579

Интересный развод по почте

Сегодня столкнулся с интересным разводом, хочу поделиться с сообществом, может кто тоже сталкивался.

Итак, обращение, со слов пользователя:

Я вчера отправил контрагенту письмо со счетом(на довольно приличную сумму) на адрес contragent@mail.ru, а ему пришло письмо с другим счетом(с левыми реквизитами) на такую же сумму. Повезло, что контрагент давний и заподозрил неладное.


Чудеса какие то, подумал я, попросил прислать мне это письмо, сразу видно, что в левом письме адрес отправителя не user@company.ru, а user-company@mail.ru, но сами понимаете, мало кто на него смотрит в обычной жизни, а в ситуации, когда это ответ на только что отправленное письмо, который ожидают, так и подавно. Все остальное выглядело как и у настоящего, та же самая тема, весь текст один в один, подпись и т.д. Единственное отличие кроме адреса отправителя - другой счет во вложении(причем название и формат те же самые, что в оригинале), на котором большими буквами написано "Обратите внимание! Изменились реквизиты!"


Посмотрел на всякий случай логи, от нас все ушло в неизменном виде, до получателя тоже дошло(по крайней мере, от самого mail.ru SMTP 250 был получен). Видимо, мошенники получили доступ к ящику контрагента и сидели, тихонько ждали, когда придет любое письмо(или конкретно от нашей компании) со счетом на большую сумму, потом удалили его и отправили с левого ящика(с похожим адресом) фейковое письмо с фейковым счетом.


Довольно изобретательно, надо признать, они были близки к удаче.

Дубликаты не найдены

Отредактировал depotato 1 год назад
+16

Да, это 95% инсайдерская атака. Кто-то из сотрудников, возможно, бывших.

раскрыть ветку 1
+4

Я вас умоляю, какая "атака", у них почта на мейле #comment_145840136

+24

Скорее всего, взломали корпоративный почтовый сервер и он все письма пересылает на user-company@mail.ru. А там уже меняют реквизиты и высылают контрагенту.

Я бы проверил настройки корпоративного почтового сервера для начала.

раскрыть ветку 8
+29

Это первое, что стал судорожно проверять, но нет, у нас все в порядке. Да и логика злоумышленников тогда странная, если бы я взломал чей то почтовый сервер или ящик, то и отправлял бы сразу от user@company.ru, без всяких левых ящиков.

+22

Да нифига, вангую, что у контрагента пароль от его "корпоративного" ящика не менялся с момента создания, и знают его все, от секретарши, до уборщицы, включая уволенных. А посмотреть настройки фильтров и пересылок никто не в состоянии, так как сисадминит там школьник-племянник бухгалтера за 500 рублей / выезд.

раскрыть ветку 1
+5

Внук

+3

Может, пароль не менялся десятилетиями и какой-нибудь экс-сотрудник балуется. Только беспонтовый развод какой-то.

+1
Тупо почту, куда отправляли ломанули. Пришедшее письмо удалили и отправили свое.
раскрыть ветку 3
+1

Ну если работать только с браузерным вариантом то да. Но если получать письма еще через POP3, то у тебя будет 2 письма в клиенте: Оригинал (если клиент успел стянуть) и подделка.

раскрыть ветку 1
-1

Совершенно верно, только не "удалили", а в подобных случаях просто настраивается фильтр, пересылающий письма с конкретного адреса на почту злоумышленника, а потом удаляющий их. А фильтры никто не проверяет потому, что #comment_145840136

+3

Старая тема. Все как вы и расписали. Скомпрометирован п/я получателя и просто быстренько быстренько произвели подмену. Целенаправленная атака на вашего контрагента, однако.

+7

А как же получатель и ИНН? Или тоже совсем левые? Типа у нас контракт с фирмой "Газпром" а счет от "ГазМяса"?

ещё комментарии
+2

Какая то котолампа. Реквизитами обмениваются во время заключения договора, и сразу забивается во все программы. А смену реквизитов оформляют отдельным письмом. Вероятность того что пройдет счет с левыми реквизитами ОЧЕНЬ мала. Если конечно бухгалтерия поставлена нормально.

раскрыть ветку 8
+5
Я лично с подобным сталкивался. 5000 евро Австрийцы отправили хрен знает куда. Мы отправили договор, спецификацию и счет, ящик уже пару месяцев как подломили, настройки, фильтры и т.п. слелали так что хрен заподозришь. После нашего письма тут же было отправлено новое с извинениями, что с реквизитами ошиблись, причем реквизиты так криво воткнули что даже не вооруженным глазом видна лажа. Австрийцы оплатили и пошли на каникулы рождественские. Выяснилось только через 2 недели. Они обратились в посольство и т.д. «международный скандал» блин Милиция еще год таскала просила разъяснений.
+5

Всё именно так - этожж все договора перезаключать, юрист надолго этот цирк запомнит


мне даже когда на карту отправляют перезванивают - мой ли?


