Net Security - Južnoafriške oblasti so razkrile, da so za zdaj neznani storilci med 1. in 3. januarjem, ko so bile poslovalnice zaprte, iz Postbanke ukradli več kot štiri milijone evrov z elektronsko prevaro. Ob tem niso oškodovali komitentov banke, ampak so škodo povzročili neposredno banki.
Napad so lahko izvedli, ker so podrobnost poznali informacijski sistem v banki in ker so pridobili uporabniško ime in geslo dveh uslužbencev banke za dostop do internega informacijskega sistema. Po poročanju Sunday Timesa je šlo za gesli uslužbenca na okencu in uslužbenca na klicnem centru. Takoj po zaprtju bank ob novoletnih praznikih so vstopili v sistem in na lastne račune, ki so jih bili odprli v tednih pred napadom, vknjižili neobstoječe pologe denarja. Nato so zvišali limite za dnevne dvige denarja na bankomatu in vse do odprtja poslovalnic 3. januarja pridno dvigovali izjemno visoke zneske gotovine. Zadnjih dvig so izvedli 3. januarja ob šesti uri zjutraj, torej malo pred odprtjem bank.
Ni še znano, ali sta bila uslužbenca, katerih vstopne podatke so uporabili, del kriminalne naveze ali ne. Jasno pa je, da je bil informacijski sistem Postbanke nezadostno varovan. Ni namreč razumljivo, zakaj je bilo mogoče s prijavnimi podatki dveh zaposlenih, ki sta bila v hierarhiji zelo nizko, spreminjati limite v nenormalno visoke zneske. Prav tako ni razumljivo, kako je sistem dovolil knjiženje pologov in spremembe limitov izven delovnega časa ter zakaj ni vzorec sumljivih transakcij (nenadni visoki pologi, zvišanje limitov in visoki dvigi) sprožil alarmov. Škoda znaša 42 milijonov randov (okrog štiri milijone evrov).
Še zlasti neprijetna podrobnost pravi, da je Postbank pred tremi leti zapravila poldrugi milijon evrov za vgradnjo naprednega sistema za zaznavanje zlorab in nenavadnih vzorcev transakcij, ki je to pot popolnoma zatajil. Videti je torej, da je internetni informacijski sistem banke, ki je trenutno še v sklopu južnoafriške pošte, a se pripravlja na odcepitev v lastno podjetje, zelo luknjičast.
lol nice mora biti zanimivo ko prideš do bankomata in upišeš dvig 1 mio € in to kar na račun banke!
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...
Da ne govorim o tem da nobeno podjetje v Sloveniji, kjer sem delal ali imel priložnost videti IT, ne zna omejiti uporabnikov na samo njim potrebne informacije. Ali pa se jim morda ne ljubi ...
V bankah je to še toliko bolj kritično.
"Life is hard; it's even harder when you're stupid."
"Ni namreč razumljivo, zakaj je bilo mogoče s prijavnimi podatki dveh zaposlenih, ki sta bila v hierarhiji zelo nizko, spreminjati limite v nenormalno visoke zneske. Prav tako ni razumljivo, kako je sistem dovolil knjiženje pologov in spremembe limitov izven delovnega časa ter zakaj ni vzorec sumljivih transakcij (nenadni visoki pologi, zvišanje limitov in visoki dvigi) sprožil alarmov. Škoda znaša 42 milijonov randov (okrog štiri milijone evrov)."
In ko razlagaš firmam o pomembnosti notranjih kontrol, te vsi gledajo, kot da si član STASI-ja, UDBE ali CIA. Potem se zgodil tole in nikomu ništa, nihče se ne spomni priporočil zunanjih sodelavcev, ki jih nihče ni upošteval, čez noč se kaotično okolje lahko spremeni v najbolj varovan zapor na svetu (kjer funkcionalnost, ki je bila prej sveta, ni več pomembna).
Rekel bi smešno, pa ni.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Da ne govorim o tem da nobeno podjetje v Sloveniji, kjer sem delal ali imel priložnost videti IT, ne zna omejiti uporabnikov na samo njim potrebne informacije. Ali pa se jim morda ne ljubi ...
No, imamo tudi take firme v Slo (sicer v rokah tujcev ) kjer so pravice dodeljene glede na naravo dela. Dobiš kar nujno rabiš in nič več. Pa še te pravice se morajo redno obnavljati, sicer se avtomatično ukinejo. V bistvu se že nedolžne informacije skrivajo. Vedeti moraš vnaprej, kaj rabiš in zakaj, sicer do tega nikoli ne prideš.
Da ne govorim o tem da nobeno podjetje v Sloveniji, kjer sem delal ali imel priložnost videti IT, ne zna omejiti uporabnikov na samo njim potrebne informacije. Ali pa se jim morda ne ljubi ...
V bankah je to še toliko bolj kritično.
In vendar do zlorab pravzaprav ne prihaja ne? Ne, da se jim ne bi ljubilo ... ampak gre za zaupanje zaposlenim.
Vem firme kjer sem lahko od kolegov dobil cisto prevec podatkov o vseh, ki so kadarkoli imeli kakersne koli posle z Mobitelom. Tudi kaksne pritozbe za predplacniske kartice so precej hitro dobile zdraven se osebne podatke, do katerih je bilo banalno lahko pridet.
Vem pa tudi za firme (ki so res v lasti tujcev) kjer pa je ureditev glede dostopa informacij precej fasisticna. Dobis samo kar rabis, pa se za to rabis vsaj eno odobritev nadrejenih (ponavadi pa kar 2 tier odobritev, se pravi se od sefa od sefa). Pa seveda prej podpises papri da ce bos samo pomislil da bi ravnal s podatki na nezakonit nacin da te lahko za jajca obesijo iz tromostovja...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
"banke, ki je trenutno še v sklopu južnoafriške pošte, a se pripravlja na odcepitev v lastno podjetje"
Kaj pa ta scenarij: Bodoči lastniki banke potrebujejo denar za odkup deležev, hkrati pa imajo dovolj internih informacij o zaščiti internetnega informacijskega sistema banke, da ga lahko onemogočijo in si prisvojijo 4 milijone €.
