Factura electrónica pendiente - Emisión de factura electrónica

Factura electrónica pendiente

Safe TICPhishing


Fraude por Email sobre facturas electrónicas pendientes

Caso: FACTURA ELECTRONICA PENDIENTE - [ id 353393568 ] Emisión de Factura Electrónica

El email proviene de una identidad ambigua: Financiero <[email protected]> Lo que no es para nada ambiguo es el dominio del que procede el email, que pretende confundir al destinatario que pase la vista demasiado deprisa o de forma negligente y en realidad crea que el aviso procede de alguna administración gubernamental española (gob.es).

Existe una versión mexicana de este mismo intento de email scam, consulta el caso de la factura pendiente SAT Mexico.

El mensaje en sí apenas tiene formato mencionable y en los últimos meses hemos detectado que la hora de recepción del mensaje está dejando de ser una fuente de sospecha: lo que solía ser un envío de madrugada ahora pasa a ser casi por norma general en horario comercial o casi comercial, lo que aporta al estafador un punto a su favor.

  • Dirección de email del Remitente

    Burdo intento de pasar por agencia gubernamental española

  • Motivo del aviso

    Se presupone que se ha hecho un pedido, algo que debería conocerse con exactitud y no causar ni la más mínima duda como consumidores responsables.

  • Faltas de ortografía y erratas

    Una de las señales típicas en la mayoría de estafas por email son las faltas ortográficas, palabras en otros idiomas o lo que se adivina como traducciones de muy baja calidad. Es de suponer que los estafadores han intentado localizar el contenido del email según rango de destino.

Contenido Literal del correo electrónico

Emisión de Factura Electrónica
----------------------------------------
Estimado (a) cliente

Se emitió una Factura Electrónica para su pedido número 8573505 realizada el 06/07/2022 a las 04:59:30

Factura Eletrónica

Elija a continuación la mejor manera de consultar su factura

  • Ver en formato MSI
  • Ver en formato XML

06/07/2022 06:53:30

Los enlaces hacia las dos supuestos formatos de factura electrónica llevan a la siguiente dirección URL, que ni siquiera se ha molestado en registrar un nombre de dominio para disfrazar un poco mejor el intento de fraude: http://20.205.34.8/
NO SIGAS EL ENLACE - IP Tóxica, riesgo de ataque o robo de datos.

Recomendación:
Denunciar y Eliminar el mensaje
.

El país escogido como objetivo del engaño vía spam de la factura electrónica pendiente es España.

En la versión para Mexico el peligro en cambio viene de un fichero adjunto PDF, que por supuesto podría ser un ejecutable disfrazado.

La dirección IP pertenece al rango de la subred de Microsoft como en otros casos que hemos visto desde el Proyecto SafeTIC, concretamente AS8075 Microsoft Corporation* lo que nos hace pensar en su plataforma Azure.

*ASNumber: 8068 - 8075
ASName: MICROSOFT-CORP-MSN-AS-BLOCK
ASHandle: AS8068
RegDate: 1997-03-31
Updated: 2013-09-04
Ref: https://rdap.arin.net/registry/autnum/8068

OrgName: Microsoft Corporation
OrgId: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US
RegDate: 1998-07-10
Updated: 2022-03-28
Comment: To report suspected security issues specific to traffic emanating from Microsoft online services, including the distribution of malicious content or other illicit or illegal material through a Microsoft online service, please submit reports to:
Comment: * https://cert.microsoft.com.
Comment:
Comment: For SPAM and other abuse issues, such as Microsoft Accounts, please contact:
Comment: * [email protected].
Comment:
Comment: To report security vulnerabilities in Microsoft products and services, please contact:
Comment: * [email protected].
Comment:
Comment: For legal and law enforcement-related requests, please contact:
Comment: * [email protected]
Comment:
Comment: For routing, peering or DNS issues, please
Comment: contact:
Comment: * [email protected]
Ref: https://rdap.arin.net/registry/entity/MSFT

OrgAbuseHandle: MAC74-ARIN
OrgAbuseName: Microsoft Abuse Contact
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: [email protected]
OrgAbuseRef: https://rdap.arin.net/registry/entity/MAC74-ARIN

OrgTechHandle: IPHOS5-ARIN
OrgTechName: IPHostmaster, IPHostmaster
OrgTechPhone: +1-425-538-6637
OrgTechEmail: [email protected]
OrgTechRef: https://rdap.arin.net/registry/entity/IPHOS5-ARIN

Variantes del scam de la factura electrónica pendiente


Factura electronica pendiente - Adjunto PDF malware
Literal de la variante Factura Electronica Pendiente

Factura Electronica Pendiente - id - (835540)

factura <[email protected]>

9de3ada5318844aca0ec9f7d4da000f8.pdf

Emisión de Factura Electrónica
----------------------------------------
Estimado (a) cliente
Se emitió una Factura Electrónica para su pedido número 8573505 realizada el 26/07/2022 a las 04:59:30

Factura Eletrónica

Elija a continuación la mejor manera de consultar su factura

Emisión de Factura Electrónica adjunta

El PDF adjunto es un malware, recomendamos encarecidamente eliminar el mensaje y añadir el remitente a la lista negra para eliminación directa. El nombre del PDF adjunto es típicamente 9de3ada5318844aca0ec9f7d4da000f8.pdf

Agradecimientos

El tiempo y recursos para investigar y publicar estos casos reales de scams o fraudes online y otras ciberamenazas provienen de contribuciones de Pymes locales.