Вход | Регистрация


1С:Предприятие :: 1С:Предприятие 8 общая

Mezzo - вирус подменяющий реквизиты в банковских выписках, кто-то уже сталкивался?

Mezzo - вирус подменяющий реквизиты в банковских выписках, кто-то уже сталкивался?
Я
   ximik33rus
 
26.01.18 - 09:27
"Лаборатория Касперского" обнаружила разновидность вредоносной программы Mezzo, которая попадает в компьютер под видом легального программного обеспечения. Как сообщается, при помощи вируса похищают у компаний деньги через подмену реквизитов. Это происходит во время обмена файлов между "1С" и банковскими системами.

Кто то уже сталкивался с подобным вирусом? Что можете рассказать?
 
 
   МимохожийОднако
 
1 - 26.01.18 - 09:28
Кто сталкивался-промолчит.Кто не сталкивался-промолчит. ИМХО.
   kisobol
 
2 - 26.01.18 - 09:29
Откусить руки бухам
   zva
 
3 - 26.01.18 - 09:34
   Звездец
 
4 - 26.01.18 - 09:45
ну допустим кто-то сталкивался. и что?
   МимохожийОднако
 
5 - 26.01.18 - 09:50
(4) Ему видимо интересно, жив ли ещё тот бухгалтер...
   mistеr
 
6 - 26.01.18 - 09:51
Подмена данных в текстовых файлах это не интересно. Вот когда DirectBank начнут ломать, пойдет веселуха — фишинговые обработки на ИС и т.д.
   ximik33rus
 
7 - 26.01.18 - 09:53
(4) (5) Интересен опыт решений, принятых мер и т.п. Как проник вирус в конце концов.

(3) Спасибо за полезные ссылки.
   Пузан
 
8 - 26.01.18 - 10:09
Вроде же 1С решила этот вопрос. По крайне мере в БП 3.0 файл выгрузки открывается монопольно и удерживается, пока не произойдет загрузка в интернет банк. У меня так работает.
   mistеr
 
9 - 26.01.18 - 10:19
(8) Ты что то путаешь. Если файл удерживается "монопольно", в т.ч. на чтение, то клиент банка его не загрузит. :)

И потом, как 1С проверяет, что произошла загрузка именно в интернет банк а не куда-то еще?
   Смотрящий
 
10 - 26.01.18 - 10:20
(9) БП держит файл на запись, пока сам окно не закроешь
 
 Рекламное место пустует
   ximik33rus
 
11 - 26.01.18 - 11:09
Судя по информации от аналитического центра Лаборатории Касперского: https://securelist.ru/mezzo/88421/

Данный вирус в момент вызова защиты от перезаписи файла в 1С просто прибивает процесс 1cv8c.exe и заменяет из временной папки своим файлом подлинный.

Тут в зависимости от халатности буха, плюнет бух на программу которая "почему то сама закрылась", а файл выгрузки остался. И отправит в клиент-банк подмену.
   Пузан
 
12 - 26.01.18 - 11:18
(9) Это ты что-то путаешь. Открой типовую БП и выгрузи платежку. Увидишь как это работает.
   MetaDon
 
13 - 26.01.18 - 11:20
(0) подменит он данные и что? нового контрагента еще подписать надо через смс
   Пузан
 
14 - 26.01.18 - 11:24
(13) Там смысл в том, что человек после загрузки платежки в банк не проверяет реквизиты, справедливо считая, что они точно те, что он указал в платежке в 1С. Поэтому подписывает не задумываясь.
Только я так понимаю, платеж же всегда можно отменить. А по реквизитам получателя найти мошенника.
   ximik33rus
 
15 - 26.01.18 - 11:27
(14) Можно отменить, если не затупить) А если как ты говоришь "справедливо считая" что все правильно и "зачем мне проверять" то когда платеж станет "исполненым" уже никуда не дернешься.
   MetaDon
 
16 - 26.01.18 - 11:29
(14) как так не задумываясь?) вместо одной фирмы -другая) подставляется, очень тупой бух должен быть
   Пузан
 
17 - 26.01.18 - 11:36
(16) Фирма может быть в принципе той же самой, реквизиты счета и банка другие, все остальное то же самое. У меня так банк два года принимал платежки с левым вообще ИНН. Потом только спохватились. Получается что их система контроля проверяет только банковские реквизиты БИК, К/С и Р/С.
   Пузан
 
18 - 26.01.18 - 11:38
(15) Пишется письмо на возврат ошибочно отправленных денег и все. С другой стороны реквизиты получателя известны, открыть счет не имея при себе как минимум паспорта и без личного присутствия в банке, нельзя.
   Пузан
 
19 - 26.01.18 - 11:39
Вычислить мошенника на раз/два или нагнуть банк, который открыл счет минуя законной процедуры.
   ximik33rus
 
20 - 26.01.18 - 11:46
(19) а подставные лица? А почему еще не нашли?)

Судя по цитате работников аналитического центра ЛК аналогичный вирус похитил не мало:

«Мы далеко не первый раз сталкиваемся с зловредами, атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад аналогичного троянца TwoBee злоумышленникам удалось похитить более 200 миллионов рублей у российских организаций, – напоминает Сергей Юнаковский, антивирусный эксперт «Лаборатории Касперского». – Однако Mezzo отличается от своего «собрата». С одной стороны, он использует более простой алгоритм поиска и проверки интересующих его файлов. Но при этом вполне вероятно, что одними лишь бухгалтерскими системами он не ограничивается. И это очень в духе современных вирусописателей, которые все чаще реализуют множество модулей и различных функций в рамках одного зловреда».
   vde69
 
21 - 26.01.18 - 11:47
у нас используется интегрированная система (частичный аналог DirectBank). Формирование, шифрование, отправка, проверка ЭЦП происходит на сервере 1с..


ps
называется CYBER-FT
   Джордж1
 
22 - 26.01.18 - 11:48
(18)платеж уйдет быстрее письма. фиг потом чего вытащишь

У меня клиент-банк на все новые счета требует подтверждения
В Сбербанке - аналогично
   eklmn
 
23 - 26.01.18 - 12:10
короче, как всегда, все зависит от раздолбайства админа/буха/банка.
   Джордж1
 
24 - 26.01.18 - 12:14
Работал в конторе - там 30-ку увели еще до кризиса через удаленное управление компом


Список тем форума
Рекламное место пустует  Рекламное место пустует
Программист всегда исправляет последнюю ошибку.
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует