Ловкость рук и никакого мошенства!

Похитители дензнаков

добавить в избранное

Ловкость рук и никакого мошенства!

Прочитали: 50001 Комментариев: 92 Рейтинг: 303

9 марта 2017

Авторский выпуск собкора проекта под псевдонимом «Неуёмный Обыватель» из г. Шахты

― Вот, ― оживилась Оксанка, ― смотри, у Гриши дама, он ее кладет сюда, потом туда, а теперь снова берет. И что у него в руках? ― Дама, ― ответила я, улыбнувшись, ― сразу понятно, ничего хитрого. ― Вовсе даже и туз пик, ― захихикал Гриша, ― ловкость рук и никакого мошенства, да я вас научу, всех обыгрывать станете, тут ума не надо, одна быстрота требуется…

Д. Донцова. Уха из золотой рыбки

Компания «Доктор Веб» неоднократно сообщала о банковских троянцах, похищающих средства со счетов компаний и физических лиц. Самые нашумевшие – Zeus и Carberp, а прошлым летом стало известно о Bolik.

Троянцы обладают широким функционалом и являются «специалистами» по отъему у жертвы нужной им информации разнообразными способами: перехватывают HTTP/HTTPS-запросы, создают снимки экрана (скриншоты), отслеживают нажатия клавиш (кейлоггинг) и похищают информацию из систем «банк-клиент», включая пароли от ДБО, встраиваются в приложения, похищают куки и т.д.

Однако существуют гораздо более простые способы завладеть средствами компаний, использующих системы дистанционного банковского обслуживания (ДБО) и программы фирмы «1С».

В последнее время участились атаки на информационные системы банков и их клиентов с целью хищения денежных средств клиентов. Один из способов хищения заключается в подмене данных в файлах, выгружаемых из учетных систем клиентов и передаваемых в системы для дистанционного обмена данными клиентов с банком (системы типа «клиент-банк»). Подмену осуществляют вредоносные программы, которыми заражается компьютер клиента банка.

Об этом сообщает Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Центрального банка России в письме FinCERT PC-V: BN-1C-FAKE -20161129-02.

По информации FinCERT, вредоносные программы отслеживают появление файла, обычно имеющего имя 1c_to_kl.txt, выгружаемого из учетных программ и предназначенного для загрузки в программы Клиент-Банк. Вредоносные программы подменяют в файле данные об исходящих платежах. Если пользователь загрузит этот файл с подмененными данными в систему Клиент-Банк и не проверит данные перед отправкой в банк, то платеж уйдет по подложным реквизитам, указанным злоумышленниками.

http://its.1c.ru/db/metod8dev#content:5921:hdoc

Это достаточно примитивная атака: злоумышленникам не нужно следить за нажатиями клавиш, считывать экран и разбирать его содержимое, похищать пароли, вмешиваться в работу систем ДБО и изучать сотни вариантов различного ПО. Но простота не означает неэффективность. Преступникам только за прошедший год удалось таким образом похитить сотни миллионов рублей со счетов незадачливых компаний. Странно, что данный способ похищения не был использован ими гораздо раньше, ведь приведенный формат обмена сообщениями между программами «1С» и системами ДБО используется не меньше 15 лет.

Вредоносное ПО (по классификации «Доктор Веб» это Trojan.MulDrop6.44482, определяемый Dr.Web с июня 2016 года) распространяется преимущественно через взломанные сайты и спам.

Кроме того, такую подмену можно осуществить даже вручную, если иметь доступ к файлу и удачно подловить момент его отправки. Требуется только ловкость рук и быстрота.

Компания «1С» предприняла шаги для защиты от таких ситуаций.

Для дополнительной защиты от действий подобных вредоносных программ в «1С:Бухгалтерии 8» редакции 3.0 реализована проверка файлов на модификацию, которая выполняется после загрузки данных в программу банка, но до отправки их на исполнение. Такую же функциональность планируется добавить в другие типовые решения системы «1С:Предприятие 8».

http://1c.ru/news/info.jsp?id=22531

На момент публикации этого выпуска похожая функциональность реализована в большинстве актуальных типовых конфигураций фирмы «1С».

Чтобы полностью защититься от вредоносных программ подобного типа, рекомендуем использовать сервис «1С:ДиректБанк», в основе которого разработанная фирмой «1С» современная технология прямого обмена с банками DirectBank, предотвращающая подмену информации вредоносными программами, попадающими на компьютер пользователя. Сервис разработан около 3-х лет назад, и в настоящее время клиенты более 30 банков, поддержавших технологию DirectBank, могут им воспользоваться. Данная технология позволяет отправлять платежные документы в банк и получать выписки из банка непосредственно из программ системы «1С:Предприятие 8» нажатием одной кнопки. При использовании технологии DirectBank не нужно устанавливать и запускать дополнительные программы на клиентском компьютере; не требуется выгрузка документов из программ «1С:Предприятия» в промежуточные файлы. Все платежные документы можно формировать и подписывать электронной подписью в «1С:Предприятии», а затем одним нажатием кнопки отправлять прямо на сервер банка.

http://1c.ru/news/info.jsp?id=22531

#ДБО #1С #банковский_троянец #безопасность

Антивирусная правДА! рекомендует

Не будем повторять рекомендации из выпуска «10 бухгалтерских заповедей безопасности», отметим лишь, что они актуальны и в описанном случае. И добавим вот что:

Если вы обмениваетесь данными между бухгалтерской программой и системой ДБО через файлы, указывайте каталог и имя файла обмена, отличные от предлагаемых системой по умолчанию. (По умолчанию система предлагает формировать файл в каталоге информационной базы 1c с именем 1c_to_kl.txt) Этим можно затруднить работу вредоносного ПО, так как оно может быть ориентировано на детектирование записи в системе файла со стандартным именем.
Проверяйте реквизиты и суммы платежей и не подтверждайте подозрительные операции по СМС, если есть такая возможность. Проверять нужно не только наименование получателя, но и ИНН и номер расчетного счета, так как в некоторых банках не производится контроль соответствия наименования получателя и его реквизитов. В описанном случае вина за некорректный перевод лежит полностью на сотруднике, осуществляющем подтверждение операции перевода в системе «банк-клиент». Как правило, в договоре банковского обслуживания указано, что клиент обязан проверять все реквизиты, в том числе и при подтверждении через СМС.
Используйте актуальные версии как учетного ПО, так и системы дистанционного банковского обслуживания. Последние версии могут уже учитывать угрозы и производить их профилактику.
Если ваша компания пользуется нетиповой конфигурацией «1С:Предприятие», используйте рекомендации по модификации программ 1С с целью реализации безопасного обмена с системой «банк-клиент» через файл http://its.1c.ru/db/metod8dev#content:5921:hdoc.
По возможности переходите на использование прямого обмена с банком без использования промежуточных файлов.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Toma
14:11:35 2018-11-13

Интересный выпуск, полезные рекомендации, спасибо!

Денисенко Павел Андреевич
18:08:51 2018-07-26

Внимательным нужно быть при работе с ценными файлами)

vasvet
14:03:09 2018-04-07

По ходу все таки лучше сберкнижек ни чего не придумали.

alex-diesel Собкор
09:33:52 2018-04-04

интересный выпуск. И про примитивную, но эффективную атаку занятно. Меняй на свои реквизиты и все...
Ну а с деньгами всегда надо быть максимально осторожными.

Вячeслaв Собкор
10:18:34 2017-11-07

@Littlefish, в тексте фишингового письма? Да нет. Мы стараемся брать цитаты без изменений, вырезая текст так, чтобы смысл не терялся.

razgen Собкор
01:53:16 2017-11-04

@levkovichdo, с Днём рождения! Всего наилучшего.

levkovichdo
00:39:57 2017-11-04

@Littlefish Спасибо, неожиданно, но приятно!))))

Littlefish Собкор
23:54:55 2017-11-03

@admin, раскройте пожалуйста секрет, если можно конечно, а текст выпуска был полностью авторский и сотрудники компании ничего не корректировали/убирали/добавляли?

Littlefish Собкор
23:47:21 2017-11-03

Авторский выпуск получился хороший, более актуален конечно для тех, кто использует программу «1С».

Littlefish Собкор
23:44:10 2017-11-03

@levkovichdo, поздравляю с днём рождения!

ka_s
11:06:13 2017-08-12

Очень хорошее дополнение к "10 бухгалтерским заповедям безопасности".

duduka
14:54:57 2017-06-10

Внимание и еще раз внимание!

Natalya_2017
15:13:57 2017-03-30

Интересно было почитать!

Роза
17:44:36 2017-03-16

Спасибо! Мне понравилось, очень познавательно!

GREII Собкор
09:29:32 2017-03-12

СПАСИБО

AntonIT
17:47:09 2017-03-10

Для любого замка есть ключ...

Вячeслaв Собкор
13:32:03 2017-03-10

@Неуёмный_Обыватель, тут проблема в том, что ни один системный администратор не знает, что и как в его системе зависит, обновляется и тд. При этом и обучением системы блокировки выявить зависимости сложно - они могут быть задействоваться крайне редко. Поэтому и перешли от идеи блокирующего поведенческого анализатора к поведенческому анализатору на основе известных профилей поведения. Так же по идее блокировка - ног с разрешением для доверенных процессов. Но и тут сохраняется проблема с изменением поведения контролируемых файлов после любого обновления

Неуёмный Обыватель Собкор
13:23:27 2017-03-10

@м...ч, спасибо за ответ. В целом в масштабах системы скорее всего да. Но ведь применительно к файлу hosts, да и многим другим объектам в превентивной защите это уже реализовано. Речь просто про то, что дать возможность администратору антивируса расширять самому список защищаемых объектов. Ну или если есть страх, что пользователь может поставить систему колом, то добавить такой функционал не в домашние версии, а в корпоративные. Доверить защитить можно ведь не только файл обмена, а еще кучу разных и интересных вещей.

