58

Украли деньги с р/с организации

Всем привет. Опишу кратко хронологию событий:


10:30 на пк главного бухгалтера появляется окно с сообщением об обновлении Windows. Она соглашается, начинается обновление системы.


11:00 второй бухгалтер не может войти ни в одну учетку банк-клиента (несколько организаций), банк-клиент пишет, что аккаунт заблокирован.

Звонят в техподдержку, те говорят все ок проверяйте пароли.


Примерно в то же время пк главного бухгалтера не закончив "обновление" выключается и после этого начинает выключатся после входа в систему (shutdown в автозапуске)


На пк главбуха обнаруживается троян акссессер.


12:00 На этот момент происходящее не кажется связанным, поэтому закончив с одним, начинаю разбираться с другим. Еще один звонок в тп банка, на этот раз они видят что учетки заблокированы и обещают передать заявку дальше, срок решения: сутки.


Проходит день.


11:20 приходит письмо из банка о том, что вчера со счета были множественные списания на сумму чуть менее 100 тысяч рублей. Все в адрес нового контрагента, до этого ему ничего не переводили и ничего не принимали.


На данный момент написаны заявление в банк и в полицию. Банк контрагента напрямую содействовать отказался.


Вопрос: какие еще действия можно предпринять? Понятно, что о наказании злоумышленников речи даже не идет. Задача повысить шансы на возврат денег. В частности есть претензии к банку, который затянул время, хотя факт списания мог бы обнаружиться в течение часа.

Банковское сообщество

4.1K постов6.4K подписчиков

Правила сообщества

Нельзя:

1. Оскорблять пользователей;

2. Публиковать материал, не относящийся к банковской сфере;

3. Заниматься откровенной рекламой;

4. Призывать модераторов попусту.


Доп. пункт: Публикация, удовлетворяющая всем требованиям, но получившая отрицательный рейтинг, удаляется

1
Автор поста оценил этот комментарий

Не пиздИте и не пИздимы будете. Нет непробиваемых систем и абсолютных антивирусов. Всегда будут и проблемы с вирусами/троянами, и от прямого взлома никто не застрахован, и человеческие ошибки будут там где работают люди.

раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Я в принципе почти разгадал всю цепочку событий, кроме одной вещи - как троян попал на ПК. Одно дело шифровальщики, которые распостраняются тысячами наудачу, а это больше похоже на целенаправленную атаку. У злоумышленников был план, был расчетный счет куда выводить деньги, было понимание как работать в банк-клиенте и как заблокировать доступ после содеянного.

показать ответы
5
Автор поста оценил этот комментарий

1) нанять специалистов информационной безопасности в штат. Если такие уже есть - уволить к хуям оштрафовав и заменить на нормальных.

2) уволить или как минимум оштрафовать с понижением бухгалтера.

Ребят, майкрософт очень громко ушел с рынка и объявил о прекращениях обновлений ОС в РФ.

Бухгалтер или идиот или в танке живет. Не подпускайте к пк людей которые не умеют с ними работать.

раскрыть ветку (1)
6
Автор поста оценил этот комментарий

>объявил о прекращениях обновлений ОС в РФ


Судя по всему блокировку реализовали как-то не очень. Я вот до 22H2 без проблем обновился.

3
Любви тебе, здоровья
Автор поста оценил этот комментарий
Бухи? У меня на работе ни один специалист не выдёргивает, уж и ругал, и объяснял, и уборщица кресло двигала и свернула токен - бесполезно. Не банк, все в инструктаже расписались
раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Проектируют эти системы ребята из серьезных контор, где по рядам ходят ИБшники с палками, а пользуются рядовые пользователи. Поэтому человеческий фактор будет присутствовать всегда, пока не начнут проектировать с расчетом на него, а не на инструкции и штрафы. Если токен нужен больше 3-5 раз в день, то его будут оставлять в пк.

показать ответы
3
Автор поста оценил этот комментарий

Можно начать с приглашения квалифицированного системного администратора, который настроит сеть и ограничит права доступа.


Ну и нанять человека, который хоть немного живёт на этой земле, даже не знаю на какую должность, например, юриста. У вас заблокировали учётки к банкингу организации, а вы написали в ТП и ждёте сутки, в ус не дуете, даже в СБ банка не додумались позвонить и добиться рассмотрения заявки сразу же. Это как минимум странно. Если пропало только 100 тысяч, то обрадоваться, что обучение малой кровью обошлось.

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Это задним умом легко так рассуждать. Сбои в работе банк-клиента бывают регулярно, а такие ситуации - нет. В первый день было несколько звонков в ТП, если они не заметили ничего странного, то какой был повод обращаться в СБ?

Сутки ждали потому что ТП сказала - заявка будет решена в течение суток. Никаких срочных платежей не было, поэтому спокойно ждали до следующего утра.

0
Автор поста оценил этот комментарий

А кстати зачем множественные списания? Они ж видят остаток на счету

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Чтобы обойти возможные лимиты на которых сработает ручная проверка. Банк в этом плане ужасно отработал. 10 транзакций на одну и ту же сумму в течение получаса максимум, да еще и новому контрагенту, мне кажется такое должно тормозиться 100%. Если это не подозрительная операция, то что тогда вообще может быть подозрительным?

показать ответы
3
Автор поста оценил этот комментарий
Что за банки такие? Наши только подписывают через ЭП, а вход через смс + эп
раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Я ошибся, вход через ЭП после логина и пароля. Но без смс.

показать ответы
6
Автор поста оценил этот комментарий

практика показывают, что бухи не выдергивают аппаратные ключи.

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Такие вещи доходят только после вот таких серьезных потрясений. В будничной и рутинной работе забивают даже на ТБ, рискуя своей жизнью, что уж тут говорить про токены.

показать ответы
1
Автор поста оценил этот комментарий

Почту проверяли? Может прислали файл под видом документа, который бух попыталась открыть. Хотя, если злоумышленник имел полную свободу на компе, он мог найти своё письмо и удалить. Так что самого буха надо тоже спросить, не помнит ли она подобной ситуации. Бывают даже случаи, что ломают комп или почту контрагента и к вам письмо могло прийти от знакомой организации.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Проблема в том что неизвестно за какой период искать. Далеко не факт что ломанули в день списания. Ну и да, после получения доступа почистить за собой следы уже тривиальная задача.

показать ответы
1
Автор поста оценил этот комментарий

Случаем, порт 3389 (RDP) наружу не открыт?

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Нет

1
Автор поста оценил этот комментарий
Каким образом злоумышленик добыл пароль для эцп?
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

1. Вход просто по логин-паролю. А вот подписание платежек уже с использованием ЭЦП. Даже не обязательно было входить, если на момент проникновения главбух работала в банк-клиенте, например.


2. С помощью ЭЦП. Он стал ребутиться уже после. Мое предположение: обновление было фейковым, экран обновления просто поверх рабочего стола отрисовали.


3. Его нет/сохранен в крипто-про.

0
Автор поста оценил этот комментарий

ну чо там? две недели прошло, догнали ситуацию?

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Ну насколько мне известно - тишина и со стороны банка, и со стороны полиции.

0
Автор поста оценил этот комментарий

пинкод? вроде к контейнеру надо.

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Можно не ставить при генерации и можно поставить чекбокс в криптопро при вводе пинкода, чтобы запомнил. Если первое еще можно проконтролировать, то насчет запоминания пинкода даже не знаю, есть ли вариант эту возможность отключить.

0
Автор поста оценил этот комментарий

просто интересно при какой сумме это вообще окупается. Это ж не как в схеме с карточками найти бомжа и на него оформить карту. Достаточно просто. Тут же прям заморочиться надо, юрлицо сделать. А у вас объективно не так и много украли. Я ведь надеюсь это юрлицо как-то заблокируют? Или вам теперь только в суд прямая дорога?

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

>Я ведь надеюсь это юрлицо как-то заблокируют?


Очень надеюсь что их банк это сделал когда те попытались перевести деньги дальше. Я пытался связаться с СБ того банка, но меня мягко послали с формулировкой, что не-клиентов этого банка не переключают на СБ. Ну бред же? Очень интересно это инициатива оператора или у них реально такое прописано в инструкциях. Сколько раз читал о том, как мошенники дают номер карты и люди потом звонят в СБ банка-эмитента, а тут значит не соединяют.

показать ответы
0
Автор поста оценил этот комментарий
Блин, даже не подумал об этом. Ребята на опыте. Новый контрагент юрик?
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Да, конечно. Название еще такое, типичное для рогов и копыт.

показать ответы
0
Автор поста оценил этот комментарий

Там не очень интересно: 1) энидеск установленный как служба (бухгалтер заходила удаленно периодически) 2) постоянно вставленные токены 3) несколько скриптов в автозагрузке, в какойто момент началось "обновление" винды, бух в это время была подключена удаленно, сидела ждала. Подхватила она эту заразу с большой вероятностью по почте(предположение, доступа к почте нам не дали), после чего взломщик выжидал подходящий момент когда бух залогинится везде где нужно, чтоб запустить "обновление" и перевести деньги. Если вы хотели подробностей про возврат, клиент занимался этим самостоятельно, тут я вам ничего сказать не могу.

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Ситуация один в один. 

0
Автор поста оценил этот комментарий

к нам недавно обращались с точно такой же проблемой, просили выяснить как это могло произойти, только там сумма была приблизительно 12 млн, по итогу через полицию и обращения в банки большую часть вернули (а может и все, точно не знаю)

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

А можно подробностей? Можем в телеге, если не хочется на публику выносить.

показать ответы
0
Автор поста оценил этот комментарий
Ну банкклиенты бывает подглючивают. И если сразу ситуация не выглядела подозрительной то вроде все правильно сделали - позвонили в тп. Это к ним скорее вопросики. Во многтх банках сначала все блокируют, потом начинают разбираться
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Да все верно, когда блокируется сразу несколько учеток, по нескольким организациям, то первым делом думаешь о проблеме на стороне банка. Именно для этого и звонили в ТП, которая при первом звонке вообще сказали, что они не видят никаких проблем с учеными записями.

показать ответы
1
Автор поста оценил этот комментарий
Обновление windows может на сайте банер всплыл? Вот и говорит что обновление ставила , а по факту троян.
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Маловероятно. Во-первых она в этот момент отчетностью занималась, во-вторых слишком тонко сработано. Ты нажимаешь на баннер на рандомном сайте и вот у тебя на ПК уже орудует человек с подготовленным промежуточным ООО с р/с, и он точно знает что на твоем ПК есть клиент-банк, и т.д. Представляешь вероятность что на баннер нажмет нужный человек? Для таких массовых методов проще шифровать ценные файлы по-старинке.



Хотя есть некий шанс, что распространяется через сайт, который появляется в выдаче по запросам связанными с отчетностью, банками и т.п. что сужает аудиторию до бухгалтеров, ИП и прочих у кого скорее всего есть онлайн банк-клиент.

0
Автор поста оценил этот комментарий

а какой банк у Вас?

раскрыть ветку (1)
Автор поста оценил этот комментарий

Пока проблема не решена и есть претензии к работе банка, не буду разглашать, чтобы не превращать тему в обсуждение и антипиар банков. Банк один из крупнейших, не какой-нибудь местечковый. Потом когда решится так или иначе, я создам пост и расскажу что происходило после произошедшего.

показать ответы

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества