Каталог решений - Как организациям не стать жертвой интернет-мошенников

СИТУАЦИЯ

 На всех ПК нашей фирмы установлен бесплатный Eset NOD32. Мой рабочий ПК  постоянно зависал и тормозил, постоянно возникали  ТРОЯНЫ и прочие вирусы, при том, что я не хожу ни по каким другим сайтам, кроме как необходимые для работы, такие как ПФ, ФНС ( в том числе качаю программы) , МФ,  Деловые линии, ТЕНЗОР (сдача отчетности).  И не заходила с рабочего ПК  ни в YouTube, ни ВКонтакте  и аналогичные сайты для развлечений, даже в личный почтовый ящик заходила  в случае крайней необходимости.

     В середине июня ПК в очередной раз стал жутко тормозить и виснуть, работать было невозможно. Я вызвала с согласия гендиректора стороннего специалиста, так как нашему было некогда. Потому что он  по основной работе менеджер в родственной компании, но  так как  по специальности он радиоинженер-конструктор-технолог, то у нас по совместительству  IT-специалист,  а по факту,  если какие сбои  или вирусы, то при наличии времени он помогает, но ответственности никакой не несет.

Приглашенный специалист  часа два как раз до конца рабочего дня чего-то делал: измерял температуру ПК, проверял ПК разными программами,   удалил несколько вирусов. В результате сказал, что на моем ПК нужно переустановить Windows , а также предложил директору заключить договор на обслуживание. Рабочий день закончен, ПК выключен.   На следующее утро  наш  IT-специалист нашел время проверить мой ПК, запустил сканирование Eset NOD32 и нашел программой и удалил еще ТРИ вируса. 

 В результате вышеуказанных действий на моем ПК остались ярлыки для запуска программ  Dr. Web, malwarebytes, Cureit, Universal Virus Sniffer.  Кроме того, наш IT-специалист рекомендовал мне самостоятельно почаще сканировать ПК программой Eset NOD32.

ТЕПЕРЬ О ГЛАВНОМ.  

И вот на этом ПК , на котором были постоянные проблемы , на диске С, а также на сервере  хранился   в обычном файле  ключ от БАНК-КЛИЕНТ. Вход в Банк-клиент  осуществлялся  с сайта банка по логину и паролю, после чего выводилось сообщение о том, что закрытый ключ принадлежит  ФИО  гендиректора, далее  достаточно было нажать на ОК и вход был осуществлен. Никаких дополнительный съемных носителей и usb-token (дополнительная флэшка криптозащиты)  для входа в банк-клиент не было.  Хотя я постоянно говорила гендиректору, что нельзя, чтобы банк-клиент был установлен на том же ПК, что и масса других программ и приложений, что это чревато последствиями.  Но на бумажном носителе заявления не писала, а на слова мои никто не обращал внимания. Как говорится, пока жареный петух кое-куда не клюнет …

  05.07.13 IT-специалист в конце рабочего дня зашел и спросил нет ли у меня проблем, т.к. он с 8-го в отпуске. В пятницу видимых проблем не было, но сканировании ПК никто не сделал. С 08.07.12 по 21.08.13 по приказу  IT и  гендиректор  в отпуске. Приказом  (плюс  доверенность)  временно с 08.07 по 21.07.13 И.о гендиректора назначен коммерческий директор.

  09.07.13 ПК сразу с утра  стал снова тормозить и зависать. Я запустила в программе NOD   сканирование по требованию. В очередной раз были обнаружены ТРОЯН в количестве аж 90, но в этот раз не на жестком диске, а в оперативной памяти, и при этом выводилось сообщение, что удалить ТРОЯНА NOD не может.  В журнале проверки каждая строка повторялась по нескольку раз, потому получилось 90, а не 17.

     Ессно, я  доложила и.е.гендиректора о том, что с Пк беда и нужно вызвать специалиста. Но и.о.  вызвать специалиста не разрешил, а велел ждать из отпуска нашего сисадмина. А работать велел на другом ПК.  Поскольку клиент-банк был только на моем зараженном ПК и на нем же был СБИС, а мне нужно было сдавать отчетность, то он  сказал , что кроме платежек в клиент-банке и отчетов больше ничего на ПК не делать.  

