Имя: Пароль:
1C
1С v8
Вирус изменил счёт на оплату
0 SunFox
 
11.08.20
21:37
Сегодня пожаловались, что клиент получил счёт с реквизитами на оплату левой организации, остальное наполнение счета осталось оригинальным. Счета высылали pdf ом из КА, выяснили с админом, что почтови к и 1С отправляла оригинальные документы, а вот клиент получал уже изменённые. Сталкивался кто с таким? Об изменениях платёжек при загрузки из 1С известно, но такое впервые.
1 vde69
 
11.08.20
21:41
Может это уволенный админ той организации решил так компенсировать недоплату?
2 vovastar
 
11.08.20
21:42
Это еще ничего.
Некоторые клиенты, у которых стоит Первый офд (https://www.1-ofd.ru/), начали получать письма от https://1ofd.com/ с просьбой оплатить счет на офд со скидкой 20%.
Так что будьте аккуратны и осторожны.
3 SunFox
 
11.08.20
21:45
Тогда это не админ уже, если таким заморочился, четко вырезать куски типового счёта 1С, надо не только админить мочь.
4 rudnitskij
 
11.08.20
21:45
(0) МД5 отправляемого файла фиксируйте для сверки
5 SunFox
 
11.08.20
21:49
(4) Как эта фиксация обычным юзерам поможет? Там даже размер файла стал другой. Это примочки специальные ставить, но для этого ЭДО есть.
6 rudnitskij
 
11.08.20
21:51
(5) при приеме сверять мд5 полученного файла с тем, что отправлен реальным отправителем. Это не особо сложно
7 SunFox
 
11.08.20
21:52
(6) Имеешь ввиду протокол на почтовике, что бы это делал?
8 rudnitskij
 
11.08.20
21:56
(7) нет, стоит какое-то решение у получателя мудрить. Если кто-то может подменить содержимое письма - что ему ваши протоколы почтовиков?
9 SunFox
 
11.08.20
22:00
(8) Я не ищу решений для безопасного обмена информацией, они и так известны.
10 vovastar
 
11.08.20
22:03
(9) просто сам факт интересный, а вы нашли на каком этапе подмена происходит? Почта у вас на каком ящике?
11 SunFox
 
11.08.20
22:05
Пока не нашли, у клиента почта на майле, проверили только свои исходящие - они оригинальные.
12 lodger
 
11.08.20
22:16
(0) а пройтись по новым реквизитам? кто выгодополучатель?
13 SunFox
 
11.08.20
22:22
Контора Московская, в базе 1С такой нет даже в контрагентах.
14 lodger
 
11.08.20
22:28
(11) вместе с клиентом открываете папку исходящих писем, заглядываете в платежку, дальше он отправляется искать проблемы у себя.
15 vovastar
 
11.08.20
22:32
Карантин кому то явно идет на пользу и повышение профессионального опыта в сфере кибер преступлений.
16 NorthWind
 
11.08.20
22:35
(15) дурачков ищут. Ща уже мало кто на деревню дедушке платит, вот так без договора и непонятно по каким реквизитам.
17 SunFox
 
11.08.20
22:38
(14) Клиенту не где искать, у него майл публичный.
18 NorthWind
 
11.08.20
22:40
(17) пароль на ящике сменить. Попробовать загрузить файло из почты на разных устройствах и посмотреть на него.
19 Chieftain
 
11.08.20
22:42
Забавная хрень, на днях подменяющим счета в платежках ГБ уличили, не туда деньги отправлял
20 Chieftain
 
11.08.20
22:43
+(19) на 160 часть 4
21 SunFox
 
11.08.20
22:48
(18) Он смотрел почту на смартфоне и на компе - везде входящие с подлогом.
22 Chieftain
 
11.08.20
22:55
(21) У остальных всё ок? Тогда вероятнее всего "ОН" посмотрел, молодец! Пусть покажет и на смартфоне и на компе.
Если там и правда так - повторите отправку и ищите у себя червя.
23 Доминошник
 
11.08.20
23:09
(0) https://safe.cnews.ru/news/top/2020-08-11_najden_sposob_podmenyat

Хотя цифровая подпись должна защищать PDF от любых изменений, существуют возможности обойти защиту. Средства просмотра PDF-документов интерпретируют некоторые изменения как малозначительные и безопасные, притом, что злоумышленники могут подменить содержание отдельных частей или даже всего документа. Как это сделать, продемонстрировали эксперты Рурского университета в Бохуме.
24 Доминошник
 
11.08.20
23:12
(23) Оттуда же:
"Суть атаки состоит в том, что злоумышленник может создать PDF с двумя разными типами содержимого. Один тип — ожидаемые данные со стороны тех, кто будет производить подписание PDF-документа. Второй — скрытые данные, отображаемые после того, как PDF-файл получает цифровую подпись. В результате подписант и получатель PDF могут видеть разную информацию, хотя средства просмотра не наблюдают никаких нарушений."
25 ssh2006
 
12.08.20
00:03
(0) бардак у клиента, на его стороне
26 Fram
 
12.08.20
03:53
(0) Попахивает сказкой. Попросите клиента через тимвьюер показать вам это письмо в интерфейсе мейлру. Ещё у мейлру есть возможность скачать письмо в "сыром" виде. Скачайте своими руками и выкачайте его себе. Откройте в ноутпаде и внимательно изучите заголовки - адреса, моменты времени.
27 spectre1978
 
12.08.20
06:35
Если кто-то получил пароль на ящик, то атака может быть и снаружи. Можно анализировать входящие письма, нужные удалять, а вместо них присылать фейковые с подделанным обратным адресом и исправленным PDFом.

Но мне почему-то тоже думается что скорее всего мудрит кто-то из персонала. Слишком уж кривая идея для автоматизации ПДФы править, и выхлоп невелик.
28 ДенисЧ
 
12.08.20
06:44
Используйте любой ЭДЛ и ниииии мозги
29 Garykom
 
гуру
12.08.20
08:50
теоретически можно подменить почтовый домен, подставить свой промежуточный сервер email и прекрасно подменять все
30 Garykom
 
гуру
12.08.20
08:52
(29)+ это к тому что изучение исходящих нихрена не покажет

да (26) надо изучать входящее сырое и искать зацепки
31 NorthWind
 
12.08.20
08:59
(29) можно много чего, вопрос, кто и ради чего этим будет заниматься. Все это достаточно муторные манипуляции, а счета на серьезные суммы сейчас практически никто с бухты-барахты не платит, дураков в бизнесе осталось мало. Смысл городить городухи, если вас почти сразу же спалят? Какой-то смысл только в том случае, если кто-то в бухии в теме, и знает, на кого свалить, когда деньги уйдут не туда куда надо. Тогда понятно, за счет чего "не уследят" за небрежной оплатой.
32 dka80
 
12.08.20
09:03
А мне одному кажется, что когда платеж придет в банк, то банк скажет, что у ООО "Рога и Копыта", которому вы платите, нет таких банковских реквизитов?
33 ptiz
 
12.08.20
09:30
(0) Клиент парит вам мозг.
34 vova1122
 
12.08.20
10:29
(32) Так ведь банк сверяет только цифры. А цифры ведь правильные (левого предприятия), хотя название может быть другое (а самого соответствия названия банковским реквизитам банк не сверяет. Так как могут написать ООО "Рога и Копыта" или ООО "Poгa и Кoпытa" - некоторые буквы заменены на латиницу)
35 Джинн
 
12.08.20
10:33
(33) Я бы даже сказал жестче.
36 lodger
 
12.08.20
10:39
(35) я бы даже сказал, что ТС парит мозг нам :)
37 NorthWind
 
12.08.20
10:40
(34) банки сейчас относятся к этим вопросам довольно серьезно. Сбер, например, вообще требует подписать ввод контрагента в справочник перед тем как отправлять деньги. На этом этапе моментально вылезет левое название организации. Все это какая-то чушь.
38 vova1122
 
12.08.20
10:50
(37) И как это выглядит на практике? одно предприятие в своем справочнике напишет "Рога и Копыта" а другое "Копыта и Рога" - хотя это одно и то же предприятие. Как банк будет сверять правильность написания?
39 fisher
 
12.08.20
11:18
Какой в жопу вирус? Это целенаправленная атака. Причем если у клиента почтовик публичный и клиент не парит мозг (а какой ему смысл?) , то атака на вас. Скорее всего - изнутри. Т.е. или ломанули, или не всем зарплаты хватает. Поройтесь в метаданных исправленных pdf. Может, что интересное нароете. Еще посмотреть заголовки полученных клиентом писем, может тоже что подозрительное нароется.
40 fisher
 
12.08.20
11:20
(0) На какую хоть сумму?
41 NorthWind
 
12.08.20
12:07
(38) есть общие базы зарегистрированных предприятий, где названия предприятий приведены до буквы так, как они есть в регистрационных документах. Также есть алгоритмы нечеткого сравнения строк. При желании все это элементарно проверяется. Лет 20 назад - да, проблема была. Сейчас это все вообще не вопрос.
42 SunFox
 
12.08.20
13:03
(40) Поставки на сотни тыс рублей. У себя все проверили. Клиент толком информцию не дает, оставим наверно пока так все.
43 Asmody
 
12.08.20
13:13
Сталкивались. Подделали домен поставщика и ловили "на живца". Когда "клюнуло", подделали наш домен тоже. Переписку вели месяца полтора. Когда всплыло, провели расследование. Я нашел подделку доменов в письмах. Запросили наши письма у поставщика. Поставили перед фактом. Внутренняя проверка у поставщика выявила инсайд. Разрулили. Поставщик - крупная европейская корпорация.
44 Asmody
 
12.08.20
13:16
С нашей стороны был косяк у менеджера по закупкам. По инструкции любое изменение реквизитов поставщика он обязан подтвердить по телефону, либо другим способом, кроме email. Менеджера уволили.
45 rudnitskij
 
12.08.20
19:09
(9) "Я не ищу решений для безопасного обмена информацией, они и так известны" - я предлагаю решение для того, чтоб быть уверенным в том, что человек получает то, что ему отправили
46 Krendel
 
12.08.20
19:11
(44) Правильно понимаю, что технически имел место сговор? но вопрос копеешный?
47 Asmody
 
13.08.20
11:35
(46) Неправильно. С той стороны был инсайдер. С нашей - лохушка. В какой-то момент прислали письмо с поддельного адреса как бы "с той стороны" (в домене добавили еще одну буковку на конце). Когда она на него ответила (через реплай), тогда и понеслось. Ребятки быстренько зарегали домен как у нас, только поменяли в середине a на e. Получали от наших письма, перенаправляли их на реальные адреса поставщика уже с поддельными отправителями. Поэтому внешне и по содержанию письма были "идентичны натуральным". Когда дело дошло до инвойса, pdf от поставщика просто отфотошопили. На экране и при печати в глаза не бросается, но в редакторе видно. Наши увидели измененные реквизиты, но поскольку тогда был замут с санкциями, замена банка было обычной практикой. Наши запросили официальное письмо-подтверждение. Эти ребята даже такое сляпали. В таких случаях у нас закупщик должен еще получить подтверждение по телефону, или по скайпу, но в этот раз прощелкали. Очнулись, когда через неделю после платежа, поставщик не увидел денег на счете. При этом, по почте морочили голову, мол "банк задерживает платежи из России" и все вот это вот.
Ну и вопрос там далеко не копеечный. Ради копеек никто не стал бы так заморачиваться. В тот раз "слили" эквивалент хорошей московской двушки. В евро.
Есть два вида языков, одни постоянно ругают, а вторыми никто не пользуется.