[Porada] Włam na skrzynkę mailową i podrabianie faktur VAT

[ostry]

Ktoś wbił mi na skrzynkę utworzoną przez firmę hostingową na Roundcube. Swoją drogą beznadziejną w obsłudze i z badziewnym interfejsem w porównaniu choćby do Gmaila. Przechwycone zostały co większe faktury wysłane do klientów i podstawiony został nr konta wraz z nazwą banku oraz w kilku sam nr konta. Dzięki szczęściu i przypadkowi udało się nie stracić kasy. Sprawa zgłoszona na policję. W grę w sumie wchodzi znaczna kwota. Co dalej? Nie chcę zmieniać adresu email. Da się go przenieść w jakieś bezpieczniejsze miejsce? Miał ktoś podobny przypadek?

[capri]

W jaki sposób zostały "przechwycone" na poziomie skrzynki? Wysłane, to wysłane bez względu czy klientem pocztowym, czy webmailem. Miałeś je jako robocze?

[ostry]

Nie chcę na tym etapie zawracać głowy klientom i prosić o sprawdzenie w jakich dniach i godzinach dostali maile z fakturami ode mnie. Ale prawdopodobnie dostawali je z opóźnieniem. W jednym przypadku klient odpisał żeby poprawić jego NIP na fakturze bo był na niego jako osobę fiz. a chciał żeby był NIP na firmę (spółka). W treści była nasza poprzednia wiadomość do niego wraz z fakturą pdf w załączniku. Sprawdziliśmy fakturę w celu weryfikacji NIP-u. Okazało się że nr konta już na tym etapie był podmieniony na inny.

[Qter]

Zgłaszaj na Policję. Im wcześniej tym lepiej.

Pzdr

Qter

[wojtekk]

Zgłaszaj na Policję. Im wcześniej tym lepiej.

Pzdr

Qter

Zgłosił - pisze o tym w pierwszym poście.

[capri]

Okazało się że nr konta już na tym etapie był podmieniony na inny.

Tzn. na którym etapie? Z jakiego programu / systemu generujesz faktury?
W folderze "wysłane" Roudcuba jak wygląda ten pdf?
Może zadzwoń do mnie (nr w profilu) to coś pomogę.

[ostry]

Dzięki za zainteresowanie, zadzwonię .
Program "faktur 2" z licencją. Faktura wysyłana jako załącznik. Po pierwszej "akcji" dane do przelewu podawaliśmy dodatkowo normalnie w mailu ale przy trzeciej "akcji" nr konta został i tam podmieniony.
Hasło ponownie zmienione, teraz jest już na tyle skomplikowane że sam mam problem z zalogowaniem . Może to trochę utrudni. Choć to i tak głupie uczucie tak czekać, czy i ewentualnie kiedy znowu uda się złodziejowi ponownie zaatakować.

[tomekpe]

Dzięki za zainteresowanie, zadzwonię .
Program "faktur 2" z licencją. Faktura wysyłana jako załącznik. Po pierwszej "akcji" dane do przelewu podawaliśmy dodatkowo normalnie w mailu ale przy trzeciej "akcji" nr konta został i tam podmieniony.
Hasło ponownie zmienione, teraz jest już na tyle skomplikowane że sam mam problem z zalogowaniem . Może to trochę utrudni. Choć to i tak głupie uczucie tak czekać, czy i ewentualnie kiedy znowu uda się złodziejowi ponownie zaatakować.

Jeśli ktoś podmienia treść "w locie" to trochę to mi nie pasuje. Nie siedzę na bieżąco w świecie bezpieczeństwa ale podstawy działania poczty elektronicznej są te same od dawna.

Mając hasło /dostęp do konta można wysłać swoją spreparowaną wiadomość (wysyłanie jest oddzielną usługą od odbierania, teoretycznie można wysłać nie mając dostępu do skrzynki, podszywając się pod nadawcę). Ale w tym wypadku piszesz, że nadawcy dostają Twoje własne wiadomości ze zmienioną treścią. Do tego moim zdaniem nie wystarczy sam dostęp do skrzynki - ze skrzynki mogą wysłać swoją, oddzielną kopię, ale niekoniecznie przechwytywać.

Albo mają wejście bezpośrednio na serwer i tam jakimś skryptem modyfikują wiadomości podczas wysyłania (a wtedy zmiana Twojego hasła niekoniecznie coś da) albo, co gorsza, może masz jakiś syf na swoim komputerze?

Podsumowując - obstawiam włamanie na serwer pocztowy przez jakąś dziurę w zabezpieczeniach, a nie konkretnie na Twoją skrzynkę. Tak jak pisałem - nie jestem z tym na bieżąco, ale osobiście założyłbym nowego maila w innym miejscu - tu nie znasz dnia ani godziny. A na aktualnym adresie ustawił przekierowanie poczty - dostaniesz wszystko co klienci napiszą, ale będziesz mógł odpisywać z nowego adresu.

[szymeq]

Problem niestety jest coraz większy, i coraz więcej takich przypadków odnotowują firmy. Miała w zwalczaniu takich przypadków pomóc Biała Lista, ale zdaje się, że to nie działa do końca.
Rozwiązaniem pośrednim jest, żeby odbiorca weryfikował nr konta, ale to powoduje, że odbiorca faktury ma dodatkową pracę. Ale takie coś daje sporą pewność, że pieniądze trafią na odpowiednie konto.
My też w firmie próbujemy wymyślić jakiś sposób, żeby nie dało się nr kont podmieniać, ale to jak walka z wiatrakami prawie...

[bialy]

To nie wygląda na włam na skrzynkę. Tak jak tomekpe napisał, ciężko jest podmienić maila w locie a już z pewnością posiadając tylko hasło do konta mailowego.
Przeskanuj swój komputer - są wirusy podmieniające numer konta w schowku.
Sam wystawiasz i wysyłasz faktury? Masz pewność ze to nie pracownik podmienił numer? Czy program Faktur2 ma możliwość edycji faktury po jej wydrukowaniu do PDF?
Poznałem kiedyś magika który dorabiał sobie prowizją na fakturach. Generował fv. o kwocie netto 100% + VAT, drukował oryginał dla klienta, następnie edytował pozycję rabat i wpisywał 20%, i do firmy w której pracował szła faktura na 80% netto + VAT. Różnicę chował w kieszeni. Robił to tylko przy płatnościach gotówkowych. Gdyby nie kontrola krzyżowa nigdy by się nie wydało.
Stąd warto brać pod uwagę, że nawet najlepszy pracownik mógł poczuć pokusę "dorobienia" na boku kosztem pracodawcy.

Zrób test.
Załóż sobie inne konto o nazwie firmy z faktury, np. na gmail, wp czy innym serwisie (tak aby potencjalny "Człowiek pomiędzy = MITM" nie wyczuł że to test) i wyślij tam maila z fakturą w PDF.
Pobierz i zobacz czy faktura jest taka sama i w jakim czasie dotarła. Oczywiście zrób to w normalnhych godzinach pracy aby nie wzbudzić podejrzeń.
Możesz jeszcze zrobić sumę kontrolną i po odebraniu faktury, sprawdzić czy plik nie został podmieniony.
Dodatkowo możesz wysłać zabezpieczony plik PDF z silnym hasłem. Bez hasła powinno być tylko otwarcie i druk pliku PDF. Jest pewna grupa programów, które potrafią obejść te obostrzenia ale to zawsze dodatkowe zabezpieczenie.



Jeżeli chodzi o historię - sprawdz plik w wysłanych - czy już jest podmieniony czy nie?

A co do webowego klienta pocztowego. Jeżeli to roundcube, może pomoże zmiana skinu na Larryego?