Dnes som sa dostal v diskusii s jedným spolucestujúcim k téme krádeže malých čiastok z bankových účtov. Hodne ma zarazilo, že aj po rokoch ešte stále prevláda predstava, že by takáto forma obohacovania mohla prebiehať bez povšimnutia.
Táto téma už bola viackrát použitá v rôznych hollywoodskych snímkach 90. rokov minulého storočia, ak nie ešte aj dekádu predtým. Príkladov, ako odcudziť malé čiastky z množstva klientských účtov k vytvoreniu ohromného balíka bolo prezentovaných niekoľko.
- Brať zostatky pri zaokrúhľovaní transakcií, ktoré samostatne predstavujú veľmi malú čiastku, no pri veľkom množstve transakcií tvoria relatívne veľkú sumu peňazí
- Vybrať z každého klientského účtu veľmi malú čiastku (niekoľko centov). Ak by ste túto čiastku brali v pravidelných intervaloch povedzme raz mesačne jednému miliónu klientov, šlo by o veľmi peknú sumu peňazí
- Odcudziť časť poplatkov z transakcií, ktoré predstavujú závratnú sumu
- atď.
Takýchto príkladov by ste mohli nájsť určite ešte viac, no tieto sú asi najbežnejšie používané. Prvý a tretí príklad závisia výhradne na úrovni, resp. schopnosti banky monitorovať klientské účty, transakcie a ich následnej analýze. Osobne si však nemyslím, že by banka zanedbala internú kontrolu vykonaných transakcií a poplatky si stráži, teda by nikdy takúto situáciu neumožnila.
Druhý príklad je však asi najrozšírenejšou predstavou medzi laikmi. Vysvetlenie postupu a následkov je pre väčšinu celkom logické a prijateľné: “Tento spôsob by fungoval hlavne preto, že len málokto by sa sťažoval na stratu takto nízkej sumy a nehovoriac, ak by bola označená ako poplatok za nejakú službu banky, napríklad daň z úrokov, atď.” Pravdou však je, že banky už dlhé roky majú zavedené monitorovanie aktivity na účtoch, pričom všetky podozrivé transakcie sú označené, či dokonca zablokované. Ak si teda spočítate, že by na jeden účet prišlo miliónkrát 10 centov, systém by takýto účet okamžite označil, možno i zablokoval.
V skutočnom živote, sa zlodeji snažia z klientských účtov odcudziť čiastku medzi 200 – 600 amerických dolárov. Toto sú veľmi bežné čiastky, ktoré sa denne presúvajú. Ak teda na jeden účet príde 20 takýchto platieb, zlodeji ich dokážu veľmi rýchlo presunúť inam a túto akciu môžu zopakovať vo veľmi krátkych intervaloch (napr 10 min.) samozrejme pri zmenenom cieľovom účte. Niekoľkokrát som sa v praxi stretol s podobnými prípadmi, kedy zlodeji vykonali približne 100 – 500 transakcií, na rôzne účty, z ktorých získali v priemere 50 000 – 60 000 amerických dolárov. U nás je táto situácia o niečo zložitejšia. Nie že by sa tu nekradli peniaze z účtov klientov, ale keďže sme malý trh, zlodeji majú k dispozícii veľmi obmedzené množstvo odcudzených účtov, systém je o niečo bezpečnejší ako v zahraničí a k tomu aj obmedzené možnosti príjmu peňazí, hlavne keď prevody medzi lokálnymi bankami trvajú niekoľko dní.
Každopádne, predstava o hackerovi, ktorý žije z malých čiastok odcudzených miliónom účtov je veľmi naivná. Iná situácia je pri platobných kartách, ale o tom zase inokedy.
Zaujal vás článok? Sledujte ma na Twitteri.
Preco sa trapit prevodmi? Preco rovno neurobit na vlastny ucet fiktivny vklad?
#1 ja: nuz tento blog je prave na to, aby zmenil mienku laickej verejnosti o bezpecnosti. odbornici ma nepotrebuju. a vkladat fiktivne ciastky na ucty je trestny cin, ja by som este rad chvilku predsalen pobehoval po slobode
ad: “Osobne si však nemyslím, že by banka zanedbala internú kontrolu vykonaných transakcií a poplatky si stráži, teda by nikdy takúto situáciu neumožnila.”
Pred dlhsim casom som niekde cital anketu na temu “male sumy”, vtedy v suvislosti s tym, ze za kazdy pohyb sa plati a napr. pokial by niekto zo zahranicia poslal malicku sumu na tuzemsky ucet, tak sa moze stat, ze poplatok je vyssi ako predmetna suma.
V ankete vo vseobecnosti banky odpovedali, ze takyto prevod sa bud neuskutocni alebo ta banka kontaktuje – presne odpovede si nepamatam.
Pre banku je pohyb na ucte pohybom bez ohladu na vysku sumy. Z toho vyplyva, ze “centove” pohyby su samozrejme podozrive, lebo sa “neschovaju”.
Mas pravdu v tom, ze pri kontrole pohybov na ucte (mne ako vlastnikovi) moze rychlejsie uniknut suma, ktora je podobna tym, ktore bezne platim. Taku centovu by som si hned vsimol :-)
Mne by sa napr. pacila funkcia v ibankingu (ktora by ale platila na ucet celkovo), ze mam isty okruh uctov, kam pravidelne platim a potom nepravidelne platby – no a na tie nepravidelne by som mohol mat zvysenu pozornost systemu – cojaviem musel by som to potvrdit este nejako inak ako beznym autentizacnym zariadenim a pod.).
heh. no v skole sme mali nedavno debatu na tuto temu. je fakt ze ludia maju sny neskutocne :D naivita je slabe slovo :) a jasne. filmy ovplyvnuju vsetkych. ved ked sa to moze stat v EMMERIKE tak preco nie u nas. dik za clanok :)
niekto mi raz spominal jeden pripad v banke, ktora si nechala urobit internu kontrolu pohybov svojich uctov a zistili, ze jeden ucet ma tolko transakcii cez den, kolko maju vsetky ostatne ucty dokopy. Naslednym vysetrovanim sa zistilo, ze to mal na svedomi programator ich systemov, ktory z kazdej transakcie banky na par sekund previedol najprv danu sumu na svoj ucet, a az potom na zakaznikov. Takze na jeho ucte sa v priemere udrzovala vysoka ciastka a on si bral z nej uroky. :)
No aspon 1 pripadik by tu bol http://blog.wired.com/27bstroke6/2008/05/man-allegedly-b.html . A celkom sa mi paci film Office Space kde sa okolo podobnej sprenevery toci cela komedia.
No a podla mojho odhadu ta rozsirena kontrola vykonavana ludmi by banku stala poriadne peniaze. Vykonavaju ju automatizovane nastroje, ktore ale moze v pripade ze ich zhodou okolnosti vytvara, pachatel zneskodnit. Samozrejme kvalitne osetreny proces vyvoja softveru by tomu mal zabranit.
#6 akira: no neviem ci si ten clanok cital, ale tam pisu o brokerskom ucte, ktory cerpal prostriedky z bankoveho, teda sukromna spolocnost a nie banka. taketo spolocnosti nemaju zavedene kontrolne procesy ako banky, cize to nemozes porovnavat. rucne veru asi nik nic nekotroluje, ani by sa to nedalo. resp. ak system nepovie, ze sa na ucte nieco deje.
Clanok som cital. Okrem tych brokerskych kont mal chlapik otvorenych asi 400 bankovych kont na ktore mu tie peniazie chodili. A samozrejme kedze je ten clanok o tom ze ho Secret Service chytil asi kontrolne mechanizmy brokerskych firiem a bank nakoniec zabrali. Inac ten prikaz k prehliadke celkom dobre poctenicko :-).
Samozrejme o ludoch ktorym sa to podarilo bez toho, aby ich niekto chytil sa nedozvieme.
