Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

Мобильные приложения

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

ИТ-образование

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

Work-life balance

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

Книжная полка

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

ИТ-инфраструктура

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

Открытое ПО

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

Работа с нейросетью

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

Опрос

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

Опрос

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

Опрос

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

Рынок труда

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

Исследование

Как искусственный интеллект меняет банковское обслуживание: от чат-ботов до автоматического одобрения кредитов

Искусственный интеллект (AI) всё глубже проникает в банковский сектор, меняя способы обслуживания

Спецпроект «Базальт СПО». Развитие Open Source в России

Алексей Смирнов: «Сейчас трудно найти программный продукт, в котором нет свободного кода»

Какое будущее ждет свободное ПО? Влияет ли свободная или несвободная разработка на

Спецпроект «Базальт СПО». Развитие Open Source в России

Николай Костригин: «Мы создали Hantis, конвейер автоматизации. Проекты, исследуемые разными инструментами, переходят от одного исполнителя к другому, развиваются, возвращаются к автору, и так по кругу»

О том, как идет работа по повышению безопасности отечественного программного обеспечения, рассказывает

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

19.12.2017г.

Комментарии: 0

Основы блокчейна

19.12.2017г.

Комментарии: 0

Java 9. Полный обзор нововведений

16.02.2017г.

Комментарии: 0

Опоздавших не бывает, или книга о стеке

17.05.2016г.

Комментарии: 0

Теория вычислений для программистов

30.03.2015г.

Комментарии: 0

От математики к обобщенному программированию

18.02.2014г.

Комментарии: 0

Рецензия на книгу «Читаем Тьюринга»

13.02.2014г.

Комментарии: 0

Читайте, размышляйте, действуйте

12.02.2014г.

Комментарии: 0

Рисуем наши мысли

10.02.2014г.

Комментарии: 4

Страна в цифрах

18.12.2013г.

Комментарии: 0

Большие данные меняют нашу жизнь

18.12.2013г.

Комментарии: 0

Компьютерные технологии – корень зла для точки роста

04.12.2013г.

Комментарии: 0

Паутина в облаках

03.12.2013г.

Комментарии: 1

Рецензия на книгу «MongoDB в действии»

Друзья сайта

Кардинг: как взламывают 1С-бухгалтерию

Архив номеров / 2017 / Выпуск №11 (180) / Кардинг: как взламывают 1С-бухгалтерию

Рубрика: Безопасность / Угрозы

АНТОН КАРЕВ, ведущий эксперт Алтайского края по кибербезопасности с 20-летним стажем. Окончил физтех АлтГУ. Занимается технологической разведкой и подготовкой аналитических обзоров для красной команды правительственных хакеров, anton.barnaul.1984@mail.ru

Кардинг: как взламывают 1С-бухгалтерию

Современный бухгалтерский софт, такой как «1С:Предприятие», – привлекательная для кардеров мишень. В особенности потому, что этот софт поставляется с интегрированной системой дистанционного банковского обслуживания (ДБО) [1]

Материал рассчитан на подготовленного читателя – квалифицированных специалистов из «красной команды». Без надлежащих полномочий описанными здесь методиками пользоваться не стоит. Кардинг – это тяжкое преступление.

Наиболее активные в России потребители ERP-систем – предприятия, занимающиеся торговлей. Их ERP-потребности в основном сводятся к автоматизации складов, финансовому учету и внедрению CRM-систем. Для обеспечения этих потребностей малый и средний бизнес, как правило, пользуется демократичной системой «1С:Предприятие». Масштабные и дорогостоящие информационные системы (от SAP и Oracle) в отечественных торговых предприятиях используются значительно реже [8].

Что кардеры могут сделать с 1С-бухгалтерией

Мошенничество с большим риском обнаружения (в плане подозрений со стороны продавца). Сюда относится экстремальное манипулирование ценами через несанкционированный доступ к 1С. Так, например, жадный и не очень разумный кардер может задать для топового ноутбука цену в 1 рубль. Однако естественно, когда продавец увидит на своем торговом терминале такую подозрительно низкую цену, он, конечно же, ноутбук кардеру за рубль не продаст.
Мошенничество со средним риском обнаружения. Сюда относятся манипулирование списками акционного товара и манипулирование служебными скидками (которые обычно только высокопоставленным руководителям доступны икоторые значительно превышают дисконтные скидки).

Бухгалтерский софт, такой как «1С:Предприятие», – привлекательная мишень для кардеров

Мошенничество с малым риском обнаружения. Сюда относятся манипулирование дисконтными скидками (кардер может прокачать свою дисконтную карту на максимальные скидки) и безлимитная подарочная карта (взломав 1С, кардер может удалить все покупки по своей подарочной карте и таким образом обновить ее).
Мошенничество без риска обнаружения (без риска обнаружения со стороны продавца, сидящего у торгового терминала; но естественно, когда в игру вступает опытный специалист по безопасности, эта категория мошенничества становится игрой в кошки-мышки). Сюда относятся подмена реквизитов контрагентов и списание на счета подставных контрагентов погрешностей округления, разностей в курсах валют.

Все вышеописанные виды мошенничества кардер осуществляет через манипулирование системой 1С. Причем кардер может производить свои манипуляции «на лету»: изменения в 1С вносятся только на момент совершения покупки, апосле покупки восстанавливаются исходные значения (чтобы администраторы 1С не видели нарушений). Для большей скрытности кардер может чистить журналы безопасности и блокировать пересылку информации в налоговую службу (продавцу кажется, что информация ушла, а по факту – нет). В результате из-за неочевидности причастности к мошенничеству третьих лиц подозрение падает на инсайдеров: продавцов, ИТ-персонал и даже генерального директора.

С продавцами и ИТ-персоналом понятно – они могут попасть под несправедливый разбор полетов со стороны генерального директора. Что же касается самого генерального директора, то, например, блокировка кардером пересылки информации в налоговую службу может привести к претензиям со стороны налоговой службы. Или если магазин с контрагентом расплачивается, а деньги по факту уходят на другой счет, это может привести к претензиям со стороны влиятельных контрагентов, вплоть до судебных разбирательств.

Статью целиком читайте в журнале «Системный администратор», №11 за 2017 г. на страницах 47-49.

PDF-версию данного номера можно приобрести в нашем магазине.

Нефедова М. Хак-группа RTM атакует российские компании, использующие «1С:Предпрятие 8». // «Хакер», 2017. URL: https://xakep.ru/2017/02/22/rtm-vs-1c (дата обращения: 16 октября 2017).
Нефедова М. Российские компании атакует троян, написанный на языке 1С. // «Хакер», 2016. URL: https://xakep.ru/2016/06/24/1c-drop-1 (дата обращения: 16 октября 2017).
Проникаем на сервер франчайзи, используя встроенные механизмы языка «1С:Предприятие». // «Хакер», 2013. URL: https://xakep.ru/2013/12/02/vzlom-1c (дата обращения: 16 октября 2017).
Управляем «1С:Предприятием» через сеть. // «Хакер», 2006. URL: https://xakep.ru/2006/01/23/29747 (дата обращения: 16 октября 2017).
Ализар А. Создан первый вирус против 1С. // «Хакер», 2005. URL: https://xakep.ru/2005/06/16/27013 (дата обращения: 16 октября 2017).
Шесть способов залезть в 1С. // «Хакер», 2002. URL: https://xakep.ru/2002/11/19/16908 (дата обращения: 16 октября 2017).
Антонов И. Кодим на «1С:Предприятие» по-хакерски. // «Хакер», № 134, 2010.
Россия: торговля стала ERP-локомотивом. // «Информационная безопасность», 2016. URL: http://www.itsec.ru/newstext.php?news_id=25057 (дата обращения: 13 октября 2017).
У российских компаний воровали деньги, взламывая файлы «1С». // «Информационная безопасность», 2017. URL: http://www.itsec.ru/newstext.php?news_id=115181 (дата обращения: 13 октября 2017).
Защита 1С. //2016. URL: http://efsol.ru/articles/protection-1c.html (дата обращения: 16 октября 2017).
Анализ 1С: получаем доступ к БД с максимальными привилегиями. // Спецвыпуск. «Хакер», № 66, 2006.
Шалин П. По следам APT. Два успешных расследования целевых атак. // «Хакер», № 221, 2017.
Bypassing Bitrix WAF via tiny regexp error. // 2016. URL: https://www.htbridge.com/blog/bypassing-bitrix-web-application-firewall-via-tiny-regexp-error.html (дата обращения: 16 октября 2017).
Стальная CMS. // «Информационная безопасность», №5, 2008. – С. 34
Cистематическая уязвимость сайтов, созданных на CMS «1С-Битрикс». // Хабрахабр, 2016. URL: https://habrahabr.ru/post/307734 (дата обращения: 13 октября 2017).
Молотком по «Битриксу»: выявляем 0day-уязвимости популярной CMS. // «Хакер», № 140, 2010.
Карев А. Кэш-атаки по сторонним каналам. // «Хакер», № 222, 2017.
Martin Georgiev, Rishita Anubhai, Subodh Iyengar. The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software // Proceedings of the 2012 ACM conference on Computer and communications security. 2012, pp. 38-49.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Tel.: (499) 277-12-45
E-mail: sa@samag.ru