» »

Hekerji južnoafriški Postbanki ukradli štiri milijone evrov

Hekerji južnoafriški Postbanki ukradli štiri milijone evrov

Net Security - Južnoafriške oblasti so razkrile, da so za zdaj neznani storilci med 1. in 3. januarjem, ko so bile poslovalnice zaprte, iz Postbanke ukradli več kot štiri milijone evrov z elektronsko prevaro. Ob tem niso oškodovali komitentov banke, ampak so škodo povzročili neposredno banki.

Napad so lahko izvedli, ker so podrobnost poznali informacijski sistem v banki in ker so pridobili uporabniško ime in geslo dveh uslužbencev banke za dostop do internega informacijskega sistema. Po poročanju Sunday Timesa je šlo za gesli uslužbenca na okencu in uslužbenca na klicnem centru. Takoj po zaprtju bank ob novoletnih praznikih so vstopili v sistem in na lastne račune, ki so jih bili odprli v tednih pred napadom, vknjižili neobstoječe pologe denarja. Nato so zvišali limite za dnevne dvige denarja na bankomatu in vse do odprtja poslovalnic 3. januarja pridno dvigovali izjemno visoke zneske gotovine. Zadnjih dvig so izvedli 3. januarja ob šesti uri zjutraj, torej malo pred odprtjem bank.

Ni še znano, ali sta bila uslužbenca, katerih vstopne podatke so uporabili, del kriminalne naveze ali ne. Jasno pa je, da je bil informacijski sistem Postbanke nezadostno varovan. Ni namreč razumljivo, zakaj je bilo mogoče s prijavnimi podatki dveh zaposlenih, ki sta bila v hierarhiji zelo nizko, spreminjati limite v nenormalno visoke zneske. Prav tako ni razumljivo, kako je sistem dovolil knjiženje pologov in spremembe limitov izven delovnega časa ter zakaj ni vzorec sumljivih transakcij (nenadni visoki pologi, zvišanje limitov in visoki dvigi) sprožil alarmov. Škoda znaša 42 milijonov randov (okrog štiri milijone evrov).

Še zlasti neprijetna podrobnost pravi, da je Postbank pred tremi leti zapravila poldrugi milijon evrov za vgradnjo naprednega sistema za zaznavanje zlorab in nenavadnih vzorcev transakcij, ki je to pot popolnoma zatajil. Videti je torej, da je internetni informacijski sistem banke, ki je trenutno še v sklopu južnoafriške pošte, a se pripravlja na odcepitev v lastno podjetje, zelo luknjičast.

11 komentarjev

gruntfürmich ::

lol
nice
mora biti zanimivo ko prideš do bankomata in upišeš dvig 1 mio €:D
in to kar na račun banke!:))
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Zgodovina sprememb…

Invictus ::

Kot vedno, socialni inženiring deluje :).

Da ne govorim o tem da nobeno podjetje v Sloveniji, kjer sem delal ali imel priložnost videti IT, ne zna omejiti uporabnikov na samo njim potrebne informacije. Ali pa se jim morda ne ljubi ...

V bankah je to še toliko bolj kritično.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Markoff ::

"Ni namreč razumljivo, zakaj je bilo mogoče s prijavnimi podatki dveh zaposlenih, ki sta bila v hierarhiji zelo nizko, spreminjati limite v nenormalno visoke zneske. Prav tako ni razumljivo, kako je sistem dovolil knjiženje pologov in spremembe limitov izven delovnega časa ter zakaj ni vzorec sumljivih transakcij (nenadni visoki pologi, zvišanje limitov in visoki dvigi) sprožil alarmov. Škoda znaša 42 milijonov randov (okrog štiri milijone evrov)."

In ko razlagaš firmam o pomembnosti notranjih kontrol, te vsi gledajo, kot da si član STASI-ja, UDBE ali CIA. Potem se zgodil tole in nikomu ništa, nihče se ne spomni priporočil zunanjih sodelavcev, ki jih nihče ni upošteval, čez noč se kaotično okolje lahko spremeni v najbolj varovan zapor na svetu (kjer funkcionalnost, ki je bila prej sveta, ni več pomembna).

Rekel bi smešno, pa ni.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

ThinkPad ::

Da ne govorim o tem da nobeno podjetje v Sloveniji, kjer sem delal ali imel priložnost videti IT, ne zna omejiti uporabnikov na samo njim potrebne informacije. Ali pa se jim morda ne ljubi ...


No, imamo tudi take firme v Slo (sicer v rokah tujcev :D) kjer so pravice dodeljene glede na naravo dela. Dobiš kar nujno rabiš in nič več. Pa še te pravice se morajo redno obnavljati, sicer se avtomatično ukinejo. V bistvu se že nedolžne informacije skrivajo. Vedeti moraš vnaprej, kaj rabiš in zakaj, sicer do tega nikoli ne prideš.

Red_Mamba ::

jst bom reku sam 55000€/h, ni slabo :D
[st.slika https://img.shields.io/badge/Slo-Tech-green.svg test]
Linkedin >> http://goo.gl/839Aua
Mamba's Crypto & ICO's: https://t.me/joinchat/AAAAAExTkO4P4UDy0fIZdg

FireSnake ::

Prav zanimivo.

Glede na vložen denar se jim ta vložek definitivno ni izplačal ... še več, vprašanje, če ni bil stran vržen.
Poglej in se nasmej: vicmaher.si

SkipEU ::

Invictus je izjavil:

Da ne govorim o tem da nobeno podjetje v Sloveniji, kjer sem delal ali imel priložnost videti IT, ne zna omejiti uporabnikov na samo njim potrebne informacije. Ali pa se jim morda ne ljubi ...

V bankah je to še toliko bolj kritično.


In vendar do zlorab pravzaprav ne prihaja ne? Ne, da se jim ne bi ljubilo ... ampak gre za zaupanje zaposlenim.

antonija ::

Vem firme kjer sem lahko od kolegov dobil cisto prevec podatkov o vseh, ki so kadarkoli imeli kakersne koli posle z Mobitelom. Tudi kaksne pritozbe za predplacniske kartice so precej hitro dobile zdraven se osebne podatke, do katerih je bilo banalno lahko pridet.

Vem pa tudi za firme (ki so res v lasti tujcev) kjer pa je ureditev glede dostopa informacij precej fasisticna. Dobis samo kar rabis, pa se za to rabis vsaj eno odobritev nadrejenih (ponavadi pa kar 2 tier odobritev, se pravi se od sefa od sefa). Pa seveda prej podpises papri da ce bos samo pomislil da bi ravnal s podatki na nezakonit nacin da te lahko za jajca obesijo iz tromostovja...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Zgodovina sprememb…

  • spremenilo: antonija ()

qwyx ::

"banke, ki je trenutno še v sklopu južnoafriške pošte, a se pripravlja na odcepitev v lastno podjetje"

Kaj pa ta scenarij:
Bodoči lastniki banke potrebujejo denar za odkup deležev, hkrati pa imajo dovolj internih informacij o zaščiti internetnega informacijskega sistema banke, da ga lahko onemogočijo in si prisvojijo 4 milijone €.

FireSnake ::

Tako velik denar je treba upravičit, kje si ga dobil.

Drugače malo smrdi.

Ali pač ne?
Poglej in se nasmej: vicmaher.si

antonija ::

Pa 4 milijone EUR ni glih nevemkaj ce kopujes eno kar veliko banko. Ni to samo ena vecja jahtica ali malo vecja hisa...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Delavska hranilnica (strani: 1 2 3 415 16 17 18 )

Oddelek: Loža
852203252 (2267) recmajkemi
»

2,2 € za menjavo PIN kode (strani: 1 2 )

Oddelek: Loža
6416334 (6288) crniangeo
»

Kredit, zakaj kopijo TRR 3 mesecev (strani: 1 2 )

Oddelek: Loža
8527049 (24555) krneki0001
»

Hekerji južnoafriški Postbanki ukradli štiri milijone evrov

Oddelek: Novice / Varnost
114102 (2994) antonija
»

Pri kateri banki ustvariti bančni račun? (strani: 1 2 )

Oddelek: Loža
6610329 (8313) vasquez

Več podobnih tem