnio do swojej pracy. Co jednak jest ich celem?

Wbrew pozorom nie wygląda na to, by była to próba wyłudzenia 5500 PLN od adresata. Po otwarciu linka z wiadomości użytkownik ląduje na fałszywej witrynie, udającej stronę fakturownia.pl i jej panel logowania.

Fałszywa strona fakturownia.pl

Fałszywa strona fakturownia.pl

Ile osób dało się złapać?

Próba wpisania tam loginu i hasła powoduje zapisanie tych danych w pliku tekstowym na serwerze. Na dwóch serwerach docelowych znaleźliśmy dane, podawane w formularzu. Ze 134 wpisów, co najmniej 37 zawierało dane, wyglądające jak prawidłowe adresy email (często należące do dużych firm) i hasła. Niektórzy użytkownicy potrafili logować się do panelu po kilka razy, sprawdzając, czy nie popełnili błędu w haśle. W logach widać także, że atakujący najpierw testował każdy skrypt, posługując się adresem IP 216.254.229.189.

Na co zatem liczą oszuści? Prawdopodobnie chodzi o wyłudzenie danych przedsiębiorców, korzystających z serwisu fakturownia.pl, by następnie wykraść dane, przechowywane w serwisie lub podmienić numer rachunku, umieszczany na fakturach. Czekamy jeszcze na komentarz Fakturowni w tej sprawie. Możliwe jest też, że wyłudzone dane zostaną wykorzystane w próbach logowania do skrzynek pocztowych ofiar lub systemów firm, dla których one pracują.

Sama zaatakowana firma wie już o istniejącym zagrożeniu. Pod adresem http://fakturownia.pl/1122455535 umieściła już odpowiedni komunikat dla odwiedzających. Nie jest to też pierwszy przypadek tego spamu – poprzednia, identyczna  fala miała miejsce niecały miesiąc temu, ok. 16 września. Jak zatem widać, nie tylko duże, popularne wśród setek tysięcy użytkowników serwisy mogą stać się celem ataku przestępców.

Aktualizacja 17:30

Otrzymaliśmy komentarz firmy Fakturownia, który zamieszczamy poniżej

Bezpośrednio po pierwszym ataku wysłaliśmy e-mailing do naszych użytkowników z ostrzeżeniem przed podawaniem danych na złośliwych stronach, opisaliśmy to także na naszym blogu: www.fakturownia.pl/blog/ostrzezenie-przed-proba-wyludzenia-hasla. Na bieżąco monitorujemy wszystkie aktywności związane z serwisem i przez zgłoszenia do firm hostingowych i raportując Phishing staramy się jak najszybciej blokować złośliwe strony. E-maile z próbą wyłudzenia danych były wysyłane do losowej bazy e-maili (które nie były w jakikolwiek sposób powiązane z użytkownikami Fakturowni). Oczywiście wysyłając e-maile do losowej bazy mogło się zdarzyć, że trafił on do użytkownika Fakturownia. Jednak na bieżąco to sprawdzaliśmy wpisy  (dzięki dostępnemu na złośliwej stronie plikowi txt z loginami i hasłami)  i okazało się, że nie było tam danych naszych użytkowników.  Jeśli jednak nastąpiłoby przejęcie danych dostępowych użytkowników naszego systemu to faktycznie przestępcy mogą zmienić np. numery rachunku na który wystawiane są faktury. Niemniej jednak wydaje nam się to dużo mniej atrakcyjną korzyścią dla przestępców niż np. dostęp do konta bankowego.  Z tego powodu bierzemy pod uwagę, że przyczyną ataku na stronę Fakturownia.pl może być próba tworzenia czarnego PR naszego produktu, który ostatnio bardzo zyskał na popularności.

Za przesłanie informacji dziękujemy Łukaszowi, Jarkowi i Tomkowi.