#8 akira: mat 400 kont je nieco ine, ako mat jedno kam mi chodia centy (o com bol tento clanok). samozrejme, o ludoch ktorym to vide sa nedozvies, no myslim, ze zrovna taketo nevyslo uz roky nikomu. existuju stovky inych metodik ako to robit spravne, mne slo vsak len o tuto konkretnu
#9 oooo: clanok nie je pre laikov zly ale dost chudobny na informacie. chcelo by to troska rozviest do hlbky sposoby cistenia uctov ktore sa aj realne pouzivaju v praxi. kedze pises ze ich existuju stovky tak by si aspon niektore mohol hlbsie popisat.
myslim ze ono nie je tazke ziskat pristupy k uctom. na black market sa daju zohnat relativne lacno – cca 3-6% z penazi na ucte. ale tazsie je potom ich oprat. ak ma typek na ucte povedzme 10 000 gbp tak bude zrejme problem previezt z nich aj polovicu. zohnat dropa a spravit prevod je to najmenej, ale pravdepodobne bude transakcia bloknuta, pretoze system banky oznaci takuto transakciu za podozrivu (napr. ak ma je podozrenie ze dany ucet bol hacknuty alebo pri vyssich sumach tam je vacsinou dodatocne overenie napr. musite zavolat do banky a aby prevod presiel musite odpovedat na dodatocne overovacie otazky, cize je potrebne mat detailne informacie o majitelovi uctu).
takto nejak to funguje aspon v uk kde bolo vela podvodov a banky sa uz zacinaju branit. na prevod penazi z uk uctu totiz staci mat potrebne kody ktore sa ziskaju napr. zeusom alebo limbom, pripadne inym bankovym trojanom.
previezt peniaze zo slovenskeho uctu by bolo asi tazsie kedze u nas su zazite grid karty a neviem ci tie sa daju nejako obist…
#10 mukel: vsetko sa da obist ked sa chce, aj obmedzenia v bankach, atd. to ale nebolo planovane ako sucast tohoto clanku, pravdepodobne to bude ako sucast knihy ktoru asi nikdy nedopisem :) ale celkom ma zaujali tvoje “odborne” vyjadrenia. nie kazdy pozna oznacenie drop ;) a tak ma celkom zaujima, kde si k tomu dosiel. btw neviem na akom blackmarkete sa pohybujes ty ale 3-6% to su tak statistiky symantecu pri ich potulkach lame bm :) clanok sa tykal len a len tohoto mytu, mozno raz napisem viac, zatial som sa k tomu neodhodlal.
#11 oooo: hadas spravne, dosiel som k tomu na cardingovych forach ;) napr. fakacarda a carder.su su myslim dobre na zaciatok… samozrejme by to chcelo pristup na vn alebo maza ale tam nie je lahke sa dostat.
co sa tyka tych obchadzani obmedzeni banky tak niektore sa daju obist lahsie, ine tazsie. napada ta napr. ako sa da obist grid karta alebo citacka kariet? overenie cez telefon by malo byt tou lahsou zalezitostou, staci mat dostatok info o majitelovi uctu, potom spoofnut jeho cislo a cinknut do banky kvoli overeniu, pripadne ak vola banka tak sa daju tiez presmerovat prichadzajuceho hovory na dane telefonne cislo majitela uctu na hocijake ine ktore uz zodvihne zlodej a potvrdi transakciu. so spoofovani vzdy pomozu kamarati rusi za smiesnu sumu…
#12 mukel: ano, viem ako obist citacku, grid karta je trosku stupidnejsi nastroj, tam to nie je take jednoduche. ale taketo veci nebudem nikdy publikovat, vzdy to riesim interne a na prospech ;)
som myslel ze pobehujes po nejakych forach. mazafaka je mrtva, teda to co ostalo je bullshit. su daleko lepsie networky, kopec sa da najst na silc, zopar este ostala na irc, moc ich uz ale nie je. nuz, snad aj to raz spisem na jedno miesto, bolo by to asi zaujimave citanie pre ludi