 Итак, специалиста не вызвали ни 9-го, ни 10-го, ни 11-го,  я сама сканировала ПК, запустила в безопасном режиме  по очереди все программы, удалила трояны в количестве 5-ти штук, ПК стал работать быстрее. На жестком диске  антивирусные программы ничего не находили.  

 12.07.13 успела сделать 2 платежки в банк-клиенте (как потом выяснила в техподдержке банка, последняя платежка в мною была подписана в 10:12:48).   Через некоторое время экран стал черным, ПК выключился.  Попробовала включить – на черном экране надпись точно не помню, но примерно : Error system  … oparetion. Попробовала зайти в безопасном режиме – не получается.  Вызвали из Скорой компьютерной помощи специалиста,  который  установил, что  диск С моего компьютера   полностью неотформатирован. И предложил мне вариант восстановления  информации с  диска С, переустановки Windous на 7-ку и установки лицензионной версии NOD.  Особо хочу отметить, что это сегодня я знаю, что если ПК обвалился, то это 99,99%, что его накрыли хакеры. Но в тот день  никто , ни пришедший сервис-инженер ни и.о. не высказали даже предположения, что может быть такое. У меня почему-то такая мысль была, но я сперва не смогла дозвонилась в банк, а после забыла перезвонить.

   14.07.13  я решила из дома  выгрузить выписку в системе «ОН-лайн выписка», я так делаю часто, чтобы своевременно создать авансовые счета-фактуры. Он-лайн выписка — это значит, что пользователь может по логину и паролю  зайти не в сам клиент-банк , а в другой подраздел , в котором можно только посмотреть выписку и выгрузить файл с выпиской на жесткий диск и после загрузить этот файл в 1С. Но делать платежи в таком режиме нет возможности.

Когда я открыла выписку и увидела вместо двух три исходящих платежных поручений, я сначала  не поняла как это могло случиться, кто это сделал.. Номер п/п 307 был следующий по-порядку после номер 306, которое сделала я. Поэтому я даже сначала подумала, что раз мой ПК слетел, то меня просто не поставили в известность, что может  гендир сделал платежку со своего ПК, может ему ключи поставили, а я не знаю. Но когда  я прочитала получателя, то я на 99% была уже уверена, что это взлом, так как получатель был  Фамилия Артур Отчество. Акцентирую внимание , в получаетел не было перед ФИО признака ИП или ЧП, а просто ФИО. В назначении платежа : оплата за гидроочистители по счету №…. И сумма 125 840 руб. Я знаю, что мы гидроочистители не покупаем, тем более у  ИП, а это был даже не ИП, а просто Фамилия Имя Отчество,  но раз № 307, значит это не банк ошибся, а сделано именно в нашем банк-клиенте.   Я зашла на сайт ФНС и пробила  ИНН  получателя 7728168971, это оказался  ИНН оказался  Альфа-банка, так как обычно  при платежах физлицам в поле ИНН получателя указывается ИНН банка. 

  Сразу же 14-го июля написала запрос на сайт АЛЬФА-БАНК и с моего мэйла отправила письмо в Альфабанк и в техподдержку УРАЛСИБ с просьбой не допустить зачисления денег на счет Ашкираева, блокировать платежку.   Позже, 15-го получила ответ от Альфабанка:

ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «АЛЬФА-БАНК» (далее-Банк) по факту Вашего обращения сообщает следующее.

 Согласно п. 1.25 «Положения о правилах осуществления перевода денежных средств» (утв. Банком России 19.06.2012 N 383-П) банки не вмешиваются в договорные отношения клиентов. Взаимные претензии между плательщиком и получателем средств, кроме возникших по вине банков, решаются в установленном федеральным законом порядке без участия банков.

 Указанная ситуация в Вашем обращении возникла не по вине Банка.

 Полагаем, что для удовлетворения требований, содержащихся в Вашем обращении, необходимо обратиться в суд с требованием к получателю средств о возврате денежных средств и/или обратиться в правоохранительные органы с целью возбуждения уголовного дела и ареста денежных средств.

 В свою очередь можем Вас заверить, что Банком будет оказана помощь правоохранительным и судебным органам, предусмотренная законом.

  С уважением, Альфа-Банк

    15.07.13 9:00 я в банке УРАЛСИБ отдала письмо и попросила при мне позвонить в Альфабанк, чтобы  приостановить платежку. Нач отделения при мне позвонила и ей ответили, что сумма уже зачислена на счет  получателя. Тогда я снова попросила позвонить и узнать, если у него на счете есть деньги, то чтобы их заблокировали. Она снова позвонила и ей ответили, что  он уже в пятницу деньги снял. На моем экз письма нач отделения поставила подпись, а также выдала мне копию письма в адрес Альфабанка.

  15.07.13 гендир поехал в банк за ключами. Пока он ездил я позвонила в РУВД Фр р-на, узнала в какое конкретно отд полиции нужно подавать заявление. Вечером после 18-ти часов гендиректор  поехал  в полицию писать заявление.  16.07.13 утром гендиректор мне позвонил и сказал , что нужно отвезти следователю копию Устава, свидетельств, договор аренды.

  Уважаемые бухгалтеры, системные администраторы и руководители.  Моя публикация может быть поможет хоть  кому-нибудь:  у кого ключи от клиент-банка прописаны на жестком диске ПК,  срочно смените их на ключи на е-токен , а также  воспользуйтесь  советами из статьи » Атака на Клиент-банк»  [01.05.2013]  Автор: Рогов Сергей

Снизить риск мошеннических действий, связанных с несанкционированным доступом в систему Клиент-Банк, можно путем следующих действий:

Установите систему Банк-Клиент на отдельном компьютере, желательно на небольшом нетбуке.

Установите лицензионную версию операционной системы и антивируса.

Используйте межсетевой экран, чтобы соединения были только с банком.

Удалите программы: видеопроигрыватели, программы для просмотра фотографий и прочее.

Ни в коем случае не используйте взломанные программы или программы сомнительного происхождения.

Если есть сомнения в платеже – откажитесь и обратитесь в банк за помощью.

Храните нетбук в сейфе.

Если все-таки деньги несанкционированно списаны со счета, то нужно:

Выключить компьютер (ноутбук, планшетный компьютер и т.п.) “жестким выключением” и вынуть аккумулятор.

Отменить платеж с использованием другого компьютера, если есть такая возможность;

Если возможности нет – звонить в банк и отзывать платеж.

Позвонить в банк, на счет которого ушел ваш платеж, и также предупредить о хищении денег.

Произвести фотосъёмку рабочего места и его расположения в помещении. Обеспечить целостность компьютера вплоть до помещения его в “непрозрачный пакет (мешок) и опечатки горловины”.

Обратиться в банк плательщика с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (пример заявления есть в приложении). Копия заявления пересылается по факсу или электронной почте. Оригинал доставляется в банк в течение одного дня!

Сообщить во все банки, с которыми вы работаете, что у вас украли деньги, и запросить внеплановую замену ключей.

Обратиться в банк получателя с письменным заявлением в течение 1 дня! (пример заявления есть в приложении). Правила не уточняют, должен ли доставляться оригинал заявления или достаточно отправить копию по электронной почте/факсу –, ведь банк получателя может быть в другом регионе, плюс разница во времени.

Предпринять меры для обеспечения сохранности и неизменности записей с систем видео-наблюдения, систем контроля доступа, межсетевых экранов и т.п.;

В течение 1 дня обратиться с письменным заявлением к своему Интернет-провайдеру за логами соединений с компьютера клиента за 3 месяца;

Запротоколировать все значимые действия и события, предшествовавшие факту хищения;

В течение 1 дня обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела;

Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств;

Копии вышеуказанных документов направить в свой банк с приложением Справки по факту инцидента информационной безопасности в системе ДБО