Вячeслaв Собкор
13:10:16 2017-03-10

@Неуёмный_Обыватель, запрет изменений - это самые первые поведенческие анализаторы начала века. Идея была простая. Делаем систему обучения, потом фиксируем, все что не меняется - и попробуй обойди. На практике система вставала колом. Дело в том, что очень сложно выявить все неизменяемые вещи и их зафиксировать. Самый простой пример - обновления. Системные файлы, первое, что нужно фиксировать, но их нужно и обновлять от уязвимостей. А если можно обновлять, то какая фиксация?

Неуёмный Обыватель Собкор
09:14:30 2017-03-10

@dyadya_Sasha, насчет генерирования различных имен файлов. Мне кажется, что создатели технологии обмена через файлы руководствовались тем, что в настройках программ (и бухгалтерской и ДБО) удобно запомнить путь к файлу и его имя, чтобы обмен происходил автоматически по кнопкам "Выгрузить"- "Загрузить", не запрашивая путь и имя. Во всяком случае, в тех клиентах ДБО, которые я видел, обмен не происходил пока в настройках программы не указать путь и имя. Т.е. там даже теоретической возможности выбора при каждой загрузке не было, только через заход в раздел настроек. Удобно? Да. Но и в расчете на существование коммунистического общества, когда никому и в голову не придет подменять какие-то там файлы. Да чего уж там. Сама технология этого обмена- наследие версии 7.7, когда ни шифрования не было, ни веб-сервисов в арсенале 1С.

Людмила
08:44:54 2017-03-10

@Sasha50,
спасибо за бдительность:) просто у следующего выпуска поставили не ту дату. Читайте специальный пятничный мега-короткий (предвыходной) выпуск)

Неуёмный Обыватель Собкор
08:43:30 2017-03-10

@Sasha50, вам сюда: https://www.drweb.ru/pravda/issue/?number=269&lng=ru
По вашей просьбе выпустили экстренный выпуск ;)

Dzhetrou
06:04:19 2017-03-10

@маша Спасибо! ;)

Sasha50 Собкор
05:12:45 2017-03-10

Я не понял - где следующий выпуск? Вроде пятница сегодня, а выпуска нет. Задерживается или не будет совсем?

ivan.ivanov1904
23:59:08 2017-03-09

Изложено доступно. Спасибо.

coolira
23:40:05 2017-03-09

Бухгалтеры у "Правды" на особом счету.

beoris
23:22:42 2017-03-09

1С как всегда своевременно "предприняла шаги".

forrus
23:15:54 2017-03-09

актуально всегда. внимательность

mamyr
23:10:46 2017-03-09

И правда примитивно.

Marsn77
23:10:16 2017-03-09

Самое уязвимое звено - это пользователь

С...й
22:49:48 2017-03-09

Вредоносное ПО будет поймано

natplack
22:49:35 2017-03-09

Спасибо за актуальную статью.

Б...м
22:40:02 2017-03-09

есть шаги для защиты

Б...а
22:31:44 2017-03-09

не по нашей части

aleks_ku
22:19:53 2017-03-09

сервисы помогут

solec
22:11:08 2017-03-09

Хорошая работа )

Б...а
22:07:39 2017-03-09

Бухгалтеру на заметку.

vla_va
22:07:39 2017-03-09

Это достаточно узко

В...а
22:00:21 2017-03-09

разное совсем

iAFC
21:50:58 2017-03-09

Инфа для бухгалтеров.

Р...й
21:30:54 2017-03-09

Ловкость рук не пройдет

Luger Собкор
21:20:42 2017-03-09

Внимательность никто не отменял )

НинаК
21:18:43 2017-03-09

полезно многим

imi
21:12:43 2017-03-09

Понятно. Спасибо за рекомендации.

Dvakota
21:12:40 2017-03-09

Зову бухгалтера , пусть почитает.

ek
21:10:44 2017-03-09

все проверим

orw_mikle
20:48:09 2017-03-09

Спасибо за информацию. Хорошо что меня не касается.

kva-kva
20:31:17 2017-03-09

бухгалтеры под огнем

Дмитpий Собкор
20:27:18 2017-03-09

Конечно, кто-то разрабатывает соответствующее безопасное ПО, стандарты и протоколы, кто-то не имеет такой возможности изначально и не стремится к этому. Есть и такие, что банк создают и раскручивают его только для того, чтобы одномоментно иметь возможность украсть. Историю и прецеденты помним и чтим :)

mk.insta
20:12:56 2017-03-09

все важное

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Ловкость рук и никакого мошенства!

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей