Вход | Регистрация
 
1С:Предприятие :: 1С:Предприятие 8 общая

Вирус изменил счёт на оплату

Вирус изменил счёт на оплату
Я
   SunFox
 
11.08.20 - 21:37
Сегодня пожаловались, что клиент получил счёт с реквизитами на оплату левой организации, остальное наполнение счета осталось оригинальным. Счета высылали pdf ом из КА, выяснили с админом, что почтови к и 1С отправляла оригинальные документы, а вот клиент получал уже изменённые. Сталкивался кто с таким? Об изменениях платёжек при загрузки из 1С известно, но такое впервые.
   vde69
 
1 - 11.08.20 - 21:41
Может это уволенный админ той организации решил так компенсировать недоплату?
   vovastar
 
2 - 11.08.20 - 21:42
Это еще ничего.
Некоторые клиенты, у которых стоит Первый офд (https://www.1-ofd.ru/), начали получать письма от https://1ofd.com/ с просьбой оплатить счет на офд со скидкой 20%.
Так что будьте аккуратны и осторожны.
   SunFox
 
3 - 11.08.20 - 21:45
Тогда это не админ уже, если таким заморочился, четко вырезать куски типового счёта 1С, надо не только админить мочь.
   rudnitskij
 
4 - 11.08.20 - 21:45
(0) МД5 отправляемого файла фиксируйте для сверки
   SunFox
 
5 - 11.08.20 - 21:49
(4) Как эта фиксация обычным юзерам поможет? Там даже размер файла стал другой. Это примочки специальные ставить, но для этого ЭДО есть.
   rudnitskij
 
6 - 11.08.20 - 21:51
(5) при приеме сверять мд5 полученного файла с тем, что отправлен реальным отправителем. Это не особо сложно
   SunFox
 
7 - 11.08.20 - 21:52
(6) Имеешь ввиду протокол на почтовике, что бы это делал?
   rudnitskij
 
8 - 11.08.20 - 21:56
(7) нет, стоит какое-то решение у получателя мудрить. Если кто-то может подменить содержимое письма - что ему ваши протоколы почтовиков?
   SunFox
 
9 - 11.08.20 - 22:00
(8) Я не ищу решений для безопасного обмена информацией, они и так известны.
   vovastar
 
10 - 11.08.20 - 22:03
(9) просто сам факт интересный, а вы нашли на каком этапе подмена происходит? Почта у вас на каком ящике?
   SunFox
 
11 - 11.08.20 - 22:05
Пока не нашли, у клиента почта на майле, проверили только свои исходящие - они оригинальные.
   lodger
 
12 - 11.08.20 - 22:16
(0) а пройтись по новым реквизитам? кто выгодополучатель?
   SunFox
 
13 - 11.08.20 - 22:22
Контора Московская, в базе 1С такой нет даже в контрагентах.
   lodger
 
14 - 11.08.20 - 22:28
(11) вместе с клиентом открываете папку исходящих писем, заглядываете в платежку, дальше он отправляется искать проблемы у себя.
   vovastar
 
15 - 11.08.20 - 22:32
Карантин кому то явно идет на пользу и повышение профессионального опыта в сфере кибер преступлений.
   NorthWind
 
16 - 11.08.20 - 22:35
(15) дурачков ищут. Ща уже мало кто на деревню дедушке платит, вот так без договора и непонятно по каким реквизитам.
   SunFox
 
17 - 11.08.20 - 22:38
(14) Клиенту не где искать, у него майл публичный.
   NorthWind
 
18 - 11.08.20 - 22:40
(17) пароль на ящике сменить. Попробовать загрузить файло из почты на разных устройствах и посмотреть на него.
   Chieftain
 
19 - 11.08.20 - 22:42
Забавная хрень, на днях подменяющим счета в платежках ГБ уличили, не туда деньги отправлял
   Chieftain
 
20 - 11.08.20 - 22:43
+(19) на 160 часть 4
   SunFox
 
21 - 11.08.20 - 22:48
(18) Он смотрел почту на смартфоне и на компе - везде входящие с подлогом.
   Chieftain
 
22 - 11.08.20 - 22:55
(21) У остальных всё ок? Тогда вероятнее всего "ОН" посмотрел, молодец! Пусть покажет и на смартфоне и на компе.
Если там и правда так - повторите отправку и ищите у себя червя.
   Доминошник
 
23 - 11.08.20 - 23:09
(0) https://safe.cnews.ru/news/top/2020-08-11_najden_sposob_podmenyat

Хотя цифровая подпись должна защищать PDF от любых изменений, существуют возможности обойти защиту. Средства просмотра PDF-документов интерпретируют некоторые изменения как малозначительные и безопасные, притом, что злоумышленники могут подменить содержание отдельных частей или даже всего документа. Как это сделать, продемонстрировали эксперты Рурского университета в Бохуме.
   Доминошник
 
24 - 11.08.20 - 23:12
(23) Оттуда же:
"Суть атаки состоит в том, что злоумышленник может создать PDF с двумя разными типами содержимого. Один тип — ожидаемые данные со стороны тех, кто будет производить подписание PDF-документа. Второй — скрытые данные, отображаемые после того, как PDF-файл получает цифровую подпись. В результате подписант и получатель PDF могут видеть разную информацию, хотя средства просмотра не наблюдают никаких нарушений."
   ssh2006
 
25 - 12.08.20 - 00:03
(0) бардак у клиента, на его стороне
   Fram
 
26 - 12.08.20 - 03:53
(0) Попахивает сказкой. Попросите клиента через тимвьюер показать вам это письмо в интерфейсе мейлру. Ещё у мейлру есть возможность скачать письмо в "сыром" виде. Скачайте своими руками и выкачайте его себе. Откройте в ноутпаде и внимательно изучите заголовки - адреса, моменты времени.
   spectre1978
 
27 - 12.08.20 - 06:35
Если кто-то получил пароль на ящик, то атака может быть и снаружи. Можно анализировать входящие письма, нужные удалять, а вместо них присылать фейковые с подделанным обратным адресом и исправленным PDFом.

Но мне почему-то тоже думается что скорее всего мудрит кто-то из персонала. Слишком уж кривая идея для автоматизации ПДФы править, и выхлоп невелик.
   ДенисЧ
 
28 - 12.08.20 - 06:44
Используйте любой ЭДЛ и ниииии мозги
   Garykom
 
29 - 12.08.20 - 08:50
теоретически можно подменить почтовый домен, подставить свой промежуточный сервер email и прекрасно подменять все
   Garykom
 
30 - 12.08.20 - 08:52
(29)+ это к тому что изучение исходящих нихрена не покажет

да (26) надо изучать входящее сырое и искать зацепки
 
 Рекламное место пустует
   NorthWind
 
31 - 12.08.20 - 08:59
(29) можно много чего, вопрос, кто и ради чего этим будет заниматься. Все это достаточно муторные манипуляции, а счета на серьезные суммы сейчас практически никто с бухты-барахты не платит, дураков в бизнесе осталось мало. Смысл городить городухи, если вас почти сразу же спалят? Какой-то смысл только в том случае, если кто-то в бухии в теме, и знает, на кого свалить, когда деньги уйдут не туда куда надо. Тогда понятно, за счет чего "не уследят" за небрежной оплатой.
   dka80
 
32 - 12.08.20 - 09:03
А мне одному кажется, что когда платеж придет в банк, то банк скажет, что у ООО "Рога и Копыта", которому вы платите, нет таких банковских реквизитов?
   ptiz
 
33 - 12.08.20 - 09:30
(0) Клиент парит вам мозг.
   vova1122
 
34 - 12.08.20 - 10:29
(32) Так ведь банк сверяет только цифры. А цифры ведь правильные (левого предприятия), хотя название может быть другое (а самого соответствия названия банковским реквизитам банк не сверяет. Так как могут написать ООО "Рога и Копыта" или ООО "Poгa и Кoпытa" - некоторые буквы заменены на латиницу)
   Джинн
 
35 - 12.08.20 - 10:33
(33) Я бы даже сказал жестче.
   lodger
 
36 - 12.08.20 - 10:39
(35) я бы даже сказал, что ТС парит мозг нам :)
   NorthWind
 
37 - 12.08.20 - 10:40
(34) банки сейчас относятся к этим вопросам довольно серьезно. Сбер, например, вообще требует подписать ввод контрагента в справочник перед тем как отправлять деньги. На этом этапе моментально вылезет левое название организации. Все это какая-то чушь.
   vova1122
 
38 - 12.08.20 - 10:50
(37) И как это выглядит на практике? одно предприятие в своем справочнике напишет "Рога и Копыта" а другое "Копыта и Рога" - хотя это одно и то же предприятие. Как банк будет сверять правильность написания?
   fisher
 
39 - 12.08.20 - 11:18
Какой в жопу вирус? Это целенаправленная атака. Причем если у клиента почтовик публичный и клиент не парит мозг (а какой ему смысл?) , то атака на вас. Скорее всего - изнутри. Т.е. или ломанули, или не всем зарплаты хватает. Поройтесь в метаданных исправленных pdf. Может, что интересное нароете. Еще посмотреть заголовки полученных клиентом писем, может тоже что подозрительное нароется.
   fisher
 
40 - 12.08.20 - 11:20
(0) На какую хоть сумму?
   NorthWind
 
41 - 12.08.20 - 12:07
(38) есть общие базы зарегистрированных предприятий, где названия предприятий приведены до буквы так, как они есть в регистрационных документах. Также есть алгоритмы нечеткого сравнения строк. При желании все это элементарно проверяется. Лет 20 назад - да, проблема была. Сейчас это все вообще не вопрос.
   SunFox
 
42 - 12.08.20 - 13:03
(40) Поставки на сотни тыс рублей. У себя все проверили. Клиент толком информцию не дает, оставим наверно пока так все.
   Asmody
 
43 - 12.08.20 - 13:13
Сталкивались. Подделали домен поставщика и ловили "на живца". Когда "клюнуло", подделали наш домен тоже. Переписку вели месяца полтора. Когда всплыло, провели расследование. Я нашел подделку доменов в письмах. Запросили наши письма у поставщика. Поставили перед фактом. Внутренняя проверка у поставщика выявила инсайд. Разрулили. Поставщик - крупная европейская корпорация.
   Asmody
 
44 - 12.08.20 - 13:16
С нашей стороны был косяк у менеджера по закупкам. По инструкции любое изменение реквизитов поставщика он обязан подтвердить по телефону, либо другим способом, кроме email. Менеджера уволили.
   rudnitskij
 
45 - 12.08.20 - 19:09
(9) "Я не ищу решений для безопасного обмена информацией, они и так известны" - я предлагаю решение для того, чтоб быть уверенным в том, что человек получает то, что ему отправили
   Krendel
 
46 - 12.08.20 - 19:11
(44) Правильно понимаю, что технически имел место сговор? но вопрос копеешный?
   Asmody
 
47 - 13.08.20 - 11:35
(46) Неправильно. С той стороны был инсайдер. С нашей - лохушка. В какой-то момент прислали письмо с поддельного адреса как бы "с той стороны" (в домене добавили еще одну буковку на конце). Когда она на него ответила (через реплай), тогда и понеслось. Ребятки быстренько зарегали домен как у нас, только поменяли в середине a на e. Получали от наших письма, перенаправляли их на реальные адреса поставщика уже с поддельными отправителями. Поэтому внешне и по содержанию письма были "идентичны натуральным". Когда дело дошло до инвойса, pdf от поставщика просто отфотошопили. На экране и при печати в глаза не бросается, но в редакторе видно. Наши увидели измененные реквизиты, но поскольку тогда был замут с санкциями, замена банка было обычной практикой. Наши запросили официальное письмо-подтверждение. Эти ребята даже такое сляпали. В таких случаях у нас закупщик должен еще получить подтверждение по телефону, или по скайпу, но в этот раз прощелкали. Очнулись, когда через неделю после платежа, поставщик не увидел денег на счете. При этом, по почте морочили голову, мол "банк задерживает платежи из России" и все вот это вот.
Ну и вопрос там далеко не копеечный. Ради копеек никто не стал бы так заморачиваться. В тот раз "слили" эквивалент хорошей московской двушки. В евро.


Список тем форума
Рекламное место пустует  Рекламное место пустует
Компьютеры — это как велосипед. Только для нашего сознания. Стив Джобс
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.