Комментарии 17
Надеюсь, что хотя бы лет через 20 ЭДО с криптографией станет повсеместным в мировой практике.
Кстати анекдот — подключил ЭДО для одной организации, включил в число адресатов — МГТС. Т.к. у них один черт запил насчет того что «бумажные документы юрлицам не предоставляем». и что же — МГТС даже по каналам ЭДО рассылает защищенный криптографией спам о новых услугах. Это сейчас-то. А лет через 20 чере это ЭДО и вирусы будут слать совершенно спокойною
Оригинально конечно — зачем ломать защиту клиент-банка и защиту на компьютере где он установлен если можно взломать почтовый сервер и где проблему обнаружат не на следующий день.
И ведь никакая ЭДО и криптография не поможет при захвате управления компьютером сотрудника продавца. Или почтового сервера.
Другая версия изложения этой новости мелькала тут https://habrahabr.ru/company/kaspersky/blog/307202/
Хотя есть одна проблема про которую не написали — банк продавца должен сверять реквизиты получателя — Название получателя в ПП должно совпадать с названием на кого открыт счет. Думается нельзя открыть в банке счет на левое имя если нету документов на такую организацию. А покупателя должно насторожить что он переводит деньги на счет с левым названием организации получателя.
p.s. особенно умиляет эта новость на прошедшем фоне чтения и логирования всей переписки компетентными органами
Перевод немного хромает — не все читающие понимают значения инвойс.
И ведь никакая ЭДО и криптография не поможет при захвате управления компьютером сотрудника продавца. Или почтового сервера.
Другая версия изложения этой новости мелькала тут https://habrahabr.ru/company/kaspersky/blog/307202/
Хотя есть одна проблема про которую не написали — банк продавца должен сверять реквизиты получателя — Название получателя в ПП должно совпадать с названием на кого открыт счет. Думается нельзя открыть в банке счет на левое имя если нету документов на такую организацию. А покупателя должно насторожить что он переводит деньги на счет с левым названием организации получателя.
p.s. особенно умиляет эта новость на прошедшем фоне чтения и логирования всей переписки компетентными органами
Перевод немного хромает — не все читающие понимают значения инвойс.
А может эта новость в оригинале это реклама систем электронного документаоборота между организациями? Там нету как таковой проблемы подделки электронной почты.
Хотя подделать сайт документаоборота и прислать левое письмо с левой ссылкой возможно. Или подменять письма на компьютере клиента
Хотя подделать сайт документаоборота и прислать левое письмо с левой ссылкой возможно. Или подменять письма на компьютере клиента
Если суммы не большие, то не сверяют. Я, как инженер, ищу какое-то оборудование, к примеру. Нашёл сайтик, начал общаться с манагером. Меня всё устроило, допустим, я прошу логистику оплатить и доставить мне такой-то прибор, отправляю им реквизиты. Они перенаправляют оплату в бухгалтерию, бухгалтеру вообще до лампочки кто там и чего, у него есть задание оплатить, он перечисляет деньги по реквизитам. И не обязательно искать сделку на стопитсот тыщь. ВСЁ.
>>Если суммы не большие, то не сверяют
— я говорил о сотрудниках банка получателя средств, деятельность которых регламентируется разными положениями ЦБ, например в России «ПОЛОЖЕНИЕ О ПРАВИЛАХ ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ N 383-П»
О том что у злоумышленники должны заранее открыть счет в банке на определенное название фирмы, иначе банковские сотрудники нарушают.
— я говорил о сотрудниках банка получателя средств, деятельность которых регламентируется разными положениями ЦБ, например в России «ПОЛОЖЕНИЕ О ПРАВИЛАХ ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ N 383-П»
О том что у злоумышленники должны заранее открыть счет в банке на определенное название фирмы, иначе банковские сотрудники нарушают.
Я думаю под каждую такую махинацию регистрировались свои счета? Т.е. если в оригинале покупатель должен был перечислить $100к на счет такой-то компании «даласские колбы и пробирки» — то это всё дело подменялось другим счетом от компании «даласские пробирки и колбочки». Которую заведомо регистрировали.
