Dzisiaj rano otrzymaliśmy od naszego czytelnika Konrada dwie wiadomości, które zostały do niego dostarczone z tego samego adresu IP łączącego się z serwerem pocztowym dwóch różnych podmiotów. Oszust z rzekomymi fakturami próbuje podszyć się pod spółkę ubezpieczeniową STU ERGO Hestia SA oraz biuro rachunkowe „Tomfis”:

Spam podczywający się pod STU Ergo Hestia

Szanowny Kliencie,

w załączeniu przesyłamy korespondencję w sprawie przysługującego zwrotu nadwyżki.

W związku z tym zwracamy się z prośbą o złożenie dyspozycji określającej formę wypłaty umożliwiającej jej zwrot.

Najszybszą formą realizacji zwrotu jest przelew bankowy, więc zachęcamy do wskazania numeru rachunku bankowego, na który zostanie zrealizowany przelew.

Dyspozycję można złożyć drogą telefoniczną kontaktując się z Infolinią Ergo Hestia (dostępną całą dobę pod numerem telefonu 801 107 107).

Z poważaniem

Paweł Kolasa

STU Ergo Hestia S. A.

I druga wiadomość:

Spam podczywający się pod biuro rachunkowe

Witam,

w załączniku przesyłam druki wpłat na podatki za czerwiec.

Biuro Rachunkowe "Tomfis"

Artur Kalemba

ul. Tatrzańska 2

62-800 Kalisz

W jednym z załączników FV_2045.zip znajduje się plik FV_2045.vbs podszywający się pod fakturę w bardzo prymitywny sposób. Jego uruchomienie wyzwala systemowy proces wscript.exe służący do uruchamiania plików skryptowych — łączy się z adresem TCP/198.12.113.17, ale nie pobiera żadnej dodatkowej zawartości. Jest to więc nieudana próba stworzenia downloadera (co mało prawdopodobne) lub rozpoznanie ofiar przed większą kampanią i dlatego zalecamy ostrożność przy otwieraniu tego typu podejrzanych faktur oraz zainstalowanie renomowanego oprogramowania antywirusowego.

Załącznika z drugiej wiadomości nie udało nam się sprawdzić, ponieważ plik został zablokowany na poziomie dostawcy serwera pocztowego przez skanowanie antywirusowe, więc do odbiorcy dotarła zabezpieczona zawartość:

usunięte zagrożenie

Wiadomość podszywająca się pod biuro rachunkowe wysyłana jest z serwera nazwy.pl:

alt201.rev.netart.pl ([85.128.176.201]:55503)

Wiadomość podszywająca się pod STU Ergo Hestia wysyłana jest z serwera:

rod-zimbra-app01.hestia.polska ([127.0.0.1])

Spamer łączy się z powyższymi serwerami pocztowymi z adresu:

46.246.119.242

Hash załącznika FV_2045.zip po wypakowaniu (załącznik z drugiej wiadomości został zablokowany przez anty-spam zintegrowany z serwerem poczty):

cf613682fbd2076dab02f15ef28b028f7b40cbacd4f6cfc6b840ab9685566b2f

Aktualizacja #1 11.06.2018

Okazuje się, że jest tego więcej. Sześć godzin po opublikowaniu analizy, czytelnik Maciej podsyła dodatkowe, powiązane wskaźniki:

FAKTURA_155.exe 46dd1218963e3d981321dbd4ea9a9b6c 
FV_2045.vbs 1b23c56123771ea9c3713172f9a9893c 

Możliwe tematy wiadomości:

Podatki - czerwiec
zestawienie płatności
Faktura VAT

Próby podszywania się pod nadawców:

[email protected]
[email protected]
[email protected]

Inne nazwy załączników:

faktura_155.zip
faktura_286.zip
faktura_764.zip
faktura_4164.zip
faktura_8176.zip
faktura_7165.zip
fv_1044.zip
fv_2045.zip
fv_3096.zip

Dodatkowe adresy IP serwerów WWW, z którymi łączy się malware:

185.159.82.45
176.119.1.104

Aktualizacja #2 15.06.2018

www.tomfis.mtx.pl, zamieszczamy poniżej:

OŚWIADCZENIE

Informujemy, iż wizerunek naszej firmy został wykorzystany przez cyberprzestępców, którzy podszywają się pod naszą firmę, wysyłając wiadomości e-mail z załącznikiem, w którym znajduje się wirus. Oszust korzysta z różnych adresów e-mailowych, tytułuje twoje wiadomości „podatki za czerwiec”, w treści ujmuje dane naszego biura rachunkowego korzystając z naszej nazwy, danych właściciela oraz adresu. Jako załącznik podaje fakturę w formacie „ .zip „. Prosimy o nieotwieranie tego typu e-maili.

Oświadczamy iż nasze biuro nie ma z tymi wiadomościami nic wspólnego. Jedyny i właściwy e-mailem naszej firmy to [email protected].

W razie wątpliwości zapraszamy do kontaktu pod nr tel. 501-647-687 lub 509-615-631 lub drogą e-mailową na adres: [email protected]

Właściciel Biura Rachunkowego "TOMFIS”, Jadwiga Tomczak

Rozmawialiśmy telefonicznie z właścicielką biura rachunkowego. Szczerze jej współczujemy. Odbiorców fałszywych wiadomości, którzy trafili na ten artykuł, prosimy w imieniu firmy "Tomfis", aby nie nękali telefonami biura rachunkowego, ponieważ żadne systemy informatyczne firmy "Tomfis" nie zostały przełamane, a sama firma nie ma z tymi fałszywymi wiadomościami nic wspólnego. Jak nas poinformowano, incydent został zgłoszony na policję.

