Уважаемые клиенты!
В связи с участившимися случаями хищений денежных средств у клиентов-юридических лиц, использующих систему 1С для передачи платежных поручений в систему ДБО, направляем вам информацию о противодействии атакам с подменой платежных поручений, сформированных в системе 1С.
1. Краткое описание атаки
Реализация атаки выглядит следующим образом:
1.1. Клиент формирует с помощью 1С платежное поручение и отправляет их на выгрузку в систему ДБО;
1.2. Программа 1С, как правило, формирует текстовый файл 1c_to_kl.txt, содержащий служебную информацию, перечень расчетных счетов, период, остатки и обороты по счетам и т.д.;
1.3. Вредоносная компьютерная программа отслеживает появление этого файла и производит подмену реквизитов получателя (название остается неизменным, подменяется счет и ИНН получателя);
1.4. Информация обрабатывается через ДБО. В некоторых случаях от клиента требовалось подтверждение проведения платежа по СМС — он его подтверждал.
2. Основные меры противодействия
2.1. Использовать антивирусное средство, поддерживать его базы в актуальном состоянии, не реже 1 раза в неделю проводить полное сканирование системы, в которой генерируется файл 1c_to_kl.txt;
2.2. Выполнять все рекомендации по работе с вложениями, пришедшими из подозрительных источников, не открывать вложения — исполняемые файлы и не включать макросы в документах Microsoft Office, если не уверены в надежности отправителя;
2.3. Проверять суммы платежей и не подтверждать подозрительные операции по СМС, если есть такая возможность.
Фирма «1С» включила в свои программы сервис «1С:ДиректБанк», поддерживающий технологию DirectBank, с помощью которого все платежные документы можно формировать и подписывать электронной подписью в «1С:Предприятии 8», а затем отправлять прямо на сервер банка по шифрованному каналу, поднимаемому на сертификате сервера Банка.
Информация для клиентов банков по сервису «1С:ДиректБанк»: http://directbank.1c.ru/start
Источник: Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT Банка России, рассылка PC-V: BN-1C-FAKE -20170202-01).