Перейти к публикации
1
1
1
1
1
WW15

Фейк платежки. Держи свою почту девственной.

Рекомендованные сообщения

Начну с цитирования новости от Лаборатории Вирусологии, которой не так многие уделяют достойное внимание.

После ознакомления, с данной цитатой, расскажу чего так же стоит опасатся при получение платежных поручений через емаил.

ВЫПИСКА ИЗ НОВОСТЕЙ, О ЗЛОВРЕДНЫХ ЗВЕРЬКАХ: (обязательно к прочтению)

Киберпреступники смогли похитить более 200 миллионов рублей у российских организаций с помощью простой подмены реквизитов в платежных поручениях. «Лаборатория Касперского» обнаружила новый зловред TwoBee, с помощью которого злоумышленники редактировали текстовые файлы для обмена данными между бухгалтерскими и банковскими системами. Файлы оказались легкой добычей для преступников, поскольку не были защищены шифрованием и по умолчанию имели стандартные имена. Пример банковской выписки, которую редактировали злоумышленники. Такой подход нельзя назвать новым – несколько лет назад платежные поручения подменял нашумевший в свое время троянец Carberp.
 Однако эта техника уже довольно давно уступила место другим более сложным методам атак, в частности заражению банкоматов, проникновению в системы дистанционного банковского обслуживания или платежные системы. Тем не менее эта, казалось бы, забытая тактика позволила злоумышленникам легко добиться желаемого результата. В настоящее время создатели зловреда TwoBee используют десятки банковских счетов, на которые переводят деньги своих жертв. Почти 90% атак пришлось на компании среднего и малого бизнеса. Большинство пострадавших организаций (25%) зафиксировано в Москве. Следом по числу заражений  идут Екатеринбург и Краснодар. «Техника подмены реквизитов в платежных поручениях в свое время сошла на нет благодаря  массовому распространению технологий шифрования в большинстве финансовых систем. Вероятно, тот же способ будет эффективен и в борьбе с TwoBee – защищенные выгрузки не позволят троянским программам так просто менять реквизиты в денежных переводах. Именно поэтому мы советуем всем компаниям передавать финансовую информацию в зашифрованном виде», – поясняет Денис Легезо, антивирусный эксперт «Лаборатории Касперского». «Для защиты от атак с использованием TwoBee или похожих на него зловредов мы рекомендуем организациям, в первую очередь, сверять номер счета из подтверждающего запроса от банка с номером счета получателя, указанным в бухгалтерской системе. Это на 100% гарантирует защиту от мошенничества, – прокомментировал Игорь Митюрин, Департамент безопасности ПАО Сбербанк. – Вместе с тем важно убедиться, что вы используете ктуальные и обновленные версии программного обеспечения, установили защитные программы и ограничили доступ в Интернет с тех устройств, на которых установлены системы дистанционного банковского обслуживания и бухгалтерские системы». Алексей Харитонов, руководитель отдела продвижения экономических программ, фирма «1С», отметил: «Актуальные версии наших учетных программ проверяют, не был ли файл обмена модифицирован зловредом после загрузки данных в программу банка, но до отправки платежей на исполнение. Но, конечно, наиболее надежный вариант – использовать сервисы прямого обмена с банками, например, по технологии DirectBank, которую сейчас поддерживают более 25 банков, от крупнейших до небольших. В этом случае выгрузка-загрузка файлов обмена вообще не требуется, все платежные документы формируются и подписываются электронной подписью прямо в учетной программе и из нее отправляются напрямую на сервер банка».

  Что по мне, так это шикарный трой. Такой же шикарный, как в 2000-че каком то году, точно не могу вспомнить, был вирус меняющий верхушку платежного поручения, при печати через принтер. Вот на данную тему я и начну свой расска. Но без использования вирусов.

Назову я данную историю так

                               «ДЕРЖИ СВОЮ ПОЧТУ ДЕСТВЕННОЙ»

На сегодняшний день наш емаил – наша жизнь. Попав доступ к почте, в лапки злодея, он поимеет всё, так как, к адресу сейчас привязывается всё. Аккаунты социальных сетей, игровые аккаунты, различные кошельки и другие сервисы.

 Именно поэтому, наши почтовики, самое дорогое для нас. Потеряв почту потеряли всё, увы, да бывает и такое.

 Многие люди до сих пор используют один и тот же пароль, пусть даже не ко всему где зарегистрированы, но в основном.

Либо имеют два три пароля, который используют то там, то тут. Подумав о том, что у меня супер сложный пароль и его никто не расшифрует, а вирусы я никогда не поймаю и на фейки я не попадусь, так как я продвинутый «юзверг».

 Это большая ошибка.

Давайте разберем на примере, я создал несколько почт и хочу продемонстировать на своем примере как можно защитится от данной угрозы.

Представим следующее, если какой либо злоумышленник, получит базу данных какого либо ресурса, начнет проверять емейлы а там окажутся банковские платежные поручения, которые необходимо распечатать и оплатить, для получения какого либо товара, заказного. Либо просто переписать данные и произвести оплату через банк клиент.

****************

Немного отойду в сторону и расскажу как настроить почту для более безопасного использования, на примере mail.ru

Первым делом в разделе Пароль и Безопасность установить галочки:

20c5bfda8f2e02c841f00.png
 

 

Запретить паралельные сессии – что означает, запрет одновременно прибывать в почтовике с двух, трёх и более компьютеров.

Показывать информацию о последней сессии – что позволит при входе в почту видеть ип адрес, город и время последнего посещения

 почты.

5cfec2ce0cfba5ae605a9.png
 

Так же для полной уверенности в безопасности Включаем двухфакторную аутентификацию.

****************

Мне стали попадаться платежные поручения можно сказать в каждом ящике, ну еще бы, подумал я, база же с сайта который занимается продажами и доставкой. Наверное данные пользователи закупаются таким же образом и на других ресурсах. Попадались различные суммы в платежках, где мелкие суммы конечно же не интересовали меня.

48d0a23429186f1ed43d2.png
 

 

Так же просмотрев остальные почтовики, было понятно что суммы к оплате плаваю разные, от 500 рублей,как мы видим на рисунке и гораздо выше. В данном случае все письм с платежными поручениями были уже прочитаны.

Пришлось прибегнуть к маленькой хитрости, для того чтобы можно было смотреть кому пришла новая платежка, не посещая каждый раз ящик для проверки. Для этого была создана почта «шпионка» На которую я настроил переадресацию с фильтрацией

(пересылать все письма с вложениями, то есть, письма с скрепками)

a3998fbf29475b1c2c074.png
 
d6dd048abedc0bbaf41c9.png
 

Всё, дело сделано.

Теперь не нужно бегать по всем 3ёх сот почтовикам в поиске новой платежки. Оставалось мониторить лишь почту шпион.

Начали приходить письма с различными вложениями, которые были интересны. К примеру электронные приглашения

161b95c19e8a4b56e153d.png
 
77271293bb295fc0be2b4.png
 

 Которые мало интересуют взломщика при охоте за деньгами. И так далее, к примеру прилетела платежка

110f29fa1377e4e42c5d1.png
 

 

d1327aa8bb5ce281477e5.png
 

 

С некой суммой, которая заинтересует. Остается быстро забежать на почту адресата и удалить  там данное письмо. Не спеша отредактировать платежное поручение, сменив реквизиты на фирму «однодневку» 

 Дале просто снова зайти к адресату и создать такое же, непрочитанное письмо, с новым фейковым платежным  поручением. Так как письмо у нас готовое, просто создаем там копию данного. Я не буду рассказывать как это делается, думаю и так знают многие, а раскрывать данный баг не хочется. Но и история эта не об этом.

 

Смысл данной истории не жалеть время на проверку реквизитов, да и вообще любых вещей где происходит оплата.

 Так же всегда заглядывайте в настройки и просматривайте, вдруг у вас уже стоит пересылка писем.

 Не жалейте время. И пароль, если у вас проблемки с памятью и нет места в голове, чтоб хранить разные паролики.

 Придумайте один сложный и добавляйте к нему аббревиатуры сервиса для которого используете данный пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, CottonFields сказал:

ну подмена счетов тема реально старая очень

речь же не совсем о подмене

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...