10.10.2013 | 13:52

Adam Haertle

Próba wyłudzenia danych – faktura na 5500 PLN

Złodzieje, zajmujący się wyłudzaniem danych, nie próżnują i co rusz wynajdują kolejne metody oszukiwania bliźnich. Od wczoraj ruszyła kolejna kampania, mająca na celu wyłudzenie danych użytkowników serwisu fakturownia.pl.

Fakturownia.pl to serwis, którego celem jest umożliwienie przedsiębiorcom łatwiejszego wystawiania faktur i innych dokumentów rozliczeniowych dla klientów. Jeśli jeszcze o nim nie słyszeliście, to nic dziwnego – w końcu skierowany jest do przedsiębiorców. Według firmy obsługuje już 40,000 podmiotów i najwyraźniej jej potencjał zauważyli również przestępcy. Niestety, część odbiorców phishingu podała im swoje dane.

Od wczoraj otrzymaliśmy już trzy zgłoszenia od Czytelników, którzy dostali na swoje skrzynki identyczną wiadomość:

Od: Fakturownia <[email protected]>
Data: 9 października 2013 16:04:51 CEST
Do: [email protected]
Temat: Faktura Proforma numer P1/06/2013 L6
Odpowiedz-do: <[email protected]>

Dzień dobry,
prosimy o opłacenie Faktura Proforma numer P1/06/2013 na kwotę 5500 brutto - termin płatności już minął.

Link do podglądu: http://fakturownia.pl/1122455535

MERILOS GLONE Sp. z o.o. 
44-100 Glone
ul.Prymasa S.Wyszyńskiego 145
NIP: 611-232-49-09

Wiadomości rozsyłane są w formacie HTML, a link do strony fakturownia.pl tak naprawdę prowadzi do zupełnie innego serwisu. Trzy różne adresy docelowe, które znaleźliśmy, to:

http://195.88.202.79/~ledstuff/fakturo/Logowanie -Fakturownia.htm
http://74.220.215.57/~morefash/fakturo/Logowanie - Fakturownia.htm
http://185.5.98.24/~u2129245/fakturo/Logowanie - Fakturownia.htm

W kodzie strony nie znaleźliśmy żadnych złośliwych elementów, zatem samo odwiedzenie linka nie powinno nieść za sobą negatywnych konsekwencji. Dane z wiadomości nie mają oczywiście żadnego pokrycia w rzeczywistości. Firma MERILOS GLONE nie istnieje, kod pocztowy wskazuje na Gliwice, nie ma takiej miejscowości jak Glone, a numer NIP nie przechodzi podstawowej walidacji. Krótko mówiąc, oszuści nie przyłożyli się zbytnio do swojej pracy. Co jednak jest ich celem?

Wbrew pozorom nie wygląda na to, by była to próba wyłudzenia 5500 PLN od adresata. Po otwarciu linka z wiadomości użytkownik ląduje na fałszywej witrynie, udającej stronę fakturownia.pl i jej panel logowania.

Fałszywa strona fakturownia.pl

Fałszywa strona fakturownia.pl

Ile osób dało się złapać?

Próba wpisania tam loginu i hasła powoduje zapisanie tych danych w pliku tekstowym na serwerze. Na dwóch serwerach docelowych znaleźliśmy dane, podawane w formularzu. Ze 134 wpisów, co najmniej 37 zawierało dane, wyglądające jak prawidłowe adresy email (często należące do dużych firm) i hasła. Niektórzy użytkownicy potrafili logować się do panelu po kilka razy, sprawdzając, czy nie popełnili błędu w haśle. W logach widać także, że atakujący najpierw testował każdy skrypt, posługując się adresem IP 216.254.229.189.

Na co zatem liczą oszuści? Prawdopodobnie chodzi o wyłudzenie danych przedsiębiorców, korzystających z serwisu fakturownia.pl, by następnie wykraść dane, przechowywane w serwisie lub podmienić numer rachunku, umieszczany na fakturach. Czekamy jeszcze na komentarz Fakturowni w tej sprawie. Możliwe jest też, że wyłudzone dane zostaną wykorzystane w próbach logowania do skrzynek pocztowych ofiar lub systemów firm, dla których one pracują.

Sama zaatakowana firma wie już o istniejącym zagrożeniu. Pod adresem http://fakturownia.pl/1122455535 umieściła już odpowiedni komunikat dla odwiedzających. Nie jest to też pierwszy przypadek tego spamu – poprzednia, identyczna  fala miała miejsce niecały miesiąc temu, ok. 16 września. Jak zatem widać, nie tylko duże, popularne wśród setek tysięcy użytkowników serwisy mogą stać się celem ataku przestępców.

