Вход | Регистрация


1С:Предприятие :: 1С:Предприятие 8 общая

Mezzo - вирус подменяющий реквизиты в банковских выписках, кто-то уже сталкивался?

Mezzo - вирус подменяющий реквизиты в банковских выписках, кто-то уже сталкивался?
Я
   ximik33rus
 
26.01.18 - 09:27
"Лаборатория Касперского" обнаружила разновидность вредоносной программы Mezzo, которая попадает в компьютер под видом легального программного обеспечения. Как сообщается, при помощи вируса похищают у компаний деньги через подмену реквизитов. Это происходит во время обмена файлов между "1С" и банковскими системами.

Кто то уже сталкивался с подобным вирусом? Что можете рассказать?
 
 
   МимохожийОднако
 
1 - 26.01.18 - 09:28
Кто сталкивался-промолчит.Кто не сталкивался-промолчит. ИМХО.
   kisobol
 
2 - 26.01.18 - 09:29
Откусить руки бухам
   zva
 
3 - 26.01.18 - 09:34
   Звездец
 
4 - 26.01.18 - 09:45
ну допустим кто-то сталкивался. и что?
   МимохожийОднако
 
5 - 26.01.18 - 09:50
(4) Ему видимо интересно, жив ли ещё тот бухгалтер...
   mistеr
 
6 - 26.01.18 - 09:51
Подмена данных в текстовых файлах это не интересно. Вот когда DirectBank начнут ломать, пойдет веселуха — фишинговые обработки на ИС и т.д.
   ximik33rus
 
7 - 26.01.18 - 09:53
(4) (5) Интересен опыт решений, принятых мер и т.п. Как проник вирус в конце концов.

(3) Спасибо за полезные ссылки.
   Пузан
 
8 - 26.01.18 - 10:09
Вроде же 1С решила этот вопрос. По крайне мере в БП 3.0 файл выгрузки открывается монопольно и удерживается, пока не произойдет загрузка в интернет банк. У меня так работает.
   mistеr
 
9 - 26.01.18 - 10:19
(8) Ты что то путаешь. Если файл удерживается "монопольно", в т.ч. на чтение, то клиент банка его не загрузит. :)

И потом, как 1С проверяет, что произошла загрузка именно в интернет банк а не куда-то еще?
   Смотрящий
 
10 - 26.01.18 - 10:20
(9) БП держит файл на запись, пока сам окно не закроешь
 
 Рекламное место пустует
   ximik33rus
 
11 - 26.01.18 - 11:09
Судя по информации от аналитического центра Лаборатории Касперского: https://securelist.ru/mezzo/88421/

Данный вирус в момент вызова защиты от перезаписи файла в 1С просто прибивает процесс 1cv8c.exe и заменяет из временной папки своим файлом подлинный.

Тут в зависимости от халатности буха, плюнет бух на программу которая "почему то сама закрылась", а файл выгрузки остался. И отправит в клиент-банк подмену.
   Пузан
 
12 - 26.01.18 - 11:18
(9) Это ты что-то путаешь. Открой типовую БП и выгрузи платежку. Увидишь как это работает.
   MetaDon
 
13 - 26.01.18 - 11:20
(0) подменит он данные и что? нового контрагента еще подписать надо через смс
   Пузан
 
14 - 26.01.18 - 11:24
(13) Там смысл в том, что человек после загрузки платежки в банк не проверяет реквизиты, справедливо считая, что они точно те, что он указал в платежке в 1С. Поэтому подписывает не задумываясь.
Только я так понимаю, платеж же всегда можно отменить. А по реквизитам получателя найти мошенника.
   ximik33rus
 
15 - 26.01.18 - 11:27
(14) Можно отменить, если не затупить) А если как ты говоришь "справедливо считая" что все правильно и "зачем мне проверять" то когда платеж станет "исполненым" уже никуда не дернешься.
   MetaDon
 
16 - 26.01.18 - 11:29
(14) как так не задумываясь?) вместо одной фирмы -другая) подставляется, очень тупой бух должен быть
   Пузан
 
17 - 26.01.18 - 11:36
(16) Фирма может быть в принципе той же самой, реквизиты счета и банка другие, все остальное то же самое. У меня так банк два года принимал платежки с левым вообще ИНН. Потом только спохватились. Получается что их система контроля проверяет только банковские реквизиты БИК, К/С и Р/С.
   Пузан
 
18 - 26.01.18 - 11:38
(15) Пишется письмо на возврат ошибочно отправленных денег и все. С другой стороны реквизиты получателя известны, открыть счет не имея при себе как минимум паспорта и без личного присутствия в банке, нельзя.
   Пузан
 
19 - 26.01.18 - 11:39
Вычислить мошенника на раз/два или нагнуть банк, который открыл счет минуя законной процедуры.
   ximik33rus
 
20 - 26.01.18 - 11:46
(19) а подставные лица? А почему еще не нашли?)

Судя по цитате работников аналитического центра ЛК аналогичный вирус похитил не мало:

«Мы далеко не первый раз сталкиваемся с зловредами, атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад аналогичного троянца TwoBee злоумышленникам удалось похитить более 200 миллионов рублей у российских организаций, – напоминает Сергей Юнаковский, антивирусный эксперт «Лаборатории Касперского». – Однако Mezzo отличается от своего «собрата». С одной стороны, он использует более простой алгоритм поиска и проверки интересующих его файлов. Но при этом вполне вероятно, что одними лишь бухгалтерскими системами он не ограничивается. И это очень в духе современных вирусописателей, которые все чаще реализуют множество модулей и различных функций в рамках одного зловреда».
   vde69
 
21 - 26.01.18 - 11:47
у нас используется интегрированная система (частичный аналог DirectBank). Формирование, шифрование, отправка, проверка ЭЦП происходит на сервере 1с..


ps
называется CYBER-FT
   Джордж1
 
22 - 26.01.18 - 11:48
(18)платеж уйдет быстрее письма. фиг потом чего вытащишь

У меня клиент-банк на все новые счета требует подтверждения
В Сбербанке - аналогично
   eklmn
 
23 - 26.01.18 - 12:10
короче, как всегда, все зависит от раздолбайства админа/буха/банка.
   Джордж1
 
24 - 26.01.18 - 12:14
Работал в конторе - там 30-ку увели еще до кризиса через удаленное управление компом


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует