|
Вирус изменил счёт на оплату | ☑ | ||
---|---|---|---|---|
0
SunFox
11.08.20
✎
21:37
|
Сегодня пожаловались, что клиент получил счёт с реквизитами на оплату левой организации, остальное наполнение счета осталось оригинальным. Счета высылали pdf ом из КА, выяснили с админом, что почтови к и 1С отправляла оригинальные документы, а вот клиент получал уже изменённые. Сталкивался кто с таким? Об изменениях платёжек при загрузки из 1С известно, но такое впервые.
|
|||
1
vde69
11.08.20
✎
21:41
|
Может это уволенный админ той организации решил так компенсировать недоплату?
|
|||
2
vovastar
11.08.20
✎
21:42
|
Это еще ничего.
Некоторые клиенты, у которых стоит Первый офд (https://www.1-ofd.ru/), начали получать письма от https://1ofd.com/ с просьбой оплатить счет на офд со скидкой 20%. Так что будьте аккуратны и осторожны. |
|||
3
SunFox
11.08.20
✎
21:45
|
Тогда это не админ уже, если таким заморочился, четко вырезать куски типового счёта 1С, надо не только админить мочь.
|
|||
4
rudnitskij
11.08.20
✎
21:45
|
(0) МД5 отправляемого файла фиксируйте для сверки
|
|||
5
SunFox
11.08.20
✎
21:49
|
(4) Как эта фиксация обычным юзерам поможет? Там даже размер файла стал другой. Это примочки специальные ставить, но для этого ЭДО есть.
|
|||
6
rudnitskij
11.08.20
✎
21:51
|
(5) при приеме сверять мд5 полученного файла с тем, что отправлен реальным отправителем. Это не особо сложно
|
|||
7
SunFox
11.08.20
✎
21:52
|
(6) Имеешь ввиду протокол на почтовике, что бы это делал?
|
|||
8
rudnitskij
11.08.20
✎
21:56
|
(7) нет, стоит какое-то решение у получателя мудрить. Если кто-то может подменить содержимое письма - что ему ваши протоколы почтовиков?
|
|||
9
SunFox
11.08.20
✎
22:00
|
(8) Я не ищу решений для безопасного обмена информацией, они и так известны.
|
|||
10
vovastar
11.08.20
✎
22:03
|
(9) просто сам факт интересный, а вы нашли на каком этапе подмена происходит? Почта у вас на каком ящике?
|
|||
11
SunFox
11.08.20
✎
22:05
|
Пока не нашли, у клиента почта на майле, проверили только свои исходящие - они оригинальные.
|
|||
12
lodger
11.08.20
✎
22:16
|
(0) а пройтись по новым реквизитам? кто выгодополучатель?
|
|||
13
SunFox
11.08.20
✎
22:22
|
Контора Московская, в базе 1С такой нет даже в контрагентах.
|
|||
14
lodger
11.08.20
✎
22:28
|
(11) вместе с клиентом открываете папку исходящих писем, заглядываете в платежку, дальше он отправляется искать проблемы у себя.
|
|||
15
vovastar
11.08.20
✎
22:32
|
Карантин кому то явно идет на пользу и повышение профессионального опыта в сфере кибер преступлений.
|
|||
16
NorthWind
11.08.20
✎
22:35
|
(15) дурачков ищут. Ща уже мало кто на деревню дедушке платит, вот так без договора и непонятно по каким реквизитам.
|
|||
17
SunFox
11.08.20
✎
22:38
|
(14) Клиенту не где искать, у него майл публичный.
|
|||
18
NorthWind
11.08.20
✎
22:40
|
(17) пароль на ящике сменить. Попробовать загрузить файло из почты на разных устройствах и посмотреть на него.
|
|||
19
Chieftain
11.08.20
✎
22:42
|
Забавная хрень, на днях подменяющим счета в платежках ГБ уличили, не туда деньги отправлял
|
|||
20
Chieftain
11.08.20
✎
22:43
|
+(19) на 160 часть 4
|
|||
21
SunFox
11.08.20
✎
22:48
|
(18) Он смотрел почту на смартфоне и на компе - везде входящие с подлогом.
|
|||
22
Chieftain
11.08.20
✎
22:55
|
(21) У остальных всё ок? Тогда вероятнее всего "ОН" посмотрел, молодец! Пусть покажет и на смартфоне и на компе.
Если там и правда так - повторите отправку и ищите у себя червя. |
|||
23
Доминошник
11.08.20
✎
23:09
|
(0) https://safe.cnews.ru/news/top/2020-08-11_najden_sposob_podmenyat
Хотя цифровая подпись должна защищать PDF от любых изменений, существуют возможности обойти защиту. Средства просмотра PDF-документов интерпретируют некоторые изменения как малозначительные и безопасные, притом, что злоумышленники могут подменить содержание отдельных частей или даже всего документа. Как это сделать, продемонстрировали эксперты Рурского университета в Бохуме. |
|||
24
Доминошник
11.08.20
✎
23:12
|
(23) Оттуда же:
"Суть атаки состоит в том, что злоумышленник может создать PDF с двумя разными типами содержимого. Один тип — ожидаемые данные со стороны тех, кто будет производить подписание PDF-документа. Второй — скрытые данные, отображаемые после того, как PDF-файл получает цифровую подпись. В результате подписант и получатель PDF могут видеть разную информацию, хотя средства просмотра не наблюдают никаких нарушений." |
|||
25
ssh2006
12.08.20
✎
00:03
|
(0) бардак у клиента, на его стороне
|
|||
26
Fram
12.08.20
✎
03:53
|
(0) Попахивает сказкой. Попросите клиента через тимвьюер показать вам это письмо в интерфейсе мейлру. Ещё у мейлру есть возможность скачать письмо в "сыром" виде. Скачайте своими руками и выкачайте его себе. Откройте в ноутпаде и внимательно изучите заголовки - адреса, моменты времени.
|
|||
27
spectre1978
12.08.20
✎
06:35
|
Если кто-то получил пароль на ящик, то атака может быть и снаружи. Можно анализировать входящие письма, нужные удалять, а вместо них присылать фейковые с подделанным обратным адресом и исправленным PDFом.
Но мне почему-то тоже думается что скорее всего мудрит кто-то из персонала. Слишком уж кривая идея для автоматизации ПДФы править, и выхлоп невелик. |
|||
28
ДенисЧ
12.08.20
✎
06:44
|
Используйте любой ЭДЛ и ниииии мозги
|
|||
29
Garykom
гуру
12.08.20
✎
08:50
|
теоретически можно подменить почтовый домен, подставить свой промежуточный сервер email и прекрасно подменять все
|
|||
30
Garykom
гуру
12.08.20
✎
08:52
|
(29)+ это к тому что изучение исходящих нихрена не покажет
да (26) надо изучать входящее сырое и искать зацепки |
|||
31
NorthWind
12.08.20
✎
08:59
|
(29) можно много чего, вопрос, кто и ради чего этим будет заниматься. Все это достаточно муторные манипуляции, а счета на серьезные суммы сейчас практически никто с бухты-барахты не платит, дураков в бизнесе осталось мало. Смысл городить городухи, если вас почти сразу же спалят? Какой-то смысл только в том случае, если кто-то в бухии в теме, и знает, на кого свалить, когда деньги уйдут не туда куда надо. Тогда понятно, за счет чего "не уследят" за небрежной оплатой.
|
|||
32
dka80
12.08.20
✎
09:03
|
А мне одному кажется, что когда платеж придет в банк, то банк скажет, что у ООО "Рога и Копыта", которому вы платите, нет таких банковских реквизитов?
|
|||
33
ptiz
12.08.20
✎
09:30
|
(0) Клиент парит вам мозг.
|
|||
34
vova1122
12.08.20
✎
10:29
|
(32) Так ведь банк сверяет только цифры. А цифры ведь правильные (левого предприятия), хотя название может быть другое (а самого соответствия названия банковским реквизитам банк не сверяет. Так как могут написать ООО "Рога и Копыта" или ООО "Poгa и Кoпытa" - некоторые буквы заменены на латиницу)
|
|||
35
Джинн
12.08.20
✎
10:33
|
(33) Я бы даже сказал жестче.
|
|||
36
lodger
12.08.20
✎
10:39
|
(35) я бы даже сказал, что ТС парит мозг нам :)
|
|||
37
NorthWind
12.08.20
✎
10:40
|
(34) банки сейчас относятся к этим вопросам довольно серьезно. Сбер, например, вообще требует подписать ввод контрагента в справочник перед тем как отправлять деньги. На этом этапе моментально вылезет левое название организации. Все это какая-то чушь.
|
|||
38
vova1122
12.08.20
✎
10:50
|
(37) И как это выглядит на практике? одно предприятие в своем справочнике напишет "Рога и Копыта" а другое "Копыта и Рога" - хотя это одно и то же предприятие. Как банк будет сверять правильность написания?
|
|||
39
fisher
12.08.20
✎
11:18
|
Какой в жопу вирус? Это целенаправленная атака. Причем если у клиента почтовик публичный и клиент не парит мозг (а какой ему смысл?) , то атака на вас. Скорее всего - изнутри. Т.е. или ломанули, или не всем зарплаты хватает. Поройтесь в метаданных исправленных pdf. Может, что интересное нароете. Еще посмотреть заголовки полученных клиентом писем, может тоже что подозрительное нароется.
|
|||
40
fisher
12.08.20
✎
11:20
|
(0) На какую хоть сумму?
|
|||
41
NorthWind
12.08.20
✎
12:07
|
(38) есть общие базы зарегистрированных предприятий, где названия предприятий приведены до буквы так, как они есть в регистрационных документах. Также есть алгоритмы нечеткого сравнения строк. При желании все это элементарно проверяется. Лет 20 назад - да, проблема была. Сейчас это все вообще не вопрос.
|
|||
42
SunFox
12.08.20
✎
13:03
|
(40) Поставки на сотни тыс рублей. У себя все проверили. Клиент толком информцию не дает, оставим наверно пока так все.
|
|||
43
Asmody
12.08.20
✎
13:13
|
Сталкивались. Подделали домен поставщика и ловили "на живца". Когда "клюнуло", подделали наш домен тоже. Переписку вели месяца полтора. Когда всплыло, провели расследование. Я нашел подделку доменов в письмах. Запросили наши письма у поставщика. Поставили перед фактом. Внутренняя проверка у поставщика выявила инсайд. Разрулили. Поставщик - крупная европейская корпорация.
|
|||
44
Asmody
12.08.20
✎
13:16
|
С нашей стороны был косяк у менеджера по закупкам. По инструкции любое изменение реквизитов поставщика он обязан подтвердить по телефону, либо другим способом, кроме email. Менеджера уволили.
|
|||
45
rudnitskij
12.08.20
✎
19:09
|
(9) "Я не ищу решений для безопасного обмена информацией, они и так известны" - я предлагаю решение для того, чтоб быть уверенным в том, что человек получает то, что ему отправили
|
|||
46
Krendel
12.08.20
✎
19:11
|
(44) Правильно понимаю, что технически имел место сговор? но вопрос копеешный?
|
|||
47
Asmody
13.08.20
✎
11:35
|
(46) Неправильно. С той стороны был инсайдер. С нашей - лохушка. В какой-то момент прислали письмо с поддельного адреса как бы "с той стороны" (в домене добавили еще одну буковку на конце). Когда она на него ответила (через реплай), тогда и понеслось. Ребятки быстренько зарегали домен как у нас, только поменяли в середине a на e. Получали от наших письма, перенаправляли их на реальные адреса поставщика уже с поддельными отправителями. Поэтому внешне и по содержанию письма были "идентичны натуральным". Когда дело дошло до инвойса, pdf от поставщика просто отфотошопили. На экране и при печати в глаза не бросается, но в редакторе видно. Наши увидели измененные реквизиты, но поскольку тогда был замут с санкциями, замена банка было обычной практикой. Наши запросили официальное письмо-подтверждение. Эти ребята даже такое сляпали. В таких случаях у нас закупщик должен еще получить подтверждение по телефону, или по скайпу, но в этот раз прощелкали. Очнулись, когда через неделю после платежа, поставщик не увидел денег на счете. При этом, по почте морочили голову, мол "банк задерживает платежи из России" и все вот это вот.
Ну и вопрос там далеко не копеечный. Ради копеек никто не стал бы так заморачиваться. В тот раз "слили" эквивалент хорошей московской двушки. В евро. |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |