Bankir.Ru
8 декабря, четверг 03:06

Объявление

Свернуть
Пока нет объявлений.

Действия злоумышленника в банке.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Действия злоумышленника в банке.

    Здравствуйте.
    прошу прощения, если вопрос покажеться кому-то не в тему, но я не знал куда его направить.
    Сможет ли кто-нибудь ответить на мой вопрос.
    Мне кажется мифом утверждение, что злоумышленник проникший во внутреннюю сеть банка, может перегонять деньги со счетов вкладчиков на свои счета или подставные.
    Какую реальную угрозу банку, может нести злоумышленник проникший в банковскую сеть, кроме того, что может уничтожить все важные файлы или украсть номера кредитных карт.
    Разве возможна нелегальная транзакция, злоумышленником?
    На какие именно серверы или компьютеры ему нужно позариться, чтобы "угнать" деньги со счетов вкладчиков, в неизвестном направлении?
    Неужели так просто снять деньги со счета у какого-либо вкладчика и закинуть себе на счет. Мне кажется все это не реальным.
    Спасибо.

  • #2
    Dream_dream
    А зачем это Вам?
    В действительности все не так, как на самом деле.

    Комментарий


    • #3
      Еще один Вася2002... только с сетевым уклоном
      In God we trust, all others we audit

      Комментарий


      • #4
        угу LOL...
        а я вот телефончик знаю..одного провайдера..дозвонишься через него на сайт Сбера..и перегонишь себе на счет всё...

        а..да..забыл телефончик - 02 ..
        а..сервер - Хьюлет Паккард Пролиант...а компутер-на базе Пня IV - 1,5 ГГЦ...
        .......можно на "ты".........

        Комментарий


        • #5
          Dream_dream
          Мне кажется мифом...

          Мне тоже...

          Какую реальную угрозу банку, может нести злоумышленник...

          Да никакую. Ничего он не сделает...

          Разве возможна нелегальная транзакция, злоумышленником?

          Да нет, конечно...

          На какие именно серверы или компьютеры ему нужно позариться, чтобы "угнать" деньги со счетов вкладчиков, в неизвестном направлении?

          И в самом деле - на какие!

          Неужели так просто снять деньги со счета у какого-либо вкладчика и закинуть себе на счет. Мне кажется все это не реальным.

          Абсолютно нереально - Вы совершенно правы. Совершенно.

          Спасибо

          Ну что Вы - всегда пожалуйста. Вы пишите - всегда поможем...
          ...А жизнь так и будет крутить и крутить колесо...

          Комментарий


          • #6
            ALL

            Зря вы так. Тема на самом деле серьезная. Только вот обсуждать ее вряд ли стОит, чтобы не было таких вот... желающих...

            Комментарий


            • #7
              Dream_dream

              Прямой ответ на Ваш вопрос Неужели так просто снять деньги со счета у какого-либо вкладчика и закинуть себе на счет - возможно всё. Вопрос лишь в цене (стоимости необходимых действий или ресурсов).

              Утрированно - приходите к администратору, даёте ему $100 млн. Он Вас легально регистрирует в системе, Вы делаете все необходимые Вам проводки, спокойно снимаете деньги с Вашего счёта, а за счёт переданных Вами ранее $100 млн. руководство банка рассчитывается с обворованными Вами вкладчиками (получая при этом прибыль). Вопрос, Вы готовы потратить $100 млн. ?

              прошу прощения, если вопрос покажеться кому-то не в тему, но я не знал куда его направить.

              Смешно, честное слово. Данная тема - прямиком в "Разговоры". .

              Если Вас действительно интересуют проблемы информационной безопасности, то для этого модераторы должны завести соответствующий форум, (типа "Аспекты безопасности"), где такой постинг уместен.
              Должно быть понятно, что информационная безопасность - целая отрасль, и с автоматизацией может пересекаться только по техническим вопросам. В нормально постоенных структурах защитой и противодействием занимаются специальные подразделения (отнюдь не администраторы систем и тем более не программисты), и по понятным причинам методы их работы не обсуждаются.

              А времена банальных хаков и кряков уже прошли (т.к. созданы системы защиты и противодействия). Хотя как знать, быть может юное поколение хакеров и крякеров думает иначе .....

              Комментарий


              • #8
                Pif так именно поэтому мы так и ведем себя..что все всё понимают...но сказать ничего не могут,потому как-ТАБУ!
                .......можно на "ты".........

                Комментарий


                • #9
                  Вопрос о создани отдельного форума посвещенного вопросам безопасности... обсуждается с момента создания сайта...
                  Но т.к. сайт не имеет своей службы безопасности, то соответственно у него нет возможности проводить проверку поситителей дабы они могли пообщатся на эту тему в закрытых форумах... и т.д. и т.п.

                  Если злоумышленник проник в банк - нафига ему сервера, номера, транзакции... Сейфовая комната - вот его цель!
                  Подавая сигналы в рог будь всегда справедлив, но строг. ©

                  Комментарий


                  • #10
                    Ну что же вы так... невозможно, невозможно... примерно год назад был такой случай в одном из уральских банков. злоумышленников правда поймали дня через два, да и деньги вроде вернули. но...
                    сделать то они это смогли! А то что их взяли, это уже другой вопрос. В СМИ все было подано так, что это заслуга супер совершенной системы безопасности

                    деталей сейчас не помню. если ребята из того банка здесь есть, то может как-то прокомментируют, но думаю не будут...

                    Комментарий


                    • #11
                      Dream_dream
                      Можно все
                      Лучше всего начинать готовиться быть злоумышленником с детства
                      Получить хорошее разностороннее образование, следить за своим здоровьем, чтобы в ответственный момент не болела голова и не прихватил понос, имиджем и знакомствами, учиться писать левой рукой
                      Тогда рано или поздно можно проникнуть в банк и стать там например Председателем Правления
                      Это - идеальный вариант
                      Главбухом тоже не плохо, начальником службы безопасности, на худой конец начальником службы внутреннего аудита
                      Про сотрудников УИТ скромно умолчим
                      Предположим Вы стали Предом Правления И вот оно Море Недокументированных Возвожностей!

                      Комментарий


                      • #12
                        Dream_dream
                        злоумышленник проникший во внутреннюю сеть банка, может перегонять деньги со счетов вкладчиков на свои счета или подставные.
                        Как правило злоумышленником является сотрудник банка.
                        Потому что только он один знает как скрыть тот или иной поток.
                        В каждом банке своя структура ведения внутренного банковского бизнеса
                        Такие случаи известны.
                        То работник депофиса, то кредитный. Один случай-человек на рейсах сидел.
                        Есть и ИТ.
                        Но всему приходит конец.
                        Так что думайте.

                        Комментарий


                        • #13
                          Российский банк достаточно сложно кинуть, т.к. клиент лишь дает распоряжение на операцию, а исполняют его много людей - фронт-офис, позиционер, бэк-офис, последконтроль.
                          А вот если злоумышленник завелся внутри банка, да еще и в ИТ...

                          Есть такое издание - Энциклопедия преступлений и катастроф, томик Преступления в сфере высоких технологий. Там рассказывается, как начальник отдела автоматизации заточил процедуру начисления %% таким образом, чтобы центовую часть откидывала на его счет. Обнаружили случайно - новый сотрудник вникал в процедуру. Вник, дядьку закрыли.
                          Жить надо так, чтоб тебя помнили сволочи!

                          Комментарий


                          • #14
                            Таким образом, если резюмировать, разговор перешёл в русло "украсть-то можно, но сколько проживёшь после этого" ....

                            Комментарий


                            • #15
                              COI
                              если ребята из того банка здесь есть, то может как-то прокомментируют
                              Вы бы тогда уж назвали банк, который имеете ввиду
                              Earl Vlad Drakula. ///

                              Комментарий


                              • #16
                                Как вы сказали?

                                Комментарий


                                • #17
                                  Dream_dream, о каком банке и в какой стране идет речь?

                                  В каждом случае - что-то можно сделать - чего-то сделать нельзя.

                                  Самый простой случай. Происходит взлом базы данных банка. Злоумышленник получает доступ ко всем записям в базе. Доступ на изменение информации. Одновременно с этим он открывает счет в этом банке на себя (подставное лицо). Далее на этом счете прямо в базе изменяется сумма баланса. Во многих банках баланс хранится в виде цифры, а не высчитывается как динамическое значение.

                                  Изменив баланс, злоумышленник делает совершенно легальную транзакцию со своего счета за пределы банка. Вот собственно и все. Это самая простая схема. Которую тяжелее всего провернуть. Потому что клиентов в банках, как правило, не миллионы и сотрудники банка помнят, у кого и сколько на счетах.

                                  Сложнее схемы требуют более сложных процедур. Если действительно интересно - идите на форум немножко другого профиля

                                  Комментарий


                                  • #18
                                    matex Далее на этом счете прямо в базе изменяется сумма баланса
                                    1)Вообще-то в бухгалтерии существует двойной способ записи
                                    Если где-то пришло, значит где-то ушло. По второй записи вас и схватять
                                    2) Существуют документы дня на бум. носителях.
                                    В документы дня документ за подписью ответ лиц вы тоже положите
                                    Сначала надо понимать внутренний документооборот банка, а потом делать транзакцию
                                    Прошу мои советы не использовать для проведения таких операций
                                    Кое-что специально допольнительно не оговаривал, чтобы не дать козыри злоумышленникам

                                    Комментарий


                                    • #19
                                      hugevlad

                                      Щасс!!! не буду делать ни рекламу ни антирекламу (расценить это можно двояко), поскольку это запрещено правилами форума...
                                      Банк сам про себя знает - захотят поделятся. К тому же, ИМХО, в половине банков такие случаи происходили. Везде с разным концом, и закончилось на разной стадии... В большинстве так и не начавшись
                                      Я сам однажды придумал как умыкнуть деньги из родного банка обойдя все препоны... и пара-тройка дней в запасе получалась.... но ведь пара дней это так мало по сравнению с годами в заключении

                                      А увести деньги, электронным способом, можно. Но вот чтобы тебя не поймали трудно...

                                      Комментарий


                                      • #20
                                        COI
                                        Щасс!!! не буду делать ни рекламу ни антирекламу (расценить это можно двояко), поскольку это запрещено правилами форума...
                                        Вот как раз голословное утверждение можно расценить неоднозначно. Не приводя конкретики в виде названия, Вы брорсаете тень на все банки, не давая им прокомментироватьт ситуацию. Вкратце описанная Вами ситуация очень мне напоминает имевшую место в БСК в 2000 году. Но если мы об одном и том же, то у Вас информация, гм, несколько извращенная. Банк достаточно подробно рассказал о происшествии в СМИ. Так что уж определитесь...
                                        Earl Vlad Drakula. ///

                                        Комментарий


                                        • #21
                                          hugevlad

                                          С чем определитесь? я определился. и моя позиция такая: банк сам себя явно узнает и при желании расскажет.
                                          Я рассказывать не буду, т.к. деталей не помню, и соответсвенно могу чего-то не так сказать... и вот это точно уже будет ...несколько извращенная информация.

                                          А в чем я бросаю тень на все банки? в утверждении того что можно электронным образом увести деньги почти в любом банке? А вы что серьезно полагаете что это не так? где то сложнее где то проще, надо знать определенную информацию, надо знать технологию работы конкретного банка и всё.
                                          конечно здесть утверждали что лучше быть предправом в этом банке... но не обязательно... можно быть и достаточно рядовым сотрудником...
                                          извне это сделать оч. сложно изнутри не сказть что легко, но можно...
                                          главная сложность в том чтобы остаться после такой операции безнаказанным...

                                          сорри... я заглянул в ваш профиль... it-security! я бросил тень НЕ на банки - я бросил тень на службу безопасности!
                                          Возможно в вашем банке это невозможно (но я и не утверждал про все!), но там где я работал это можно было сделать да... у нас не было безопасника - прокол. Хотя там где был, все равно можно было...

                                          Комментарий


                                          • #22
                                            В понедельник сотрудники отдела по борьбе с киберпреступностью /отдела "К"/ УВД Калининградской области задержали 18-летнего "хакера". Как сообщили РИА "Новости" в областном УВД, талантливый компьютерщик из города Гвардейск Калининградской области пытался модифицировать компьютерную информацию в сети калининградского филиала банка "Менатеп".
                                            А куда исчез Dream_dream ?
                                            Спросил как взламывать и нету

                                            Комментарий


                                            • #23
                                              alanf Там рассказывается, как начальник отдела автоматизации заточил процедуру начисления %% таким образом, чтобы центовую часть откидывала на его счет. - однин мой знакомый с этим столкнулся лет пять назад)))
                                              а аккредитивы......по подложным документам.... были случаи
                                              еще рассказывали - телекс заклинило)))) а человек в пятницу домой пошел пораньше и деньги уходили, уходили, уходили, пока корр.счет не обнулился)))))
                                              - обычно из ключа видно какое это сообщение по счету 20-ое или 21-ое, но бывает и нет, такая малость могла спасти.....

                                              Комментарий


                                              • #24
                                                http://forum.uabanker.net/ikonboard....=ST;f=13;t=798
                                                информация по данной теме

                                                Комментарий


                                                • #25
                                                  На какие именно серверы или компьютеры ему нужно позариться, чтобы "угнать" деньги со счетов вкладчиков, в неизвестном направлении?
                                                  Те на которых стоят системы подписи и шифрации для списания через общедоступные каналы связи. В этом случае "угоняются" деньги банка. Счета клиентов проще чистить через клиент-банк в бухгалтерии клиентов. Там частенько с безопасностью полный отстой. И период реакции может быть больше, пока выписку посмотрят, пока сообразят. А если известно что кто-то болеет или в отпуске... Если вы списываете себе коррсчет банка, то там куда вы его списываете, вам его должны зачислить после пятого рейса и сразу же выдать налом и пихнуть за высокий бугор. Чтобы за оставшиеся 6-8 часов вы успели добежать до канадской границы с человеком из того банка.
                                                  Т.е. надо иметь э... сподвижников и бегать быстро, долго и препятствиями или сидеть.

                                                  Комментарий


                                                  • #26
                                                    COI
                                                    банк сам себя явно узнает и при желании расскажет.
                                                    Еще раз: если мы про один случай, то Вы привели некорректные исходные данные.
                                                    Я рассказывать не буду, т.к. деталей не помню,
                                                    Вот потому я и предлагаю Вам сформулировать примерно так: "Ребята из банка N! Расскажите, пожалуйста, о случае, который, по слухам, произошел в вашем банке тогда-то".
                                                    А в чем я бросаю тень на все банки? в утверждении того что можно электронным образом увести деньги почти в любом банке? А вы что серьезно полагаете что это не так?
                                                    Видимо, проблема в том, что я не работал в "почти любом банке". А там, где работал, имея административные права, угнать, конечно, можно было. Но нельзя было другое - получить их, скрыться и уйти от ответственности. И для этого не нужны автотматчики на вышках (в свете вчерашних событий в столице они нужны для другого), нно лишь нормальная организация системы.
                                                    сорри... я заглянул в ваш профиль... it-security! я бросил тень НЕ на банки - я бросил тень на службу безопасности!
                                                    ... к которой я не имею отношения Или Вы всерьез полагаете, что информ. безопасностью должно заниматься обязательно это подразделение?
                                                    А тень Вы действительно бросили не только на безопасников, но и на банки в целом. Ибо возможность украсть деньги говорит о том, что система организована бестолково. Т.е. ITшники поулчаются, гм, неумными А весь персонал банка - потенциальные воры. Спасибо за комплимент, уважаемый коллега-банкир.
                                                    В СМИ все было подано так, что это заслуга супер совершенной системы безопасности
                                                    М-да Не любите Вы эту службу Но если мы об одном случае (попробую связаться с Вами через ICQ, дабы выяснить это), то, насколько мне известно, именно так и было...
                                                    Earl Vlad Drakula. ///

                                                    Комментарий


                                                    • #27
                                                      еще рассказывали - телекс заклинило

                                                      Мой реальный случай. Заклинило почтовую программку которая слала сформированные подписанные и зашифрованные платежи. А при расчете ключа не было предусмотрено использовать номер платежа. И одна сумма с одинаковыми реквизитами ушла 5 раз. Буржуйский банк ее 5 раз провел. Были разбирательства и т.д. После этого сменили программное обеспечение и провайдера.
                                                      Хотя в этом случае все было не злоумышленно, но такую схему вполне можно было использовать.

