Сегодня пожаловались, что клиент получил счёт с реквизитами на оплату левой организации, остальное наполнение счета осталось оригинальным. Счета высылали pdf ом из КА, выяснили с админом, что почтови к и 1С отправляла оригинальные документы, а вот клиент получал уже изменённые. Сталкивался кто с таким? Об изменениях платёжек при загрузки из 1С известно, но такое впервые.

Может это уволенный админ той организации решил так компенсировать недоплату?

Это еще ничего.
Некоторые клиенты, у которых стоит Первый офд (https://www.1-ofd.ru/), начали получать письма от https://1ofd.com/ с просьбой оплатить счет на офд со скидкой 20%.
Так что будьте аккуратны и осторожны.

Тогда это не админ уже, если таким заморочился, четко вырезать куски типового счёта 1С, надо не только админить мочь.

(0) МД5 отправляемого файла фиксируйте для сверки

(4) Как эта фиксация обычным юзерам поможет? Там даже размер файла стал другой. Это примочки специальные ставить, но для этого ЭДО есть.

(5) при приеме сверять мд5 полученного файла с тем, что отправлен реальным отправителем. Это не особо сложно

(6) Имеешь ввиду протокол на почтовике, что бы это делал?

(7) нет, стоит какое-то решение у получателя мудрить. Если кто-то может подменить содержимое письма - что ему ваши протоколы почтовиков?

(8) Я не ищу решений для безопасного обмена информацией, они и так известны.

(9) просто сам факт интересный, а вы нашли на каком этапе подмена происходит? Почта у вас на каком ящике?

Пока не нашли, у клиента почта на майле, проверили только свои исходящие - они оригинальные.

(0) а пройтись по новым реквизитам? кто выгодополучатель?

Контора Московская, в базе 1С такой нет даже в контрагентах.

(11) вместе с клиентом открываете папку исходящих писем, заглядываете в платежку, дальше он отправляется искать проблемы у себя.

Карантин кому то явно идет на пользу и повышение профессионального опыта в сфере кибер преступлений.

(15) дурачков ищут. Ща уже мало кто на деревню дедушке платит, вот так без договора и непонятно по каким реквизитам.

(14) Клиенту не где искать, у него майл публичный.

(17) пароль на ящике сменить. Попробовать загрузить файло из почты на разных устройствах и посмотреть на него.

Забавная хрень, на днях подменяющим счета в платежках ГБ уличили, не туда деньги отправлял

+(19) на 160 часть 4

(18) Он смотрел почту на смартфоне и на компе - везде входящие с подлогом.

(21) У остальных всё ок? Тогда вероятнее всего "ОН" посмотрел, молодец! Пусть покажет и на смартфоне и на компе.
Если там и правда так - повторите отправку и ищите у себя червя.

(0) https://safe.cnews.ru/news/top/2020-08-11_najden_sposob_podmenyat

Хотя цифровая подпись должна защищать PDF от любых изменений, существуют возможности обойти защиту. Средства просмотра PDF-документов интерпретируют некоторые изменения как малозначительные и безопасные, притом, что злоумышленники могут подменить содержание отдельных частей или даже всего документа. Как это сделать, продемонстрировали эксперты Рурского университета в Бохуме.

(23) Оттуда же:
"Суть атаки состоит в том, что злоумышленник может создать PDF с двумя разными типами содержимого. Один тип — ожидаемые данные со стороны тех, кто будет производить подписание PDF-документа. Второй — скрытые данные, отображаемые после того, как PDF-файл получает цифровую подпись. В результате подписант и получатель PDF могут видеть разную информацию, хотя средства просмотра не наблюдают никаких нарушений."

(0) бардак у клиента, на его стороне

(0) Попахивает сказкой. Попросите клиента через тимвьюер показать вам это письмо в интерфейсе мейлру. Ещё у мейлру есть возможность скачать письмо в "сыром" виде. Скачайте своими руками и выкачайте его себе. Откройте в ноутпаде и внимательно изучите заголовки - адреса, моменты времени.

Если кто-то получил пароль на ящик, то атака может быть и снаружи. Можно анализировать входящие письма, нужные удалять, а вместо них присылать фейковые с подделанным обратным адресом и исправленным PDFом.

Но мне почему-то тоже думается что скорее всего мудрит кто-то из персонала. Слишком уж кривая идея для автоматизации ПДФы править, и выхлоп невелик.

Используйте любой ЭДЛ и ниииии мозги

теоретически можно подменить почтовый домен, подставить свой промежуточный сервер email и прекрасно подменять все

(29)+ это к тому что изучение исходящих нихрена не покажет

да (26) надо изучать входящее сырое и искать зацепки

(29) можно много чего, вопрос, кто и ради чего этим будет заниматься. Все это достаточно муторные манипуляции, а счета на серьезные суммы сейчас практически никто с бухты-барахты не платит, дураков в бизнесе осталось мало. Смысл городить городухи, если вас почти сразу же спалят? Какой-то смысл только в том случае, если кто-то в бухии в теме, и знает, на кого свалить, когда деньги уйдут не туда куда надо. Тогда понятно, за счет чего "не уследят" за небрежной оплатой.

А мне одному кажется, что когда платеж придет в банк, то банк скажет, что у ООО "Рога и Копыта", которому вы платите, нет таких банковских реквизитов?

(0) Клиент парит вам мозг.

(32) Так ведь банк сверяет только цифры. А цифры ведь правильные (левого предприятия), хотя название может быть другое (а самого соответствия названия банковским реквизитам банк не сверяет. Так как могут написать ООО "Рога и Копыта" или ООО "Poгa и Кoпытa" - некоторые буквы заменены на латиницу)

(33) Я бы даже сказал жестче.

(35) я бы даже сказал, что ТС парит мозг нам :)

(34) банки сейчас относятся к этим вопросам довольно серьезно. Сбер, например, вообще требует подписать ввод контрагента в справочник перед тем как отправлять деньги. На этом этапе моментально вылезет левое название организации. Все это какая-то чушь.

(37) И как это выглядит на практике? одно предприятие в своем справочнике напишет "Рога и Копыта" а другое "Копыта и Рога" - хотя это одно и то же предприятие. Как банк будет сверять правильность написания?

Какой в жопу вирус? Это целенаправленная атака. Причем если у клиента почтовик публичный и клиент не парит мозг (а какой ему смысл?) , то атака на вас. Скорее всего - изнутри. Т.е. или ломанули, или не всем зарплаты хватает. Поройтесь в метаданных исправленных pdf. Может, что интересное нароете. Еще посмотреть заголовки полученных клиентом писем, может тоже что подозрительное нароется.

(0) На какую хоть сумму?

(38) есть общие базы зарегистрированных предприятий, где названия предприятий приведены до буквы так, как они есть в регистрационных документах. Также есть алгоритмы нечеткого сравнения строк. При желании все это элементарно проверяется. Лет 20 назад - да, проблема была. Сейчас это все вообще не вопрос.

(40) Поставки на сотни тыс рублей. У себя все проверили. Клиент толком информцию не дает, оставим наверно пока так все.

Сталкивались. Подделали домен поставщика и ловили "на живца". Когда "клюнуло", подделали наш домен тоже. Переписку вели месяца полтора. Когда всплыло, провели расследование. Я нашел подделку доменов в письмах. Запросили наши письма у поставщика. Поставили перед фактом. Внутренняя проверка у поставщика выявила инсайд. Разрулили. Поставщик - крупная европейская корпорация.

С нашей стороны был косяк у менеджера по закупкам. По инструкции любое изменение реквизитов поставщика он обязан подтвердить по телефону, либо другим способом, кроме email. Менеджера уволили.

(9) "Я не ищу решений для безопасного обмена информацией, они и так известны" - я предлагаю решение для того, чтоб быть уверенным в том, что человек получает то, что ему отправили

(44) Правильно понимаю, что технически имел место сговор? но вопрос копеешный?

(46) Неправильно. С той стороны был инсайдер. С нашей - лохушка. В какой-то момент прислали письмо с поддельного адреса как бы "с той стороны" (в домене добавили еще одну буковку на конце). Когда она на него ответила (через реплай), тогда и понеслось. Ребятки быстренько зарегали домен как у нас, только поменяли в середине a на e. Получали от наших письма, перенаправляли их на реальные адреса поставщика уже с поддельными отправителями. Поэтому внешне и по содержанию письма были "идентичны натуральным". Когда дело дошло до инвойса, pdf от поставщика просто отфотошопили. На экране и при печати в глаза не бросается, но в редакторе видно. Наши увидели измененные реквизиты, но поскольку тогда был замут с санкциями, замена банка было обычной практикой. Наши запросили официальное письмо-подтверждение. Эти ребята даже такое сляпали. В таких случаях у нас закупщик должен еще получить подтверждение по телефону, или по скайпу, но в этот раз прощелкали. Очнулись, когда через неделю после платежа, поставщик не увидел денег на счете. При этом, по почте морочили голову, мол "банк задерживает платежи из России" и все вот это вот.
Ну и вопрос там далеко не копеечный. Ради копеек никто не стал бы так заморачиваться. В тот раз "слили" эквивалент хорошей московской двушки. В евро.