Новый вид мошенничества -кто сталкивался?

Коллеги, добрый день! Сегодня столкнулся с новым видом мошенничества. Выставил счет клиенту на предоплату со своей почты. К нему он попал с задержкой в 40 минут. Счет мой, но в нем чудесным образом изменены наименование Поставщика, его ИНН и КПП, а адрес оставлен. И реквизиты вместо наших совершенно другого банка. Также изменены подписи и печать. И исправленный счет попал к клиенту уже с другого какого-то "левого" мейловского адреса. Т.е. моего покупателя хотели кинуть на предоплату. Хорошо, что люди посмотрели на реквизиты, а не просто перекинули счет бухгалтерам на оплату.В новом счете печать ООО "Дэмис", ИНН указан 7743252113. Никто с таким не сталкивался? И не слышали что-либо про ООО "Дэмис"?

Комментарии (18):

#1

Алексей, куда интереснее понять, как видоизмененный счет попал к вашему потенциально конечному покупателю))

Такое ощущение, что тот, кому Вы выставляли счет, как раз и есть жулик, представившийся вашим покупателем. )) тогда возникает другой вопрос: откуда жулик знает данные о ваших контрагентах, раз представляется ими, судя по всему?

Ну а сам трюк с заменой реквизитов и р/с в платежных документах далеко не нов.

#2
С клиентом работаем давно, никаких проблем за 2 года не было. И в долг давали, и предоплату брали - без вопросов. Тут получается так: счет мой не попал клиенту в почтовый ящик, а был как-то перехвачен (или моментально извлечен из почты клиента). А в нем все реквизиты есть. И потом переделанный с нового адреса мэйловского попал клиенту. Я отправляю с рабочей почты, не мейловской.
Алексей Юхневич

, 1 ноя 2018, 17:18

#3

значит посоветуйте своему клиенту сменить почтовый ящик, если кто-то в его старой почте копается, имея к ней доступ

круг лиц может быть каким угодно - от взломщика до бывшего сотрудника фирмы вашего клиента, который за время работы как раз и получил доступ к данной почте

ну а 40 минут понятно на что ушли тогда - на "косметику" Вашего счета.))

. А исходящие письма перехватить практически нереально. Входящие при определенном желании и навыках - можно.

#4

У нас так было!!! Я высылаю счет контрагенту, через час он перезванивает и говорит: почему вы раньше не предупредили, что реквизиты изменились, я уже оплатил по старым ....немая пауза... а у нас ничего не менялось)))...стали разбираться... вслед за моим письмом со счетом ему прилетело второе письмо с текстом "пока не оплачивайте, у нас поменялись реквизиты". Прилетело из ящика визуально похожего на мой: аватар, подпись... ну все зеркально. Только потом, при ближайшем рассмотрении, увидели, что в адресе и телефоне различия в одну букву-цифру.

То есть, я так понимаю, получили несанкционированный доступ к ящику нашего контрагента, и видя входящую почту, сляпали клон одного из контактов по переписке (в данном случае моего ящика), и в подходящий момент выступили уже от моего имени. Я сидела бы и ждала ничего не подозревая, ему прилетел бы новый счёт, деньги ушли бы мимо... если бы не бдительность нашего контрагента, спасибо ему большое)))

НТК Наталья

, 1 ноя 2018, 17:26

#5
Согласно инструкции Центробанка, идентификация клиента в платежном поручении должна проводиться минимум по двум реквизитам. Больше - можно, меньше - нельзя. Чаще всего это наименование фирмы и ИНН. Но некоторые банки идентифицируют по ИНН и номеру расчетного счета (год назад в Альфе точно так было). То есть, если наименование получателя не ключуется с ИНН и Р/сч, платеж застрянет в банке-получателе на невыясненных платежах. А если это Альфа, то ИНН+р/счет совпадают, и не важно, что название фирмы совсем другое, деньги зачислятся получателю в полное его распоряжение. Может сейчас это безобразие прекратили, но год назад такой нюанс имел место. 
НТК Наталья

, 1 ноя 2018, 17:34

#6
Кстати, левый "Дэмис" в ЕГРЮЛ есть. Москва, ул. Ангарская, д.6. Директор и учредитель Скляров Никита Олегович
Алексей Юхневич

, 1 ноя 2018, 17:48

#7
Конечно есть, он не может не есть))) Счет-то в банке надо открывать на юрлицо, с регистрацией и всеми сопутствующими)))
НТК Наталья

