Предприниматель! Если у вас в офисе есть компьютер, то у меня плохие новости.

С огромной вероятностью, вывести все деньги с ваших счетов — дело на 15 минут.

Вот несколько примеров, как компании теряют деньги из-за беспечности в вопросах компьютерной безопасности. Я расскажу, что с этим делать.

Троян в письме

У фирмы на счете 500 тысяч рублей. Сегодня нужно платить подрядчикам, но банк отказывается исполнять платежи: говорит, что у фирмы нет денег. Бухгалтер ничего не понимает: вчера оплачивали только аренду, на счете должно было остаться больше 400 тысяч.

Вот платежное поручение, которое бухгалтер выгружала из 1С в банк-клиент для оплаты аренды:

Отправитель=1С:Управление небольшой фирмой, редакция 1.5 + CRM
ДатаСоздания=06.04.2017
ВремяСоздания=14:59:38
РасчСчет=40702810427250001234
Документ=Платежное поручение
Номер=223
Дата=06.04.2017
Сумма=60000.00

Плательщик=ООО "Фирма"
ПлательщикРасчСчет=40702810427250001234
ПлательщикБанк1=ФИЛИАЛ БАНКА АБВ (ПАО) В Г. МОСКВА
ПлательщикБанк2=Г. МОСКВА
ПлательщикБИК=042001234
ПлательщикКорсчет=30101810100000000123
ПлательщикКПП=695001002

Получатель=ООО "Арендодатель"
ПолучательРасчСчет=40702810607100001111
ПолучательБанк1=ОАО АКБ "НАСТОЯЩИЙ БАНК"
ПолучательБанк2=Г. МОСКВА
ПолучательБИК=044521221
ПолучательКорсчет=30101810000000000001
ПолучательКПП=695001002

НазначениеПлатежа1=По сч.12 от 6.04.17 арендная плата за апрель.
НазначениеПлатежа2=Сумма 60000−00. В т. ч. НДС(18%) 9152−54

А вот платеж, который на самом деле ушел в банк. Что-то или кто-то подменил сумму и реквизиты, и все деньги ушли в неизвестном направлении:

Отправитель=1С:Управление небольшой фирмой, редакция 1.5 + CRM
ДатаСоздания=06.04.2017
ВремяСоздания=14:59:38
РасчСчет=40702810427250001234
Документ=Платежное поручение
Номер=223
Дата=06.04.2017
Сумма=500000.00

Плательщик=ООО "Фирма"
ПлательщикРасчСчет=40702810427250001234
ПлательщикБанк1=ФИЛИАЛ БАНКА АБВ (ПАО) В Г. МОСКВА
ПлательщикБанк2=Г. МОСКВА
ПлательщикБИК=042001234
ПлательщикКорсчет=30101810100000000123
ПлательщикКПП=695001002

Получатель=ООО “Обнал”
ПолучательРасчСчет=40702810607100001234
ПолучательБанк1=ОАО АКБ “СОМНИТЕЛЬНЫЙ БАНК”
ПолучательБанк2=Г. ЮЖНО-САХАЛИНСК
ПолучательБИК=012321234
ПолучательКорсчет=30101810000000000022
ПолучательКПП=695001034

НазначениеПлатежа1=По сч.12 от 6.04.17 арендная плата за апрель.
НазначениеПлатежа2=Сумма 500000−00. В т. ч. НДС(18%) 76271−19

Когда подмену обнаружили, мошенники уже обналичили деньги. Банк ничем не смог помочь.

Оказывается, две недели назад бухгалтер перешел по ссылке в таком письме:

Письмо, которое вас обчистит
Неизвестный отправитель — с этой фирмой никогда не работали
Задолженностей перед неизвестной фирмой нет

То, что кажется вложением, на самом деле ссылка. Она ведет на файл с вирусом

На компьютер загрузилась троянская программа. С ее помощью хакеры подменили платежное поручение и вывели со счёта фирмы все деньги.

Как защититься: на каждом компьютере должен стоять антивирус. Его нужно регулярно обновлять. Для проверки задолженности бухгалтеру достаточно найти контрагента в своих системах. Сотрудники должны знать, как проверять ссылки из писем, а для платежей и бухгалтерии лучше всего выделить компьютер без доступа к посторонним сайтам.

Вирус в классификаторе 1С

Сотрудники торговой фирмы с самого утра не могут отгружать товары: перестала работать складская база 1С. Многие покупатели уехали без товара. Другие звонят в офис и говорят, что получили «вирус» по электронной почте.

Системный администратор не может восстановить базу и говорит про зашифрованные бэкапы. На компьютере менеджера появилось такое сообщение:

Письмо, которое вас обчистит

Выяснилось, что этим утром менеджер открыл вот такое письмо:

Письмо, которое вас обчистит

Файл ОбновитьБИКБанка.epf оказался вирусом в формате внешней обработки 1С.

После запуска этот вирус отправил себя по электронной почте всем контрагентам из 1С. А потом еще и зашифровал все файлы на сетевом диске, в том числе базу 1С и ее резервные копии.

Как защититься: администратору нужно запретить запуск внешних обработок от имени обычных пользователей 1С, а резервные копии базы делать на отдельном сервере и выгружать на диски или ленты вне офиса.

На всех компьютерах должен быть антивирус, а пользователи должны понимать, чем грозит запуск непонятных обновлений из письма.

Вирус в письме от ФНС

Сотрудники фирмы не могут выписать счет и открыть ни один договор. Файлы на общем сетевом диске тоже не открываются. На компьютере руководителя отдела кадров появилось такое сообщение:

Скриншот {«Лаборатории Касперского»}(https://securelist.ru/featured/30493/ransomware-in-targeted-attacks/)
Скриншот «Лаборатории Касперского»

Источник проблемы — безобидное на вид письмо:

Письмо, которое вас обчистит

Сотрудник получил письмо на личную почту и переслал его руководителю отдела кадров, чтобы тот проверил, всё ли в порядке с налогами. Во вложенном документе был вредоносный макрос. Когда документ открыли, макрос скачал вредоносную программу. Она зашифровала все файлы и показала окно с требованием выкупа. У руководителя был полный доступ к сетевым дискам, поэтому зашифровались все документы.

Как защититься: администратор может запретить выполнение макросов в офисных документах и разрешать их только для проверенных файлов. Разумеется, на каждом компьютере должен быть антивирус, а сотрудники должны знать, как безопасно открывать офисные документы от неизвестных получателей.

Троян во вложении к письму якобы от поставщика

Бухгалтер не может выплатить зарплату всей фирме. Табели учета рабочего времени, банк-клиент и другие файлы не открываются. Единственный открытый документ на компьютере выглядит так:

Скриншот {«Лаборатории Касперского»}(https://securelist.ru/blog/issledovaniya/29267/a-malicious-pairing-of-cryptor-and-stealer/)
Скриншот «Лаборатории Касперского»

Выяснилось, что хакеры прислали бухгалтеру письмо:

Письмо, которое вас обчистит

Внутри вложенного архива был вредоносный файл — скрипт с расширением.wsf. Его название было похоже на названия документов, которые обычно присылают бухгалтеру:

Письмо, которое вас обчистит

Бухгалтер скачал архив и открыл файл. Скрипт зашифровал все документы и требует выкуп.

Как защититься: администратору лучше запретить выполнение скриптов на всех компьютерах. Везде должен стоять и обновляться антивирус, а сотрудники должны знать, что может случиться при открытии неизвестного файла из почты или по ссылке.

Шифровальщик по ссылке в письме

Менеджер получил письмо от банка и решил проверить счет по ссылке:

Письмо, которое вас обчистит

В этот день он уже не смог работать — на экране компьютера появилось такое сообщение:

Источник: {«Лаборатория Касперского»}(https://securelist.ru/featured/30493/ransomware-in-targeted-attacks/)
Источник: «Лаборатория Касперского»

Письмо от банка было подделкой, а по ссылке была вредоносная программа. После клика она запустилась на компьютере менеджера и зашифровала все файлы. Пока системный администратор пытался расшифровать файлы, через зараженный компьютер хакеры проникли внутрь сети и запустили такую же программу еще на десяти компьютерах.

