25.02.2019 | 11:31

Adam Haertle

Uwaga na wiadomości o zamiarze wszczęcia kontroli skarbowej

Otrzymujemy sporo zgłoszeń o nowej fali ataków, która – choć przy bliższym przyjrzeniu się – jest trochę nieporadna, to jednak jesteśmy mocno przekonani, że będzie niestety bardzo skuteczna.

Po długiej fali bardzo mało wyrafinowanych wiadomości z serii „dostałeś fakturę od firmy, z którą nie współpracujesz, kliknij i zainfekuj swój komputer” (długiej, bo trwała kilka miesięcy bez większych zmian) nadszedł czas bardziej dopracowanych ataków. Czy przestępcy zmienili podwykonawcę? A może poszli po rozum do głowy? W każdym razie szanse na kliknięcia W waszych firmach są niestety większe.

INFORMACJA О ZAMIARZE WSZCZĘCIA KONTROLI SKARBOWEJ

Złośliwa wiadomość wygląda następująco:

Zrzut ekranu wiadomości

Urząd Skarbowy odczytać zawiadomienie о zamiarze zainicjować kontroli w dniu 18.04.2019r. Wobec braku możliwości ustawienia kontaktu telefonicznego w dniach 4-7.04.2019r. i nie zastania podatnika w jego siedzibie w dniu 6.04.2019r. w celu ustalenia terminu wszczęcia kontroli. Urząd Skarbowy wyznacza termin zainicjować kontroli na 29.04.2019r. о godz. 9.00. Jednoczesnie Urzqd Skarbowy informuje, ze zgodnie z art. 92a ustawy z dnia 13 pazdziernika 1998r. (Dz. U. z 2007 r., Nr 11, poz.74 z p6zn. zm.) w zwiqzku art. 80 ust. 1 ustawy z 2 lipca 2004 г. о swobodzie dziatalnosci gospodarczej (Dz. U. z 2007 r.. Nr 155, poz. 1095 z pozn. zm.) czynnosci kontrolnych dokonuje si$ w obecnosci kontrolowanego lub osoby przez niego upowaznionej. Oznacza to ze w wyzej wymienionym terminie jest Pani/Pan zobowiązana do obecnosci w siedzibie swojej Firmy i wspofpracy z inspektorem kontroli. Ponadto zgodnie z art. 80 ust. 3 ustawy о swobodzie dziatalnosci gospodarczej jest Pani/Pan zobowiązuje do pisemnego wskazania osoby upowaznionej do reprezentowania Pani/Pana w trakcie kontroli, w szczegolnosci w czasie Pani/Pana nieobecnosci. Jest Pani/Pan zobowiązania do przygotowania wszystkich potrzebnych dokumentow zwiqzanych z prowadzone przez Pani/Pana Firm wymienionych w załączniku(dokumenty.rar). Nieobecnosc Pani/Pana moze zostac uznana za stan wyczerpuje znamiona wykroczenia okreslonego w art. 98 ust. 1 pkt 3 ustawy z 13 pazdziernika 1998 r. (Dz. U. z 2007 r., Nr 11, poz. 74 z pozn. zm.). INSPEKTOR KONTROLI Urząd Skarbowy mgr Marian Jakubowski

Na pierwszy rzut oka wiadomość wygląda na napisaną profesjonalnym językiem, jednak wnikliwsza lektura pozwoli zauważyć mnóstwo błędów językowych. Bezokoliczniki w miejscach, gdzie powinny być formy osobowe, słowa użyte w nieodpowiednim kontekście, brak polskich znaków, „f” zamiast „ł” – wygląda jakby ktoś trochę mówił po polsku, ale nie do końca. Nie jest to wynik wyłącznie pracy automatu tłumaczącego – po drugiej stronie najwyraźniej był człowiek, dla którego polski nie jest językiem ojczystym.

Złośliwy załącznik

Wiadomość zawiera dość typowy załącznik spotykany w dziesiątkach ataków w ostatnich miesiącach. Jest to plik VBS, którego zadaniem jest pobrać złośliwe oprogramowanie – prawdopodobnie Danabota. VBS spakowany jest w archiwum dokumenty.tar – to rzadziej spotykany format kompresji, z którym jednak świetnie radzi sobie większość narzędzi do odpakowywania plików.

dokumenty.tar 8341aae17f1d972b11d2abe50bf2a1ca04b2203e6e2dabe8df5e53c5eff71204
dokumenty_100780911.vbs 8a3d6b629350037c9cb3d131bb08fa2757e4ed32fad1e2735e74d63f4ebed5e0

Nowy trend

Tak jak wspominaliśmy, ten atak pokazuje nowy trend w działaniu napastników. W miejsce słabo opracowanych, sztampowych faktur, pojawiają się nowe, dużo lepiej opracowane szablony. W zeszłym tygodniu była to całkiem nieźle zrobiona „faktura z T-Mobile”, dzisiaj mamy korespondencję z urzędu – spodziewamy się kolejnych podobnych ataków w najbliższych dniach. Ostrzeżcie pracowników i znajomych.

