вообщем все аналогично данному случаю за исключением того, что софт банк-клиента (банк нордеа) был свежий и ключи не шибко давно заменены (рутокен)
компьютер был блокирован путем затирания ос (и попутно зачем-то второго диска на котором ничего не было), увы т.к. мы подумали что это не взлом а сбой то диск был отформатирован и ос переустановлена
у провайдера (абрис-а) к сожалению лог соединений не ведется, у нас аналогично система безопасности была на профилактике и на входе был только обычный роутер, у которого логи заспамлены вконтактовскими сервисами.
вообщем выцепить инфу в теории можно только из почты (беглый осмотр ничего не выявил, но киевские коллеги сказали что 99% случаев заражение именно через почту) - стоит exchange 2003, на бухгалтерском пк был доступ к двум папкам - личной и общей, либо после анализа хост-сервера наших виртуальных машин (есть подозрение что могли войти в сеть через него - в прошлом году была успешная попытка его взлома но её удалось присечь оперативно до повышения взломщиком своих привилегий)
ну и ессно вся инфа по платежке и получателю денег в банке есть.
соотв. ищется человек, имеющий удачный опыт в разруливании данных ситуаций (благо они не редкость), интересует "кто", деньги не интригуют
Бухгалтера на кол я считаю И вообще надо было изначально, минимизировать общение с интернет ресурсами, запретить все кроме собственно банковского сервера, ни каких внешних носителей или флэшек с левым софтом. И было бы счастье, с учётом того, что такое уже повторялось
П.С. Если поймаете, отпиши, интересно!
__________________
Последний раз редактировалось Snakefu, 15.06.2013 в 13:56.
а кста, норм вариант, купить самый дешманский ноут, поставить бухгалетеру, чтоб там кроме инет банка вообще ничего не было, и весь диапазон закрыть, кроме айпишника банк сервера, а?
Это я просто человеку позвонил, который айтишником лет 10 отработал в банке, ну там начальника и все дела, так вот он и сказал, что они на корню всё рубили, что бы таких ситуаций просто не возникало. А так он сказал, что помочь не может, ибо у них таких инцидентов не было и только теория, потому он за это не взялся.
а вообще на античате каком-нить запостите свои хотелки. наверняка найдутся желающие помочь
уже вроде нашли
на античат немного не то - нужен не столько хацкер сколько айтишник с корками для общения с провайдером и почтовым сервисом
Цитата:
Бухгалтера на кол я считаю И вообще надо было изначально, минимизировать общение с интернет ресурсами, запретить все кроме собственно банковского сервера, ни каких внешних носителей или флэшек с левым софтом. И было бы счастье, с учётом того, что такое уже повторялось
П.С. Если поймаете, отпиши, интересно!
всё намного хитрее - письмо обычно падает в общую офисную почту с темой "оплата счета" или еще чего-нить подобное, секретарь без задней мысли пересылает письмо бухгалтеру, та без задней мысли открывает файлик и видит левый счет который тупо шлет в карзинку
на этом все вроде и заканчивается
потом в день перед выходными (в нашем случае перед днем роиссы мать её за ногу) в момент какой-нить проводки в банк-клиенте комп бухгалтера внезапно рушится. ессно пока комп чинят (а рушится он глобально - в нашем случае полное падение оси, у многих физическое повреждение жесткого диска) уже вечереет и бухгалтер с фразой "а чо мне тут сидеть раз компа нет я домой" отчаливает
через некоторое время чудо-бухгалтер видит что вместо её проводки была с точно такой-же суммой но на другие реквизиты на частное лицо в фуфлыжном банке в урюпинске и привет приехали
при этом даже если она увидит подъёбу на следующий день то сделать уже ничего не сможет ибо поводка прошла в рабочий день и деньги ушли, на счёт они упали и автоматом стали доступны в выходной, а сам банк в выходной уже не работает и платежку не отменить но деньги можно снять картой либо обналить в любом пункте - вообщем схема довольно красива и продумана
держать отдельный пк под банк клиент конечно разумно но не шибко удобно ибо платежки и выписки рассылаются как-раз по почте начальству, и опять-же из них формируется отчет в налоговую т.е. на пк один фиг помимо банк-клиента все ставят и почту, которая и есть причина взлома
антивирусы ессно вирус не видят в течении 2-3 дней с момента взлома т.к. денежные черви весьма продвинуты и их перед каждой новой волной пакуют по новой
в нашем случае не очень понятно т.к. волны сейчас нет и есть подозрение на целенаправленную атаку, за сим интригует найти заказчика, но возможно и просто неудачное стечение обстоятельств
И вообще надо было изначально, минимизировать общение с интернет ресурсами, запретить все кроме собственно банковского сервера, ни каких внешних носителей или флэшек с левым софтом. И было бы счастье, с учётом того, что такое уже повторялось 