                                                      Комментарий


                                                      • #28
                                                        hugevlad

                                                        Я чего то непонимаю.... русским языком говорю. украсть и уйти от отвественности действительно трудно (и это неоднократно упоминается в моих постингах).
                                                        а то что можно украсть вы по моему и сами не отрицаете. Цитата:
                                                        А там, где работал, имея административные права, угнать, конечно, можно было... - так о чем спор? я лишь расширяю эту фразу до того что: там где я работал можно было угнать деньги имея лишь определенный доступ в сеть (не гостевой конечно, но довольно много сотрудников его имело по служебной необходимости) и зная некоторые внутренние процедуры.
                                                        Да согласен, это была недоработка службы IT и службы безопасности... Но ничего не поделаешь... в некоторых банках, а особенно филиалах экономят на таких вещах. С одной стороны руководство не понимает потенциальной опасности, а с другой жалеет на это ресурсы, как денежные так и человеческие. И держится все на честности и порядочности сотрудников (и слабой компьютерной грамотности некоторых из них, способных на такое).
                                                        А если человек знает как украсть деньги, но не делает этого (например я ) так это честный человек, а не наоборот. (цитата: А весь персонал банка - потенциальные воры.)

                                                        Причем, я уверен, и господа консультанты здесь присутствующие думаю подтердят это. Если проводить независимый IT-аудит и аудит инф.безопасности, то во многих банках такие дыры найдутся...
                                                        (я же не говорю про ваш, у вас то все в порядке и те сертификаты, которые вы имеете это подтверждают. Но не надо думать что везде все так хорошо... просто ваш банк в технологическом отношении лидер)

                                                        Безопасников я не то чтобы нелюблю... и любить их и уважать причин особых нет. хотя бы потому что вот такие дыры допускались... да и по многим другим причинам. (это тема не этого постинга). Вас я отнес к службе безопасности банка в общем смысле этого слова, как сотрудника подразделения занимающегося информационной БЕЗОПАСНОСТЬЮ банка. как там у вас фактическое и формальное подчиение выстроено мне совершенно неизвестно.

                                                        Насчет того случая (с чего собственно началась эта перебранка) - если у вас есть данные так огласите! чего вы ко мне цепляетесь?
                                                        Если бы у меня были конкретные точные данные, скажем выдержка из пресс-релиза банка или статья в СМИ - я бы сказал. рыться в Инете в поисках инфы желания нет. Что вас задело то так? постинг о заклинившем телексе почему не задел? давайте выведем и его автора на чистую воду и узнаем в каком банке это было и почему.

                                                        Да, случай про который я рассказал произошел в вашем банке...
                                                        Естественно, как у человека там работающего у вас больше данных и сведений.

                                                        Я же пересказываю лишь то что осталось в моей памяти из сообщений СМИ за пршедшее время.... Что я там переврал не знаю, но в общем и целом разве я не прав?
                                                        И что вам не нравится во фразе? В СМИ все было подано так, что это заслуга супер совершенной системы безопасности. - это то что отложилось в памяти. немного присутствует ирония, а вы никогда не улыбаетесь?

                                                        Давайте уж огласите тогда из первых рук как все было....

                                                        PS а в ICQ пожалуйста
                                                        Последний раз редактировалось COI; 24.10.2002, 10:13.

                                                        Комментарий


                                                        • #29
                                                          РамзесII А куда исчез Dream_dream ?
                                                          Спросил как взламывать и нету

                                                          Либо побежал ломать, либо уже сидит
                                                          А если серьёзно - заломать банк практически невозможно без помощи изнутри.

                                                          Комментарий


                                                          • #30
                                                            COI
                                                            это то что отложилось в памяти. немного присутствует ирония, а вы никогда не улыбаетесь?
                                                            не, только ржу как конь
                                                            Давайте уж огласите тогда из первых рук как все было....
                                                            Из первых не получится - только по материалам СМИ и рассказам очевидцев.
                                                            Собственнно, история банальная. Человек с административными правами (продвинутый инсайдер, так сказать, а не налетчик с улицы), пополнил "из воздуха" картсчета, открытые на подставных лиц. И со товарищи начал снимать наличку в банкоматах. Естественно, дисбаланс всплыл моментально, всех сразу поставили под колпак и, получив доказательства, повязали. Деньги вернули. Заслуга это не "супер системы безопасности", а просто грамотной организации работы. Если говорить про СБ - сработали очень грамотно и оперативно.
                                                            А еще бы случай в одном крупном московском банке... А еще был случай в Сбербанке одного из южных регионов России... А еще...
                                                            Все, работать пора, однако
                                                            Earl Vlad Drakula. ///

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X