т.к. карту приставы закрыли пользуюсь левой))

раскрыть ветку 4
-1

А долг оплатить, не?

раскрыть ветку 3
+1
В договоре может быть прописано, что оплата идёт по реквизитам в каждом конкретном счёте. Не такая уж и редкость, к слову.
+1
И счета не шлют друг другу в оба конца, работает цепочка заявка-счет-платежка. Где-то, возможно, и здесь, на Пикабу, уже была история про такой развод. А это ее неумелый пересказ.
+1
Проверяйте фильтры/пересылки у себя и у контрагента вашего
раскрыть ветку 1
+2
У одного клиента было такое: была установлена пересылка на левый почтовый ящик писем, в которых в письме есть слово счёт и удаление их. И через 20 минут приходило письмо как у вас, с левыми реквизитами
0
Точно такая же история, только перестала приходить почта сразу, т.е. приходила и уходить, но с некоторым опозданием. Заподозрили неладное когда после выставления счета позвонили партеры и спросили почему банк московский, когда раньше был местный.
0

этой схеме уже лет 10, почту чью то ломанули, выташили контакты, далее счета рассылают по списку

0

стопудово бывший сотрудник

0

А наименование получателя платежа и инн совпали? Платежка не только счет содержит. Ну и с расчетного счета конторы деньги вывести не трудно, а вот зарегить контору без паспорта не получится

раскрыть ветку 1
+1

Я вас умоляю, у нас в свое время бухи бывало ТАКОЕ оплачивали, что страшно потом становилось от мысли в чьих руках банк-клиент. Могут вообще быть левые реквизиты, но если пришли от «правильного человека» и есть согласное мычание руководителя, то оплатят без вопросов.

0

Хуясе, изобретательность. Прямой путь на нары. Это не на анонимный яндекс-кошелек переводить.

раскрыть ветку 4
+1

Только Яндекс кошель создать проблемно анонимный, тогда уж киви.

раскрыть ветку 3
+3

Яндекс да, анонимным не будет. Он создаётся одновременно с яндекс-почтой (или после, если галку не зажгли при регистрации). Почта просит указать имя. Имя может быть любое; напишете Хренопекл Дормидонтов - значит так оно и будет. Кошель со странным именем. Вот только такой кошелёк навсегда останется неидентифицированным, потому что предоставить им документы, подтверждающие что владельца зовут именно так, - не получится. А для идентификации нужно или предоставить связку паспорт + СНИЛС на эти ФИО, или чтобы на этот же номер (и снова эти же ФИО) был открыт договор в Сбербанке с активированным дистанционным обслуживанием - со Сбера можно перенести идентификацию на Яндекс-кошель. Неидентифицированным кошельком Яндекс-Денег можно пользоваться, но ряд возможностей будет недоступен. Выводить деньги придётся через кривые схематозы, но с другой стороны если речь о мошенниках, то запутать следы движения финансов - как раз им на руку. Это именно то, что им нужно.


Киви можно открыть вообще без указания ФИО. Тупо номер телефона из перехода к Савёловскому рынку - и всё. И здесь более расширенные лимиты и доступ к некоторым операциям возможен будет только после идентификации. Для частичной идентификации достаточно сочетания ФИО + паспорт. ИНН система сама запрашивает у налоговой и просто уточняет у клиента, верно ли они получили данные. Киви чуть более лоялен к вытаскиванию денег с неидентифицированного кошелька. Например, если Яндекс при попытке перевести с их виртуальной карты на другую карточку сразу выдаст заглушку "Только после свадьбы идентификации", то Киви совершенно спокойно даст такое проделать, не забыв откусить свою комиссию.


На анонимный киви-кошелёк можно приземлить межбанковский платёж, имеются реквизиты "как для платёжки"

Получатель: КИВИ Банк (АО)

ИНН: 3123011520

Банк получателя: КИВИ Банк (АО)

БИК: 044525416

КПП: 772601001

Счет: 47416810600000000004

Корр. счет: 30101810645250000416 открыт в ГУ Банка России по Центральному федеральному округу

Назначение платежа: Пополнение QIWI Кошелька N +7XXX XXX-XX-XX


Равно как и у ЯДа тоже есть реквизиты

Банк получателя Общество с ограниченной ответственностью небанковская кредитная организация «Яндекс.Деньги»

Корреспондентский счет 30103810945250000444 в Отделении 3 Главного управления Центрального Банка РФ по Центральному федеральному округу г. Москва

Назначение перевода Пополнение кошелька [укажите номер кошелька],

НДС не облагается.

Счёт получателя, он же — текущий, расчётный, л/с 30232810600000000010

ИНН 7750005725

КПП 770501001

БИК 044525444

Получатель ООО НКО «Яндекс.Деньги»

раскрыть ветку 2
-6

Безграмотные абизьяны. ЭЦП придумана в прошлом тысячелетии, а большинство контор до сих пор ящики на мэйле используют.

Эх, сколько кругом лохов... )

раскрыть ветку 10
+1

s/mime? Мертворожденный стандарт, т.к. поддерживают только десктопные клиенты (2/3 юзеров используют веб-морды) - раз. Два в той же громоптице пачка багов с ней - то подписывает, то не подписывает. Три - не факт что ПО на той стороне будет учитывать ваш УЦ, привет TheBat у которого свой дефолтный список УЦ.

Подпись pdf'a? Единого УЦ нет, отсюда проблема - где гарантии что на том конце ЭЦП смогут проверить? Ну т.е. что сертификат УЦ будет установлен на той стороне?

Отсюда проблема номер два. В большой компании админы еще могут с этим запариться, а в маленькой? Ну отобразится что проверка подписи невозможна, что сделает 99% бухов? "Ой тут окошечко какое-то открылось, я его закрыла".  Все. Хуман фактор.

Так что эцп это или внутри организации или для документооборота через какую-ндь эльбу.

раскрыть ветку 7
-1

Конечно же, ЭЦП вообще не нужно использовать, ведь это так сложно.

Да и вообще, половина описанных тобой проблем не существуют, а вторая решается на раз-два.

Ой тут окошечко какое-то открылось, я его закрыла

А я об чем говорю?

Безграмотные абизьяны

Если бизнес не готов нормально платить квалифицированным кадрам, то пусть платит мошенникам и страдает.

раскрыть ветку 6
0

Только инсайдерская атака всё равно ломает. Если ты внутри, то развод уровня "я систадмин, добавь наши новые сертификаты" на бухгалтеров не проблема.

раскрыть ветку 1
-1

Стопроцентной защиты нет ни от чего, но когда защиты нет никакой, подобную фигню может провернуть любая уборщица, уволенная в прошлом году #comment_145840136

ещё комментарии
-2

опять похоже mail.ru хакнули

недавно мне майл предложил поменять пароль

типа простой

а пароль нифига не простой

раскрыть ветку 3
+2

Мейл.ру всегда хачат.

У меня там мама работает.

раскрыть ветку 2
+1
Это все объясняет
0

Уборщицей, поди?

-2

Хоть написал бы что в электронной почте.

Похожие посты
627

Мошенники спешат

Объявление висело пару месяцев. Честно говоря, разместил в принципе без всякой надежды на продажу, постепенно снижая цену. Срок размещения вскоре истек, руки вновь разместить не доходили. Сегодня запостил вновь - и сразу нашелся "покупатель"!
Самой схемы развода не знаю, но может, будет полезно тем, кто размещает объявления.

Мошенники спешат Интернет-Мошенники, Мошенничество, Телефонные мошенники, Объявление на авито, Юмор, Длиннопост, Негатив
Мошенники спешат Интернет-Мошенники, Мошенничество, Телефонные мошенники, Объявление на авито, Юмор, Длиннопост, Негатив
Мошенники спешат Интернет-Мошенники, Мошенничество, Телефонные мошенники, Объявление на авито, Юмор, Длиннопост, Негатив
Показать полностью 3
37

ОПГ продала россиянам билеты в театр на 1 млрд рублей через сайты-двойники

В России раскрыли крупную сеть подпольной перепродажи билетов в ведущие театры и на футбольные матчи по завышенным ценам. В ОПГ были вовлечены более 50 человек из восьми регионов страны.

Правоохранители вышли на ОПГ при расследовании уголовного дела о продаже билетов на спектакли Мариинского театра через сторонний сайт, практически полностью копировавший оригинал. Продажа велась без разрешения правообладателя, при этом в доменном имени ресурса использовался товарный знак Мариинки.

По версии следствия, в период с 2018 по 2020 годы участники группировки создали более 300 ресурсов-двойников ведущих учреждений культуры и различных спортивных организаций. В их число вошли сайты Большого и Мариинского театров, МХТ им. А. П. Чехова, ФК «Спартак Москва», ОАО «Лужники» и другие. За два года спекулянты продали билеты более чем на миллиард рублей.

В противоправную деятельность были вовлечены более 50 человек. В их числе IT-специалисты, сотрудники колл-центров, продавцы билетов, курьеры, программисты, менеджеры по рекламе, а также системные администраторы,

— рассказала официальный представитель СК РФ Светлана Петренко.

Злоумышленники вели общение с покупателями посредством интернет-телефонии, а реализация билетов осуществлялась через колл-центры в Москве и Владимире, добавила она.

По данному факту возбуждено уголовное дело, расследованием которого занимается управление по особо важным делам. Правоохранители уже провели обыски в восьми регионах страны и изъяли у фигурантов платежные карты, компьютеры, черновые записки и выручку от незаконной деятельности, сообщает ТАСС.

В настоящее время все сайты-двойники недоступны, реализация билетов прекращена. Злоумышленникам грозит штраф в размере от 500 тысяч до миллиона рублей, принудительные работы на срок до пяти лет или лишение свободы на срок до шести лет.https://www.ridus.ru/news/336889?utm_source=player&utm_content=4747

179

Внимание! Очередной развод пенсионеров

Всем привет!


Моей бабушке 67 лет, последние несколько лет большую часть времени проводит дома, сидя перед телевизором. В обшем она очень добрый и довольно доверчивый человек, но с основым мерам безопасности в сети, а также информацией о том, что не стоит никому называть данные карты и коды из смс, была ознакомлена. Много раз его пытались развести на деньги, но она всегда понимала, что пытаются обмануть и заканчивала общение. Исключением стал вчерашний случай, далее со слов бабушки:

В шесть часов вечера позвонил неизвестный номер (номер был неопределен, при звонке так и было написано "Неизвестно", то есть номер был скрыт оператором), представился сотрудником службы безопасности сбербанка, начал очень быстро говорить о том, что в данный момент по вашей карте совершаются мошеннические действия, а именно кто-то неизвестный оформил на ваш паспорт кредит размером 100.000 рублей и теперь вы должны сбербанку эту сумму, в настоящее время в службе безопасности происходит расследование по вашему инциденту. Интересовался тем, совершала ли я какие-то покупки в последнее время, совершала ли какие-то иные операции по счету с денежными средствами. Далее сказал, что возможно в банке произошла утечка ваших данных и, что для подтверждения расследования необхидимо сообщить код, который только что должен был придти на ваш телефон с номера 900. Ну я и назвала код, так как доверилась этому человеку (Этот код был нужен для того, чтобы войти в систему Сбербанк Онлайн), затем он сказал, что все хорошо, сейчас переведу вас на другого оператора.

После чего секунд 5-10 поиграла музыка, а затем ответила приятная девушка, которая просто расспрашивала про последние действия со счетами, а именно как, где и зачем использовались денежные средства в последнее время, ну и я, конечно же, на все отвечала. Затем оператор сказала, что переведет меня обратно на прошлого оператора.

Что конкретно он начал говорить не помню, но что-то про то, что все подозрения подтвердились и с счетом действительно происходят мошеннические действия. Затем снова попросил назвать код, который пришел в смс с номера 900, а затем и еще раз назвать код, ну я и назвала все (Эти коды нужны были для оформления кредита через Сбербанк Онлайн). После чего опять сказал подождите и перевел на девушку, она опять же просто задавала какие-то вопросы, как я потом поняла, просто тянула время.

Через некоторое время меня снова перекинули на оператора службы безопасности, который сказал что да, уже все хорошо, почти разобрались в ситуации, и начал спрашивать данные карты (карта у бабушки всего одна, на нее и был зачислен кредит), а именно говорит данные ваши карты такие-то такие-то, я проверила и сказала, что нет, вот тут и тут ошибка и назвала настоящие данные карты (включая CVC-код). После чего оператор сказал, сейчас с вами будет говорить робот, он задаст два вопроса:

1. Вы совершали покупки? - Вы должны ответить "Да"

2. Вы хотите заблокировать карту? - Вы должны ответить "Нет"

И тут я не знаю, что во мне переклинило, так как я всю жизнь была очень исполнительной, но на первый вопрос я ответила "Нет", а на второй вопрос я ответила "Да", после чего оператор очень сильно разозлился и говорил, что ну как же так, я же вам говорил как надо, теперь ничего не получится исправить. Некоторое время он был недоволен, что-то пытался там у себя делать, в итоге сказал, что давайте завтра утром встретимся и дойдем до ближайшего отделения сбербанка, чтобы оформить перевыпуск карты и что-то сделать с мошенническими деньгами.

Далее я позвонила тебе (то есть мне). Далее уже мое повествование.

Звонит мне бабушка, часов в 9-10 вечера, рассказывает вкратце историю, без подробностей, о том, что мошенники с ее счетов пытаются снять деньги, а сотрудник сбербанка пытается помочь это уладить. В общем выслушиваю это все и решаю, что сейчас приеду к бабушке, чтобы на месте во всем разобраться.

Приезжаю, сразу зашел в сбербанк онлайн, включил отображение заблокированных карт, увидел, что все деньги на месте (на карта была небольшая сумма и еще сверху 100.000 рублей, которые поступили с оформленного кредита). Говорю, что все хорошо, ты молодец, что перепутала "Да" и "Нет", завтра с утра поедем в сбербанк и закроем этот кредит.

Собственно сегодня утром приехали в отделение сбербанка, благопалучно с заблокированной карты сняли 100.000 рублей и досрочно погасили кредит, получили бумаги о погашении кредита и узнали, что в последнее время несколько таких случаев, но увы, в тех случаях деньги уходили на сторону мошенников.

Сегодня утром он снова позвонил, но на этот раз телефон взял уже я, умолял передать трубку бабушке, но я включил дурачка, позадавал ему глупые вопросы, он злился, перешел на оскорбления, повышенный тон, после чего споконым голосом все-таки сказал, что необходимо перевыпустить заблокированную карту, а затем снова связаться с ним для проведения дальнейшего расследования. После чего я повесил трубку, а бабушку предупредил о возможных звонках снова.

Вот такой вот урок для бабушки. Как она говорит, мысль о том, что это были мошенники пришла только через полчаса-час после разговоров с ними, а до этого они просто не давали время отвлечься и осознать происходящее, и все время подгоняли, тем самым заставляя действовать так, как надо им.

Будьте осторожны и предупреждайте своих родственников.

Бабушка моя. Тег - моё.

Показать полностью
143

BlueBerry - "премиум магазин" от мошенников (wberry.ru, wildbr.ru, wildby.ru)

Обзор сразу четырёх одинаковых интернет-магазинов от мошенников расположенных на доменах: wildby.ru, wberry.ru, wildbr.ru, electrorobot.online.


Все сайты имеют одинаковый дизайн, номера телефонов и адреса. Мошенники не стали заморачиваться, а просто копируют сайты и размещают на новые домены:

BlueBerry - "премиум магазин" от мошенников (wberry.ru, wildbr.ru, wildby.ru) Мошенничество, Интернет-Магазин, Скидки, Покупка, Интернет-Мошенники, Видео, Негатив, Длиннопост

Данные мошенники действуют осторожнее и предлагают скидки на определенную категорию товаров. Но, например, всё равно вы нигде не купите новую PS4 за 19 900руб:

BlueBerry - "премиум магазин" от мошенников (wberry.ru, wildbr.ru, wildby.ru) Мошенничество, Интернет-Магазин, Скидки, Покупка, Интернет-Мошенники, Видео, Негатив, Длиннопост

Ещё они завлекают бесплатной доставкой от 10 000 рублей по России и СНГ:

BlueBerry - "премиум магазин" от мошенников (wberry.ru, wildbr.ru, wildby.ru) Мошенничество, Интернет-Магазин, Скидки, Покупка, Интернет-Мошенники, Видео, Негатив, Длиннопост

И кончено фиаско с оплатой товара. Дешевле на 5000руб и оплата идёт через QIWI:

BlueBerry - "премиум магазин" от мошенников (wberry.ru, wildbr.ru, wildby.ru) Мошенничество, Интернет-Магазин, Скидки, Покупка, Интернет-Мошенники, Видео, Негатив, Длиннопост

По указанному адресу действительно находится ТЦ Метро, но вот данного магазина нет. На телефон они не ответили, возможно для вида поставили номер:

BlueBerry - "премиум магазин" от мошенников (wberry.ru, wildbr.ru, wildby.ru) Мошенничество, Интернет-Магазин, Скидки, Покупка, Интернет-Мошенники, Видео, Негатив, Длиннопост

Но если в 2ГИС есть магазин, то это не означает, что он настоящий. Так было с магазином Белафон (ссылка на видео: https://youtu.be/0tRFnIusLms)

Будьте бдительны и не переводите деньги мошенникам!

Ниже видеообзор. Всем мира!

p.s. по сайту enam.ru думаю скоро появится новый материал, ибо есть уже пострадавшие.

Показать полностью 3 1
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: