Шестикрылый Серафим (seraph6) wrote in ru_root,
Шестикрылый Серафим
seraph6
ru_root

О безопасности ДБО

Со мной тут знакомая бедой поделилась. У них на фирме увели со счета почти все деньги.
Со стороны банка, судя по их логам, все красиво - платежка авторизована правильным ключом, пришла с ip-адреса их фирмы, формально - придраться не к чему. Правда, девочка-операционист заикалась что-то на тему, что ей подозрительной показалась такая операция, и она даже хотела позвонить и запросить подтверждение, но время было обеденное и она забила.
Далее деньги поступили на расчетный счет некой фирмы в Альфа-банке в Москве, откуда мгновенно были раскиданы налом по нескольким физлицам.
А вот со стороны пострадавшей фирмы я чего-то недопонимаю... Нет, они, конечно, сами себе злобные буратины, что у них комп с клиентом ДБО одновременно является рабочим местом бухгалтера и торчит портами в интернет без ограничений. Теоретически, на комп могли подсадить трояна и/или кейлоггера, и даже получить удаленный доступ, т.е. получить копию ключа и даже пароль от него.
Но далее факты:
1. В то время, когда была создана подложная платежка, за компом работали, никуда не отлучаясь и не отвлекаясь. Т.е. банальный перехват управления в стиле R-Admin был бы замечен. Тупо ручками отправить эту платежку не могли.
2. Если подложная платежка была дистанционно подсунута в файл обмена 1С с клиент-банком (1с_to_kl.txt), то оператор компа заметил бы ее на этапе импорта в клиент-банк и не стал бы подписывать.
3. Если бы платежка была отправлена с компьютера мошенника, с его собственной копии клиент-банка с использованием ворованных данных, то в логах банка не было бы ip-адреса организации. UPDATE: А если, как подсказывают в комментах, комп превратили в прокси, то разве в банке не должны увидеть всю цепочку подключений? Допустим, почтовый сервер, помимо белого ip сети, с которой он получил письмо, всегда знает и внутренний ip-адрес конкретного компа с почтовым клиентом за NATом, на котором письмо было написано.
4. Самое интересное - когда на следующий день клиент-банк синхронизировался с сервером банка, никто ничего еще не заметил: сумма остатка на счете была верной, никаких левых платежек в клиенте не отображалось. Вот только они в этот день как раз купили новый комп на это рабочее место и перенесли туда весь софт. И уже после синхронизации клиента на новом компе увидели левый платеж и жалкие остатки на счете. Старый клиент-банк же и после этого упорно не видел подложной платежки и показывал сумму остатка на счете без ее учета.

И что-то с учетом вышеперечисленных фактов у меня вырисовывается совершенно фантастическая картинка. Мне что-то мерещится back-door в банковском клиенте. Хотел бы выслушать и ваши соображения, коллеги, на предмет того, каким образом можно было потырить деньги в данной ситуации?

P.S. Банк, в котором обслуживается пострадавшая фирма - мелкий местный (голова в Нижнем Новгороде + плюс дюжина филиалов в Поволжье), а не один из крупных федерального масштаба.

P.P.S. Вообще, если честно, не очень мне понятно и как работает схема на той стороне. Почему тот же Альфа-банк не блокирует такие явно подозрительные транзакции, как поступление на счет фирмы-однодневки кучи денег и мгновенный слив ее по счетам физлиц? Ну, допустим, фирма зарегистрирована на зиц-председателя. А как же физлица? Их же можно найти - и либо отобрать деньги, либо выбить признание кому они их отдали. Или там сплошь таджики какие-нибудь?
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 182 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →