Перейти к содержимому
1
1
1
1
1
WW15

Фейк платежки. Держи свою почту девственной.

Recommended Posts

Начну с цитирования новости от Лаборатории Вирусологии, которой не так многие уделяют достойное внимание.

После ознакомления, с данной цитатой, расскажу чего так же стоит опасатся при получение платежных поручений через емаил.

ВЫПИСКА ИЗ НОВОСТЕЙ, О ЗЛОВРЕДНЫХ ЗВЕРЬКАХ: (обязательно к прочтению)

Киберпреступники смогли похитить более 200 миллионов рублей у российских организаций с помощью простой подмены реквизитов в платежных поручениях. «Лаборатория Касперского» обнаружила новый зловред TwoBee, с помощью которого злоумышленники редактировали текстовые файлы для обмена данными между бухгалтерскими и банковскими системами. Файлы оказались легкой добычей для преступников, поскольку не были защищены шифрованием и по умолчанию имели стандартные имена. Пример банковской выписки, которую редактировали злоумышленники. Такой подход нельзя назвать новым – несколько лет назад платежные поручения подменял нашумевший в свое время троянец Carberp.
 Однако эта техника уже довольно давно уступила место другим более сложным методам атак, в частности заражению банкоматов, проникновению в системы дистанционного банковского обслуживания или платежные системы. Тем не менее эта, казалось бы, забытая тактика позволила злоумышленникам легко добиться желаемого результата. В настоящее время создатели зловреда TwoBee используют десятки банковских счетов, на которые переводят деньги своих жертв. Почти 90% атак пришлось на компании среднего и малого бизнеса. Большинство пострадавших организаций (25%) зафиксировано в Москве. Следом по числу заражений  идут Екатеринбург и Краснодар. «Техника подмены реквизитов в платежных поручениях в свое время сошла на нет благодаря  массовому распространению технологий шифрования в большинстве финансовых систем. Вероятно, тот же способ будет эффективен и в борьбе с TwoBee – защищенные выгрузки не позволят троянским программам так просто менять реквизиты в денежных переводах. Именно поэтому мы советуем всем компаниям передавать финансовую информацию в зашифрованном виде», – поясняет Денис Легезо, антивирусный эксперт «Лаборатории Касперского». «Для защиты от атак с использованием TwoBee или похожих на него зловредов мы рекомендуем организациям, в первую очередь, сверять номер счета из подтверждающего запроса от банка с номером счета получателя, указанным в бухгалтерской системе. Это на 100% гарантирует защиту от мошенничества, – прокомментировал Игорь Митюрин, Департамент безопасности ПАО Сбербанк. – Вместе с тем важно убедиться, что вы используете ктуальные и обновленные версии программного обеспечения, установили защитные программы и ограничили доступ в Интернет с тех устройств, на которых установлены системы дистанционного банковского обслуживания и бухгалтерские системы». Алексей Харитонов, руководитель отдела продвижения экономических программ, фирма «1С», отметил: «Актуальные версии наших учетных программ проверяют, не был ли файл обмена модифицирован зловредом после загрузки данных в программу банка, но до отправки платежей на исполнение. Но, конечно, наиболее надежный вариант – использовать сервисы прямого обмена с банками, например, по технологии DirectBank, которую сейчас поддерживают более 25 банков, от крупнейших до небольших. В этом случае выгрузка-загрузка файлов обмена вообще не требуется, все платежные документы формируются и подписываются электронной подписью прямо в учетной программе и из нее отправляются напрямую на сервер банка».

  Что по мне, так это шикарный трой. Такой же шикарный, как в 2000-че каком то году, точно не могу вспомнить, был вирус меняющий верхушку платежного поручения, при печати через принтер. Вот на данную тему я и начну свой расска. Но без использования вирусов.

Назову я данную историю так

                               «ДЕРЖИ СВОЮ ПОЧТУ ДЕСТВЕННОЙ»

На сегодняшний день наш емаил – наша жизнь. Попав доступ к почте, в лапки злодея, он поимеет всё, так как, к адресу сейчас привязывается всё. Аккаунты социальных сетей, игровые аккаунты, различные кошельки и другие сервисы.

 Именно поэтому, наши почтовики, самое дорогое для нас. Потеряв почту потеряли всё, увы, да бывает и такое.

 Многие люди до сих пор используют один и тот же пароль, пусть даже не ко всему где зарегистрированы, но в основном.

Либо имеют два три пароля, который используют то там, то тут. Подумав о том, что у меня супер сложный пароль и его никто не расшифрует, а вирусы я никогда не поймаю и на фейки я не попадусь, так как я продвинутый «юзверг».

 Это большая ошибка.

Давайте разберем на примере, я создал несколько почт и хочу продемонстировать на своем примере как можно защитится от данной угрозы.

Представим следующее, если какой либо злоумышленник, получит базу данных какого либо ресурса, начнет проверять емейлы а там окажутся банковские платежные поручения, которые необходимо распечатать и оплатить, для получения какого либо товара, заказного. Либо просто переписать данные и произвести оплату через банк клиент.

****************

Немного отойду в сторону и расскажу как настроить почту для более безопасного использования, на примере mail.ru

Первым делом в разделе Пароль и Безопасность установить галочки:

20c5bfda8f2e02c841f00.png
 

 

Запретить паралельные сессии – что означает, запрет одновременно прибывать в почтовике с двух, трёх и более компьютеров.

Показывать информацию о последней сессии – что позволит при входе в почту видеть ип адрес, город и время последнего посещения

 почты.

5cfec2ce0cfba5ae605a9.png
 

Так же для полной уверенности в безопасности Включаем двухфакторную аутентификацию.

****************

Мне стали попадаться платежные поручения можно сказать в каждом ящике, ну еще бы, подумал я, база же с сайта который занимается продажами и доставкой. Наверное данные пользователи закупаются таким же образом и на других ресурсах. Попадались различные суммы в платежках, где мелкие суммы конечно же не интересовали меня.

48d0a23429186f1ed43d2.png
 

 

Так же просмотрев остальные почтовики, было понятно что суммы к оплате плаваю разные, от 500 рублей,как мы видим на рисунке и гораздо выше. В данном случае все письм с платежными поручениями были уже прочитаны.

Пришлось прибегнуть к маленькой хитрости, для того чтобы можно было смотреть кому пришла новая платежка, не посещая каждый раз ящик для проверки. Для этого была создана почта «шпионка» На которую я настроил переадресацию с фильтрацией

(пересылать все письма с вложениями, то есть, письма с скрепками)

a3998fbf29475b1c2c074.png
 
d6dd048abedc0bbaf41c9.png
 

Всё, дело сделано.

Теперь не нужно бегать по всем 3ёх сот почтовикам в поиске новой платежки. Оставалось мониторить лишь почту шпион.

Начали приходить письма с различными вложениями, которые были интересны. К примеру электронные приглашения

161b95c19e8a4b56e153d.png
 
77271293bb295fc0be2b4.png
 

 Которые мало интересуют взломщика при охоте за деньгами. И так далее, к примеру прилетела платежка

110f29fa1377e4e42c5d1.png
 

 

d1327aa8bb5ce281477e5.png
 

 

С некой суммой, которая заинтересует. Остается быстро забежать на почту адресата и удалить  там данное письмо. Не спеша отредактировать платежное поручение, сменив реквизиты на фирму «однодневку» 

 Дале просто снова зайти к адресату и создать такое же, непрочитанное письмо, с новым фейковым платежным  поручением. Так как письмо у нас готовое, просто создаем там копию данного. Я не буду рассказывать как это делается, думаю и так знают многие, а раскрывать данный баг не хочется. Но и история эта не об этом.

 

Смысл данной истории не жалеть время на проверку реквизитов, да и вообще любых вещей где происходит оплата.

 Так же всегда заглядывайте в настройки и просматривайте, вдруг у вас уже стоит пересылка писем.

 Не жалейте время. И пароль, если у вас проблемки с памятью и нет места в голове, чтоб хранить разные паролики.

 Придумайте один сложный и добавляйте к нему аббревиатуры сервиса для которого используете данный пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, CottonFields сказал:

ну подмена счетов тема реально старая очень

речь же не совсем о подмене

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Гость
Ответить в тему...

×   Вы вставили отформатированное содержимое.   Удалить форматирование

  Only 75 emoji are allowed.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Загрузка...

×
×
  • Создать...