1. Cooler 20 02.12.16 01:13 Сейчас в теме

Внимание! Зафиксирован вирус, подменяющий получателя в файле выгрузки платежек из 1С.

Вчера пришло в рассылке Клиент-Банка:
FinCERT Банка России
PC-V: BN-1C-FAKE -20161129-02
[Рассылка информации о вредоносном коде, подменяющим платежные поручения, сформированные в 1С

1.Краткое описание угрозы
Зафиксированы повторные случаи хищения денежных средств у клиентов- юридических лиц, использующих систему 1С для передачи платежных поручений в систему ДБО.
Суть атаки состоит в следующем:
1.Клиент формирует с помощью 1С платежное поручение и отправляет их на выгрузку в систему ДБО;
2.1С, как правило, формирует текстовый файл kl_to_1c.txt, содержащий служебную информацию, перечень расчетных счетов, период, остатки и обороты по счетам и т.д.;
3.Вредоносная компьютерная программа отслеживает появление этого файла и производит подмену реквизитов получателя (но название оставляет неизменным, был подменен счет и ИНН получателя);
4.Информация обрабатывается через ДБО. В некоторых случаях от клиента требовалось подтверждение проведения платежа по СМС - он его подтверждал.
2.Основные меры противодействия
1.Клиенту: использовать антивирусное средство, поддерживать его базы в актуальном состоянии, не реже 1 раза в неделю проводить полное сканирование системы, в которой генерируется файл kl_to_1c.txt;
2.Клиенту: выполнять все рекомендации по работе с вложениями, пришедшими из подозрительных источников, не открывать вложения- исполняемые файлы и не включать макросы в документах Microsoft Office, если не уверены в надежности отправителя;
3. Клиенту: проверять суммы платежей и не подтверждать подозрительные операции по СМС, если есть такая возможность.
Показать

Оставим на совести специалистов ФинЦЕРТ Банка России путаницу в имени файла ("kl_to_1c.txt" вместо "1c_to_kl.txt") и его содержании, но уточнить в банке - сверяют ли они имя получателя в п/п с именем владельца банковского счета, не помешает. Если нет, то это повод задуматься о смене банка.
Ответы
Сортировка: Древо
2. PhoenixAOD 54 02.12.16 05:53 Сейчас в теме
Это все конечно хорошо, к сведению принято, а бабки то возвращают?
3. coolseo 46 02.12.16 06:39 Сейчас в теме
(2) Ага, еще и накидывают сверху!
drim87; Diego_Iv; +2 Ответить
4. st8899 02.12.16 10:16 Сейчас в теме
Да с чего вы взяли что это вирус, скорее всего у кого то из программистов шаловливые ручки, вот он и подправил файлик вручную...)
5. TODD22 17 02.12.16 10:38 Сейчас в теме
(4)Был такой случай... Один не очень умный программист со всех зарплат по рублю списывал. А на свою карту начислял. На шахте работал. Это очень быстро выяснилось... был суд и дали ему несколько лет условно при том что он возместил что украл.
А списывал с зарплат работяг. Хорошо его горнякам в руки не отдали... А то они люди суровые... долго бы лечился....
6. корум 310 02.12.16 10:43 Сейчас в теме
(5) навеяло анекдотом...

и не по рублю, а остатки центов от округления (сотые и тысячные доли).
и не с зарплаты, а с банковских переводов.
и не на шахте, а в ситибанке (США)
а так то да, всё верно :)
7. TODD22 17 02.12.16 10:47 Сейчас в теме
(6)
навеяло анекдотом...

Вот такие анекдоты и работают программистами. Хотя вроде программист 1С должен понимать что это всё просчитывается на раз...
8. v3rter 02.12.16 11:20 Сейчас в теме
Мы тоже такое получили. Видимо способ получил массовое распространение.

По личным наблюдениям, новости информационной безопасности запаздывают настолько, что к моменту выхода уже относятся к "боянам".


Другой вопрос - надеяться на антивирусы, ждать, пока "почешутся" банки или защищаться как-то самому. И как.
9. alxarz 28 02.12.16 11:56 Сейчас в теме
(8) например, как примитивный вариант, после загрузки в ДБО, возвращаемся в 1С и тыкаем кнопочку проверить файл - если файл не изменен, значит всё ок. Кнопочку приделать особо много труда не составит...
10. Vovan1975 14 02.12.16 11:59 Сейчас в теме
отличный повод прикрутить наконец электронную подпись к файлу обмена
11. v3rter 02.12.16 12:27 Сейчас в теме
(10) на уровне 1С в момент сохранения файла? Банковские ЭЦП слишком пропиетарны и разнородны для использования, а для доступных из 1С подписей придется прикручивать контроль со стороны банков. Скорее всего всё закончится директ-банком с обязательной подпиской на ИТС.
12. DarkDaemon 30.12.16 01:39 Сейчас в теме
Можно написать утилиту, которая будет мониторить изменения в этом файле и при каждом изменении оповещать пользователя.
Оставьте свое сообщение
Новые вопросы с вознаграждением
Автор темы объявил вознаграждение за найденный ответ, его получит тот, кто первый поможет автору.

Вакансии



Ведущий программист 1С
Москва
зарплата от 150 000 руб. до 180 000 руб.
Полный день

Руководитель проектов 1С
Москва
Полный день

Консультант-аналитик 1С: ЗУП
Санкт-Петербург
Полный день