Перейти к публикации

  • Сейчас на странице   Всего пользователей: 0   (0 пользователей, 0 гостей)

Whitter

Детективная история или вопросу к кулхацкерам.

Автор: Whitter, в Мастерская

Рекомендованные сообщения

Whitter   

Whitter
Опубликовано: (изменено)

Добрый день, уважаемые. Хочу поделиться с вами историей о попытке воровства денег со счета моей организации, возможно кто-то мне сможет помочь найти виновника происшествия. Интересны любые мысли.

 

Вчера утром, в самом начале рабочего дня ко мне в кабинет ворвалась сотрудница Оксана, помощник главбуха. Оксана была белая как простыня и тараторила о том, что ХАКЕР ВОРУЕТ У НАС ДЕНЬГИ АТАТАТ ЧТО ТВОРИТЬСЯ. Я влетел в бухгалтерию и увидел как некий анонимус через тим виювер отправляет платежки в клиент банке. Я мягко говоря прихуел,и вырубил тумблер на блоке питания. Начался разбор полетов, платежки отозвали, 150к грн спасены. Естественно главбух у меня, тупая как пробка, настолько тупая, что про нее можно целую стену написать, "Я ДВАДЦАТЬ ЛЕТ РАБОТАЮ ЗА ПК, ТЫ ЕЩЕ ПЕШКОМ ПОД СТОЛ ХОДИЛ, КОГДА Я СИДЕЛА ЗА ПК", а на деле не может сделать скриншот или подключить мышку. Классический кошмар админа.

По-сути.

Тимвиювер был установлен нашим эникейщиком для удаленного доступа.

На рабочем столе (ВНИМАНИЕ!!!!!) главбух хранила ключ от клиент банка.

В 23:00 на кануне попытки воровства был вход на ПК на предмет проверки финансов на счете.

В 8:00 были созданы платежки, в 9:01 и в 9:05 я выдернул ПК из сети.

В 9:10 главбух был на работе.

Платежки были оформлены на подставной ФОП.

Человек, что удаленное работал за ПК зачем-то убил всю инфу на дисках, софт, доки и тп.

Это 100% не наш админ делал грязь.

 

Мои версии.

Или это главбух в сговоре с кем-то.

Или это сервисники 1С, Медок и тп, что ставили\обновляли софт и заметили ТВ + текстовый документ с паролем от клиент банка.

 

 

Вопрос. Можно ли выяснить ИП человека, что заходил удаленное на ПК (Я понимаю, что там может быть ВПН)

Что вообще можно выяснить в такой идиотской ситуации?


Изменено пользователем Whitter

Поделиться сообщением

Ссылка на сообщение

Samarit9nin   

Samarit9nin

Кидай фотки сотрудницы Оксаны и местные шерлоки вмиг тебе помогут :buba:

Поделиться сообщением

Ссылка на сообщение

Двапой   

Двапой

как что делать? во первых смотреть логи, если они вообще есть, искать айпи

во-вторых шлепать в ментуру и писать заявку, 150к даже гривен это не маленькие деньги

 

все эти впны и подставные компании щелкаются на раз, когда у тебя есть административный ресурс, то есть у ментов

 

и дать админу по башке, за что такой тупой

Мобильное приложение для продоты https://play.google....id=ru.prodota.m

Поделиться сообщением

Ссылка на сообщение

morfuwa   

morfuwa

эта тварь еще и эцпшку не вынимает из компа?

Жри, дрочи, играй в доту.

Поделиться сообщением

Ссылка на сообщение

Le0niD   

Le0niD
(изменено)

Детский сад :lol:

 

По сабжу, я бы уебал уволил бы такого бухгалтера.

Что то раскопать можно, только если деньги пытались стырить такие же идиоты.

 

З.ы. а админ куда смотрел? Или не он клиент банк устанавливал?


Изменено пользователем Le0niD

Поделиться сообщением

Ссылка на сообщение

Whitter   

Whitter
(изменено)

эта тварь еще и эцпшку не вынимает из компа?

именно

и оставляет его включенным.

 

я раньше не занимался эти вопросами, даже не думал, что у нас все так плохо.

уволил бы ее нахуй, но она под протекцией соучредителя.

В ментуру обращаться = накликать на себя беду. Эти возможные налоговые проверки и все такое.

Вся история настолько абсурдная, что я мягко говоря охуевший.


