Вы используете устаревший браузер!

Страница может отображаться некорректно.

Похитители дензнаков

Похитители дензнаков

Другие выпуски этой рубрики (6)
  • добавить в избранное
    Добавить в закладки

Ловкость рук и никакого мошенства!

Прочитали: 37135 Комментариев: 150 Рейтинг: 282

Авторский выпуск собкора проекта под псевдонимом «Неуёмный Обыватель» из г. Шахты

― Вот, ― оживилась Оксанка, ― смотри, у Гриши дама, он ее кладет сюда, потом туда, а теперь снова берет. И что у него в руках? ― Дама, ― ответила я, улыбнувшись, ― сразу понятно, ничего хитрого. ― Вовсе даже и туз пик, ― захихикал Гриша, ― ловкость рук и никакого мошенства, да я вас научу, всех обыгрывать станете, тут ума не надо, одна быстрота требуется…

Д. Донцова. Уха из золотой рыбки

Компания «Доктор Веб» неоднократно сообщала о банковских троянцах, похищающих средства со счетов компаний и физических лиц. Самые нашумевшие – Zeus и Carberp, а прошлым летом стало известно о Bolik.

Троянцы обладают широким функционалом и являются «специалистами» по отъему у жертвы нужной им информации разнообразными способами: перехватывают HTTP/HTTPS-запросы, создают снимки экрана (скриншоты), отслеживают нажатия клавиш (кейлоггинг) и похищают информацию из систем «банк-клиент», включая пароли от ДБО, встраиваются в приложения, похищают куки и т.д.

Однако существуют гораздо более простые способы завладеть средствами компаний, использующих системы дистанционного банковского обслуживания (ДБО) и программы фирмы «1С».

В последнее время участились атаки на информационные системы банков и их клиентов с целью хищения денежных средств клиентов. Один из способов хищения заключается в подмене данных в файлах, выгружаемых из учетных систем клиентов и передаваемых в системы для дистанционного обмена данными клиентов с банком (системы типа «клиент-банк»). Подмену осуществляют вредоносные программы, которыми заражается компьютер клиента банка.

Об этом сообщает Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Центрального банка России в письме FinCERT PC-V: BN-1C-FAKE -20161129-02.

По информации FinCERT, вредоносные программы отслеживают появление файла, обычно имеющего имя 1c_to_kl.txt, выгружаемого из учетных программ и предназначенного для загрузки в программы Клиент-Банк. Вредоносные программы подменяют в файле данные об исходящих платежах. Если пользователь загрузит этот файл с подмененными данными в систему Клиент-Банк и не проверит данные перед отправкой в банк, то платеж уйдет по подложным реквизитам, указанным злоумышленниками.

http://its.1c.ru/db/metod8dev#content:5921:hdoc

Это достаточно примитивная атака: злоумышленникам не нужно следить за нажатиями клавиш, считывать экран и разбирать его содержимое, похищать пароли, вмешиваться в работу систем ДБО и изучать сотни вариантов различного ПО. Но простота не означает неэффективность. Преступникам только за прошедший год удалось таким образом похитить сотни миллионов рублей со счетов незадачливых компаний. Странно, что данный способ похищения не был использован ими гораздо раньше, ведь приведенный формат обмена сообщениями между программами «1С» и системами ДБО используется не меньше 15 лет.

Вредоносное ПО (по классификации «Доктор Веб» это Trojan.MulDrop6.44482, определяемый Dr.Web с июня 2016 года) распространяется преимущественно через взломанные сайты и спам.

Кроме того, такую подмену можно осуществить даже вручную, если иметь доступ к файлу и удачно подловить момент его отправки. Требуется только ловкость рук и быстрота.

Компания «1С» предприняла шаги для защиты от таких ситуаций.

Для дополнительной защиты от действий подобных вредоносных программ в «1С:Бухгалтерии 8» редакции 3.0 реализована проверка файлов на модификацию, которая выполняется после загрузки данных в программу банка, но до отправки их на исполнение. Такую же функциональность планируется добавить в другие типовые решения системы «1С:Предприятие 8».

http://1c.ru/news/info.jsp?id=22531

На момент публикации этого выпуска похожая функциональность реализована в большинстве актуальных типовых конфигураций фирмы «1С».

Чтобы полностью защититься от вредоносных программ подобного типа, рекомендуем использовать сервис «1С:ДиректБанк», в основе которого разработанная фирмой «1С» современная технология прямого обмена с банками DirectBank, предотвращающая подмену информации вредоносными программами, попадающими на компьютер пользователя. Сервис разработан около 3-х лет назад, и в настоящее время клиенты более 30 банков, поддержавших технологию DirectBank, могут им воспользоваться. Данная технология позволяет отправлять платежные документы в банк и получать выписки из банка непосредственно из программ системы «1С:Предприятие 8» нажатием одной кнопки. При использовании технологии DirectBank не нужно устанавливать и запускать дополнительные программы на клиентском компьютере; не требуется выгрузка документов из программ «1С:Предприятия» в промежуточные файлы. Все платежные документы можно формировать и подписывать электронной подписью в «1С:Предприятии», а затем одним нажатием кнопки отправлять прямо на сервер банка.

http://1c.ru/news/info.jsp?id=22531

#ДБО #1С #банковский_троянец #безопасность

Dr.Web рекомендует

Не будем повторять рекомендации из выпуска «10 бухгалтерских заповедей безопасности», отметим лишь, что они актуальны и в описанном случае. И добавим вот что:

  • Если вы обмениваетесь данными между бухгалтерской программой и системой ДБО через файлы, указывайте каталог и имя файла обмена, отличные от предлагаемых системой по умолчанию. (По умолчанию система предлагает формировать файл в каталоге информационной базы 1c с именем 1c_to_kl.txt) Этим можно затруднить работу вредоносного ПО, так как оно может быть ориентировано на детектирование записи в системе файла со стандартным именем.
  • Проверяйте реквизиты и суммы платежей и не подтверждайте подозрительные операции по СМС, если есть такая возможность. Проверять нужно не только наименование получателя, но и ИНН и номер расчетного счета, так как в некоторых банках не производится контроль соответствия наименования получателя и его реквизитов. В описанном случае вина за некорректный перевод лежит полностью на сотруднике, осуществляющем подтверждение операции перевода в системе «банк-клиент». Как правило, в договоре банковского обслуживания указано, что клиент обязан проверять все реквизиты, в том числе и при подтверждении через СМС.
  • Используйте актуальные версии как учетного ПО, так и системы дистанционного банковского обслуживания. Последние версии могут уже учитывать угрозы и производить их профилактику.
  • Если ваша компания пользуется нетиповой конфигурацией «1С:Предприятие», используйте рекомендации по модификации программ 1С с целью реализации безопасного обмена с системой «банк-клиент» через файл http://its.1c.ru/db/metod8dev#content:5921:hdoc.
  • По возможности переходите на использование прямого обмена с банком без использования промежуточных файлов.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: