Внимание! Зафиксирован вирус, подменяющий получателя в файле выгрузки платежек из 1С.

1. Cooler 22 02.12.16 01:13 Сейчас в теме
Вчера пришло в рассылке Клиент-Банка:
FinCERT Банка России
PC-V: BN-1C-FAKE -20161129-02
[Рассылка информации о вредоносном коде, подменяющим платежные поручения, сформированные в 1С

1.Краткое описание угрозы
Зафиксированы повторные случаи хищения денежных средств у клиентов- юридических лиц, использующих систему 1С для передачи платежных поручений в систему ДБО.
Суть атаки состоит в следующем:
1.Клиент формирует с помощью 1С платежное поручение и отправляет их на выгрузку в систему ДБО;
2.1С, как правило, формирует текстовый файл kl_to_1c.txt, содержащий служебную информацию, перечень расчетных счетов, период, остатки и обороты по счетам и т.д.;
3.Вредоносная компьютерная программа отслеживает появление этого файла и производит подмену реквизитов получателя (но название оставляет неизменным, был подменен счет и ИНН получателя);
4.Информация обрабатывается через ДБО. В некоторых случаях от клиента требовалось подтверждение проведения платежа по СМС - он его подтверждал.
2.Основные меры противодействия
1.Клиенту: использовать антивирусное средство, поддерживать его базы в актуальном состоянии, не реже 1 раза в неделю проводить полное сканирование системы, в которой генерируется файл kl_to_1c.txt;
2.Клиенту: выполнять все рекомендации по работе с вложениями, пришедшими из подозрительных источников, не открывать вложения- исполняемые файлы и не включать макросы в документах Microsoft Office, если не уверены в надежности отправителя;
3. Клиенту: проверять суммы платежей и не подтверждать подозрительные операции по СМС, если есть такая возможность.
Показать

Оставим на совести специалистов ФинЦЕРТ Банка России путаницу в имени файла ("kl_to_1c.txt" вместо "1c_to_kl.txt") и его содержании, но уточнить в банке - сверяют ли они имя получателя в п/п с именем владельца банковского счета, не помешает. Если нет, то это повод задуматься о смене банка.
Ответы
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
2. PhoenixAOD 62 02.12.16 05:53 Сейчас в теме
Это все конечно хорошо, к сведению принято, а бабки то возвращают?
3. coolseo 75 02.12.16 06:39 Сейчас в теме
(2) Ага, еще и накидывают сверху!
drim87; Diego_Iv; +2 Ответить
4. st8899 02.12.16 10:16 Сейчас в теме
Да с чего вы взяли что это вирус, скорее всего у кого то из программистов шаловливые ручки, вот он и подправил файлик вручную...)
5. TODD22 18 02.12.16 10:38 Сейчас в теме
(4)Был такой случай... Один не очень умный программист со всех зарплат по рублю списывал. А на свою карту начислял. На шахте работал. Это очень быстро выяснилось... был суд и дали ему несколько лет условно при том что он возместил что украл.
А списывал с зарплат работяг. Хорошо его горнякам в руки не отдали... А то они люди суровые... долго бы лечился....
6. корум 287 02.12.16 10:43 Сейчас в теме
(5) навеяло анекдотом...

и не по рублю, а остатки центов от округления (сотые и тысячные доли).
и не с зарплаты, а с банковских переводов.
и не на шахте, а в ситибанке (США)
а так то да, всё верно :)
7. TODD22 18 02.12.16 10:47 Сейчас в теме
(6)
навеяло анекдотом...

Вот такие анекдоты и работают программистами. Хотя вроде программист 1С должен понимать что это всё просчитывается на раз...
8. v3rter 02.12.16 11:20 Сейчас в теме
Мы тоже такое получили. Видимо способ получил массовое распространение.

По личным наблюдениям, новости информационной безопасности запаздывают настолько, что к моменту выхода уже относятся к "боянам".


Другой вопрос - надеяться на антивирусы, ждать, пока "почешутся" банки или защищаться как-то самому. И как.
9. alxarz 31 02.12.16 11:56 Сейчас в теме
(8) например, как примитивный вариант, после загрузки в ДБО, возвращаемся в 1С и тыкаем кнопочку проверить файл - если файл не изменен, значит всё ок. Кнопочку приделать особо много труда не составит...
10. Vovan1975 13 02.12.16 11:59 Сейчас в теме
отличный повод прикрутить наконец электронную подпись к файлу обмена
11. v3rter 02.12.16 12:27 Сейчас в теме
(10) на уровне 1С в момент сохранения файла? Банковские ЭЦП слишком пропиетарны и разнородны для использования, а для доступных из 1С подписей придется прикручивать контроль со стороны банков. Скорее всего всё закончится директ-банком с обязательной подпиской на ИТС.
12. DarkDaemon 30.12.16 01:39 Сейчас в теме
Можно написать утилиту, которая будет мониторить изменения в этом файле и при каждом изменении оповещать пользователя.
Оставьте свое сообщение
Вакансии
Программист 1С
Кемерово
зарплата от 200 000 руб.
Полный день

Программист 1С
Киров (Кировская обл.)
зарплата от 100 000 руб.
Полный день

Программист 1С
Санкт-Петербург
зарплата от 150 000 руб.
Полный день

Архитектор 1С
Москва
зарплата от 250 000 руб.
Полный день

1С-Программист (интегратор Битрикс24)
Санкт-Петербург
зарплата от 150 000 руб. до 250 000 руб.
Полный день