Pomoč pri spletnem nategu

Pozdravljeni,
V podjetju kjer delam so nas nepridipravi nategnili za precej veliko vsoto.
Uporabili so skoraj identični moj mejl in prestrezali moje mejle in mejle dobavitelja kateremu naj bi mi nakazali denar.
Predvsem prosim, če lahko kdo iz spodnjih podatkov ugotovi kaj več kot samo kdaj in kje je bila registrirana domena.
Radi bi dobili IME osebe:

prevarant si je registriral domeno.si, s podobnim imenom našemu, da je prevaral našega dobavitelja in nas.

Registriral jo je preko slovenske firme Gigaspark d.o.o. https://www.register.si/whois-rezultati/

Zanimivo bi bilo vedeti kako je plačal zanjo (mogoče je pustil sled)


Server, preko katerega je pošiljal ponarejene maile jasa.engelman@agromehainika.si pa je v Slovaški. https://intodns.com/agromehainika.si

Zahvaljujem se za kakršnokoli informacijo.

red_baron je 4. jan 2019 ob 14:53 izjavil:

Pozdravljeni,
V podjetju kjer delam so nas nepridipravi nategnili za precej veliko vsoto.
Uporabili so skoraj identični moj mejl in prestrezali moje mejle in mejle dobavitelja kateremu naj bi mi nakazali denar.
Predvsem prosim, če lahko kdo iz spodnjih podatkov ugotovi kaj več kot samo kdaj in kje je bila registrirana domena.
Radi bi dobili IME osebe:

prevarant si je registriral domeno.si, s podobnim imenom našemu, da je prevaral našega dobavitelja in nas.

Registriral jo je preko slovenske firme Gigaspark d.o.o. https://www.register.si/whois-rezultati/

Zanimivo bi bilo vedeti kako je plačal zanjo (mogoče je pustil sled)


Server, preko katerega je pošiljal ponarejene maile jasa.engelman@agromehainika.si pa je v Slovaški. https://intodns.com/agromehainika.si

Zahvaljujem se za kakršnokoli informacijo.

Podatke o lastniku in plačniku ima Gigaspark. Arnes samo o lastniku (v kolikor so Gigasparku poslani pravi podatki, kar močno dvomim). Sicer pa prijava na policijo.

Kje pa imate maile?
Kako ti jih je prestrezal?

Malo več napiši. Plus kdaj je to bilo? Je že dolgo od tega?

Verjetno imaš kje še kakšen zajemalnik zaslona naložen in kakšen keylogger. Oz kako so pa prišli do prestrezanja mailov?

A sploh veš da so ti jih prestrezali? Da niso prestrezali na drugi strani.
Ugotoviti moraš ali imate še koga not na omrežju ali ne.

Začetek decembra je ravno v času tiste akcije, ko je SI-CERT skupaj s policijo opozarjal ravno o tem. Torej ste eni od njih.

Policija je verjetno dalo zahtevek na Gigaspark da dajo podatke, kdo je registriral domeno. Na SK bodo poslali zahtevek da dobijo info kdo je najel strežnik. To je pa pribljižno to, kar lahko dobite.
Če ste nakazovali denar v SLO/EU bodo tudi denarne mule dobili. Denar je pa verjetno že šel svojo pot...

Lahko pa preverite na mail serverju od kje so se logirali gor. Glede na registrirano domeno so bili verjetno slovenci =)

Jah nič, potem morate počakati da policija naredi svoje.
Dobro bi bilo ugotoviti kako so prestrezali maile - sploh če imate maile pri sebi.
Preverite na strežniku od kod so bile prijave.

Kako pa ostaneš brez denarja zaradi fake e-mail naslova?

Jaz bi resnično rad videl, kako izgleda tak mail. :)

Glede na opisano bi rekel, da se je vdor in prestrezanje mailov zgodilo pri vašem dobavitelju.
Verjetno okužen računalnik ali uganjeno geslo za mail ali vdor v mail strežnik.
Sicer pa je registracija domene trivialna stvar in za to ne rabiš nobenih osebnih dokumentov.
Precej bolj komplicirano pa je odpret račun pri banki in iz njega dvignit denar. Tega ne moreš naredit anonimno.
Zato se mi zdi bolj smiselno osredotočit na raziskovanje tega.

Mah, glede na napisano, bi sam posumu na nekoga interno, ki je tocno vedu kam, kaj in kako.

Se je nam leto in pol nazaj zgodila identična situacija.

Zadeva je šla tako trgovec v Indiji, s katerim smo že dolgo delali ( 5 let) , nam je pojasnil, da ima neke težave na banki in, da mu omejujejo indijske oblasti izvoz, zato bi nam robo poslal preko drugega dobavitelja mi bi pa potem , kot do sedaj plačali v 30 dneh.

Nam se ni zdelo čudno, tako ali tako plačamo kasneje ....
Blago vse normalno prišlo, mi tako plačali 2 pošiljke eno za 12 in eno za 5 k usd, v teku je bila že nova dobava za 30 k usd.
Ja bili smo že pred tem, cca še par dni smo imeli, ko naj bi plačali ta račun za 30 k usd, ko lastnik firme prvotne ta prave, ne te, preko katere naj bi šli posli, po telefonu kliče in preverja zakaj, na enkrat mi redni plačniki ne plačamo onih 12 +5 k usd, saj je že več kot 30 dni čez rok plačila........

?????????????????

Ne bom sedaj na dolgo, kaj vse smo preverjali, rezultati, smo prijavili naši Policiji + Indijski ambasadi pri nas. Naši niso dosti naredili, niso niti mogli, je pa ta indijski lastnik sprožil obširno preiskavo pri sebi in ugotovil, da so ob pomoči njegovih zaposlenih odprli podoben ponarejen mail z skoraj identično domeno, predstavljal se je enako, kot originalni in nato ob pomoči notranjih uslužbencev vse lepo koordinirali, da smo mi dobili eno verzijo oni original drugo .................

Na koncu je ta Indijec uspel zaseči nekih 7 k usd ob pomoči njihove policije nazaj, nam, ker so nas njegovi uslužbenci prevarali je 12 k odpisal, na ostalih 5 k, smo pa imeli reklamacijo in na koncu smo bili za ta denar oškodovani torej 5 k usd.

Indijec je potem odpustil polovico komerciale, sedaj spet delamo z tem, da poslujemo precej preko certifikatsko podpisanimi maili in še dodatno, če je zaradi bilo katerega razloga sprememba banke, ne glede na to ali je to na računu ali po pošti ali mailu ali bilokako, zahtevamo ali elektronsko podpisan mail ali pisno original po dhl -u vedno pa še za prvo plačilo preverba pri vodilnih po telefonu, mi jih kličemo in nato naredimo zabeležko, kdo je to preveril s kom je govoril točno kdaj in ja da imajo res nove banče podatke. Ko to uredimo in je npr. za plačati 30 t eur , najprej plačamo 1 t eur in zahtevamo pisno potrditev prejema, takoj potem plačamo razliko.

Te mehanizme smo uvedli, da še enkrat ne pademo na mino, drugi pa , se nekaj naučite zastonj iz tujih izkušenj, ne le na svojih napakah.

Tu, pa so vlomili ali k vam ali k vašemu dobavitelju, prijava na Policijo v obeh državah, menjava takoj vseh mail gesel z bistveno bolj zapletenimi ..... ostalo sem pa že navedel .....

nič novega, phishing attack in neznanje uporabnikov.
Kontaktirajte podjetje Viris d.o.o.
Se ukvarajajo točno s takimi zadevami,..

Jaz sem imel podobne izkušnje z Indijo. Kar naenkrat je prišel email, da je prišlo do spremembe TRR. Email je bil poslan iz drugega emaila, vendar je bila predloga za sporočila enaka kot pri vseh dosedanjih emailih od njih. Zelo zanimivo.
Ker jih imam tudi na Skypu sem hitro dobil podatek, da ni prišlo do nobene spremembe. Pa sem prihranil 18 tisoč eur ...

@ mat_xxl
Par tehničnih zadev, ker mi OP ne zna odgovoriti:
- kdo je email provider in ali je kaj pomagal pri preiskavi
- omenjaš certifikatsko podpisane maile, kaj točno uporabljate

red_baron je 4. jan 2019 ob 17:37 izjavil:

b3D_950 je 4. jan 2019 ob 17:32 izjavil:

Kako pa ostaneš brez denarja zaradi fake e-mail naslova?

tip je prestregel njihov račun in spremenil banko na češko banko. Prej je iz njihovega mejla sporočil, da naj bomo pozorni, ker je spremeba banke.

Oseba je nam poslala račun, tipček ga je prestregel in spremenil račun banke.

Ko smo mi pošiljali potrditev računa je ponovno spremenil račun nazaj na njihovega in jim poslal potrditev, kot da je vse ok...

A je kaj znano kako so prestregli mail? Pa kje so imeli maile?

Pogledaš whois za domeno, pogledaš kontakte in vidiš dve domeni:
wy.sk
yegon.sk

Za wy.sk pogledaš na https://whois.sk-nic.sk/ kdo je registrar (yegon.sk).
Názov: Webglobe - Yegon, s. r. o.
Organizácia: Webglobe - Yegon, s. r. o.
IČO: 36306444
Telefón: +421.258101062
Ulica: Stará Prievozská 2
Obec: Bratislava

Navzkrižno preveriš na netu po bazah in ugotoviš da je to obstoječa firma, z davčno in da se vse ujema, tudi vsebina spletne strani: https://wy.sk/en/contact/ .

Deluje da so ponudniki gostovanj in domen, niso pa registrar .si (https://www.register.si/registrarji/sez... - zato kot kaže registrirajo preko slo registraja ter ob registraciji domen .si svojim strankam vnesejo kar svoje emaile domeny@wy.sk (kar ni čisto po pravilih, ampak ok).

Kar pod črto pomeni, da ČE ima kdo plačilne podatke prevaranta, je ta IT provider Webglobe - Yegon in jih kontaktiraš na: helpdesk@wy.sk ali billing@wy.sk .
Močno dvomim, da bi se realno podjetje lotilo take prevare (nikoli pa ne veš).

Ampak, če je šlo za tko advanced napad, je tudi plačal verjetno s bitcoin/ukradeno kreditno ter omrežja tor ali podobnega - ker podatkov nihče ne preverja, ker je vedno odgovornost naročnika, je dal pač izmišljene. Ampak upanje umre zadnje. Morda so kje naredil kakšno napako.

Seveda pa se lahko motim ...

Vse to je delo za policijo, ne pri češki banki ne pri slovaškem ponudniku spletnih storitev ne bodo kar tako dajali podatkov.

Vsekakor je banka v sistemu SEPA ali SWIFT, najmanj, kar mora storiti, banko pošiljateljico povprašati po dodatnih navodilih, glede na to, da v plačilu napisani prejemnik plačila in lastnik računa nista enaka....

Vsekakor poročaj in preko svoje banke, kjer ste nakazilo oddali sprožite reklamacijo plačila ( ta banka sicer ni odgovorna) z navodili banki prejemnici, da ves denar minus stroške postopka vrne nazaj na vaš račun.

Poročaj, kako se razvija....

Menda je to trenutno najbolj popularen nacin kraje. Prestrezajo posto, vsako pogledajo in sledijo kaj podjetje pocne, ko pa je cas za placilo pa za kaksen vecji projekt pa posto spremenijo v smislu kam nakazat. Pri tavelikih to ne gre, ker se placuje na drugacne nacine, pri manjsih, ki pa tudi nimajo taksne varnosti sistema.

Sem pa radoveden, katero od metod za prestrezanje so uporabili.

TheBlueOne je 7. jan 2019 ob 09:11 izjavil:

Pri tavelikih to ne gre, ker se placuje na drugacne nacine, pri manjsih, ki pa tudi nimajo taksne varnosti sistema.

Haha, kako pa misliš da taveliki plačujejo? Izdajo naročilnico in ko prejmejo dobavnico in račun, plačajo na tisti bančni račun, ki je naveden na računu. Če uporabljajo NLBjev Proklik jim verjetno še za slovenske firme ne pokaže kdo je prejemnik, kaj šele za tuje =)
Sicer pa imajo zato podjetja bančni račun napisan na svoji spletni strani + v vseh poslovnih registrih.