Powrót

Komentarze

  • 2019.02.25 11:36 Prosty ubek

    „Na pierwszy rzut oka wiadomość wygląda na napisaną profesjonalnym językiem” – w którym miejscu tego bełkotu?

    Odpowiedz
  • 2019.02.25 11:59 Pyth0n

    Jeżeli dla *kogokolwiek* ta wiadomość wygląda na „napisaną profesjonalnym językiem”, to może powinien przerzucić się na hodowlę rzeżuchy…

    „…odczytać zawiadomienie о zamiarze zainicjować…”? RLY?

    Odpowiedz
    • 2019.02.25 12:04 adamh

      Szanowni Eksperci, zwróćcie uwagę, że użytkownik czyta emaila 1-2 sekundy, to raz, a po drugie nie dysponuje taką wiedzą i doświadczeniem jak wy. Mamy wiele zgłoszeń ludzi, którzy to uruchomili. Niespodzianka, jest świat inny niż ten, który znacie.

      Odpowiedz
      • 2019.02.25 23:26 ~~~

        1. Jak 1-2 sekundy, to nie czyta.
        2. Jeśli poziom ekspercki osiągamy już na poziomie umiejętności czytania czwartoklasisty, to nie mam pytań.

        Odpowiedz
    • 2019.02.25 12:09 Krzysztof

      jak PGZ dalo sie nabrac na email ze zmianą numeru konta i przeslali tam 4 banki to zwykly kowalski prowadzący warzywniak tym bardziej moze sie nabrac

      Odpowiedz
    • 2019.02.25 13:49 Sebo

      Tekst przypomina do złudzenia typowy bełkot formalnej korespondencji US. Gdyby nie literówki można by przysiąc że US właśnie nauczył się pisać jeszcze mniej czytelnie, czyli trend prawidłowy. Brawa dla autora za wyczucie.

      Odpowiedz
      • 2019.02.26 09:40 Therminus

        W niczym nie przypomina.
        Ty w ogóle czytałeś jakieś pismo z Urzędu Skarbowego?

        Odpowiedz
        • 2019.02.26 13:02 Krzysztof Kozłowski

          JA czytałem sporo takich pism i jak przyszedł mail to miałem sporego fuckupa bo jak wypisz wymaluj bełkot jak z urzędu. Owszem bardziej przypomina bełkot zusu, ale i US potrafi takim zasunąć. Co więcej, i błędy się zdarzają w pismach urzędowych.

          Problemem jest brak podpisu terminy z czapy, bo w kwietniu 19r. Mnie nie zastali… I fakt, że mailem takiego czegoś się nie przesyła a jak to podpisane cyfrowym podpisem. Ale samo pismo nie odbiega bardzo od bełkotu urzędowego.
          Jak trafi na kogoś nieobeznanego i bojaźliwego reagującego na US nerwicą to rozsądek może odjąć.

          Odpowiedz
    • 2019.02.26 12:17 Przecinki w niewłaściwych, miejscach

      Proszę zauważyć, jak sami piszą dziś ludzie – nie tylko w Internecie, ale i w czasopismach/portalach informacyjnych i pismach urzędowych. Rażące błędy na każdym kroku i całkowita nieznajomość zasad gramatycznych wynikają z braku obcowania z literaturą czy nawet jakimkolwiek słowem pisanym, które przeszło przez korektę. Ludzie obcują tylko ze ściekiem wklepywanym bezmyślnie na ekranach smartfona, dlatego nie mają zmysłu, który pozwoliłby im wyczuć niekompetencje autora. Skąd bowiem ma taki półanalfabeta wiedzieć, że czytany tekst najeżony jest błędami, skoro on sam te błędy bezwiednie popełnia? Nic więc dziwnego, że na tekst, wyglądający jak dzieło przedszkolaka, pracownicy firm reagują jak na każdy inny tekst.

      Odpowiedz
  • 2019.02.25 12:10 to ja

    To jakaś długa kampania będzie, bo wszystkie daty kwietniowe ;)

    Odpowiedz
  • 2019.02.25 12:17 Krk

    No masakra, chyba używali translatora z 2000 roku….

    Odpowiedz
  • 2019.02.25 12:36 Uwierzytelnianie

    Adam, Ty masz trochę kaca!

    Odpowiedz
  • 2019.02.25 13:25 Mad Snack

    tar nie jest formatem kompresji.

    Odpowiedz
  • 2019.02.25 13:37 Krystian

    Jasnowidze jakieś :) piszą o tym, że w kwietniu br. nami nie mogli się z nami skontaktować :)

    Odpowiedz
  • 2019.02.25 14:37 Janusz

    Hej,
    własnie się dowiedziałem, że moja mama otworzyła załącznik z tego maila, w związku z czym chciałbym profilaktycznie sformatować dysk / przywrócić system z partycji recovery. Pojawia się tylko problem – jak bezpiecznie skopiować dane z takiego komputera? Myślałem o odpaleniu zawirusowanego kompa z linuxa na live cd i przekopiowaniu danych na dysk zewnętrzny, ale trochę się boje, że wraz z tymi danymi mogę skopiować sobie tego wirusa (?).

    Czy ktoś miał podobne doświadczenia i może się podzielić jak można bezpiecznie rozwiązać taki problem?

    Odpowiedz
    • 2019.02.25 14:41 adamh

      Cokolwiek się pobrało, to na 99,99% jedynie pliki wykonywalne robią „zło” więc jeśli skopiujesz dane w jakikolwiek sposób (dysk podłączony do innego komputera czy live cd) to powinno być OK.

      Odpowiedz
  • 2019.02.26 00:03 Karol

    Witam,
    Właśnie otworzyłem taki plik .tar w telefonie? Co mam zrobić aby bezpiecznie użytkować telefon?

    Odpowiedz
    • 2019.02.26 07:36 Karol

      również jestem ciekaw co w tej sytuacji, ja otworzyłem ten załącznik na iphonie.

      Odpowiedz
    • 2019.02.26 09:44 Therminus

      Jeśli Twój telefon wykonuje skrypty VBS to masz problem. :)

      Odpowiedz
  • 2019.02.26 02:00 Yyy

    Co właściwie ten wirus robi? kradnie jakieś dane bankowe czy coś? Ale przecież bez hasła jednorazowego i tak nie wykona przelewu.

    Odpowiedz
    • 2019.02.26 08:09 xa

      przecież wpisujesz w momencie wysyłania przelewu hasło jednorazowe, nie?
      większym problemem jest przechwycenie całego hasła, a nie tylko losowo wybranych liter
      ale to osiąga poprzez podmianę niektórych elementów strony, wpisz w wyszukiwarkę webinject

      Odpowiedz
  • 2019.02.26 10:22 Janina

    Niestety wielu małych „biznesmenów” na samo „Urząd Skarbowy” jako nadawcę dostanie pomieszania zmysłów (ze strachu i to najczęściej tego urojonego) i przeleci zamglonym wzrokiem tekst wiadomości (co tam błędy, co tam daty, co tam nadawca) i nerwowo będzie rwał się do otwarcia załącznika żeby poznać co go może uratować przed tym strasznym urzędem. A taki Urząd co to jeszcze może przemieszczać się w czasie?

    Odpowiedz
  • 2019.03.03 17:56 Kamil

    Coraz tego więcej bo Google Translate zaczął dla języka polskiego jakiś czas temu dużo lepiej działać – dlatego będzie tego coraz więcej

    Odpowiedz
  • 2019.03.09 22:09 :))

    „Kali informować, że Kali mieć krowa.” :)

    Odpowiedz
  • 2019.03.10 00:32 Kamil

    Po zatrzymaniu domniemanych szpiegów chińskich kilka tygodni temu, w chińskim internecie żartowano co owi szpiedzy mieli wykradać – przepisy na jabłka :-).

    Odpowiedz
  • 2019.06.13 11:51 Patryk

    Czy jak pobrałem ten plik ale nie otworzyłem, to mogę go zwyczajnie usunąć, a następnie opróżnić kosz? Czy mógł on już narobić jakiś szkód albo może aktywuje się przy usuwaniu czy coś w tym stylu?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na wiadomości o zamiarze wszczęcia kontroli skarbowej

Komentarze