AUTOR:

Adrian Ścibor

Tagi
Podziel się

Komentarze

AKW pon., 11-06-2018 - 18:01

Dzisiaj w nocy otrzymałem maila od "Artur Kalemba" o treści jak wyżej. Jak załącznik do maila przypięty jest folder o nazwie Faktura_71... To na przestrzeni ostatnich 2 tygodni drugi taki mail od tego samego nadawcy.

Wnerwiony pon., 11-06-2018 - 18:15

Do mnie też wysłali Alicja i Artur, szlag mnie trafia !

Rodzyn wt., 12-06-2018 - 09:41

No to co to za problem, nałożyć filtry na e-mail żeby od tych konkretnych maili nic nie dostawać?

Dodane przez Wnerwiony w odpowiedzi na

Edyta pon., 11-06-2018 - 18:46

Dzisiaj również otrzymałam takiego maila.

Maria pon., 11-06-2018 - 19:26

Rowniez otrzymalam takie emaile.
Od Anny Karcz i Artura z biura rachunkowego.
Odpowiedz wyslana do ww osob została automatycznie odrzucona.

Anna czw., 14-06-2018 - 09:00

u mnie w wiadomości widniało:
Biuro Rachunkowe "Tomfis"
Wojciech Krok

PiotrE czw., 14-06-2018 - 14:54

Otrzymałem poniższą wiadomość czy nie można zgłosić takiej działalności jako przestępstwo!!!

Dzień dobry,
w załączniku przesyłam druki wpłat na podatki za czerwiec.

---

Biuro Rachunkowe "Tomfis"
Wojciech Krok
ul. Tatrzańska 2
62-800 Kalisz

Danuta pt., 15-06-2018 - 08:50

UWAGA
Kolejna próba oszustwa!
otrzymana wiadomość:

Dzień dobry,
w załączniku przesyłam druki wpłat na podatki za czerwiec.

---

Biuro Rachunkowe "Tomvis"
Renata Grzymek
ul. Tatrzańska 2
62-800 Kalisz

adres mailowy:
[email protected]

nazwa załącznika

fv_04503.zip

Peter wt., 19-06-2018 - 08:46

Ta sama sytuacja

Witam,
w załączniku przesyłam druki wpłat na podatki za czerwiec.

---

Biuro Rachunkowe "Tomfis"
Renata Grzymek
ul. Tatrzańska 2
62-800 Kalisz

Pola wt., 19-06-2018 - 09:56

Dzisiaj otrzymałam dokładnie taki sam email jak powyżej od Renata Grzymek

santha wt., 19-06-2018 - 13:37

Również otrzymałam 19.06.2018r maila z załącznikiem i tekstem
...."Dzień dobry, w załączniku przesyłam druki wpłat na podatki za czerwiec."
załącznik zip: FA 90873000
Biuro Rachunkowe "Tomfis"
Renata Grzymek
ul. Tatrzańska 2
62-800 Kalisz

Mail wysłany z adresu [email protected]

MJ wt., 19-06-2018 - 15:51

Do mnie też została wysłana wiadomość o tej samej treści. Data 19.06.2018, od Renaty Grzymek, w sprawie druków na podatki za czerwiec. Ten sam załącznik.
Wysłano z [email protected]

AA śr., 20-06-2018 - 09:44

U mnie to samo co u MJ - plaga jakaś bo poblokowałam te adresy a teraz wysyłają z nowych

Adrian Ścibor śr., 20-06-2018 - 09:58

Adresów nie zablokujesz, IP nie zablokujesz, bo ciągle się zmieniają kiedy trafią na spam listy. Zapytaj swojego dostawcę poczty, czy masz aktywowane dodatkowe zabezpieczenia w postaci DKIM, SPF, RBL i innych. Jeśli masz pocztę w domenie wp, onet, interia lub inne to może być problem. Jeśli masz własną skrzynkę pocztową @mojanazwa.pl to masz łatwiej, ponieważ masz dostęp do konfiguracji anty-spamu bezpośrednio na serwerze pocztowym.

Zresztą, wszystkim czytelnikom to zalecamy :)

Dodane przez AA w odpowiedzi na

duvi czw., 21-06-2018 - 13:32

Witam wszystkich, dzisiaj pojawiają się również dziwne maile z adresu @garwolin.nazwa.pl (w załączniku plik .rar dokumentem nazwanym faktura) i jak wcześniej podaliście z adresu z rozszerzeniem tomfis. Pozdrawiam i proszę uważać :(

Ania czw., 21-06-2018 - 14:15

Niestety brak ostrożności może przysporzyć problemów, tym bardziej w firmach, które w większości otrzymają faktury drogą elektroniczną.
Czujność i jeszcze raz czujność.

Dzisiaj:

[email protected]

Biuro Rachunkowe "Tomfis"
Darek Zajac
ul. Tatrzańska 2
62-800 Kalisz

I rzekomo Hestia:

[email protected]

Temat wiadomości jak u moich przedmówców.

Sebastian pon., 25-06-2018 - 15:48

Witam . Wiadomość otrzymana 22.06 - teraz rozsyłają informację że paczka została wysłana i podają nr przesyłki DPD a w załączniku jest faktura za zamówiony towar . Spakowana

Dodaj komentarz