В общем пред история такая: У одной фирмы в городе обнаружилось после сверки с поставщиком неплохая недостача платежей. Оборот по предприятию большой и контроллировать каждую сумму на каждый р/с затруднительно. В системе обнаружился вирус, который модифицировал файл выгрузки в клиент-банк: подставлял липовые р/с вместо 1с-вских.
Антивирус его за вирус не считал.

(0) Э-э-э... ищите вора внутри. Он ведь что-то другое придумает. А вообще, выписки из банка надо сверять.

нужно иметь правило, каждый день загружать предыдущий

Я бы на вашем месте искала не способы исключить действия этого вируса, а человека внутри фирмы. В первую очередь необходимо этот фактор исключить.
Сейчас меняют файл выгрузки, потом сразу будут выгружать не на те расчетные счета и никакое шифрование не поможет.

(5)хакеры-нахеры... ещё в непуганых 90-х овер 90% взломов осуществлялось с участием персонала... в те стародавние времена когда про безопасность вообще не напрягались никто.

(6) О том и речь. 90% что дело рук персонала. Сейчас одну дыру закроют они найдут другую.

(5)(6) это реально вирус. причем подменяет данные непосредственно на передаче ключу для подписи.

(8) К моменту передачи на подпись файл уже загружен, или я ошибаюсь?

(9) какой именно файл "уже загружен"?

(8) не стебись над ТС

(0) термокриптоанализ творит чудеса...

(0) в общем, презенаташака с конференции КодИБ:
http://www.slideshare.net/Expolink/safe-tech-53366867
(ребята меня опередили с девайсом, я слишком долго сопли жевал)

(11) я абсолютно серьезно.

(10) Тот о котором говорит автор темы:
// файл выгрузки в клиент-банк

(14) криптоапи сделало подпись от другого документа... в банк ушёл оригинальный документ и подпись от другого документа... в банке не программа сличает одно с другим?

(15) естественно, файл обмена загружен.
вирус работает на перехвате канала подписи.
смотри презенташку.
У меня наткнулись знакомые. Письмо с "актом сверки" или типа того.  при анализе ситуации знакомые из банка подсказали, что такие случаи были, и как оно работает. Ну а идея о железке возникла почти сразу. только делал я ее долго. опередили :-(

(12) на Дгоргона намекаете? Не, ну понятно, что это человек-вирус, разрушитель конфигураций. Но может не он вс-таки?

(16) Нет, в банк ушел тоже измененный, соответсвующей подписи. но у тебя отображается старый.

(17) Ну хорошо, но автор темы утверждает что модифицируются именно файлы выгрузки, а не что-то иное.
И вот в этой ситуации у меня возникают большие сомнения на счет отсутствия человеческого фактора.

(17) Вирус? И этот самый вирус не ловится антивирами?

(20) скорее всего, он просто не разобрался, на каком этапе и что моифицируется.

И выписку он подменяет?

или на больших предприятиях не принято сверять платёжки за день с объёмами оплаты по выписке?

(19) это врядли, просто на загруженную платёжку в Клиент-банке ни кто не посмотрел
(21) вполне возможно, что это скрипт, и антивирь на него не будет реагировать. Систему надо проверять периодически.

(20) Модифицируется именно сам файл выгрузки. Т.е. вирь уже ревесинженировали. Сначала ищет файлы выгрузки в клиент банк и смотрит даты их изменений - мониторит. Потом при частому обращению к файлу модифицирует их при выгрузке из 1с предприятия.(23)

(22) Твой вариант тоже рассматривается. Но тут уже придумали что будеть линь с урезанными правами.

(21) вирус. причем "персонализированый", собраный "конкретно под". атаки индивидуальные - чаще всего приходит письмо от имени банка сотруднику, который сидит на клиент-банке.

(23) нет, в выписке ты видишь настоящие реквизиты.

(24) Ты не понял - сумма не меняется, меняется расчетный счет и прочие реквизиты, причем на небольших суммах.

(28) не понял что для вас настоящие. Подменяет или нет?

(26) (29) значит, другой уже.

(29) в банковской выписке это видно?

(30) настоящие - это те, по которым ушло.

(29) Хорошо, а что происходит при загрузки выписки на следующий день из клиент-банка? Ни у кого не возникало вопросов по поводу платежей не тем контрагентам?

(32) выписка будет завтра или в лучшем случае вечером.
а деньги выводятся группой на дропов в течение 15-30 минут. через 2 часа все деньги уже сняты дропами в множестве городов (зависит от суммы)

(34) Если это вирус "Промежутка", то он может менять и в обратную строну.

(31) Ну я так думаю вирей много таких, но тот конкретно с которым СБ знакомой столкнулась был именно таким.
Т.е. действовал как я описал в (26). Причем смотрит когда обьем выписок превышает 100 выписок и внимание обращает на небольшие суммы по р/с которые проходят переодически и не обращает внимания на р/с налоговых. Т.е. ну очень интеллектуальный.

(35) как я понял ТС у них это было не 1 день

(37) эээ, что значит 100 выписок? 100 строк в выписке?

(34) См (26) (37)

(35) вот именно что завтра или вечером, а тут узнали

//после сверки с поставщиком

т.е. всяко не 2 дня прошло

А это извините просто ни в какие ворота. За то что никто ничего не заметил ответственного за загрузку следует выгнать пинком под зад незамедлительно.

(39) Неправильно выразился, 100 платежей в файле обмена.

(41) У нас в день по 1000 платежей бывает по разным суммам. Ты не догоняешь и конкретно. Ответственный за выгрузку тут никаким боком - все суммы верные, р/с другие.

(42) это не объёмы, наш сотрудник предпенсионного возраста обрабатывал в одну лицо овер 500 платежей со всевозможными контролями разумеется

(38) разные вири, судя (26) и (37)
вирусопейсательство тоже не стоит на месте.
если в челябинске только на одном банке они умыкнули порядка 30 лямов - надо ли говорить, что ресурсы для оплаты труда разработчиков у них есть?

(43) см. (44)
При загрузке платежки в другими реквизитами 1С как минимум бы ругнулась.
Не могли заменить только расчетный счет, там скорее всего и ИНН и все остальное. Как бы платеж прошел при указании ИНН оригинального поставщика и РС другого?

(46) Ну само собой всё остальное тоже.

(46) ничего не мешает вирю делать обратную подмену.
а способов сверки загруженной выписки, и выписки в КБ, кроме как глазками и ручками - я не знаю.
все как-то привыкли уже верить компам, и не пересчитывать за ними на счетах (что я реально видел в бухгалтерии одного крупного завода в 1992 году).

(47) уровень, на котором это происходило - какой? файловый?

(49) Да. Но твой способ тоже интересен.

(46) Опять таки не догоняешь. Из 1С идёт выгрузка в КБ - обычный текстовый файл. Этот файл при выгрузке модифицируется вирем. Оператор загружает уже измененный файл в КБ. Там контрагентов и банков не видно. Просто идёт подмена, не всегда и на средние суммы.
При прошествии определенного периода. когда вирь считает что работу его вот вот заметят вирь просто берет самую большую сумму и перегоняет себе на сейшеллы и самоудаляется. Всё.

(51) "последний штрих", надеюсь, известен только из реверса?

(51) // Там контрагентов и банков не видно
Я и правда не догоняю. Это что за КБ такой где этого не видно?

Как бы хотели сначала оператора уволить и посадить но потом вовремя заметили, винт отключили, сняли образ и просканировали на предмет инородных организмов. Обнаружили непонятный процесс и начали его изучать. Оказался вот примитивным но хорошим вирем. Самое главное на запуск обычных пользовательских прав хватало. Да и работал только с текстовыми файликами.

(53) Вот оператору какая х разница - Вася Пупкин или Пупкин Вася? Понятное дело что с основными крупными поставщиками на пару млн. сверка идёт по наименованию, но по мелким - она их и знать то не знает. Особенно если суммы средние. Не мелкие не крупные а именно средние. Некоторые поставщики может вообще 1 раз в жизни платили (я прям точный алгоритм не знаю но он там сложный на соц. инженерию, но говорят видно что студент писал на с++ со вставками из ассемблера но очень грамотный, вообще клевая штука.)

(54) много с вас поимели, если не секрет? (я ж название конторы не спрашиваю)

(55) Огромная разница! И это её работа.
Первый раз она накосячила когда не заметила левого контрагента при загрузке в КБ, второй раз при загрузки выписки. Я бы уволила за такое к чертям.
Это деньги, а не фантики между двумя кучками перекладывать.

(35) И банк даже не пользуется законным правом покрутить деньги 3 банковских дня? Это неправильный банк.

(56) С нас поимели 0. А со знакомых через пень колоду порядка миллиона. Какие то суммы удастся вернуть, какие то очень сложно ибо уже обналичивали.

(58) За 3 дня разговора не идёт. Даже за неделю, а вот суммы больше недели уже почти никак.

(57) как вы будете "искать левую контру"?

(57) Щас скрин скину и на скрине объясню.

(46) +1
(48) В чудеса не верю, тут вероятен саботаж со стороны сотрудников и файлы выгрузки конечно же перезаписались уже.

(63) Единственный саботаж мог быть со стороны программиста/админа.

ТС, ты знаешь как в 1с КБ работает?
При обратной загрузке подтверждения оплаты, если произошла подмена реквизитов, выписка просто не найдет платежки исходной.
Теперь делаем эксперимент: загружаем из КБ еще раз выписку за те дни и смотрим реквизиты выписок,можно даже на другом компе.
Если реквизиты липовые,то саботаж.

http://images.vfl.ru/ii/1458111080/1ceafd70/11889540.jpg
Красным выделен липовый платеж. Найди 20 отличий.

(64) Не исключено.Но халатность в работе оператора тоже на лицо

см (66)

(66) Ага, а можно и вообще ничего не проверять, просто не глядя по кнопкам жмакать, как у вас оператор и делала видимо.

Хорошо, теперь вопрос как она выписку могла загрузить так чтобы 1с не ругалась на несоответствие реквизитов в выписке и платежке?  Тоже не глядя жмакала?

(67) +100500

(68) В 1С покажи

(66) Колонку с получателем надо пошире раздвинуть.

(69) ответь на (57)?

(73) Что я должна ответить на свой же пост?

(69) не ну там действительно загрузка контрагента из выписки в 1с идет по расчетному счету. Никакое ИНН ни тем более другие реквизиты не проверяются. Даже название контрагента не сверяется.

(75) А теперь расскажи откуда у тебя в базе 1С расчетный счет левого контрагента?

(76) могу соврать, но расчетный счет тоже не грузится. Программа загрузки ищет по номеру платежки. Если платежка находится, то она просто в ней проставляет галочку "оплачена" и дата оплаты.

(74) пардон, на (61). как ты определишь "левого"?
Как сверишь, иначе чем "глазами"?
а если еще и "обратная подмена"?

Я так и не понял, как объяснили то, почему пользователь при загрузке выписки в 1С не заметил появления левых контрагентов (которых нет в базе)

(75) это штатное что-то?

Смотрю, например, загрузку в 1С выписки из файла: подхватывается платежка по номеру, а новые контрагенты / банк. счета в нижней части таблички отображены

(78) У автора не было разговора об обратной подмене, тут я бы еще как-то могла оператора оправдать.
Ну хотя бы глазами.
А при загрузке 1С бы еще предупредила.

А я думаю, что вирь главбуха с оператором подменил. А может и всю бухгалтерию. У одной фирмы в Москве так и было.

(82) глазами - чисто психологически - будут сверяться важные сведения. а таковые - исходя их практики - суммы, и налоговые реквизиты. а замечаться будут "различающиеся"

Плюс вполне понятные психологические трюки - "я туда положила, программа оттуда забрала - как могло что-то измениться?" +"да всегда все было нормально"+"суммы же сходились".

Социнженерия - штука работающая. Ну вот сегодня только читал:
http://dostup1.ru/society/Predpriimchivyy-zek-iz-kopeyskoy-kolonii-obmanul-15-rossiyan-na-270-tys-rubley_84540.html
Это ж как-то надо убедить человека, чтоб он нажимал кнопки на банкомате, а на экран внимания не обращал.

(82) да никаких там проверок нет при загрузке. Ищется платежка по номеру и всё.

сек я тут очень занят, через полчаса прочитаю и отвечу.

(85) а если платежки нет? если списано иным документом?

(87) тогда ищется. В общем смотрю на примере БП 2.0., там если есть документ Списание с расчетного счета, всё четко, проверяется всё, и счет, и ИНН. Если нет этого документа, ищется платежное поручение, если находит, тупо на основании делает Списание с расчетного счета, причем всё берет с платежного поручения и ничегоне проверяет.

(88) понятно. спасибо.
Просто я типовыми не пользовался...

Народ, какая загрузка из клиент банка в 1с?
УПП, типовая. Из 1с выгружается список плат. поручений и загружается в КБ. Обратно ничего уже не загружается.

Точнее загружаются но только входящие платежные поручения.

(90)а движения-то по счету как делаются?

(90) Галки "оплачено" и дату оплаты у вас оператор в платежку руками забивает? Однако...

(92) Оператор на основании заявки на расходование ден. средств делает исходящее платежное поручение. Список исход. пп выгружается из 1С в КБ, подписывается, через определенное время статус ис. пп в КБ меняется на подписан-утвержден-исполнен. Всё.
Какую загрузку ещё делать в 1с? То что платеж исполнен? Не выполняется этого.

(94) А входящие платежи как в 1С создаются?

(93) Ручками. Ну и соотвественно да, в этом косяк.

(94) // Какую загрузку ещё делать в 1с? То что платеж исполнен? Не выполняется этого.

Зашибись...

А входящие платежи у вас руками забивают что-ли?

(96) <Вырезано цензурой>

(96) судя по всему, даже загрузка (типовая) вам бы не очень помогла...

(98) не помогло бы

(97) Входящие - нет.

(99) Она типовая полностью.