О противодействии атакам с подменой платежных поручений

Уважаемые клиенты!

В связи с участившимися случаями хищений денежных средств у клиентов-юридических лиц, использующих систему 1С для передачи платежных поручений в систему ДБО, доводим до вашего сведения информацию о противодействии атакам с подменой платежных поручений, сформированных в системе 1С.

1. Краткое описание атаки

Реализация атаки выглядит следующим образом:

1.1. Клиент формирует с помощью 1С платежное поручение и отправляет их на выгрузку в систему ДБО;

1.2. Программа 1С, как правило, формирует текстовый файл 1c_to_kl.txt, содержащий служебную информацию, перечень расчетных счетов, период, остатки и обороты по счетам и т.д.;

1.3. Вредоносная компьютерная программа отслеживает появление этого файла и производит подмену реквизитов получателя (название остается неизменным, подменяется счет и ИНН получателя);

1.4. Информация обрабатывается через ДБО. В некоторых случаях от клиента требовалось подтверждение проведения платежа по СМС – он его подтверждал.

2. Основные меры противодействия

2.1. Использовать антивирусное средство, поддерживать его базы в актуальном состоянии, не реже 1 раза в неделю проводить полное сканирование системы, в которой генерируется файл 1c_to_kl.txt;

2.2. Выполнять все рекомендации по работе с вложениями, пришедшими из подозрительных источников, не открывать вложения - исполняемые файлы и не включать макросы в документах Microsoft Office, если не уверены в надежности отправителя;

2.3. Проверять суммы платежей и не подтверждать подозрительные операции по СМС, если есть такая возможность.

Фирма «1С» включила в свои программы сервис "1С:ДиректБанк", поддерживающий технологию DirectBank, с помощью которого все платежные документы можно формировать и подписывать электронной подписью в "1С:Предприятии 8", а затем отправлять прямо на сервер банка по шифрованному каналу, поднимаемому на сертификате сервера Банка.

Информация для клиентов банков по сервису "1С:ДиректБанк": http://directbank.1c.ru/start

Источник: Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT Банка России, рассылка PC-V: BN-1C-FAKE -20170202-01).