Aktualizacja 17:30

Otrzymaliśmy komentarz firmy Fakturownia, który zamieszczamy poniżej

Bezpośrednio po pierwszym ataku wysłaliśmy e-mailing do naszych użytkowników z ostrzeżeniem przed podawaniem danych na złośliwych stronach, opisaliśmy to także na naszym blogu: www.fakturownia.pl/blog/ostrzezenie-przed-proba-wyludzenia-hasla. Na bieżąco monitorujemy wszystkie aktywności związane z serwisem i przez zgłoszenia do firm hostingowych i raportując Phishing staramy się jak najszybciej blokować złośliwe strony. E-maile z próbą wyłudzenia danych były wysyłane do losowej bazy e-maili (które nie były w jakikolwiek sposób powiązane z użytkownikami Fakturowni). Oczywiście wysyłając e-maile do losowej bazy mogło się zdarzyć, że trafił on do użytkownika Fakturownia. Jednak na bieżąco to sprawdzaliśmy wpisy  (dzięki dostępnemu na złośliwej stronie plikowi txt z loginami i hasłami)  i okazało się, że nie było tam danych naszych użytkowników.  Jeśli jednak nastąpiłoby przejęcie danych dostępowych użytkowników naszego systemu to faktycznie przestępcy mogą zmienić np. numery rachunku na który wystawiane są faktury. Niemniej jednak wydaje nam się to dużo mniej atrakcyjną korzyścią dla przestępców niż np. dostęp do konta bankowego.  Z tego powodu bierzemy pod uwagę, że przyczyną ataku na stronę Fakturownia.pl może być próba tworzenia czarnego PR naszego produktu, który ostatnio bardzo zyskał na popularności.

Za przesłanie informacji dziękujemy Łukaszowi, Jarkowi i Tomkowi.

Powrót

Komentarze

  • 2013.10.10 14:55 OiSiS

    A ja miałem taki adres:
    http://174.133.208.82/~hotelesh/fakturo/Logowanie – Fakturownia.htm

    Odpowiedz
  • 2013.10.10 16:25 123qwe

    Cluster ustawil bo sie duzego ruchu spodziewal ;)

    Odpowiedz
  • 2013.10.10 20:07 Tom

    jest kolejna „kampania” od [email protected]
    z załącznikiem faktura_VAT_08_10_2013.PDF.scr

    Odpowiedz
    • 2013.10.10 20:59 Adam

      Możesz podesłać kopię wiadomości z nagłówkami na adam(małpka)zaufanatrzeciastrona.pl?

      Odpowiedz
  • 2013.10.10 21:06 Franek

    Adres IP z którego była testowana strona wskazuje na niezabezpieczony (domyślne haslo) ruter.

    Odpowiedz
  • 2013.10.11 11:01 Tomek Odpowiedz
  • 2013.10.12 00:09 autor_ytet

    rozum odebralo? z fakturownia korzystac :)

    Odpowiedz
  • 2013.10.14 11:33 Przemek

    Dzisiaj dostałem identycznego maila z fakturą proforma do zapłacenia na kwotę 5500.
    Czujności nigdy za wiele.

    pozdr.

    Odpowiedz
  • 2013.10.16 15:08 gaza

    A może warto by było w takich komercyjnych serwisach zrobić logowanie kluczem ?
    Byłoby o połowę mniej problemów.

    Odpowiedz
  • 2014.11.24 20:20 Grażyna

    Jestem osobą fizyczną, nie korzystałam nigdy z fakturowni.pl Dziś dostałam maila od noreply@fakturownia .com Do zapłacenia podobno 7tys.
    Załącznika boję się otwierać. O co chodzi?

    Odpowiedz
    • 2014.11.24 21:51 Adam

      Prześlij proszę otrzymaną wiadomość na adam(małpa)zaufanatrzeciastrona.pl

      Odpowiedz
  • 2014.11.25 21:43 Prezes

    potwierdzam takiego maila z wczoraj, rowniez kwota 7000, i tez z domeny *.com.
    (niestety nie przesle, bo juz zostal skasowany)

    Odpowiedz
  • 2014.11.27 11:03 Agnieszka

    Witam 24.11.2014r. otrzymałam e-mail z adresu [email protected] kwota 7070,00 zł. brutto ? Szok

    Odpowiedz
    • 2014.12.08 22:44 ola

      Dzień dobry,
      przesyłam Faktura 24/11/2014 na kwotę 7 844,00 PLN brutto.

      Link do podglądu: Faktura 24/11/2014

      a ja takie cos dostalam, tez z [email protected]

      Odpowiedz

Zostaw odpowiedź do 123qwe

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Próba wyłudzenia danych – faktura na 5500 PLN

Komentarze