|
Mezzo - вирус подменяющий реквизиты в банковских выписках, кто-то уже сталкивался? | ||
|---|---|---|---|
|
0
ximik33rus
26.01.18
✎
09:27
|
"Лаборатория Касперского" обнаружила разновидность вредоносной программы Mezzo, которая попадает в компьютер под видом легального программного обеспечения. Как сообщается, при помощи вируса похищают у компаний деньги через подмену реквизитов. Это происходит во время обмена файлов между "1С" и банковскими системами.
Кто то уже сталкивался с подобным вирусом? Что можете рассказать? |
||
|
1
Мимохожий Однако
26.01.18
✎
09:28
|
Кто сталкивался-промолчит.Кто не сталкивался-промолчит. ИМХО.
|
||
|
2
kisobol
26.01.18
✎
09:29
|
Откусить руки бухам
|
||
|
3
zva
26.01.18
✎
09:34
|
|||
|
4
Звездец
26.01.18
✎
09:45
|
ну допустим кто-то сталкивался. и что?
|
||
|
5
Мимохожий Однако
26.01.18
✎
09:50
|
(4) Ему видимо интересно, жив ли ещё тот бухгалтер...
|
||
|
6
mistеr
26.01.18
✎
09:51
|
Подмена данных в текстовых файлах это не интересно. Вот когда DirectBank начнут ломать, пойдет веселуха — фишинговые обработки на ИС и т.д.
|
||
|
7
ximik33rus
26.01.18
✎
09:53
|
(4) (5) Интересен опыт решений, принятых мер и т.п. Как проник вирус в конце концов.
(3) Спасибо за полезные ссылки. |
||
|
8
Пузан
26.01.18
✎
10:09
|
Вроде же 1С решила этот вопрос. По крайне мере в БП 3.0 файл выгрузки открывается монопольно и удерживается, пока не произойдет загрузка в интернет банк. У меня так работает.
|
||
|
9
mistеr
26.01.18
✎
10:19
|
(8) Ты что то путаешь. Если файл удерживается "монопольно", в т.ч. на чтение, то клиент банка его не загрузит. :)
И потом, как 1С проверяет, что произошла загрузка именно в интернет банк а не куда-то еще? |
||
|
10
Смотрящий
26.01.18
✎
10:20
|
(9) БП держит файл на запись, пока сам окно не закроешь
|
||
|
11
ximik33rus
26.01.18
✎
11:09
|
Судя по информации от аналитического центра Лаборатории Касперского: https://securelist.ru/mezzo/88421/
Данный вирус в момент вызова защиты от перезаписи файла в 1С просто прибивает процесс 1cv8c.exe и заменяет из временной папки своим файлом подлинный. Тут в зависимости от халатности буха, плюнет бух на программу которая "почему то сама закрылась", а файл выгрузки остался. И отправит в клиент-банк подмену. |
||
|
12
Пузан
26.01.18
✎
11:18
|
(9) Это ты что-то путаешь. Открой типовую БП и выгрузи платежку. Увидишь как это работает.
|
||
|
13
MetaDon
26.01.18
✎
11:20
|
(0) подменит он данные и что? нового контрагента еще подписать надо через смс
|
||
|
14
Пузан
26.01.18
✎
11:24
|
(13) Там смысл в том, что человек после загрузки платежки в банк не проверяет реквизиты, справедливо считая, что они точно те, что он указал в платежке в 1С. Поэтому подписывает не задумываясь.
Только я так понимаю, платеж же всегда можно отменить. А по реквизитам получателя найти мошенника. |
||
|
15
ximik33rus
26.01.18
✎
11:27
|
(14) Можно отменить, если не затупить) А если как ты говоришь "справедливо считая" что все правильно и "зачем мне проверять" то когда платеж станет "исполненым" уже никуда не дернешься.
|
||
|
16
MetaDon
26.01.18
✎
11:29
|
(14) как так не задумываясь?) вместо одной фирмы -другая) подставляется, очень тупой бух должен быть
|
||
|
17
Пузан
26.01.18
✎
11:36
|
(16) Фирма может быть в принципе той же самой, реквизиты счета и банка другие, все остальное то же самое. У меня так банк два года принимал платежки с левым вообще ИНН. Потом только спохватились. Получается что их система контроля проверяет только банковские реквизиты БИК, К/С и Р/С.
|
||
|
18
Пузан
26.01.18
✎
11:38
|
(15) Пишется письмо на возврат ошибочно отправленных денег и все. С другой стороны реквизиты получателя известны, открыть счет не имея при себе как минимум паспорта и без личного присутствия в банке, нельзя.
|
||
|
19
Пузан
26.01.18
✎
11:39
|
Вычислить мошенника на раз/два или нагнуть банк, который открыл счет минуя законной процедуры.
|
||
|
20
ximik33rus
26.01.18
✎
11:46
|
(19) а подставные лица? А почему еще не нашли?)
Судя по цитате работников аналитического центра ЛК аналогичный вирус похитил не мало: «Мы далеко не первый раз сталкиваемся с зловредами, атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад аналогичного троянца TwoBee злоумышленникам удалось похитить более 200 миллионов рублей у российских организаций, – напоминает Сергей Юнаковский, антивирусный эксперт «Лаборатории Касперского». – Однако Mezzo отличается от своего «собрата». С одной стороны, он использует более простой алгоритм поиска и проверки интересующих его файлов. Но при этом вполне вероятно, что одними лишь бухгалтерскими системами он не ограничивается. И это очень в духе современных вирусописателей, которые все чаще реализуют множество модулей и различных функций в рамках одного зловреда». |
||
|
21
vde69
26.01.18
✎
11:47
|
у нас используется интегрированная система (частичный аналог DirectBank). Формирование, шифрование, отправка, проверка ЭЦП происходит на сервере 1с..
ps называется CYBER-FT |
||
|
22
Джордж1
26.01.18
✎
11:48
|
(18)платеж уйдет быстрее письма. фиг потом чего вытащишь
У меня клиент-банк на все новые счета требует подтверждения В Сбербанке - аналогично |
||
|
23
eklmn
гуру
26.01.18
✎
12:10
|
короче, как всегда, все зависит от раздолбайства админа/буха/банка.
|
||
|
24
Джордж1
26.01.18
✎
12:14
|
Работал в конторе - там 30-ку увели еще до кризиса через удаленное управление компом
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|