Ловкость рук и никакого мошенства!
9 марта 2017
Авторский выпуск собкора проекта под псевдонимом «Неуёмный Обыватель» из г. Шахты
― Вот, ― оживилась Оксанка, ― смотри, у Гриши дама, он ее кладет сюда, потом туда, а теперь снова берет. И что у него в руках? ― Дама, ― ответила я, улыбнувшись, ― сразу понятно, ничего хитрого. ― Вовсе даже и туз пик, ― захихикал Гриша, ― ловкость рук и никакого мошенства, да я вас научу, всех обыгрывать станете, тут ума не надо, одна быстрота требуется…
Д. Донцова. Уха из золотой рыбки
Компания «Доктор Веб» неоднократно сообщала о банковских троянцах, похищающих средства со счетов компаний и физических лиц. Самые нашумевшие – Zeus и Carberp, а прошлым летом стало известно о Bolik.
Троянцы обладают широким функционалом и являются «специалистами» по отъему у жертвы нужной им информации разнообразными способами: перехватывают HTTP/HTTPS-запросы, создают снимки экрана (скриншоты), отслеживают нажатия клавиш (кейлоггинг) и похищают информацию из систем «банк-клиент», включая пароли от ДБО, встраиваются в приложения, похищают куки и т.д.
Однако существуют гораздо более простые способы завладеть средствами компаний, использующих системы дистанционного банковского обслуживания (ДБО) и программы фирмы «1С».
В последнее время участились атаки на информационные системы банков и их клиентов с целью хищения денежных средств клиентов. Один из способов хищения заключается в подмене данных в файлах, выгружаемых из учетных систем клиентов и передаваемых в системы для дистанционного обмена данными клиентов с банком (системы типа «клиент-банк»). Подмену осуществляют вредоносные программы, которыми заражается компьютер клиента банка.
Об этом сообщает Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Центрального банка России в письме FinCERT PC-V: BN-1C-FAKE -20161129-02.
По информации FinCERT, вредоносные программы отслеживают появление файла, обычно имеющего имя 1c_to_kl.txt, выгружаемого из учетных программ и предназначенного для загрузки в программы Клиент-Банк. Вредоносные программы подменяют в файле данные об исходящих платежах. Если пользователь загрузит этот файл с подмененными данными в систему Клиент-Банк и не проверит данные перед отправкой в банк, то платеж уйдет по подложным реквизитам, указанным злоумышленниками.
Это достаточно примитивная атака: злоумышленникам не нужно следить за нажатиями клавиш, считывать экран и разбирать его содержимое, похищать пароли, вмешиваться в работу систем ДБО и изучать сотни вариантов различного ПО. Но простота не означает неэффективность. Преступникам только за прошедший год удалось таким образом похитить сотни миллионов рублей со счетов незадачливых компаний. Странно, что данный способ похищения не был использован ими гораздо раньше, ведь приведенный формат обмена сообщениями между программами «1С» и системами ДБО используется не меньше 15 лет.
Вредоносное ПО (по классификации «Доктор Веб» это Trojan.MulDrop6.44482, определяемый Dr.Web с июня 2016 года) распространяется преимущественно через взломанные сайты и спам.
Кроме того, такую подмену можно осуществить даже вручную, если иметь доступ к файлу и удачно подловить момент его отправки. Требуется только ловкость рук и быстрота.
Компания «1С» предприняла шаги для защиты от таких ситуаций.
Для дополнительной защиты от действий подобных вредоносных программ в «1С:Бухгалтерии 8» редакции 3.0 реализована проверка файлов на модификацию, которая выполняется после загрузки данных в программу банка, но до отправки их на исполнение. Такую же функциональность планируется добавить в другие типовые решения системы «1С:Предприятие 8».
На момент публикации этого выпуска похожая функциональность реализована в большинстве актуальных типовых конфигураций фирмы «1С».
Чтобы полностью защититься от вредоносных программ подобного типа, рекомендуем использовать сервис «1С:ДиректБанк», в основе которого разработанная фирмой «1С» современная технология прямого обмена с банками DirectBank, предотвращающая подмену информации вредоносными программами, попадающими на компьютер пользователя. Сервис разработан около 3-х лет назад, и в настоящее время клиенты более 30 банков, поддержавших технологию DirectBank, могут им воспользоваться. Данная технология позволяет отправлять платежные документы в банк и получать выписки из банка непосредственно из программ системы «1С:Предприятие 8» нажатием одной кнопки. При использовании технологии DirectBank не нужно устанавливать и запускать дополнительные программы на клиентском компьютере; не требуется выгрузка документов из программ «1С:Предприятия» в промежуточные файлы. Все платежные документы можно формировать и подписывать электронной подписью в «1С:Предприятии», а затем одним нажатием кнопки отправлять прямо на сервер банка.
Антивирусная правДА! рекомендует
Не будем повторять рекомендации из выпуска «10 бухгалтерских заповедей безопасности», отметим лишь, что они актуальны и в описанном случае. И добавим вот что:
- Если вы обмениваетесь данными между бухгалтерской программой и системой ДБО через файлы, указывайте каталог и имя файла обмена, отличные от предлагаемых системой по умолчанию. (По умолчанию система предлагает формировать файл в каталоге информационной базы 1c с именем 1c_to_kl.txt) Этим можно затруднить работу вредоносного ПО, так как оно может быть ориентировано на детектирование записи в системе файла со стандартным именем.
- Проверяйте реквизиты и суммы платежей и не подтверждайте подозрительные операции по СМС, если есть такая возможность. Проверять нужно не только наименование получателя, но и ИНН и номер расчетного счета, так как в некоторых банках не производится контроль соответствия наименования получателя и его реквизитов. В описанном случае вина за некорректный перевод лежит полностью на сотруднике, осуществляющем подтверждение операции перевода в системе «банк-клиент». Как правило, в договоре банковского обслуживания указано, что клиент обязан проверять все реквизиты, в том числе и при подтверждении через СМС.
- Используйте актуальные версии как учетного ПО, так и системы дистанционного банковского обслуживания. Последние версии могут уже учитывать угрозы и производить их профилактику.
- Если ваша компания пользуется нетиповой конфигурацией «1С:Предприятие», используйте рекомендации по модификации программ 1С с целью реализации безопасного обмена с системой «банк-клиент» через файл http://its.1c.ru/db/metod8dev#content:5921:hdoc.
- По возможности переходите на использование прямого обмена с банком без использования промежуточных файлов.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
14:11:35 2018-11-13
Денисенко Павел Андреевич
18:08:51 2018-07-26
vasvet
14:03:09 2018-04-07
alex-diesel
09:33:52 2018-04-04
Ну а с деньгами всегда надо быть максимально осторожными.
Вячeслaв
10:18:34 2017-11-07
razgen
01:53:16 2017-11-04
levkovichdo
00:39:57 2017-11-04
Littlefish
23:54:55 2017-11-03
Littlefish
23:47:21 2017-11-03
Littlefish
23:44:10 2017-11-03
ka_s
11:06:13 2017-08-12
duduka
14:54:57 2017-06-10
Natalya_2017
15:13:57 2017-03-30
Роза
17:44:36 2017-03-16
GREII
09:29:32 2017-03-12
AntonIT
17:47:09 2017-03-10
Вячeслaв
13:32:03 2017-03-10
Неуёмный Обыватель
13:23:27 2017-03-10
Вячeслaв
13:10:16 2017-03-10
Неуёмный Обыватель
09:14:30 2017-03-10
Людмила
08:44:54 2017-03-10
спасибо за бдительность:) просто у следующего выпуска поставили не ту дату. Читайте специальный пятничный мега-короткий (предвыходной) выпуск)
Неуёмный Обыватель
08:43:30 2017-03-10
По вашей просьбе выпустили экстренный выпуск ;)
Dzhetrou
06:04:19 2017-03-10
Sasha50
05:12:45 2017-03-10
ivan.ivanov1904
23:59:08 2017-03-09
coolira
23:40:05 2017-03-09
beoris
23:22:42 2017-03-09
forrus
23:15:54 2017-03-09
mamyr
23:10:46 2017-03-09
Marsn77
23:10:16 2017-03-09
С...й
22:49:48 2017-03-09
natplack
22:49:35 2017-03-09
Б...м
22:40:02 2017-03-09
Б...а
22:31:44 2017-03-09
aleks_ku
22:19:53 2017-03-09
solec
22:11:08 2017-03-09
Б...а
22:07:39 2017-03-09
vla_va
22:07:39 2017-03-09
В...а
22:00:21 2017-03-09
iAFC
21:50:58 2017-03-09
Р...й
21:30:54 2017-03-09
Luger
21:20:42 2017-03-09
НинаК
21:18:43 2017-03-09
imi
21:12:43 2017-03-09
Dvakota
21:12:40 2017-03-09
ek
21:10:44 2017-03-09
orw_mikle
20:48:09 2017-03-09
kva-kva
20:31:17 2017-03-09
Дмитpий
20:27:18 2017-03-09
mk.insta
20:12:56 2017-03-09