W ostatnim czasie przynajmniej dwóch integratorów/dostawców szybkich płatności internetowych informuje (ostrzega) na swoich stronach internetowych, że do skrzynek użytkowników poczty e-mail trafiają wiadomości udające potwierdzenie przyjętej płatności.
Spis treści w artykule
Fałszywe potwierdzenie płatności
Tym razem muszę przyznać, że kampania jest dość dobrze przygotowana – wiadomości mają odpowiedni wygląd i treść (w tym również pisownia jest prawidłowa), a zarazem – w celu dodatkowe uwierzytelnienia – w treści znajdziemy linki prowadzące do prawdziwych stron, prawdziwych transakcji u tych dostawców szybkich płatności (choć starają się oni na bieżąco reagować i filtrować te adresu).
Fałszywe potwierdzenie płatności z PayU
W temacie fałszywej wiadomości od PayU znajduje się tekst:
Payu – Potwierdzenie przyjętej płatności kartą
A w treści jest mowa o „zarejestrowaniu zlecenia płatności”, m.in. w Cinema City Poland (ogólnopolska sieć kin).
To co istotne, to załącznik – jest to plik JavaScript (.js), który „udaje” PDFa z potwierdzeniem płatności:
Potwierdzenie Platnosci - C B9BC XX835695707XX_PDF.js
W żadnym przypadku nie należy otwierać/uruchamiać tego załącznika, zwłaszcza że jak informuje PayU – nie wysyłają załączników w potwierdzeniach transakcji:
Sfałszowane wiadomości odzwierciedlają wiadomości wysyłane z systemu PayU, jednak podkreślamy, że w powiadomieniach pochodzących od PayU nie są wysyłane żadne załączniki. Prosimy więc o zwrócenie szczególnej uwagi na wiadomości, które zawierają załączniki, gdyż ich nadawcą są oszuści.
Fałszywe potwierdzenie płatności z tpay.com
W przypadku wiadomości wysyłanych z rzekomym potwierdzeniem transakcji mamy do czynienia z identyczną sytuacją (oczywiście z uwzględnieniem dopasowania wyglądu i treści wiadomości do prawdziwych wiadomości tego dostawcy usług):
POTWIERDZENIE TRANSAKCJI
Informujemy o poprawnym zaksięgowaniu Twojej płatności za: Zamówienie: 1234567890
W załączniku również znajdziemy plik JavaScript udający potwierdzenie transakcji, którego oczywiście nie uruchamiamy/otwieramy.
Z komunikatu umieszczonego na stronie tpay.com dowiemy się również, że:
Przypominamy, że Tpay.com nie wysyła żadnych załączników typu: .js .exe .zip .doc ani .pdf w powiadomieniach email!
Również wszystkie linki, jakie są w wiadomościach od Tpay.com do sprawdzenia np. statusu transakcji/informacji odnoszą do domen https://tpay.com lub https://secure.tpay.com i żadnych innych!
(…)
Incydentalne próby tego typu odnotowujemy codziennie, ale faktycznie w raporcie DKIM z ostatniego weekendu widnieje ponad 20 tysięcy maili wysłanych z serwerów nazwa.pl (gdzie Tpay.com nie posiada żadnych serwerów) próbujących podszyć się pod naszą domenę. Prosimy zachować szczególną ostrożność!
[Aktualizacja 2017.03.20]
Faktura za usługi telekomunikacyjne (Netia)
W skrzynkach pocztowych zaczęły się pojawiać wiadomości w nowej odsłonie, tym razem padło na „faktury za usługi telekomunikacyjne od Netii”:
informujemy, ze zostala wystawiona faktura za uslugi telekomunikacyjne.
Serwer z którego wysyłane są fałszywe wiadomości bez zmian – Nazwa.pl, ale to nie tyle zasługa ich „fantazmatycznej oferty”, a konfiguracji, która pozwala na wiele „alternatywnych działań”, zwłaszcza związanych z rozsyłaniem SPAMu i innych, „lewych wiadomości”.
- Home Assistant 2024.11, czyli „sekcje” domyślnym widokiem z opcją migracji, WebRTC oraz wirtualna kamera - 1970-01-01
- Black Friday w ZUS, czyli jest jeszcze kilka dni, by złożyć wniosek RWS i skorzystać z wakacji składkowych płacąc ZUS za grudzień 2024 - 1970-01-01
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01