567

Интересный развод по почте

Сегодня столкнулся с интересным разводом, хочу поделиться с сообществом, может кто тоже сталкивался.

Итак, обращение, со слов пользователя:

Я вчера отправил контрагенту письмо со счетом(на довольно приличную сумму) на адрес contragent@mail.ru, а ему пришло письмо с другим счетом(с левыми реквизитами) на такую же сумму. Повезло, что контрагент давний и заподозрил неладное.


Чудеса какие то, подумал я, попросил прислать мне это письмо, сразу видно, что в левом письме адрес отправителя не user@company.ru, а user-company@mail.ru, но сами понимаете, мало кто на него смотрит в обычной жизни, а в ситуации, когда это ответ на только что отправленное письмо, который ожидают, так и подавно. Все остальное выглядело как и у настоящего, та же самая тема, весь текст один в один, подпись и т.д. Единственное отличие кроме адреса отправителя - другой счет во вложении(причем название и формат те же самые, что в оригинале), на котором большими буквами написано "Обратите внимание! Изменились реквизиты!"


Посмотрел на всякий случай логи, от нас все ушло в неизменном виде, до получателя тоже дошло(по крайней мере, от самого mail.ru SMTP 250 был получен). Видимо, мошенники получили доступ к ящику контрагента и сидели, тихонько ждали, когда придет любое письмо(или конкретно от нашей компании) со счетом на большую сумму, потом удалили его и отправили с левого ящика(с похожим адресом) фейковое письмо с фейковым счетом.


Довольно изобретательно, надо признать, они были близки к удаче.

Дубликаты не найдены

Отредактировал depotato 31 день назад
+15

Да, это 95% инсайдерская атака. Кто-то из сотрудников, возможно, бывших.

раскрыть ветку 1
+3

Я вас умоляю, какая "атака", у них почта на мейле #comment_145840136

+24

Скорее всего, взломали корпоративный почтовый сервер и он все письма пересылает на user-company@mail.ru. А там уже меняют реквизиты и высылают контрагенту.

Я бы проверил настройки корпоративного почтового сервера для начала.

раскрыть ветку 8
+28

Это первое, что стал судорожно проверять, но нет, у нас все в порядке. Да и логика злоумышленников тогда странная, если бы я взломал чей то почтовый сервер или ящик, то и отправлял бы сразу от user@company.ru, без всяких левых ящиков.

+21

Да нифига, вангую, что у контрагента пароль от его "корпоративного" ящика не менялся с момента создания, и знают его все, от секретарши, до уборщицы, включая уволенных. А посмотреть настройки фильтров и пересылок никто не в состоянии, так как сисадминит там школьник-племянник бухгалтера за 500 рублей / выезд.

раскрыть ветку 1
+6

Внук

+3

Может, пароль не менялся десятилетиями и какой-нибудь экс-сотрудник балуется. Только беспонтовый развод какой-то.

+1
Тупо почту, куда отправляли ломанули. Пришедшее письмо удалили и отправили свое.
раскрыть ветку 3
+1

Ну если работать только с браузерным вариантом то да. Но если получать письма еще через POP3, то у тебя будет 2 письма в клиенте: Оригинал (если клиент успел стянуть) и подделка.

раскрыть ветку 1
-1

Совершенно верно, только не "удалили", а в подобных случаях просто настраивается фильтр, пересылающий письма с конкретного адреса на почту злоумышленника, а потом удаляющий их. А фильтры никто не проверяет потому, что #comment_145840136

+7

А как же получатель и ИНН? Или тоже совсем левые? Типа у нас контракт с фирмой "Газпром" а счет от "ГазМяса"?

ещё комментарии
+3

Старая тема. Все как вы и расписали. Скомпрометирован п/я получателя и просто быстренько быстренько произвели подмену. Целенаправленная атака на вашего контрагента, однако.

+2

Какая то котолампа. Реквизитами обмениваются во время заключения договора, и сразу забивается во все программы. А смену реквизитов оформляют отдельным письмом. Вероятность того что пройдет счет с левыми реквизитами ОЧЕНЬ мала. Если конечно бухгалтерия поставлена нормально.

раскрыть ветку 8
+5
Я лично с подобным сталкивался. 5000 евро Австрийцы отправили хрен знает куда. Мы отправили договор, спецификацию и счет, ящик уже пару месяцев как подломили, настройки, фильтры и т.п. слелали так что хрен заподозришь. После нашего письма тут же было отправлено новое с извинениями, что с реквизитами ошиблись, причем реквизиты так криво воткнули что даже не вооруженным глазом видна лажа. Австрийцы оплатили и пошли на каникулы рождественские. Выяснилось только через 2 недели. Они обратились в посольство и т.д. «международный скандал» блин Милиция еще год таскала просила разъяснений.
+5

Всё именно так - этожж все договора перезаключать, юрист надолго этот цирк запомнит


мне даже когда на карту отправляют перезванивают - мой ли?


т.к. карту приставы закрыли пользуюсь левой))

раскрыть ветку 4
-1

А долг оплатить, не?

раскрыть ветку 3
+1
В договоре может быть прописано, что оплата идёт по реквизитам в каждом конкретном счёте. Не такая уж и редкость, к слову.
+1
И счета не шлют друг другу в оба конца, работает цепочка заявка-счет-платежка. Где-то, возможно, и здесь, на Пикабу, уже была история про такой развод. А это ее неумелый пересказ.
+1
Проверяйте фильтры/пересылки у себя и у контрагента вашего
раскрыть ветку 1
+2
У одного клиента было такое: была установлена пересылка на левый почтовый ящик писем, в которых в письме есть слово счёт и удаление их. И через 20 минут приходило письмо как у вас, с левыми реквизитами
0

стопудово бывший сотрудник

0

этой схеме уже лет 10, почту чью то ломанули, выташили контакты, далее счета рассылают по списку

0
Точно такая же история, только перестала приходить почта сразу, т.е. приходила и уходить, но с некоторым опозданием. Заподозрили неладное когда после выставления счета позвонили партеры и спросили почему банк московский, когда раньше был местный.
0

А наименование получателя платежа и инн совпали? Платежка не только счет содержит. Ну и с расчетного счета конторы деньги вывести не трудно, а вот зарегить контору без паспорта не получится

раскрыть ветку 1
+1

Я вас умоляю, у нас в свое время бухи бывало ТАКОЕ оплачивали, что страшно потом становилось от мысли в чьих руках банк-клиент. Могут вообще быть левые реквизиты, но если пришли от «правильного человека» и есть согласное мычание руководителя, то оплатят без вопросов.

0

Хуясе, изобретательность. Прямой путь на нары. Это не на анонимный яндекс-кошелек переводить.

раскрыть ветку 4
+1

Только Яндекс кошель создать проблемно анонимный, тогда уж киви.

раскрыть ветку 3
+4

Яндекс да, анонимным не будет. Он создаётся одновременно с яндекс-почтой (или после, если галку не зажгли при регистрации). Почта просит указать имя. Имя может быть любое; напишете Хренопекл Дормидонтов - значит так оно и будет. Кошель со странным именем. Вот только такой кошелёк навсегда останется неидентифицированным, потому что предоставить им документы, подтверждающие что владельца зовут именно так, - не получится. А для идентификации нужно или предоставить связку паспорт + СНИЛС на эти ФИО, или чтобы на этот же номер (и снова эти же ФИО) был открыт договор в Сбербанке с активированным дистанционным обслуживанием - со Сбера можно перенести идентификацию на Яндекс-кошель. Неидентифицированным кошельком Яндекс-Денег можно пользоваться, но ряд возможностей будет недоступен. Выводить деньги придётся через кривые схематозы, но с другой стороны если речь о мошенниках, то запутать следы движения финансов - как раз им на руку. Это именно то, что им нужно.


Киви можно открыть вообще без указания ФИО. Тупо номер телефона из перехода к Савёловскому рынку - и всё. И здесь более расширенные лимиты и доступ к некоторым операциям возможен будет только после идентификации. Для частичной идентификации достаточно сочетания ФИО + паспорт. ИНН система сама запрашивает у налоговой и просто уточняет у клиента, верно ли они получили данные. Киви чуть более лоялен к вытаскиванию денег с неидентифицированного кошелька. Например, если Яндекс при попытке перевести с их виртуальной карты на другую карточку сразу выдаст заглушку "Только после свадьбы идентификации", то Киви совершенно спокойно даст такое проделать, не забыв откусить свою комиссию.


На анонимный киви-кошелёк можно приземлить межбанковский платёж, имеются реквизиты "как для платёжки"

Получатель: КИВИ Банк (АО)

ИНН: 3123011520

Банк получателя: КИВИ Банк (АО)

БИК: 044525416

КПП: 772601001

Счет: 47416810600000000004

Корр. счет: 30101810645250000416 открыт в ГУ Банка России по Центральному федеральному округу

Назначение платежа: Пополнение QIWI Кошелька N +7XXX XXX-XX-XX


Равно как и у ЯДа тоже есть реквизиты

Банк получателя Общество с ограниченной ответственностью небанковская кредитная организация «Яндекс.Деньги»

Корреспондентский счет 30103810945250000444 в Отделении 3 Главного управления Центрального Банка РФ по Центральному федеральному округу г. Москва

Назначение перевода Пополнение кошелька [укажите номер кошелька],

НДС не облагается.

Счёт получателя, он же — текущий, расчётный, л/с 30232810600000000010

ИНН 7750005725

КПП 770501001

БИК 044525444

Получатель ООО НКО «Яндекс.Деньги»

раскрыть ветку 2
-2

Хоть написал бы что в электронной почте.

-2

опять похоже mail.ru хакнули

недавно мне майл предложил поменять пароль

типа простой

а пароль нифига не простой

раскрыть ветку 3
+2

Мейл.ру всегда хачат.

У меня там мама работает.

раскрыть ветку 2
+1
Это все объясняет
0

Уборщицей, поди?

-6

Безграмотные абизьяны. ЭЦП придумана в прошлом тысячелетии, а большинство контор до сих пор ящики на мэйле используют.

Эх, сколько кругом лохов... )

раскрыть ветку 10
+1

s/mime? Мертворожденный стандарт, т.к. поддерживают только десктопные клиенты (2/3 юзеров используют веб-морды) - раз. Два в той же громоптице пачка багов с ней - то подписывает, то не подписывает. Три - не факт что ПО на той стороне будет учитывать ваш УЦ, привет TheBat у которого свой дефолтный список УЦ.

Подпись pdf'a? Единого УЦ нет, отсюда проблема - где гарантии что на том конце ЭЦП смогут проверить? Ну т.е. что сертификат УЦ будет установлен на той стороне?

Отсюда проблема номер два. В большой компании админы еще могут с этим запариться, а в маленькой? Ну отобразится что проверка подписи невозможна, что сделает 99% бухов? "Ой тут окошечко какое-то открылось, я его закрыла".  Все. Хуман фактор.

Так что эцп это или внутри организации или для документооборота через какую-ндь эльбу.

раскрыть ветку 7
-1

Конечно же, ЭЦП вообще не нужно использовать, ведь это так сложно.

Да и вообще, половина описанных тобой проблем не существуют, а вторая решается на раз-два.

Ой тут окошечко какое-то открылось, я его закрыла

А я об чем говорю?

Безграмотные абизьяны

Если бизнес не готов нормально платить квалифицированным кадрам, то пусть платит мошенникам и страдает.

раскрыть ветку 6
0

Только инсайдерская атака всё равно ломает. Если ты внутри, то развод уровня "я систадмин, добавь наши новые сертификаты" на бухгалтеров не проблема.

раскрыть ветку 1
-1

Стопроцентной защиты нет ни от чего, но когда защиты нет никакой, подобную фигню может провернуть любая уборщица, уволенная в прошлом году #comment_145840136

ещё комментарии
Похожие посты
Возможно, вас заинтересуют другие посты по тегам: