 Автор |
Сообщение |
Richard Ferlow
Гуру
 Предупреждений : 2
|
|
В фирме где работаю. раньше когда то была такая попытка, но тогда ланта банк это дело пресек. сменили тогда банк клиент на более защищенный.
сейчас сбербанк с ключами флэшками. бухгалтер вернулась с обеда и видит что какой-то непотяной фирме отправили солидную сумму. начали разбираться, пока звонили в банк, на компе появилась табличка - щас все будет выключено. ну собственно все программы свернулись и все вырубилось. попытка запустить - не найден ntldr
пытаюсь восспользоваться консолью восстановления - просит пароль, хотя его не было. через спец софт сменил пароль админа - все равно не подходит.
в общем печально это все. касперский и прочие - тупо выкидывание денег. надо ставить самый простой популярный антивирус чисто от всякой фигни, а с клиент банками хз что делать. у альфы для физ лиц пароли подтверждения по смс приходят, может так как-то надо хотя бы для подтверждения переводов что ли |
|
 |
|
 |
ProFfeSsoRr
Гуру
 |
|
| А систему с клиентбанками защищать по полной программе - ставить на линукс их, если не работают под линуксом - на линуксе виртуалку с виндой и туда только одни клиентбанки, и винду и линукс урезать по-максимуму в правах и в доступе, в интернет разрешать ходить только по нужным для клиент-банка портам и только на IP банка (они у большинства таких систем белые). |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
| да придется видимо что-то такое изобретать. |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
причем перевод был физическому лицу. странно так вообще.
там счет получателя заблокировали как мне сказали. |
|
| |
|
|
Genbor
Крокодил Гена
 Предупреждений : 1
|
|
Буквально вчера через систему клиент-банка пришло письмо
| Цитата: |
За последние несколько месяцев в ряде российских банков были выявлены попытки хищения денежных средств с расчетных счетов корпоративных клиентов путем совершения платежей с использованием систем дистанционного банковского обслуживания.
Анализ попыток хищения денежных средств показал, что хищения осуществляются с помощью вредоносной программы. Программа устанавливается на компьютер клиента при посещении различных сайтов в сети Интернет и предоставляет злоумышленнику удаленное управление компьютером клиента.
С помощью вредоносной программы мошенническое платежное поручение создается и подписывается ЭЦП клиента (в том числе с использованием подключенного USB-токена) и отправляется в банк непосредственно с инфицированного компьютера клиента. При этом все мошеннические действия выполняются невидимо для пользователя.
После отправки мошеннического платежа в банк вредоносная программа предпринимает различные действия по сокрытию попытки хищения:
• При работе на инфицированном компьютере мошеннический платеж не отображается в списке платежных поручений. При работе с обычного компьютера мошеннический платеж отображается.
• При работе на инфицированном компьютере операция списания средств не отображается в выписке. При работе с обычного компьютера проводка отображается.
• При работе на инфицированном компьютере остаток на счете модифицируется – не уменьшается на сумму мошеннического платежа.
• Меняется пароль или уничтожается Ключ ЭЦП с USB-токена. При работе с обычного компьютера отображается реальный остаток.
В результате действия вредоносной программы корпоративный клиент не может с инфицированного компьютера обнаружить факт несанкционированного списания и оперативно помешать злоумышленнику осуществить вывод похищенных средств.
Банк «Левобережный» обеспечивает работу систем дистанционного банковского обслуживания высоким уровнем защищенности и конфиденциальности, но насколько защищен компьютер Вашей компании? Большинство хакерских атак имеют своей целью кражи паролей и кодов, которые пользователи хранят без защиты, или осуществление несанкционированных действий с целью дистанционного управления системами банковского обслуживания и хищение денежных средств.
Для Банка Левобережный очень важно Ваше доверие, мы понимаем, насколько важна безопасность систем обслуживания, в связи с этим, предлагаем Вам усилить меры информационной безопасности в Вашей компании. Ниже представлен рекомендуемый план действий руководителя по предотвращению несанкционированного доступа к денежным средствам.
Руководителю необходимо:
1. Проверить знание и исполнение техническими специалистами, бухгалтерией и главным бухгалтером, рекомендаций Банка Левобережный по работе с I-Bank (или Фактурой).
2. Проверить как используется USB-токен (подключается ли USB-токен только на время работы с системой ДБО или он подключен постоянно).
3. Проверить место хранения USB-токена и доступ к нему (должен храниться в закрываемом сейфе).
4. Выяснить у технического специалиста когда обновлялся антивирус на компьютере, с которого осуществляются платежи, как защищен компьютер от внешних угроз.
5. Подключить дополнительные инструменты обеспечения информационной безопасности: SMS-информирование, расширенная аутентификация (OTP-токен, SMS подтверждение), АРМ получения выписки Тикер (Приложение 3).
6. Издать приказ о назначении ответственных за работу с системами ДБО. Вменить исполнение требований информационной безопасности в трудовых договорах. Предусмотреть материальную ответственность за операции с денежными средствами, совершаемые по системам ДБО в трудовых договорах.
7. Ограничить доступ сотрудников к компьютеру, на котором осуществляется работа по ДБО.
8. Ограничить выход в интернет с компьютеров, на которых осуществляется работа по системам ДБО. На компьютере, на котором осуществляется работа по системам ДБО, выход в интернет возможен ТОЛЬКО для работы системы ДБО.
Важно понимать, что Банк не имеет доступа к Вашим секретным ключам ЭЦП и не может от Вашего имени сформировать корректную ЭЦП под электронным платежным поручением.Вся ответственность за конфиденциальность Ваших секретных ключей ЭЦП полностью лежит на Вас, как единственного владельца секретных ключей ЭЦП.
Банк планирует рассылать информационные письма с предупреждением о возможном возникновении угроз ежеквартально. В приложении 1 представлены дополнительные меры безопасности, которые могут быть использованы Вами. В Приложении 2 описаны подозрительные действия и события, которые могут быть признаком несанкционированного доступа к системе ДБО. В приложении 3 описаны Правила для предотвращения хищения секретного ключа ЭЦП и пароля доступа к ключу. |
|
|
| |
|
|
profi2307
Гуру
 |
|
Вы такие смешные...
Отдел К моими семью компами занят!!!
А там фоток личных более чем за 5 лет, видео домашнего больше 10 фильмов, всякой всячины полно, вообщем ОЧЕНЬ ИНТЕРЕСНОЙ И ВАЖНОЙ ДЛЯ НАЛОГОПЛАТЕЛЬЩИКОВ ИНФОРМАЦИИ!!!
И чё там чьи то бабки не пришедшие в срок....
...... пыль...... |
|
| |
|
|
AlexRock
Гуру
 |
|
| Genbor писал(а): |
| Программа устанавливается на компьютер клиента при посещении различных сайтов в сети Интернет и предоставляет злоумышленнику удаленное управление компьютером клиента. |
Скажите, каким образом может быть установлена программа при простом заходе не страницу сайта? Если я не жал никаких кнопок, то может ли браузер закачать (пусть даже без установки) в фоне какой-нибудь исполняемый файл и в то место, откуда он потом сможет сам запуститься?
А даже если и нажать кнопку какую на сайте, что сможет сделать этот сайт, кроме как закачать мне через браузер что-нибудь в кеш этого браузера и в кеш плагинов (типа флеша)? Вроде, на любую другую закачку с сохранением в любое другое место должно уведомление всплывать? По крайней мере, у хороших браузеров. |
|
| |
|
|
AlexRock
Гуру
|
|
| Genbor писал(а): |
| Меняется пароль или уничтожается Ключ ЭЦП с USB-токена. |
Это ж какими возможностями должна обладать вредоносная программа, чтобы без всяких программаторов пошуровать в УСБ-ключе? Или этот ключ - тупо флешка, где пароль типа в текстовом файлике записан, да ещё без шифрования? У нас УСБ-ключи просто так не прошьёшь без специальной программы или оборудования, а тут юзер чудо-программу скачал и вуаля - всё поменялось!Последний раз редактировалось: AlexRock (Сб 10-09-11 : 10-46), всего редактировалось 1 раз |
|
| |
|
|
zmeeed
Эксперт
 |
|
| браузер не спрашивает тебя о сохранении картинок и видео с ютуба в кеш, каждый раз когда это делает. Даже самый замечательный браузер не может исправить огромную дыру в системе под названием реестр, ведь именно благодаря ему (реестру) все и происходит, вирус сохраняется под видом картинки в кеш, прописывает пути запуска в реестр и ворует ваши денги личную информацию и гадит в системе |
|
| |
|
|
AlexRock
Гуру
|
|
| zmeeed писал(а): |
| вирус сохраняется под видом картинки в кеш, прописывает пути запуска в реестр |
То, что он сохранится в кеше, я ещё соглашусь, но как он из кеша пропишет пути запуска в реестре? Для этого ему надо как минимум запуститься с правами администратора. Пусть даже он работает на машине с правами администратора, но кто же его из кеша-то запустит? Простой догруз браузером картинок из кеша не запускает же замаскированный под картинку исполняемый файл? |
|
| |
|
|
zmeeed
Эксперт
|
|
| для этого (запуска) существует такая вещь как "дыра в системе", скрипт запуска может быть на странице браузера, может инициироватся удаленно с внешнего сервера и тд, вообще виндовс оч странная система, говоря простыми словами вирусу можно все, пользователю нельзя ничего |
|
| |
|
|
woddy
Гуру
 Предупреждений : 1
|
|
| AlexRock писал(а): |
| Скажите, каким образом может быть установлена программа при простом заходе не страницу сайта? |
если винда, браузер или плагины (флеш, акробат,...) не обновляются - то легко. |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
woddy
да даже если обновляются. обновления они постфактум ведь появляются. |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
винда кстати знатно грохнулась. пока из банка не позвонили и сказали не трогать ничо) пытался консолью восстановлению винду запустить.
консоль запускается, но пароль администратора не принимает нивкакую. сбрасывал его и меня на простой - все равно не помогло. хз как так.
в инете почитал - такое возможно если комп в домене работал. но домена у нас нет |
|
| |
|
|
zmeeed
Эксперт
|
|
| как происходит режим входа в систему, он пытается войти а потом выходит или говорит пароль не правильный? |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
zmeeed
не в систему, с диска винды грузишься, там кнопкой R - консоль восстановления. вот там и говорит что пароль не верный.
да для верности надо будет все переустанавливать, а то мало ли где там вирус засел. касперский как водится молчал как партизан) |
|
| |
|
|
NeoN
Гуру
 |
|
Richard Ferlow
можно сейчас образ диска снять и с образом уже поковыряться, т.е. на той же виртуалке.
Либо подождать, касперский в скором времени (надеюсь) должен добавить заразу в сигнатуры, а там опять же образ разкатать и проверить, может что-то и прояснится |
|
| |
|
|
zmeeed
Эксперт
|
|
| ну вообще самый простой вариант восстановить винду, загрузится с установочного диска MSDN (оригинальный диск установщика ХР), сборки не подходят, пропустить окно восстановить с помощью консоли, принять соглашение, установщик должен найти установленный виндовс и предложить ее восстановить, он перезаписывает все основные файлы подчищает реестр, как правило винда после этого запускается и продолжает функционировать |
|
| |
|
|
A7
Гуру
 |
|
| Richard Ferlow, юзер, который за грохнутой машиной сидел, имел админские права на этой машине? |
|
| |
|
|
ProFfeSsoRr
Гуру
|
|
| Цитата: |
как правило винда после этого запускается и продолжает функционировать |
но вот обычно всякие парли не сбрасываются и прочее подобное, так что в данном случае это скорее всего не поможет опять же  Но попробовать конечно стоит. |
|
| |
|
|
|
