scam udający slaskdatacenter

[Syndrom 95]

Witam,

Przed chwilą dostałem maila fakowego z serwera hekko podszywającego się pod SlaskDataCenter:

W załączniku faktura z 7-dniowym terminem płatności, .



--
Tomasz Milczarek
SlaskDatacenter.pl
Ul. Rembertowska 2/4
02-540 Wrocław

Mail zawiera zipa z fakturą, a w niej doc z makrami, które są zaszyfrowane i korzystają z ostatniej dziury Adobe.

 

Pozdrawiam

[gutek 23]

Dzisiaj dostałem wiadomość z wirusem, który często się ostatnio pojawia w sieci tzn załącznik z fakturą. Nic by nie było w tym dziwnego ale wiadomość podszywa się pod znaną na tym forum firmę SląskDataCenter.pl , od której niby otrzymuje fakturę VAT za usługi, których tam nie posiadam (miałem ponad rok temu jakieś vpsy), więc prawdopodobnie jakimś cudem wypłynęły adresy e-mail u nich

 

Nie zgadza się również adres, bo ta firma nie mieści się we Wrocławiu.

From - Tue Jan 12 13:30:24 2016
X-Account-Key: account9
X-UIDL: 00003a4154a3f440
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <info@palaclazienkowski.com>
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on 3021348.s.tld.pl
X-Spam-Level: 
Delivered-To: XXXXXXXXXXXXXXXXXXXX
Received: (qmail 15928 invoked by uid 2929007); 12 Jan 2016 12:30:21 -0000
X-clamdmail: clamdmail 0.18a
Received: from 188.116.9.92 (HELO s3a.hekko.net.pl) (188.116.9.92)
  by 94.152.9.229 with SMTP; 12 Jan 2016 12:30:21 -0000
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
	d=palaclazienkowski.com; s=x; h=Content-Type:Date:Subject:To:From:
	Mime-Version:Message-Id; bh=4rDxgTKXGAdEqsPiASdAp/oxe7Jl3iD16ss2yz59+dw=; b=s
	/zqdscY8ejd5Z9EivMggV9CGHPj9Jp3hftpDaiRfhjFGFC9JXIRVVZlB7+789NSdcu/Qluy4GGGlG
	1GJ0azJgfbkfms/2L/D4coLKgzKQMbnxBWtJW1K1Ny/XaDLIRx;
Received: from 77-254-221-100.adsl.inetia.pl ([77.254.221.100] helo=[192.168.75.130])
	by s3.hekko.net.pl with esmtpa (Exim 4.86)
	(envelope-from <info@palaclazienkowski.com>)
	id 1aIxeY-0007YC-8v
	for XXXXXXXXXXXXXXXXXXXX; Tue, 12 Jan 2016 13:02:24 +0100
Message-Id: <5QAVA3LS-GHZ8-35F7-8ALH-2F4NPN86NDUX@palaclazienkowski.com>
Mime-Version: 1.0
From: SlaskDatacenter <info@palaclazienkowski.com>
To: admin <XXXXXXXXXXXXXXXXXXXX>
Subject: faktura, slaskdatacenter
Date: Tue, 12 Jan 2016 13:02:41 +0100
X-Priority: 2
Content-Type: multipart/alternative;
     Boundary="--=BOUNDARY_112132_HTDL_CBLV_UPUO_BUAU"
X-HEKKO: 77.254.221.100:info@palaclazienkowski.com
X-Spam-Status: No, score=0.4 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,HTML_IMAGE_ONLY_08,HTML_MESSAGE autolearn=disabled version=3.3.2

This message is in MIME format. Since your mail reader does not understand
this format, some or all of this message may not be legible.

----=BOUNDARY_112132_HTDL_CBLV_UPUO_BUAU
Content-Type: text/plain;
     charset=iso-8859-2; format=flowed
Content-Transfer-Encoding: quoted-printable

W za=B3=B1czniku faktura z 7-dniowym terminem p=B3atno=B6ci, =2E

--
Tomasz Milczarek
SlaskDatacenter=2Epl
Ul=2E Rembertowska 2/4
02-540 Wroc=B3aw

Załącznika najlepiej nie otwierać

Edytowano Styczeń 12, 2016 przez gutek (zobacz historię edycji)

[JakubC 43]

Nie wiem czy coś powyciekało czy po prostu polskie DC nie stały się targetem ;-)

 

u nas

najpierw pojawił się rev na jakimś chińskim IPku z domeną SDC (nie śdc!) a potem paru klientów ( i osoby nie mające nic z nami wspólnego) raportowało nam podobny phising/virus . Z adresów wywnioskowaliśmy, że jakiś chinol (złośliwy user) przeszukuje usługi hostingowe i po prostu na maile kontaktowe (podane na stronie hostingów - nie koniecznie w np SDC / śDC) wysyła "fakture" i a nóż może się ktoś nabierze

 

Tylko u nas było wszystko po angielsku (mimo, że domena PL) i nie było podpisu kogoś (tutaj widzę Tomasz Milczarek)

Edytowano Styczeń 12, 2016 przez JakubC (zobacz historię edycji)

[kom4r 0]

Też dostałem, ale na maila który miałem regnięty tylko pod host... Więc może wyciek

 

 

Received-SPF: pass (google.com: domain of info@palaclazienkowski.com designates 2a02:ee0:3::1:3 as permitted sender) client-ip=2a02:ee0:3::1:3;

Received: from 77-254-221-100.adsl.inetia.pl ([77.254.221.100] helo=[192.168.75.130])

by s3.hekko.net.pl with esmtpa (Exim 4.86)

[krk 2]

zastanawia mnie dlaczego hekko nie zablokuje takie konta

[Hekko.pl 239]

Już dawno jest zablokowane.