TheBlueOne je 7. jan 2019 ob 09:11 izjavil:

Sem pa radoveden, katero od metod za prestrezanje so uporabili.

agromehanika maile gostuje na outlook.com, tako da so verjetno nekomu ukradli geslo.

To imaš pa res - v teh ERP sistemih vpis spremembe traja 100 let. Res je pa tudi da se jo vseeno vpiše.
Za hiter scam ne bi šlo, za tako dolgotrajne kot se gre tule pa.

TheBlueOne je 7. jan 2019 ob 12:09 izjavil:

jukoz je 7. jan 2019 ob 12:00 izjavil:

To imaš pa res - v teh ERP sistemih vpis spremembe traja 100 let. Res je pa tudi da se jo vseeno vpiše.
Za hiter scam ne bi šlo, za tako dolgotrajne kot se gre tule pa.

Ne verjamem, ker ima ravno varovalke, da to ne gre. Sploh ne vem, ce je mozno preko normalnih komunikacijskih kanalov spreminjati kljucne podatke, ce pa bi ze, pa bi zadeva sigurno eskalirala minimalno v telekonferenco s sefi iz vseh strani, kjer bi takoj vse bilo jasno. Za vecje zadeve bi bili potrebni aneksi k pogodbi itn.

Se spomnem, kako se benti okoli te kompleksnosti in rigidnosti, potem pa taksna tema pokaze smoter.

Pa kaj še....

Neka multinacionalka ima mimogrede tudi do stotisoč 'dobaviteljev'.
Spremembe računov poslovnih partnerjev so nekaj popolnoma vsakdanjega.
Ravno tako spremembe mail naslovov in sogovornikov (ljudje pač menjavajo službe, gredo v penzijo,...)

Skratka nihče ne bo nekaj 'eskaliral', ker je nekdo zahteval spremembo računa za nakazilo.

Stvar mora imeti svojo utečeno proceduro. Če je ta dovolj dobro zastavljena, ni prav nobenega problema. Še toliko manj, če jo opravlja oseba, ki se zaveda možnih zlorab in zna prepoznati morebitne pokazatelje na prevaro.

Vsekakor pa je vedno problematično, če si barabe najdejo nekega 'insider-ja', ki z njimi sodeluje. Če je ta 'insider' na pravi poziciji, zlahka izvede takšno prevaro in jo popiha, predenj ga razkrijejo.
Saj to ni nič novega, da je kakšen računovodja obral firmo do kosti in jo popihal. Internet je tu zgolj sredstvo, ki omogoča lažje prikrivanje, kdo je pri zadevi sodeloval.

Druga zgodba pa so potem še čisto 'na blef' phishing štorije - katere začuda tudi marsikdaj gredo uspešno skozi. Ljudje smo pač naivni, vedno se nam nekaj mudi,.... to pa potem barabe izkoristijo.

TheBlueOne je 7. jan 2019 ob 09:11 izjavil:

Menda je to trenutno najbolj popularen nacin kraje. Prestrezajo posto, vsako pogledajo in sledijo kaj podjetje pocne, ko pa je cas za placilo pa za kaksen vecji projekt pa posto spremenijo v smislu kam nakazat. Pri tavelikih to ne gre, ker se placuje na drugacne nacine, pri manjsih, ki pa tudi nimajo taksne varnosti sistema.

Sem pa radoveden, katero od metod za prestrezanje so uporabili.

Tu se motiš.... OFCE vedno in povsod so..., iz zanesljivih virov imam podatek, da je bilo samo prijav vezanih na "direktorski" nateg v letu 2018 v Sloveniji za preko 380.000 eur, pa gre za veliko bolj vidno prevaro, v stilu, ko direktor finančniku ali tajnici naroči, plačati moramo 25.000 eur ....in dalje bančni podatki..... sam sem dobillani vsaj 8 takih nategunskih pisem..., jasno, da sem se le smejal...

Oziroma, kot pravi Frank Abagnale (pravi, ne DiCaprio) nekje na 38 minuti, sta samo dva razloga za vdor: nekdo v podjetju naredi nekaj kar ne bi smel narediti, ali pa nekdo ne naredi tisto, kar bi moral.
Tudi sicer zanimivo poslušanje