Изменено пользователем Whitter

Поделиться сообщением

Ссылка на сообщение

sokol-cool   

sokol-cool

если она и на ночь оставляет пк включенным то эникейщик ставивший тививер даун

Поделиться сообщением

Ссылка на сообщение

Whitter   

Whitter
(изменено)

C одной стороны да, ты прав. Но с другой стороны история взаимотношений админа и буха - это просто комедия. Она по два раза на день наяривает эникейщику и требует решения идиотских проблем(типа монитор мерцает, или курсор сам по декстопу скачет, в то время как две мышки к ПК подключены и одна из них на системнике лежит, лулзов с ней уйма) Если бы она не пускала к себе за ПК !БЕЗ ВЕДОМА! админа посторонних, если бы она не юзала windows server 2003 ( :lol: ) и не требовала, что бы база была на ее пк, а не отдельном сервере.

Короче, там такая история, просто пиздец. Я как узнал все нюансы, дар речи потерял.

Как смотреть логи? eventvwr.msc? Я ваще нулячий в этих делах, хочу хоть немного улик найти.


Изменено пользователем Whitter

Поделиться сообщением

Ссылка на сообщение

Ramil   

Ramil

даже если и узнаешь айпишник, то это будет айпишник серверов тимвьювера

с ними надо будет как-то связываться и узнавать дальнейший айпишник

 

по хорошему должны быть логи на проксе или фаерволе, там можно узнать ип

или логи тимвьювера смотреть

а лучше использовать терморектальный криптоанализ - 146% гарантия

javascript:void(0);

Поделиться сообщением

Ссылка на сообщение

SPYHunter   

SPYHunter

Чет в голос с ситуации, а потом понял, если у вас все так настроено, то єто пизда вашей шаражке. Я бы на месте кулхацкера спиздил бы все нахуй. Не ну пиздец. Где ваш внешний периметр? Где AD? Где внутренняя защита? Какого хуя на компе ГлавБуха! стоит тимвиавер? Я бі сука уволил всех далбаебов нахуй. Еще и пароль на рабочем столе пароль.txt. Звоните в какую-нибудь фирму по айти безопасности и заказівайте аудит. И в ментуру нужно, хотя на Украине ее нет. Скажу про спонсировал Армию! Короче идите нахуй.

https://insave.hosting
https://horhul.me

Поделиться сообщением

Ссылка на сообщение

Whitter   

Whitter
(изменено)

Чет в голос с ситуации, а потом понял, если у вас все так настроено, то єто пизда вашей шаражке. Я бы на месте кулхацкера спиздил бы все нахуй. Не ну пиздец. Где ваш внешний периметр? Где AD? Где внутренняя защита? Какого хуя на компе ГлавБуха! стоит тимвиавер? Я бі сука уволил всех далбаебов нахуй. Еще и пароль на рабочем столе пароль.txt. Звоните в какую-нибудь фирму по айти безопасности и заказівайте аудит. И в ментуру нужно, хотя на Украине ее нет. Скажу про спонсировал Армию! Короче идите нахуй.

Какая защита, ты о чем))

cure it наше все)

 

Финансовые потоки мы то контролируем, но шаражка у нас и вправду на честном слове существует.


Изменено пользователем Whitter

Поделиться сообщением

Ссылка на сообщение

sokol-cool   

sokol-cool
(изменено)

C одной стороны да, ты прав. Но с другой стороны история взаимотношений админа и буха - это просто комедия. Она по два раза на день наяривает эникейщику и требует решения идиотских проблем(типа монитор мерцает, или курсор сам по декстопу скачет, в то время как две мышки к ПК подключены и одна из них на системнике лежит, лулзов с ней уйма) Если бы она не пускала к себе за ПК !БЕЗ ВЕДОМА! админа посторонних, если бы она не юзала windows server 2003 ( :lol: ) и не требовала, что бы база была на ее пк, а не отдельном сервере.

Короче, там такая история, просто пиздец. Я как узнал все нюансы, дар речи потерял.

Как смотреть логи? eventvwr.msc? Я ваще нулячий в этих делах, хочу хоть немного улик найти.

штабилять

скажи ей что она пиздец и посади её за комп с гостевым аккаунтов


Изменено пользователем sokol-cool

Поделиться сообщением

Ссылка на сообщение

Whitter   

Whitter
(изменено)

Будь моя я воля, я бы разогнал 80% штата.

Но это не в моих силах. Когда в организации четыре соучредителя с разными мнениями и совковым взглядом на бизнес - это печально.


Изменено пользователем Whitter

Поделиться сообщением

Ссылка на сообщение

sokol-cool   

sokol-cool
(изменено)

чувак

у тебя сейчас все карты на руках

произошла попытка кражи 150к гривен

дохуя как бы

она не была успешна только по счастливой случайности

стала она возможной только из за низкого уровня безопасности

виноват админ+главбух

у тебя на руках бумаги о отмене платежей

можешь прямо взять себя поставить перед всеми

созови всех на собрание

уволь админа

наори на главбуха и скажи что она теперь будет сидеть только под вин 7/8

безопасность

без прав админа

и все программы ей будет устанавливать только новый админ а пароль

от банкинга

будет на флешке

и тряси перед ебалом бумагой на отмену платежа 150к неизвестному счету

можешь всё сделать тихо, но основания для наведения порядка у тебя есть 100%

это невероятный лак

ты получил возможность навести порядок и не проебал нихуя

админа увольнять только в случае если ты решил себя поставить перед всеми а не быть тварью дрожащей

 


Изменено пользователем sokol-cool

Поделиться сообщением

Ссылка на сообщение

Whitter   

Whitter
(изменено)

чувак

у тебя сейчас все карты на руках

произошла попытка кражи 150к гривен

дохуя как бы

она не была успешна только по счастливой случайности

стала она возможной только из за низкого уровня безопасности

виноват админ+главбух

у тебя на руках бумаги о отмене платежей

можешь прямо взять себя поставить перед всеми

созови всех на собрание

уволь админа

наори на главбуха и скажи что она теперь будет сидеть только под вин 7/8

безопасность

без прав админа

и все программы ей будет устанавливать только новый админ а пароль

от банкинга

будет на флешке

и тряси перед ебалом бумагой на отмену платежа 150к неизвестному счету

можешь всё сделать тихо, но основания для наведения порядка у тебя есть 100%

это невероятный лак

ты получил возможность навести порядок и не проебал нихуя

админа увольнять только в случае если ты решил себя поставить перед всеми а не быть тварью дрожащей

 

Ты точно описал все мои действия, кроме увольнения админа. Тивьювер был поставлен по понятным мне причинам.

Главбух под вин7, с учетки USER, кричит: КАК ЭТО У ГЛАВБУХА УЧЕТКА ПРОСТОГО ПОЛЬЗОВАТЕЛЯ А НЕ АДМИНА, ЧТО ЭТО ТАКОЕ? ЧТО ЗА НЕДОВЕРИЕ А ЕСЛИ ОН МЕНЯ ПОДСТАВИТ?

Штраф в размере 50% от зп для буха. Это все санкции, что мне удалось вытрясти из остальных учредителей.

Меня волнует вопрос того, что это рли она вошла в сговор с рандомным уебком.

Посмотрел историю ее браузера за сегодня: кредит срочно наличные, кредит наличные быстро, кредит дельтабанк, кредит приват банк, кредит на выгодных условиях.

 

Подозрительно :hmm:


Изменено пользователем Whitter

Поделиться сообщением

Ссылка на сообщение

sokol-cool   

sokol-cool

тебе не похуй ли?

она или не она

главное устроить всё так что бы никто не мог ничего украсть

:dunno:

или даже если украл то ответственность была на явном человеке

и кстати нужно объяснить главбухше что если бы бабки всё таки украли возмещать их пришлось бы ей ибо это с её компа был совершен платеж

и учетка "неадмина" чтобы она не стала должна фирме 150к через время

короче проведи с ней беседу что всё только для её блага и в этот раз ей нереально повезло

Поделиться сообщением

Ссылка на сообщение

Whitter   

Whitter
(изменено)

Она пару месяцев назад проебала 300к, чисто из-за того, что письмо о смене реквизитов нашего предприятия отправили обычным письмом, а не заказным. Потом наш должник пульнул 300к в наш старый банк, который на момент платежа был банкротом, но счет нельзя было закрыть. Доказать, что они получили письмо - невозможно. Никто ведь не расписывался о его получении в офисе нашего должника т.к не заказное. Естественно БРОКБИЗНЕС банк ни копейки нам не компенсировал. Я считаю, что это хитрая схема воровства бабок, не похоже на случайность. С нее ничего не сняли, даже не штрафанули. А ты говоришь, "она должна фирме".

У нас тут пиздец, ребята. Вы себе представить не можете мои веселые заботы))


Изменено пользователем Whitter

Поделиться сообщением

Ссылка на сообщение

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Восстановить форматирование

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...
×
Перейти к списку тем
×
×
  • Создать...