Aviso ao todos usuarios NFE (fraude)

[Alberto.Leal]

Bom dia a todos

recentemente os clientes da empresa em qual trabalho vem recebido emails falsos de cobrança com boletos falsos, porem contendo informações verdadeiras.. como a compra realmente existir, dados cadastrais do destinatário e do remente vencimento e valor, apos muita investigação cheguei a seguinte conclusão: Estão usando portal da nfe, os hackers consultam chaves aleatoriamente no portal da nfe, e como exige apenas um captcha eles tem acesso as informações da empresam, do cliente e do financeiro usando apenas um parser de html simples ( como muitos usam para "baixar" o dito xml do portal se o uso do certificado digital) e como no portal é exibido também o e-mail do destinatário fica de prato cheio  a eles. Isso descobri após uma analise das informações enviadas no boleto falso estão exatamente iguais as informações que registro na nfe que tem alguns detalhes diferentes de quanto eu envio o boleto real ao meu cliente. Como medida de segurança parei de enviar o e-mail do cliente em meus xmls, desta forma ao consultar a informação no portal do nfe ele nao tem como enviar ao cliente

[sandrobelarmino]

Aqui na empresa tivemos esse mesmo problema em vários clientes. Vou ver aqui para tirar a informação do email no xml também.

 

[Gr@c@]

Esse problema é o SEFAZ que tem que resolver, já que eles que criaram a tag de email no xml. Se isso está causando vulnerabilidade para fraude não é problema nosso e não acho que cabe a nós tirar a informação do xml.  O próprio SEFAZ já percebeu isso, tanto é que criou a tag XMLAut para que somente os autorizados na nfe possam fazer o download. Caso o usuário do nosso aplicativo não queira que conste email no xml, então ele (usuário) que não informe o xml no cadastro do cliente e envie o xml ao destinatário de forma manual. Ou então, você coloque uma opção no seu aplicativo para que o usuário marque se "deseja constar email no xml".

Editado 14 Dezembro, 2015 por Gr@c@

[Régys Silveira]

Existe uma tag no XML da NF-e/NFC-e a cNF, conforme nota técnica e manual, ela DEVE ser um um número aleatório, porque? Ela faz parte da geração da chave da NF-e, ela traz segurança não permitindo esse tipo de prática, já que fica muito complicado alguém gerar uma chave desconhecendo o número aleatório gerado no momento da criação da chave.

Muitas empresas adotam a prática de utilizar um número fixo ou o próprio número da NF-e/NFC-e, isso leva a este tipo de problema.

A tag XMLAut não serve para isso, ela serve para restringir o download, veja, um usuário de posse da chave pode consultar a NF-e/NFC-e e fazer parsing da página de consulta gerando um XML ou lendo os dados que necessitar, o correto é utilizar a tag que foi criada para isso, ou seja, cNF, basta gerá-la corretamente como manda o manual e a seguranças será incrementada e dificultará em muito o acesso aos dados.

[Alberto.Leal]

21 minutos atrás, Régys Silveira disse:

Existe uma tag no XML da NF-e/NFC-e a cNF, conforme nota técnica e manual, ela DEVE ser um um número aleatório, porque? Ela faz parte da geração da chave da NF-e, ela traz segurança não permitindo esse tipo de prática, já que fica muito complicado alguém gerar uma chave desconhecendo o número aleatório gerado no momento da criação da chave.

Muitas empresas adotam a prática de utilizar um número fixo ou o próprio número da NF-e/NFC-e, isso leva a este tipo de problema.

uhmm Obrigado pela dica do CNF relamente eu estava usando o mesmo numero da nota fiscal, estou alterando para usar outro numero para controle

[Italo Giurizzato Junior]

Bom dia a todos,

Quando eu salvo no banco de dados uma nova nota, utilizo o Randomize para gerar o cNF e guardo esse numero junto com os demais dados da nota no banco de dados.

   Randomize;
   CodigoNFChave := Random(999999999) + 1; // é somado 1 para garantir que esse código nunca seja zero.
 

Na rotina que é lido os dados da nota para alimentar o componente tenho a seguinte linha:

   Ide.cNF   := DM_VEN.NotasCodigoNFChave.AsInteger;

Se cNF for alimentado com um valor diferente de zero, o componente se utiliza desse numero para compor a chave, por outro lado se for zero que vai gerar o código de forma aleatória é o próprio componente.

Da forma que fiz nuca corro o risco de uma nota ter 2 chaves distintas quando se faz necessário gerar novamente o XML por motivo de rejeição de algum dado informado de forma errada.

[Alberto.Leal]

Eu fiz a alteração aqui para usar o numero do pedido como cNF

[carlos marques]

Bom dia a todos. tenho uma empresa e estou sofrendo dessa mesma fraude, segui a dica do Alberto e retiramos o campo de email do xml, porem isso é só um paliativo tendo em vista que o acesso a nfe continua liberado pois não foi alterado a chave de acesso a nfe, como não somos desenvolvedores de software estamos encontrando dificuldade em entender como alterar a cNF.

Gostaria que me indicassem o caminho, eu devo resolver isso com a empresa que fornece o ERP para a transmissão da nota fiscal ou tem um caminho direto onde eu possa fazer essa alteração?

 

Obrigado

 

[Roberto.Godinho]

Bom dia,

Carlos, este é um problema que a desenvolvedora do software deve resolver, se você perceber que o cNF é previsível entre em contato com eles e peça pra alterar urgentemente. O software é o responsavel pela geração deste dados de modo seguro, não pode ser um número configurável pois desta forma as chaves de acesso terão o mesmo cNF e não diferirá em nada de como esta seu sistema hj.

Verifique os penúltimos 8 dígitos de chaves geradas e se forem os mesmo a desenvolvedora do erp deverá corrigir.

[Gr@c@]

11 minutos atrás, carlos marques disse:

Bom dia a todos. tenho uma empresa e estou sofrendo dessa mesma fraude, segui a dica do Alberto e retiramos o campo de email do xml, porem isso é só um paliativo tendo em vista que o acesso a nfe continua liberado pois não foi alterado a chave de acesso a nfe, como não somos desenvolvedores de software estamos encontrando dificuldade em entender como alterar a cNF.

Gostaria que me indicassem o caminho, eu devo resolver isso com a empresa que fornece o ERP para a transmissão da nota fiscal ou tem um caminho direto onde eu possa fazer essa alteração?

 

Obrigado

 

Se no ERP não existe configuração de como gerar o cNF (se mesmo numero da nota ou um numero sequencial aleatorio) e está sendo colocado o mesmo numero da NF nesse campo sequencial, você deve entrar em contato com o desenvolvedor e solicitar a alteração porque não terá como configurar. 

[armando.boza]

Entendi o controle do CNF, mas e se o pilantra tem um parceiro na transportadora e conseguir os números das chaves das notas?

De que vai adiantar o CNF?

 

[BigWings]

21 minutos atrás, armando.boza disse:

Entendi o controle do CNF, mas e se o pilantra tem um parceiro na transportadora e conseguir os números das chaves das notas?

De que vai adiantar o CNF?

Vai ajudar a identificar o responsável, não concorda?

[armando.boza]

29 minutos atrás, BigWings disse:

Vai ajudar a identificar o responsável, não concorda?

até pode ajudar, mas não creio.

[RicardoVoigt]

Bom dia,

para reforçar o assunto tratado no tópico, gostaria de compartilhar uma reportagem que passou no noticiário ontem, 13/06, mostra que esta fraude continua ocorrendo.

http://g1.globo.com/rs/rio-grande-do-sul/noticia/golpe-dos-boletos-clonados-causa-prejuizo-a-empresas-e-consumidores-no-rs.ghtml

Att

Ricardo

[mbbortolini]

Ainda sobre o assunto, a bomba foi jogada para o usuário, vejam esta matéria que saiu no painel de notícias da SEFAZ-RS ontem (13/06/2017 às 17:00) 

http://fazenda.rs.gov.br/conteudo/7155/empresas-apresentam-fragilidades-nos-seus-sistemas-de-geracao-de-documentos-eletronicos

[]s