Oszuści atakują fałszywymi e-mailami

Ktoś podszywa się pod prawdziwy rządowy adres poczty elektronicznej ceidg.gov.pl (domena Centralnej Ewidencji i Informacji o Działalności Gospodarczej - CEIDG) i wyłudza opłaty. Oszuści wzięli się za drobnych przedsiębiorców, prowadzących tzw. jednoosobową działalność gospodarczą. Prokuratura już prowadzi ponad sto postępowań w tej i podobnych sprawach.

Nie wiadomo ile osób dało się oszukać, ale lista potencjalnych poszkodowanych może być pokaźna. Liczba takich podmiotów w Polsce jest bowiem szacowana na około półtora miliona. Wiadomo, że ataki nasiliły się w grudniu 2016 r.. Od tego czasu przedsiębiorcy zarejestrowani w CEIDG dostają alarmistyczne e-maile z oficjalnej skrzynki pocztowej rządowej instytucji. Z adresów Centralnej Ewidencji otrzymują wezwania do zapłaty na rzecz… Ministerstwa Rozwoju.

Specjalistyczny portal, rozpracowujący zagrożenia internetowe, niebezpiecznik.pl podał przykładową treść takiego maila:   

„W związku z brakiem wpłaty za rok 2017, informujemy, że dane Państwa firmy zostaną usunięte z naszej bazy danych, w przypadku braku uregulowania zaległości w ciągu 7 dni roboczych. Wpłaty należy dokonać na poniższy rachunek:

Bank Polska Kasa Opieki SA

06124062921111001062680111

Ministerstwo Rozwoju

Pl. Trzech Krzyży 3/5

00-507 Warszawa

Kwota: 375 PLN”

Przestępcy wykorzystują przy tym autentyczne adresy instytucji rządowych e-mailowe i tradycyjne, co czyni ich akcję szczególnie niebezpieczną. Zdaniem specjalistów, przyczyną wykorzystywania przez oszustów prawdziwych danych jest błędna konfiguracja oficjalnej domeny Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

Tych e-maili nie wysyła jednak żadne ministerstwo ani instytucja rządowa, a wpis i obsługa CEIDG są całkowicie bezpłatna.

Jak oszuści podszyli się pod rząd?

Ich fałszywe wiadomości nie trafiają do spamu. Z reguły serwery pocztowe są w stanie rozpoznać, że wiadomość z adresu X nie została wysłana przez prawdziwe serwery obsługujące domenę X (i umieścić taką wiadomość w spamie). Niestety rządowa domena nie miała ustawionych specjalistycznych mechanizmów: SPF, DKIM czy DMARC. Wskazują one serwerom pocztowym, kto jest upoważniony do wysyłania e-maili w imieniu ceidg.gov.pl. Brak takiej konfiguracji powoduje, że każdy może się pod ceidg.gov.pl podszyć i słać e-maile z tej domeny — a te nie wpadną do spamu.

Ponadto w każdym e-mailu od oszustów jest ten sam numer konta do uiszczenia rzekomej obowiązkowej wpłaty. To rzeczywisty rachunek w rzeczywistości założony do zbierania opłaty za udział… w warsztatach fotograficznych.

To nie pierwsze takie oszustwo

W kilku poprzednich latach przestępcy działali pod przykrywką nieistniejących podmiotów, które opatrywali nazwami podobnymi do oryginalnych. Były to: Centralny Rejestr Przedsiębiorców i Firm, Centralny Rejestr Działalności Gospodarczych i Firm, Ogólnopolska Ewidencja Firm i Przedsiębiorstw czy Centralna Ewidencja Działalności Gospodarczych i Firm. Wszystkie one podszywały się pod Centralną Ewidencję i Informację o Działalności Gospodarczej (CEIDG), która jest jedynym rządowym spisem przedsiębiorców będących osobami fizycznymi, a wpis do tej bazy jest bezpłatny. Tymczasem przestępcy wysyłali tradycyjne papierowe listy lub e-maile do firm dopiero co rozpoczynających działalność. W pismach do nich pisali m.in., że adresaci muszą zapłacić "fakultatywną opłatę rejestracyjną w wysokości 290 zł".