Ir para conteúdo
  • Cadastre-se

dev botao

Aviso ao todos usuarios NFE (fraude)


Ver Solução Respondido por Italo Giurizzato Junior,
  • Este tópico foi criado há 2711 dias atrás.
  • Talvez seja melhor você criar um NOVO TÓPICO do que postar uma resposta aqui.

Recommended Posts

Postado

Bom dia a todos

recentemente os clientes da empresa em qual trabalho vem recebido emails falsos de cobrança com boletos falsos, porem contendo informações verdadeiras.. como a compra realmente existir, dados cadastrais do destinatário e do remente vencimento e valor, apos muita investigação cheguei a seguinte conclusão: Estão usando portal da nfe, os hackers consultam chaves aleatoriamente no portal da nfe, e como exige apenas um captcha eles tem acesso as informações da empresam, do cliente e do financeiro usando apenas um parser de html simples ( como muitos usam para "baixar" o dito xml do portal se o uso do certificado digital) e como no portal é exibido também o e-mail do destinatário fica de prato cheio  a eles. Isso descobri após uma analise das informações enviadas no boleto falso estão exatamente iguais as informações que registro na nfe que tem alguns detalhes diferentes de quanto eu envio o boleto real ao meu cliente. Como medida de segurança parei de enviar o e-mail do cliente em meus xmls, desta forma ao consultar a informação no portal do nfe ele nao tem como enviar ao cliente

  • Curtir 6

Alberto Leal

www.tecwebcg.com

 

  • Moderadores
Postado (editado)

Esse problema é o SEFAZ que tem que resolver, já que eles que criaram a tag de email no xml. Se isso está causando vulnerabilidade para fraude não é problema nosso e não acho que cabe a nós tirar a informação do xml.  O próprio SEFAZ já percebeu isso, tanto é que criou a tag XMLAut para que somente os autorizados na nfe possam fazer o download. Caso o usuário do nosso aplicativo não queira que conste email no xml, então ele (usuário) que não informe o xml no cadastro do cliente e envie o xml ao destinatário de forma manual. Ou então, você coloque uma opção no seu aplicativo para que o usuário marque se "deseja constar email no xml".

Editado por Gr@c@
  • Moderadores
Postado

Existe uma tag no XML da NF-e/NFC-e a cNF, conforme nota técnica e manual, ela DEVE ser um um número aleatório, porque? Ela faz parte da geração da chave da NF-e, ela traz segurança não permitindo esse tipo de prática, já que fica muito complicado alguém gerar uma chave desconhecendo o número aleatório gerado no momento da criação da chave.

Muitas empresas adotam a prática de utilizar um número fixo ou o próprio número da NF-e/NFC-e, isso leva a este tipo de problema.

A tag XMLAut não serve para isso, ela serve para restringir o download, veja, um usuário de posse da chave pode consultar a NF-e/NFC-e e fazer parsing da página de consulta gerando um XML ou lendo os dados que necessitar, o correto é utilizar a tag que foi criada para isso, ou seja, cNF, basta gerá-la corretamente como manda o manual e a seguranças será incrementada e dificultará em muito o acesso aos dados.

  • Curtir 7

Equipe ACBr

Régys Borges da Silveira

http://www.regys.com.br

certificacao delphicertificacao delphi
Postado
21 minutos atrás, Régys Silveira disse:

Existe uma tag no XML da NF-e/NFC-e a cNF, conforme nota técnica e manual, ela DEVE ser um um número aleatório, porque? Ela faz parte da geração da chave da NF-e, ela traz segurança não permitindo esse tipo de prática, já que fica muito complicado alguém gerar uma chave desconhecendo o número aleatório gerado no momento da criação da chave.

Muitas empresas adotam a prática de utilizar um número fixo ou o próprio número da NF-e/NFC-e, isso leva a este tipo de problema.

uhmm Obrigado pela dica do CNF relamente eu estava usando o mesmo numero da nota fiscal, estou alterando para usar outro numero para controle

Alberto Leal

www.tecwebcg.com

 

  • Consultores
  • Solution
Postado

Bom dia a todos,

Quando eu salvo no banco de dados uma nova nota, utilizo o Randomize para gerar o cNF e guardo esse numero junto com os demais dados da nota no banco de dados.

   Randomize;
   CodigoNFChave := Random(999999999) + 1; // é somado 1 para garantir que esse código nunca seja zero.
 

Na rotina que é lido os dados da nota para alimentar o componente tenho a seguinte linha:

   Ide.cNF   := DM_VEN.NotasCodigoNFChave.AsInteger;


Se cNF for alimentado com um valor diferente de zero, o componente se utiliza desse numero para compor a chave, por outro lado se for zero que vai gerar o código de forma aleatória é o próprio componente.

Da forma que fiz nuca corro o risco de uma nota ter 2 chaves distintas quando se faz necessário gerar novamente o XML por motivo de rejeição de algum dado informado de forma errada.

  • Curtir 4
Consultor SAC ACBr

Italo Giurizzato Junior
Ajude o Projeto ACBr crescer - Assine o SAC

Projeto ACBr

Analista de Sistemas / Araraquara-SP

Araraquara - A era dos Trólebus

  • 1 ano depois...
Postado

Bom dia a todos. tenho uma empresa e estou sofrendo dessa mesma fraude, segui a dica do Alberto e retiramos o campo de email do xml, porem isso é só um paliativo tendo em vista que o acesso a nfe continua liberado pois não foi alterado a chave de acesso a nfe, como não somos desenvolvedores de software estamos encontrando dificuldade em entender como alterar a cNF.

Gostaria que me indicassem o caminho, eu devo resolver isso com a empresa que fornece o ERP para a transmissão da nota fiscal ou tem um caminho direto onde eu possa fazer essa alteração?

 

Obrigado

 

Postado

Bom dia,

Carlos, este é um problema que a desenvolvedora do software deve resolver, se você perceber que o cNF é previsível entre em contato com eles e peça pra alterar urgentemente. O software é o responsavel pela geração deste dados de modo seguro, não pode ser um número configurável pois desta forma as chaves de acesso terão o mesmo cNF e não diferirá em nada de como esta seu sistema hj.

Verifique os penúltimos 8 dígitos de chaves geradas e se forem os mesmo a desenvolvedora do erp deverá corrigir.

  • Moderadores
Postado
11 minutos atrás, carlos marques disse:

Bom dia a todos. tenho uma empresa e estou sofrendo dessa mesma fraude, segui a dica do Alberto e retiramos o campo de email do xml, porem isso é só um paliativo tendo em vista que o acesso a nfe continua liberado pois não foi alterado a chave de acesso a nfe, como não somos desenvolvedores de software estamos encontrando dificuldade em entender como alterar a cNF.

Gostaria que me indicassem o caminho, eu devo resolver isso com a empresa que fornece o ERP para a transmissão da nota fiscal ou tem um caminho direto onde eu possa fazer essa alteração?

 

Obrigado

 

Se no ERP não existe configuração de como gerar o cNF (se mesmo numero da nota ou um numero sequencial aleatorio) e está sendo colocado o mesmo numero da NF nesse campo sequencial, você deve entrar em contato com o desenvolvedor e solicitar a alteração porque não terá como configurar. 

  • 4 semanas depois ...
  • Moderadores
Postado
21 minutos atrás, armando.boza disse:

Entendi o controle do CNF, mas e se o pilantra tem um parceiro na transportadora e conseguir os números das chaves das notas?

De que vai adiantar o CNF?

Vai ajudar a identificar o responsável, não concorda?

Equipe ACBr BigWings
Ajude o Projeto ACBr crescer - Assine o SAC

Projeto ACBr

 

 

  • 1 mês depois ...
  • Este tópico foi criado há 2711 dias atrás.
  • Talvez seja melhor você criar um NOVO TÓPICO do que postar uma resposta aqui.

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
×
×
  • Criar Novo...

Informação Importante

Colocamos cookies em seu dispositivo para ajudar a tornar este site melhor. Você pode ajustar suas configurações de cookies, caso contrário, assumiremos que você está bem para continuar.