, 1 ноя 2018, 17:50

#8
У нас тоже была такая ситуация. Причем дважды за одну неделю. Я отправляю счет покупателю. Он ему приходит, а потом следом приходит второе письмо, что якобы я прошу счет не оплачивать потому что изменились реквизиты и что новый счет вышлю позже. Хорошо что бдительность не подвела. Причем второе письмо приходило с почты, которая только на одну букву отличается от моей. Фото и подпись полностью скопированы. А ответные письма, которые покупатель отправлял мне, до меня не доходили. В итоге я меняла все свои пороли, потому как взломщики сидели именно на моей почте а не на почте покупателей. Это мы выяснили отследив входы на мою почту по ip адресу. По времени входа было видно, что как раз после отправки мною счета, на мою почту был вход с ip адреса другого региона. После второго случая я писала запрос в mail поддержку. Они ответили, что проверят данный почтовый адрес и примут меры. Больше таких случаев не было пока.
Но я бы Вам посоветовала свои пороли на почте поменять.    
#9
Хакеры запускают в сеть программу, она нацелена на распознавание определенных команд в текстах . Например " номер карты", "счет на оплату" и т.д. Ящик с таким письмом программа взламывает, и в текст вносятся коррективы, потом отправляют получателя со схожего ящика-однодневки. Примерно так. Давно это уже по сети ходило. 
Один из примеров- с форума перевозчиков:


#10
Ссылка не вставляется(
#11
А Вы после точек и двоеточий пробелы в ссылочке поставьте, тогда вставится)
#12
опять демоны...
#13
ппц, я чето в шоке...это уже не 500 руб вконтакте просят...обнаглели совсем, у меня на днях скайп рабочий сломали в выходные и у всех просили 25 000 типо у меня проблемы серьезные..один партнер отправил, слава богу отправил на прямую мне))) тк запутался в онлайн кабинете и просто по номеру телефону карту нашел. Теперь вот это..
а сейчас еще волна такая что все банки меняют как перчатки, и письма от контрагентов типо это наши новые реквизиты на сегодня норма, надо видимо каждый раз звонить уточнять, точно ли письмо от них..
#14
Добрый день. С помощью нехитрых манипуляций можно отправить письмо с любым обратным
адресом, от имени любого отправителя
. Это разумеется могут использовать мошенники.
Другими словами, когда происходит рассылка писем через специальные сервисы рассылок, то отправитель сам указывает почту с которой "яко бы" идет отправка писем.
Разумеется почтовые клиенты (например и ) блокируют подозрительные рассылки, но единичные письма не блокируют (вроде менее 10 писем другие критерии попадания в спам)... Чтоб рассылки от компаний (например тем кто подписан на прайс) доходили настраивается DKIM/SPF/DMARC записи...
Чтоб от имени вашей компании не отправляли спам почтовые клиенты советуют настроить эти записи
Но по опыту скажу, что самая сложная DMARC запись - если ее настроить, то рассылку через сервисы-рассылок очень сложно осуществить, все письма отправятся в спам.
Обычно достаточно DKIM/SPF = спам письма якобы от имени вашей компании будут блокироваться либо попадать в спам (в зависимости от настроек)....

Перехватить письма варианты: взломщики либо просто заходят в папку отправленные если у них есть доступ к вашей почте (проверить можно зайдя в статистику тех кто заходил в ящик по ip). Если взломана почта получателя, то можно проверить ее... Если пользуетесь программами (приложениями) от неизвестных компаний то это опасно... Яндекс, майл, гугл уже давно настроили возможность отправки почты с домена через их серваки с повышенной защитой, и приложения для телефонов есть... Например от майла DKIM/SPF/DMARC там все записи проверить можно, и настройки инструкции есть и главное бесплатно.
Андрей Н

, 6 ноя 2018, 07:56

#15
Проверить настройки почты (если она через домен) можно сервисом майла  postmasterТОЧКАmailТОЧКАru/security/
Андрей Н

, 6 ноя 2018, 08:00

#16

Была такая ситуация в бух фирме которая меня обслуживает. схема такая же один в один. Счет тупо переделали в фото шопе. Почта оказалась взломанной имменно у бухгалтеров, а не у клиента которому пришел счет. Симптом был один, письма многиее начали сваливаться в папку спам. это как пример

Фермер Кубанский

, 2 июл 2019, 15:25

#17

Была такая ситуация в конце 17го года.

Ко всему перечисленному могу добавить что клдиент получил письмо с моим же именем электронного ящика а  домен был изсенён на  

Кирилл Ростов

, 15 июл 2019, 13:47

#18

Сегодня уважаемая компания из Санкт-Петербурга, ООО "ВАЙЛ", разослала по мейлу всей своей АКБ информационное письмо с предупреждением об угрозе чего-то подобного...

Видать, история получает продолжение и выходит на новый виток.

Валерий Ульяненко

, 17 июл 2019, 16:49

Войдите на сайт или зарегистрируйтесь, чтобы участвовать в обсуждениях.

Горячее предложение