Как 1С и другие программы, с которыми работают бухгалтеры, уязвимы для хакеров. Реальные примеры

Хакеры стирают базы данных, взламывают банальные пароли бухгалтеров и получают копии писем с информацией о налогах и отчетности.
3,1 тыс. 117
Как 1С и другие программы, с которыми работают бухгалтеры, уязвимы для хакеров. Реальные примеры

Когда вы читаете о том, что кибергруппировка украла миллиарды из очередного банка, создается ощущение, что малому бизнесу бояться нечего. Но это иллюзия. На самом деле в интернете происходят атаки самых разных масштабов, и в качестве целей «попроще», хакеры выбирают именно мелкие компании.

Где кроются бреши защиты?

Причины, почему хакеры нападают на представителей бизнеса очень просты – это хороший способ заработать деньги. В случае, если компания небольшая, куш будет скромным, но зато при этом не придется преодолевать несколько эшелонов защиты. Как показывает практика, стандартное программное обеспечение, с которым вы работаете каждый день, имеет достаточно уязвимостей, чтобы пропустить злоумышленника и позволить ему хозяйничать на вашем компьютере.

Особенно интересными для злоумышленников оказываются бухгалтерские системы. И это не удивительно, ведь с одной стороны это дает шанс получить доступ к счетам компании-жертвы, а с другой – парализовать работу бухгалтеров и требовать выкуп за восстановление систем.

В большинстве небольших компаний используется бухгалтерия 1С, а также операционная система Microsoft Windows. Оба компонента требуют постоянных обновлений, так как хакеры находят в них бреши безопасности каждый божий день. Но если системный администратор приходит в офис лишь на пару часов и не ежедневно, то для злоумышленника остается достаточно лазеек, чтобы попробовать украсть важную и ценную информацию.

Нередко проблемы оказываются еще более банальными, а инцидентов можно было бы избежать, если пригласить вовремя специалиста для анализа состояния и настройки систем и самим сотрудникам научиться следовать нескольким простым правилам. Об этом свидетельствуют три следующих примера из нашей практики.

База данных… пропала!

Представьте себе ситуацию: как-то утром бухгалтер загружает систему, а она попросту не загружается. Удаленный администратор начинает искать базу данных, а вместо нее – файл с текстом: «Если вы хотите получить свою базу данных обратно, заплатите ХХХ рублей». Администратор не может ничего сделать, директор начинает переговоры с вымогателем, компания решает обратиться к своему партнеру-интегратору, чтобы понять, какие выходы возможны из сложившейся ситуации.

После простого анализа выяснилось, что хакер и не собирался возвращать базу. Он даже не скачивал ее, а просто стер. К счастью, резервная копия делалась только накануне, и хакер просто не заметил ее на диске.

Бухгалтеры подключались к системе из дома. Пароль вида «qwerty», что не удивительно, не устоял перед атакой.

Чтобы таких неприятностей больше не происходило, мы помогли поменять права доступа – до этого все сотрудники имели со своих компьютеров полный доступ ко всему на сервере, что совершенно развязывает руки преступнику, а также настроили регулярное резервное копирование на другой сервер – так что, если даже база снова пропадет, ее можно будет легко восстановить.

Бухгалтерам выдали токены для двухфакторной аутентификации. Это требует минимальных затрат, а защищенность возрастает в разы.

Кто-то зашел на наш сервер…

В другой компании охотники за базами данных 1С провели очень интересный взлом. Почему интересный?

Дело в том, что им удалось попасть на сервер, размещенный в одном из центров обработки данных. А на этом сервере работало много разных полезных программ и сервисов.

Если бы хакер нашел на этом сервере базу 1С, то ситуация была бы такой же как в предыдущем примере. Но он ее не нашел, и установил на сервер ПО для перебора паролей. Сервер стал площадкой для атаки на другие компании.

Когда мы анализировали логи вредоносного ПО, они показали неплохой улов злоумышленника: в короткий срок был получен доступ к пяти серверам с паролями вроде «12345», «buh», «admin» и т.п.!

При этом на сервере функционировала критичная бизнес-система, но у хакера не хватило времени или компетенций, чтобы разобраться, какая золотая рыбка попала в его сети.

При расследовании сначала было не ясно, как был осуществлен взлом, потому что в компании была принята очень жесткая парольная политика. Оказалось, что при установке сервера администратор не позаботился о том, чтобы удалить тестовую учетную запись и непрошенный гость без труда проник внутрь компании.

К сожалению, зачастую мы принимаемся за настройку систем защиты уже после разбора «пепелища», которое осталось после крупного инцидента. В этот раз компании повезло – отделались легким испугом.

Письма с вложениями уходят «налево»

Третий показательный пример злонамеренной активности был обнаружен в процессе внедрения DLP-системы, контролирующей утечки конфиденциальной информации по вине работников организации. Специалисты обнаружили, что с почтовых ящиков компании постоянно уходят сообщения на какой-то подозрительный адрес, вроде abrakadabra@hotmail.com.

При дальнейшем изучении стало очевидно, что «налево» уходят копии писем, содержащих документы определенного типа, связанные с налоговой отчетностью, платежами и договорами.

Первая мысль была про инсайдера, но технический анализ показал, что копии писем уходят в то же мгновение, как их получают или отправляют сотрудники. Автоматизация на лицо.

Уходили не все письма. Принцип отбора интересной для злоумышленников информации после передачи аналитического отчета руководству организации оказалось выявить не сложно. Компания находилась в стадии решения определенного финансового спора на крупную сумму денег. Все письма содержали информацию только по этому вопросу. Очевидно, взлом был заказан второй стороной конфликта. Кейс интересен тем, что взлом был выявлен системой, предназначенной для контроля собственных сотрудников, которые к данному инциденту никакого отношения не имели. 

Заключение

Практика показывает, что очень много компаний среднего и малого бизнеса оказываются в зоне риска хакерских атак просто потому, что в них могут отсутствовать даже самые базовые меры ИБ: все имеют доступ ко всему, подключаются из дома с паролем «123», бекапы не делаются, а антивирусы не стоят на серверах, «чтобы не тормозило».

Одних регламентов тут недостаточно. Всем, например, известно, что сотрудники должны выбирать сложные пароли, но введение правила не гарантирует его исполнения, требуется и система контроля, и в общем – централизованного подхода к вопросам информационной безопасности у самого руководства компаний. 

Начать дискуссию

Быть бухгалтером хочу, пусть меня научат... или нет. Можно ли стать бухгалтером самому с нуля и что для этого надо знать

Меня на этот пост вдохновил вопрос пользователя в телеграм-канале. Она попросила помощи в заполнении упрощенной отчетности и уточнила — справится ли она сама, если она не бухгалтер? И, правда, а можно ли вести учет и при этом не иметь образования бухгалтера и всему научиться самому.

Иллюстрация: Вера Ревина/Клерк.ру
110

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора
Мошенничество

Сотрудник банка отдохнул за границей и обогатился за счет клиентки на 29 млн рублей

Сотрудники управления экономической безопасности и противодействия коррупции МВД по Ростовской области выявили факт многомиллионного мошенничества в особо крупном размере сотрудником банковской организации.

ВЭД

Три главных изменения 2024 года для бухгалтера ВЭД

Продавцы из ЕАЭС начнут платить налоги в российскую казну, бизнес освободят от отчетности по мелким сделкам с зарубежными партнерами, а цифровые активы становятся обычным способом расчета.

Иллюстрация: Вера Ревина/Клерк.ру
Лучшие спикеры, новый каждый день

Обязательную маркировку ювелирных изделий перенесут на 2025 год

Чтобы снизить нагрузку с Пробирной палаты, которая будет ставить клеймо на украшения, Минфин перенесет срок обязательной маркировки на 1 сентября 2025 года.

С 1 мая запустят эксперимент по маркировке моторных масел

Для борьбы с контрафактом на рынке Минпромторгу предложили включить в эксперимент по маркировке не только моторные масла для автомобилей, но и свечи зажигания, детали подвески и рулевого управления.

Календарь вебинаров для бухгалтера в апреле 2024. Акцент на проверки

Вебинар — простой способ разобраться в любом важном для бухгалтера вопросе. «Клерк» приглашает на вебинары экспертов-практиков, которые понятно и с примерами разберут любую тему. Вы можете задавать спикеру вопросы и он ответит на них в прямом эфире.

Иллюстрация: freepik/freepik
Опытом делятся эксперты-практики, без воды
Экспорт

Минпромторг сократит список экспортеров, которые могут получать транспортные субсидии

Изменения затронут только тех, кто занимается экспортом товаров из высокомаржинальных групп.

С 01 апреля 2024 года порог беспошлинного ввоза товаров, возможно, вернется к уровню €200 евро

Но подготовка новых документов не началась.

УК РФ

Опасное производство 2 года работало без лицензии и получило доход 26 млн рублей

В Ставропольском крае перед судом предстанет обвиняемый в незаконном предпринимательстве с извлечением дохода на сумму более 26 млн рублей.

Обеспечительные меры при ВНП, предварительные обеспечительные меры + защитный лайфхак

Всегда ли налоговики могут наложить обеспечительные меры (арест) на имущество по результатам проверки?

Иллюстрация: Вера Ревина / Клерк.ру
7
109

Кто имеет право работать неполный день

Если у сотрудников есть основания для неполной занятости, работодатель должен установить удобный для работника график и снизить нагрузку.

Календарь вебинаров для бухгалтера в апреле 2024. Платные и бесплатные

Собрали для вас анонсы вебинаров на апрель 2024 года.

Миникурсы, текстовые и видеоинструкции для бухгалтеров

Каким числом выставлять счет-фактуру на аванс: бухгалтеры разбираются с формулировками в НК. «Ночной бухгалтер» № 1652

В телеграм-канале «Клерка» бухгалтеры спорили о том, какую дату указать в счет-фактуре на аванс — день получения аванса или любую из последующих пяти дней, которые даны на выставление документа. Истину нашли (вроде).

Иллюстрация: Вера Ревина/Клерк.ру
201
IT-компании

Яндекс запустил линейку нейросетей YandexGPT третьего поколения

Искусственный интеллект нового поколения лучше работает со сложными задачами. Бизнес может самостоятельно дообучить нейростеть.

51
Бесплатно с Архив документов

Сколько лет все-таки хранить кадровые документы? Мини-курс

Разбираемся в мини-курсе, какие типы хранения кадровых документов выделяют и какова продолжительность хранения кадровых документов.

Сколько лет все-таки хранить кадровые документы? Мини-курс
НДФЛ

В 2024 году ФНС разошлет уведомления на НДФЛ с процентов по вкладам за 2023 год

В 2024 году вкладчикам впервые необходимо будет уплатить НДФЛ с процентов от банковских вкладов за 2023 год.

Перерасчет имущественных налогов будут делать по-новому

Физлица будут направлять в ИФНС заявления на перерасчет налога на имущество, земельного и транспортного, к которому можно приложить документы, а можно и не прикладывать. Налоговики будут рассматривать это заявление 30 дней.

Как разработать эффективную программу обучения для новых сотрудников

Обучение персонала — сложный и многогранный процесс. Если проводить его правильно, он может стать ключевым инструментом для усиления корпоративной культуры, увеличения продуктивности и стимулирования мотивации сотрудников.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
5
59
УК РФ

Поиск бывшего гендира может вылиться в вымогательство

Сотрудники главного управления уголовного розыска МВД совместно с коллегами из Красноярского края задержали подозреваемых в серии вымогательств у бизнесменов.

Интересные материалы

Обзоры новостей

⚡️Итоги дня: Ozon изменил расчет сбора, Дурова призвали внимательнее следить за Telegram, Камчатку трясет

Подготовили обзор главных событий дня. Все самое интересное, что писали и обсуждали в сети, в одной подборке.