[kori 29]

ciekawe czy pierwszy zgłosiłem ;p

 

ja otworzyłem załącznik ciekaw co slask chce jeszcze
a w sumie niedawno placilem

 

nie zauwazylem zadnego wirusa

openoffice monitował kilka razy że nie moze czegos rozpoznac
wkoncu otworzyl pustą fakturę

 

[Vasthi 74]

ciekawe czy pierwszy zgłosiłem ;p

 

ja otworzyłem załącznik ciekaw co slask chce jeszcze

a w sumie niedawno placilem

 

nie zauwazylem zadnego wirusa

openoffice monitował kilka razy że nie moze czegos rozpoznac

wkoncu otworzyl pustą fakturę

 

https://zaufanatrzeciastrona.pl/post/mozliwy-wyciek-danych-i-atak-na-klientow-slask-data-center/

 

Jednak tam coś było ;_)

[kom4r 0]

Teraz spojrzałem jeszcze na drugiego maila - który też był podany w SLDC (ale w innych miejscach także) - to na niego też przyszło... Więc źródło - raczej wyciek od nich

 

1) Date: Tue, 12 Jan 2016 12:58:12 +0100 - starsze konto - rejestracja w 2013

2) Date: Tue, 12 Jan 2016 13:23:19 +0100 - konto z 2015

// edit

@JakubC- sorry, zjadłem "L"

Edytowano Styczeń 12, 2016 przez kom4r (zobacz historię edycji)

[JakubC 43]

Teraz spojrzałem jeszcze na drugiego maila - który też był podany w SDC (ale w innych miejscach także) - to na niego też przyszło... Więc źródło - raczej wyciek od nich

 

SLDC..

[protoplasta 25]

Zarejestrowałem się rok temu i też do mnie przyszło, także dobrze że poinformowali klientów o wycieku.

Skoro zablokowali panel to raczej wyciek musi być świeży. Kolejna rzecz która utwierdza mnie w przekonaniu, aby omijać SLDC szerokim łukiem.

Edytowano Styczeń 12, 2016 przez protoplasta (zobacz historię edycji)

[PrecelusMaximus 53]

Ciekawa jest jedna rzecz,

sldc.eu -> 104.27.182.33

panel.sldc.eu -> 46.105.171.90 (ovh)

 

[kafi 2425]

Tak mi się przypomniała niedawna dyskusja

http://www.webhostingtalk.pl/topic/53225-promocja-na-serwery-dedykowane-w-slask-data-center-sldc/page-2?do=findComment&comment=455076

 

 

[kori 29]

Zarejestrowałem się rok temu i też do mnie przyszło, także dobrze że poinformowali klientów o wycieku.

Skoro zablokowali panel to raczej wyciek musi być świeży. Kolejna rzecz która utwierdza mnie w przekonaniu, aby omijać SLDC szerokim łukiem.

 

wyciek musi być stary

ja zmieniałem na sdc maila chyba z rok temu

i ten mail przyszedł wlasnie na starą skrzynkę a na nową nie

[kom4r 0]

Mam konto z września '15 - i doszło więc... nie wiem

[Gość Filip Nowacki]

Konto z października 2015 i też doszło

[kori 29]

oblukałem maile, przesadziłem z tym rokiem
na stary adres ostatni mail 19 listopada 2015 (na niego przyszedł ten mail z załącznikiem)

na nowy adres pierwszy mail 30 listopada 2015

Edytowano Styczeń 12, 2016 przez kori (zobacz historię edycji)

[PCziomal 16]

Ja założyłem konto w dniu kiedy pojawił się temat o "promocji" w ŚląskDataCenter (końcówka grudnia, a dokładniej 29/30 grudzień 2015) i nie dostałem tego scamu (ale e-mail "ostrzegający" o wycieku - tak), więc jak widać po powyższych postach - jeśli włam był to prawdopodobnie jakoś blisko grudnia [albo przynajmniej wtedy zostały użyte wykradzione dane ].

Swoją drogą od razu zadam pytanie, bo ciekawi mnie to od dłuższego czasu - czy firmy którym powierzamy swoje dane (np. właśnie hostingowe) nie są za nie odpowiedzialne? Czy za wyciek danych te firmy nie powinny jakoś odpowiadać?

 

Z góry dzięki za odpowiedź

Edytowano Styczeń 14, 2016 przez PCziomal (zobacz historię edycji)

[Suspect121 53]

Włam ewidentnie był bo niedługo po tej sytuacji SLDC zaktualizowało swój panel WHMCS. Szkoda że tak późno E-maila też otrzymałem ale mam tam konto od dawna, kilka lat.