Меняются полностью реквизиты, в том числе название организации получателя, на новые. Оставляют только назначение платежа. Торговое наименование может быть одно а название юр.лица совсем другое — в этом нет проблемы. Мы работали с компанией «Русский лес», которая оказывала нам медицинские услуги.
Для нормальной проводки платежа достаточно указания двух полей в реквизитах получателя, несущих информацию об конкретном адресате (остальное игнорируется). В практике был случай, где при удаленном подключении у клиента в уже сформированной платежке заменили лишь ИНН и счет получателя. Название организации оставили тоже. Платеж успешно прошел, и лишь под конец месяца клиент обнаружил недостачу, получив претензии от контрагента об отсутствии ежемесячного взноса.
При несоответствии ИНН и наименования получателя по счету с данными в банковской системе, поступивший документ ставится на невыясненные, а не зачисляется получателю. После этого сотрудник банка получателя отправляет запрос банку отправителя на подтверждение неверных данных и банк отправитель связывается с плательщиком и выясняет. Вот тут как раз и может выявиться такая ситуация. Если плательщик подтверждает (по сути должен откорректировать неверные данные, которые должны совпасть с данными получателя), банк плательщика отправляет уточненные реквизиты документа в банк получателя и документ из невыясненных переводится на счет получателя. Если не подтверждается, то деньги обратно возвращают.
Может я что-то не понимаю в большом зарубежном бизнесе, но у нас реквизиты платежные проверяются из разных источников, не считая самого договора поставки (бумажного или подписанного квалифицированной ЭП). Одно дело, если интернет-магазину доверился и кинули, совсем другое — химикатов на 400000$ из другой страны заказать. С трудом верится, что опускание базовых проверок контрагента и параметров сделки дает окупаемый выигрыш во времени.
Большие корпорации не умеют считать деньги из-за слишком большой и сложной структуры. Помните истории про «забытых» сотрудников, секретные отделы и прочее…
Плохой контроль за внутренними расходами — это известная беда (про лишние отделы, сотрудников, неиспользуемые ресурсы и т.п.), но просто отправить деньги по реквизитам из e-mail — это новый уровень халатности. Я тоже в большой компании работаю (крупнейший налогоплательщик РФ) и к договорам имею самое прямое отношение. Проверка выполняется многократная — от целей/задач до благонадежности контрагента и, разумеется, его реквизитов. Причем платежи выполняются централизованно. Касается любой суммы больше 10 т.р. и редких хоз.покупок за наличку.
В общем, как угрозу для своей конторы изложенный сценарий не рассматриваю. Утонет в бюрократии.
В общем, как угрозу для своей конторы изложенный сценарий не рассматриваю. Утонет в бюрократии.
А вот Ведомости 16 августа подтянулись http://www.vedomosti.ru/management/articles/2016/08/17/653316-malii-biznes-stradaet-kibermoshennikov
переводом статьи от 3 августа в WSJ — New Techniques Used to Target Business Email
В июле ФБР выпустило предупреждение о мошенничестве для компаний. В нем говорилось, что подобные схемы труднее идентифицировать, поскольку преступники используют настоящие требования оплаты, направленные поставщиками. По данным ФБР, анализ самых свежих 44 инцидентов показал, что в 84% случаев деньги ушли на счета в Китае и Гонконге, откуда жертвам труднее их вернуть. Всего же с 2013 г. ФБР зарегистрировало почти 18 000 случаев мошенничества со взломом электронной почты, общая сумма ущерба от них достигла $2,3 млрд. При этом за последний год количество таких жалоб утроилось.
переводом статьи от 3 августа в WSJ — New Techniques Used to Target Business Email
В июле ФБР выпустило предупреждение о мошенничестве для компаний. В нем говорилось, что подобные схемы труднее идентифицировать, поскольку преступники используют настоящие требования оплаты, направленные поставщиками. По данным ФБР, анализ самых свежих 44 инцидентов показал, что в 84% случаев деньги ушли на счета в Китае и Гонконге, откуда жертвам труднее их вернуть. Всего же с 2013 г. ФБР зарегистрировало почти 18 000 случаев мошенничества со взломом электронной почты, общая сумма ущерба от них достигла $2,3 млрд. При этом за последний год количество таких жалоб утроилось.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Мошенник случайно заразил свой компьютер собственным зловредом