Вчера пришло в рассылке Клиент-Банка:
FinCERT Банка России
PC-V: BN-1C-FAKE -20161129-02
[Рассылка информации о вредоносном коде, подменяющим платежные поручения, сформированные в 1С
1.Краткое описание угрозы
Зафиксированы повторные случаи хищения денежных средств у клиентов- юридических лиц, использующих систему 1С для передачи платежных поручений в систему ДБО.
Суть атаки состоит в следующем:
1.Клиент формирует с помощью 1С платежное поручение и отправляет их на выгрузку в систему ДБО;
2.1С, как правило, формирует текстовый файл kl_to_1c.txt, содержащий служебную информацию, перечень расчетных счетов, период, остатки и обороты по счетам и т.д.;
3.Вредоносная компьютерная программа отслеживает появление этого файла и производит подмену реквизитов получателя (но название оставляет неизменным, был подменен счет и ИНН получателя);
4.Информация обрабатывается через ДБО. В некоторых случаях от клиента требовалось подтверждение проведения платежа по СМС - он его подтверждал.
2.Основные меры противодействия
1.Клиенту: использовать антивирусное средство, поддерживать его базы в актуальном состоянии, не реже 1 раза в неделю проводить полное сканирование системы, в которой генерируется файл kl_to_1c.txt;
2.Клиенту: выполнять все рекомендации по работе с вложениями, пришедшими из подозрительных источников, не открывать вложения- исполняемые файлы и не включать макросы в документах Microsoft Office, если не уверены в надежности отправителя;
3. Клиенту: проверять суммы платежей и не подтверждать подозрительные операции по СМС, если есть такая возможность.
Показать
Оставим на совести специалистов ФинЦЕРТ Банка России путаницу в имени файла ("kl_to_1c.txt" вместо "1c_to_kl.txt") и его содержании, но уточнить в банке - сверяют ли они имя получателя в п/п с именем владельца банковского счета, не помешает. Если нет, то это повод задуматься о смене банка.