Skocz do zawartości
Syndrom

scam udający slaskdatacenter

Polecane posty

Witam,

Przed chwilą dostałem maila fakowego z serwera hekko podszywającego się pod SlaskDataCenter:

W załączniku faktura z 7-dniowym terminem płatności, .



--
Tomasz Milczarek
SlaskDatacenter.pl
Ul. Rembertowska 2/4
02-540 Wrocław

Mail zawiera zipa z fakturą, a w niej doc z makrami, które są zaszyfrowane i korzystają z ostatniej dziury Adobe.

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzisiaj dostałem wiadomość z wirusem, który często się ostatnio pojawia w sieci tzn załącznik z fakturą. Nic by nie było w tym dziwnego ale wiadomość podszywa się pod znaną na tym forum firmę SląskDataCenter.pl , od której niby otrzymuje fakturę VAT za usługi, których tam nie posiadam (miałem ponad rok temu jakieś vpsy), więc prawdopodobnie jakimś cudem wypłynęły adresy e-mail u nich :)

 

Nie zgadza się również adres, bo ta firma nie mieści się we Wrocławiu.

From - Tue Jan 12 13:30:24 2016
X-Account-Key: account9
X-UIDL: 00003a4154a3f440
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <info@palaclazienkowski.com>
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on 3021348.s.tld.pl
X-Spam-Level: 
Delivered-To: XXXXXXXXXXXXXXXXXXXX
Received: (qmail 15928 invoked by uid 2929007); 12 Jan 2016 12:30:21 -0000
X-clamdmail: clamdmail 0.18a
Received: from 188.116.9.92 (HELO s3a.hekko.net.pl) (188.116.9.92)
  by 94.152.9.229 with SMTP; 12 Jan 2016 12:30:21 -0000
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
	d=palaclazienkowski.com; s=x; h=Content-Type:Date:Subject:To:From:
	Mime-Version:Message-Id; bh=4rDxgTKXGAdEqsPiASdAp/oxe7Jl3iD16ss2yz59+dw=; b=s
	/zqdscY8ejd5Z9EivMggV9CGHPj9Jp3hftpDaiRfhjFGFC9JXIRVVZlB7+789NSdcu/Qluy4GGGlG
	1GJ0azJgfbkfms/2L/D4coLKgzKQMbnxBWtJW1K1Ny/XaDLIRx;
Received: from 77-254-221-100.adsl.inetia.pl ([77.254.221.100] helo=[192.168.75.130])
	by s3.hekko.net.pl with esmtpa (Exim 4.86)
	(envelope-from <info@palaclazienkowski.com>)
	id 1aIxeY-0007YC-8v
	for XXXXXXXXXXXXXXXXXXXX; Tue, 12 Jan 2016 13:02:24 +0100
Message-Id: <5QAVA3LS-GHZ8-35F7-8ALH-2F4NPN86NDUX@palaclazienkowski.com>
Mime-Version: 1.0
From: SlaskDatacenter <info@palaclazienkowski.com>
To: admin <XXXXXXXXXXXXXXXXXXXX>
Subject: faktura, slaskdatacenter
Date: Tue, 12 Jan 2016 13:02:41 +0100
X-Priority: 2
Content-Type: multipart/alternative;
     Boundary="--=BOUNDARY_112132_HTDL_CBLV_UPUO_BUAU"
X-HEKKO: 77.254.221.100:info@palaclazienkowski.com
X-Spam-Status: No, score=0.4 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,HTML_IMAGE_ONLY_08,HTML_MESSAGE autolearn=disabled version=3.3.2

This message is in MIME format. Since your mail reader does not understand
this format, some or all of this message may not be legible.

----=BOUNDARY_112132_HTDL_CBLV_UPUO_BUAU
Content-Type: text/plain;
     charset=iso-8859-2; format=flowed
Content-Transfer-Encoding: quoted-printable

W za=B3=B1czniku faktura z 7-dniowym terminem p=B3atno=B6ci, =2E

--
Tomasz Milczarek
SlaskDatacenter=2Epl
Ul=2E Rembertowska 2/4
02-540 Wroc=B3aw

Załącznika najlepiej nie otwierać :)

Edytowano przez gutek (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie wiem czy coś powyciekało czy po prostu polskie DC nie stały się targetem ;-)

 

u nas

najpierw pojawił się rev na jakimś chińskim IPku z domeną SDC (nie śdc!) a potem paru klientów ( i osoby nie mające nic z nami wspólnego) raportowało nam podobny phising/virus . Z adresów wywnioskowaliśmy, że jakiś chinol (złośliwy user) przeszukuje usługi hostingowe i po prostu na maile kontaktowe (podane na stronie hostingów - nie koniecznie w np SDC / śDC) wysyła "fakture" i a nóż może się ktoś nabierze

 

Tylko u nas było wszystko po angielsku (mimo, że domena PL) i nie było podpisu kogoś (tutaj widzę Tomasz Milczarek)

Edytowano przez JakubC (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Też dostałem, ale na maila który miałem regnięty tylko pod host... Więc może wyciek

 

 

Received-SPF: pass (google.com: domain of info@palaclazienkowski.com designates 2a02:ee0:3::1:3 as permitted sender) client-ip=2a02:ee0:3::1:3;

Received: from 77-254-221-100.adsl.inetia.pl ([77.254.221.100] helo=[192.168.75.130])

by s3.hekko.net.pl with esmtpa (Exim 4.86)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

zastanawia mnie dlaczego hekko nie zablokuje takie konta <_<

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ciekawe czy pierwszy zgłosiłem ;p

 

ja otworzyłem załącznik ciekaw co slask chce jeszcze
a w sumie niedawno placilem

 

nie zauwazylem zadnego wirusa

openoffice monitował kilka razy że nie moze czegos rozpoznac
wkoncu otworzyl pustą fakturę

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ciekawe czy pierwszy zgłosiłem ;p

 

ja otworzyłem załącznik ciekaw co slask chce jeszcze

a w sumie niedawno placilem

 

nie zauwazylem zadnego wirusa

openoffice monitował kilka razy że nie moze czegos rozpoznac

wkoncu otworzyl pustą fakturę

 

https://zaufanatrzeciastrona.pl/post/mozliwy-wyciek-danych-i-atak-na-klientow-slask-data-center/

 

Jednak tam coś było ;_)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Teraz spojrzałem jeszcze na drugiego maila - który też był podany w SLDC (ale w innych miejscach także) - to na niego też przyszło... Więc źródło - raczej wyciek od nich :)

 

1) Date: Tue, 12 Jan 2016 12:58:12 +0100 - starsze konto - rejestracja w 2013

2) Date: Tue, 12 Jan 2016 13:23:19 +0100 - konto z 2015
// edit
@JakubC- sorry, zjadłem "L"
Edytowano przez kom4r (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Teraz spojrzałem jeszcze na drugiego maila - który też był podany w SDC (ale w innych miejscach także) - to na niego też przyszło... Więc źródło - raczej wyciek od nich :)

 

SLDC..

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zarejestrowałem się rok temu i też do mnie przyszło, także dobrze że poinformowali klientów o wycieku.

Skoro zablokowali panel to raczej wyciek musi być świeży. Kolejna rzecz która utwierdza mnie w przekonaniu, aby omijać SLDC szerokim łukiem.

Edytowano przez protoplasta (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zarejestrowałem się rok temu i też do mnie przyszło, także dobrze że poinformowali klientów o wycieku.

Skoro zablokowali panel to raczej wyciek musi być świeży. Kolejna rzecz która utwierdza mnie w przekonaniu, aby omijać SLDC szerokim łukiem.

 

wyciek musi być stary

ja zmieniałem na sdc maila chyba z rok temu

i ten mail przyszedł wlasnie na starą skrzynkę a na nową nie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

oblukałem maile, przesadziłem z tym rokiem
na stary adres ostatni mail 19 listopada 2015 (na niego przyszedł ten mail z załącznikiem)

na nowy adres pierwszy mail 30 listopada 2015

Edytowano przez kori (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja założyłem konto w dniu kiedy pojawił się temat o "promocji" w ŚląskDataCenter (końcówka grudnia, a dokładniej 29/30 grudzień 2015) i nie dostałem tego scamu (ale e-mail "ostrzegający" o wycieku - tak), więc jak widać po powyższych postach - jeśli włam był to prawdopodobnie jakoś blisko grudnia [albo przynajmniej wtedy zostały użyte wykradzione dane ;)].


Swoją drogą od razu zadam pytanie, bo ciekawi mnie to od dłuższego czasu - czy firmy którym powierzamy swoje dane (np. właśnie hostingowe) nie są za nie odpowiedzialne? Czy za wyciek danych te firmy nie powinny jakoś odpowiadać? :blink:

 

Z góry dzięki za odpowiedź ;)

Edytowano przez PCziomal (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Włam ewidentnie był bo niedługo po tej sytuacji SLDC zaktualizowało swój panel WHMCS. Szkoda że tak późno :) E-maila też otrzymałem ale mam tam konto od dawna, kilka lat.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×