Внимание! Зафиксирован вирус, подменяющий получателя в файле выгрузки платежек из 1С.

1. Cooler Silent (Cooler) 20 02.12.16 01:13 Сейчас в теме
Вчера пришло в рассылке Клиент-Банка:
FinCERT Банка России
PC-V: BN-1C-FAKE -20161129-02
[Рассылка информации о вредоносном коде, подменяющим платежные поручения, сформированные в 1С

1.Краткое описание угрозы
Зафиксированы повторные случаи хищения денежных средств у клиентов- юридических лиц, использующих систему 1С для передачи платежных поручений в систему ДБО.
Суть атаки состоит в следующем:
1.Клиент формирует с помощью 1С платежное поручение и отправляет их на выгрузку в систему ДБО;
2.1С, как правило, формирует текстовый файл kl_to_1c.txt, содержащий служебную информацию, перечень расчетных счетов, период, остатки и обороты по счетам и т.д.;
3.Вредоносная компьютерная программа отслеживает появление этого файла и производит подмену реквизитов получателя (но название оставляет неизменным, был подменен счет и ИНН получателя);
4.Информация обрабатывается через ДБО. В некоторых случаях от клиента требовалось подтверждение проведения платежа по СМС - он его подтверждал.
2.Основные меры противодействия
1.Клиенту: использовать антивирусное средство, поддерживать его базы в актуальном состоянии, не реже 1 раза в неделю проводить полное сканирование системы, в которой генерируется файл kl_to_1c.txt;
2.Клиенту: выполнять все рекомендации по работе с вложениями, пришедшими из подозрительных источников, не открывать вложения- исполняемые файлы и не включать макросы в документах Microsoft Office, если не уверены в надежности отправителя;
3. Клиенту: проверять суммы платежей и не подтверждать подозрительные операции по СМС, если есть такая возможность.
Показать

Оставим на совести специалистов ФинЦЕРТ Банка России путаницу в имени файла ("kl_to_1c.txt" вместо "1c_to_kl.txt") и его содержании, но уточнить в банке - сверяют ли они имя получателя в п/п с именем владельца банковского счета, не помешает. Если нет, то это повод задуматься о смене банка.
Ответы
2. Николай Иванов (PhoenixAOD) 53 02.12.16 05:53 Сейчас в теме
Это все конечно хорошо, к сведению принято, а бабки то возвращают?
3. Максим Радченко (coolseo) 40 02.12.16 06:39 Сейчас в теме
(2) Ага, еще и накидывают сверху!
drim87; Diego_Iv; +2 Ответить
4. Стас ТТТ (st8899) 02.12.16 10:16 Сейчас в теме
Да с чего вы взяли что это вирус, скорее всего у кого то из программистов шаловливые ручки, вот он и подправил файлик вручную...)
5. борян петров (TODD22) 17 02.12.16 10:38 Сейчас в теме
(4)Был такой случай... Один не очень умный программист со всех зарплат по рублю списывал. А на свою карту начислял. На шахте работал. Это очень быстро выяснилось... был суд и дали ему несколько лет условно при том что он возместил что украл.
А списывал с зарплат работяг. Хорошо его горнякам в руки не отдали... А то они люди суровые... долго бы лечился....
6. rjhev korum (корум) 315 02.12.16 10:43 Сейчас в теме
(5) навеяло анекдотом...

и не по рублю, а остатки центов от округления (сотые и тысячные доли).
и не с зарплаты, а с банковских переводов.
и не на шахте, а в ситибанке (США)
а так то да, всё верно :)
7. борян петров (TODD22) 17 02.12.16 10:47 Сейчас в теме
(6)
навеяло анекдотом...

Вот такие анекдоты и работают программистами. Хотя вроде программист 1С должен понимать что это всё просчитывается на раз...
8. Роберт В е р т и н с к и й (v3rter) 02.12.16 11:20 Сейчас в теме
Мы тоже такое получили. Видимо способ получил массовое распространение.

По личным наблюдениям, новости информационной безопасности запаздывают настолько, что к моменту выхода уже относятся к "боянам".


Другой вопрос - надеяться на антивирусы, ждать, пока "почешутся" банки или защищаться как-то самому. И как.
9. Alx Alx (alxarz) 29 02.12.16 11:56 Сейчас в теме
(8) например, как примитивный вариант, после загрузки в ДБО, возвращаемся в 1С и тыкаем кнопочку проверить файл - если файл не изменен, значит всё ок. Кнопочку приделать особо много труда не составит...
10. Владимир Безфамильный (Vovan1975) 14 02.12.16 11:59 Сейчас в теме
отличный повод прикрутить наконец электронную подпись к файлу обмена
11. Роберт В е р т и н с к и й (v3rter) 02.12.16 12:27 Сейчас в теме
(10) на уровне 1С в момент сохранения файла? Банковские ЭЦП слишком пропиетарны и разнородны для использования, а для доступных из 1С подписей придется прикручивать контроль со стороны банков. Скорее всего всё закончится директ-банком с обязательной подпиской на ИТС.
12. Дмитрий Иванов (DarkDaemon) 30.12.16 01:39 Сейчас в теме
Можно написать утилиту, которая будет мониторить изменения в этом файле и при каждом изменении оповещать пользователя.
Оставьте свое сообщение