В результате компания не может работать, а администратору приходится восстанавливать почти все документы.

Как защититься: администратор мог запретить загрузку исполняемых файлов из интернета. На всех компьютерах обязательно должен быть установлен антивирус, а сотрудники должны уметь проверять ссылки и отличать настоящие письма от мошеннических.

Зараженная флешка в офисе

Секретарь нашел в офисе флешку: возможно, ее оставил кто-то из клиентов или сотрудников. Он решил посмотреть, что на ней, вставил в компьютер, но флешка оказалась пустая.

Флэшка была необычная, захотелось посмотреть, что на ней. Источник: {«Амазон»}(https://www.amazon.co.uk/Flash-Drive-Rubber-Shaped-Memory/dp/B00KLSPL5K)
Флэшка была необычная, захотелось посмотреть, что на ней. Источник: «Амазон»

Через неделю со счёта компании исчезли все деньги. Никто не понял, как это случилось.

На самом деле хакеры подготовили специальную флешку с троянской программой и оставили ее в офисе. Когда флешку подключили, троянская программа запустилась и дала хакерам удаленный доступ к компьютеру секретаря, а через него во всю сеть. Через неделю они смогли получить доступ к компьютеру бухгалтера, подменили платежное поручение и украли деньги со счёта.

Как защититься: администратор может запретить подключение любых неизвестных флешек и других съемных устройств к рабочим компьютерам. Разумеется, на каждом компьютере должен быть антивирус, а сотрудники должны понимать, почему нельзя вставлять чужие флешки в свой компьютер.

Зараженный документ в интернете

Начинающий юрист искал в интернете актуальный образец доверенности на получение банковской карты.

На популярном форуме нашелся подходящий документ. Юрист скачал его и открыл в «Ворде»:

Письмо, которое вас обчистит

Через два дня со счёта компании исчезли все деньги. И снова никто не понял, как это произошло.

На самом деле за неделю до этого мошенники создали зараженный документ и оставили его на популярном форуме. В документе не было вируса или опасных макросов, но был эксплойт — специальная программа, которая использовала ошибки в устаревшей версии «Ворда».

«Ворд» на компьютере юриста последний раз обновлялся при установке почти два года назад. Ошибки в старой версии позволили хакерам через зараженный документ скачать и запустить вирус на его компьютере внутри сети.

Через компьютер юриста хакеры попали на соседний компьютер бухгалтера. С него они подменили платежное поручение и украли деньги.

Как защититься: администратор должен постоянно обновлять все программы — операционную систему, браузеры, все офисные приложения. Посещение любого сайта или открытие любого файла из почты или из интернета через старые программы становится опасным.

Для дополнительной защиты на каждом компьютере должен быть обновленный антивирус, а сотрудники должны знать, как безопасно открывать скачанные из интернета документы.

Главная уязвимость ваших компьютеров — ваши сотрудники

Общее место во всех описанных историях — беспечность сотрудников: они открывают файлы из почты, переходят по ссылкам от незнакомцев и вставляют в свои компьютеры незнакомые флешки. Немного больше знаний и осмотрительности — и этих проблем не было бы.

Запомнить

  1. Проводите регулярный инструктаж по компьютерной безопасности. Напомните сотрудникам, что неудачно открытый файл или клик по неизвестной ссылке могут зашифровать их зарплату.
  2. Заведите хорошего системного администратора, который поможет с безопасностью, будет обновлять программы и антивирусы.
  3. Бухгалтерский компьютер отключите от общей сети и интернета. Оставьте доступ только к обновлениям системы и интернет-банку.
  4. Пользуйтесь альтернативными текстовыми редакторами или редактируйте документы в облаке. Вредоносные файлы и макросы не заразят вашу систему.
  5. Пользуйтесь почтой со встроенной фильтрацией спама и проверкой на вирусы. Такая услуга есть в корпоративной почте Яндекса, Гугла или «Мэйл.ру».
  6. Делайте резервные копии и храните их вне офиса.