Jak mohli vybrat najednou z více bankomatů? Falešné karty, které bankomat autorizoval při vstupu?
+1
+4
-1
Je komentář přínosný?
Jak mohli vybrat najednou z
Franta Jardů https://cdr.cz/profil/devy
5. 11. 2012 - 14:21https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuseJak mohli vybrat najednou z více bankomatů? Falešné karty, které bankomat autorizoval při vstupu?https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636229
+
Presne ta ista otazka mi napadla po precitani. Chapal by som pouzitie nejakych 3 az 5 kariet k jednemu uctu, ale zeby sa s jednou kartou dalo vybrat 200 000 $ z bankomatu sa mi tiez nezda realne...
+1
-9
-1
Je komentář přínosný?
Presne ta ista otazka mi
kypec https://cdr.cz/profil/kypec
5. 11. 2012 - 15:06https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskusePresne ta ista otazka mi napadla po precitani. Chapal by som pouzitie nejakych 3 az 5 kariet k jednemu uctu, ale zeby sa s jednou kartou dalo vybrat 200 000 $ z bankomatu sa mi tiez nezda realne...https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636232
+
Taky by to mol být firemní účet, ke kterému se vydává běžně vícero karet, ale tohle vypadá, že to nebyli zrovna amatéři, takže si asi udělali i kopie karty.
+1
-4
-1
Je komentář přínosný?
Taky by to mol být firemní
Vebloud https://cdr.cz/profil/vebloud
5. 11. 2012 - 15:27https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuseTaky by to mol být firemní účet, ke kterému se vydává běžně vícero karet, ale tohle vypadá, že to nebyli zrovna amatéři, takže si asi udělali i kopie karty.https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636235
+
Podle oficiálních dokumentů se jednalo o výběry v kasínech a šlo o více účtů najednou. Je možné, že to nebyly přímo bankomaty, těžko říct, jak se vybírají peníze ve Vegas.. :-)
5. 11. 2012 - 16:36https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskusePodle oficiálních dokumentů se jednalo o výběry v kasínech a šlo o více účtů najednou. Je možné, že to nebyly přímo bankomaty, těžko říct, jak se vybírají peníze ve Vegas.. :-)
http://www.fbi.gov/sandiego/press-releases/2012/fourteen-charged-in-million-dollar-gone-in-60-seconds-bank-fraudhttps://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636238
+
Stačí jedna origoš karta, pak naklonavat (zkopírovat magnetickou stopu na prázdné karty) a znát PIN a není problém provést výběr ve stejný okamžit v několika desítkách či i stovek místech najednou ...
+1
-9
-1
Je komentář přínosný?
Stačí jedna origoš karta, pak
HEC https://cdr.cz/profil/hec
6. 11. 2012 - 16:44https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuseStačí jedna origoš karta, pak naklonavat (zkopírovat magnetickou stopu na prázdné karty) a znát PIN a není problém provést výběr ve stejný okamžit v několika desítkách či i stovek místech najednou ...https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636313
+
Typicky blbě napsané sql transakce, za tohle se prostě nepřipouštělo ke zkoušce, a je až neuvěřitelné, že by to bylo v bankovním informačním systému O.O
+1
+2
-1
Je komentář přínosný?
Typicky blbě napsané sql
Max Power https://cdr.cz/profil/zee
5. 11. 2012 - 19:27https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuseTypicky blbě napsané sql transakce, za tohle se prostě nepřipouštělo ke zkoušce, a je až neuvěřitelné, že by to bylo v bankovním informačním systému O.Ohttps://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636248
+
Jinak. Je az neuveritelne, co vsechno za chyby v bankovnich systemech je. Delam v oboru, takze mam prehled. S cim se obcas setkavam, to zustava rozum stat.
Napriklad Penetracni testy webovych rozhrani pro klienty (=internetove bankovnictvi). Kdy myslite, ze se opravuji chyby nalezene externi firmou v penetracnich testech? Ihned jako HotPatch? :-D Ee. Vetsinou az pri dalsim velkem vyvoji, protoze manazeri nechteji uvolnit penize pro retesty oprav(=nove penetracni testy externi firmou). Chyby, kdy se utocnik napriklad pomoci xss dostane na ucet obeti jsou tak v systemech bank klidne i pul roku potom, co o nich vi nejen zamestnanci vyvoje, ale i ta externi firma, jejich zamestnanci.
+1
+2
-1
Je komentář přínosný?
Jinak. Je az neuveritelne, co
rman https://cdr.cz/profil/r-man
6. 11. 2012 - 12:51https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuseJinak. Je az neuveritelne, co vsechno za chyby v bankovnich systemech je. Delam v oboru, takze mam prehled. S cim se obcas setkavam, to zustava rozum stat.
Napriklad Penetracni testy webovych rozhrani pro klienty (=internetove bankovnictvi). Kdy myslite, ze se opravuji chyby nalezene externi firmou v penetracnich testech? Ihned jako HotPatch? :-D Ee. Vetsinou az pri dalsim velkem vyvoji, protoze manazeri nechteji uvolnit penize pro retesty oprav(=nove penetracni testy externi firmou). Chyby, kdy se utocnik napriklad pomoci xss dostane na ucet obeti jsou tak v systemech bank klidne i pul roku potom, co o nich vi nejen zamestnanci vyvoje, ale i ta externi firma, jejich zamestnanci.https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636292
+
Jo, je to des a bida .. nicmene i pres vsechno, vybrat penize z banky neni jak byva ve filmech. I pres vsechny chyby. Horsi je spis postoj bank v nasich zemich, kdy nechteji za nic rucit vuci klientovi , kdyz ne z jeho viny nekdo zneuzije platebni kreditni kartu :(
+1
-7
-1
Je komentář přínosný?
Jo, je to des a bida ..
lto https://cdr.cz/profil/ltokar
6. 11. 2012 - 21:06https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuseJo, je to des a bida .. nicmene i pres vsechno, vybrat penize z banky neni jak byva ve filmech. I pres vsechny chyby. Horsi je spis postoj bank v nasich zemich, kdy nechteji za nic rucit vuci klientovi , kdyz ne z jeho viny nekdo zneuzije platebni kreditni kartu :(https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636322
+
Evropa by na tom měla být obecně lépe než zámoří. Ale jen naše tuzemské banky na tom mohou být jinak..
+1
+5
-1
Je komentář přínosný?
Co já jsem slyšel, tak
Jiří Moos https://cdr.cz/autor/jiri-moos
7. 11. 2012 - 09:48https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuseCo já jsem slyšel, tak například americké bankovní instituce jsou na tom poměrně špatně. Kvůli tomu chystá pravděpodobně ruská mafie koordinovaný útok (viz http://cdr.cz/clanek/cdr-security-update-novy-miniflame-malware-cili-na-vysoce-postavene-vladni-cile) na údajně nezabezpečené banky.
Evropa by na tom měla být obecně lépe než zámoří. Ale jen naše tuzemské banky na tom mohou být jinak..https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636337
+
Hmm, a vis vubec jak se delaji transakce v takovemhle systemu ? To nebyvaji jednoduche sql prikazy ukoncene commitem :) A casto to nebyvaji ani slozitejsi distribuovane transakce. Zivot je ponekud jiny, nez jednoduse vypadajici update na papire :D
+1
+1
-1
Je komentář přínosný?
Hmm, a vis vubec jak se
lto https://cdr.cz/profil/ltokar
6. 11. 2012 - 21:04https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuseHmm, a vis vubec jak se delaji transakce v takovemhle systemu ? To nebyvaji jednoduche sql prikazy ukoncene commitem :) A casto to nebyvaji ani slozitejsi distribuovane transakce. Zivot je ponekud jiny, nez jednoduse vypadajici update na papire :Dhttps://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636321
+
Já tedy vím pendrek o bankovnictví i programování, leč US platební systémy jsou děravé jak ementál. Mnoho platebních systémů tam vůbec nedělá test adresy (AVS check, IIRC) při výběru z kreditky (a některé dokonce ani CVV check - test pinu kreditky), což v praxi znamená, že stačí znát 16 ciferné číslo karty a datum expirace k nákupu, který jde navíc na jinou adresu než jaká je majitele karty...
Potencielně to už zní jako problém, a tady věc jen začíná. Z vlastností Luhn algoritmu totiž plyne, že pro každý základní blok číslic (první 4 = banka, dalších 8 typ karty, poslední 4 aktuální řada karet) z čísla kreditky existuje snadno generovatelná řada všech 1000 kreditek stejného typu a se shodným datem expirace.
Tedy stačí když někdo "vynese" jednu kartu a v nezabezpečených platebních systémech lze udělat pěkný bugr.
Jestli tomuhle někdo říká bezpečnost, tak potěš koště...
+1
-7
-1
Je komentář přínosný?
Já tedy vím pendrek o
trodas https://cdr.cz/profil/trodas
9. 11. 2012 - 19:57https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuseJá tedy vím pendrek o bankovnictví i programování, leč US platební systémy jsou děravé jak ementál. Mnoho platebních systémů tam vůbec nedělá test adresy (AVS check, IIRC) při výběru z kreditky (a některé dokonce ani CVV check - test pinu kreditky), což v praxi znamená, že stačí znát 16 ciferné číslo karty a datum expirace k nákupu, který jde navíc na jinou adresu než jaká je majitele karty...
Potencielně to už zní jako problém, a tady věc jen začíná. Z vlastností Luhn algoritmu totiž plyne, že pro každý základní blok číslic (první 4 = banka, dalších 8 typ karty, poslední 4 aktuální řada karet) z čísla kreditky existuje snadno generovatelná řada všech 1000 kreditek stejného typu a se shodným datem expirace.
Tedy stačí když někdo "vynese" jednu kartu a v nezabezpečených platebních systémech lze udělat pěkný bugr.
Jestli tomuhle někdo říká bezpečnost, tak potěš koště...https://cdr.cz/clanek/cdr-security-update-windows-8-malware-novy-firefox-a-kradez-z-citybank/diskuse#comment-636600
+
Jak mohli vybrat najednou z více bankomatů? Falešné karty, které bankomat autorizoval při vstupu?
Presne ta ista otazka mi napadla po precitani. Chapal by som pouzitie nejakych 3 az 5 kariet k jednemu uctu, ale zeby sa s jednou kartou dalo vybrat 200 000 $ z bankomatu sa mi tiez nezda realne...
Taky by to mol být firemní účet, ke kterému se vydává běžně vícero karet, ale tohle vypadá, že to nebyli zrovna amatéři, takže si asi udělali i kopie karty.
Podle oficiálních dokumentů se jednalo o výběry v kasínech a šlo o více účtů najednou. Je možné, že to nebyly přímo bankomaty, těžko říct, jak se vybírají peníze ve Vegas.. :-)
http://www.fbi.gov/sandiego/press-releases/2012/fourteen-charged-in-mill...
Stačí jedna origoš karta, pak naklonavat (zkopírovat magnetickou stopu na prázdné karty) a znát PIN a není problém provést výběr ve stejný okamžit v několika desítkách či i stovek místech najednou ...
Typicky blbě napsané sql transakce, za tohle se prostě nepřipouštělo ke zkoušce, a je až neuvěřitelné, že by to bylo v bankovním informačním systému O.O
Jinak. Je az neuveritelne, co vsechno za chyby v bankovnich systemech je. Delam v oboru, takze mam prehled. S cim se obcas setkavam, to zustava rozum stat.
Napriklad Penetracni testy webovych rozhrani pro klienty (=internetove bankovnictvi). Kdy myslite, ze se opravuji chyby nalezene externi firmou v penetracnich testech? Ihned jako HotPatch? :-D Ee. Vetsinou az pri dalsim velkem vyvoji, protoze manazeri nechteji uvolnit penize pro retesty oprav(=nove penetracni testy externi firmou). Chyby, kdy se utocnik napriklad pomoci xss dostane na ucet obeti jsou tak v systemech bank klidne i pul roku potom, co o nich vi nejen zamestnanci vyvoje, ale i ta externi firma, jejich zamestnanci.
Jo, je to des a bida .. nicmene i pres vsechno, vybrat penize z banky neni jak byva ve filmech. I pres vsechny chyby. Horsi je spis postoj bank v nasich zemich, kdy nechteji za nic rucit vuci klientovi , kdyz ne z jeho viny nekdo zneuzije platebni kreditni kartu :(
Co já jsem slyšel, tak například americké bankovní instituce jsou na tom poměrně špatně. Kvůli tomu chystá pravděpodobně ruská mafie koordinovaný útok (viz http://cdr.cz/clanek/cdr-security-update-novy-miniflame-malware-cili-na-...) na údajně nezabezpečené banky.
Evropa by na tom měla být obecně lépe než zámoří. Ale jen naše tuzemské banky na tom mohou být jinak..
Hmm, a vis vubec jak se delaji transakce v takovemhle systemu ? To nebyvaji jednoduche sql prikazy ukoncene commitem :) A casto to nebyvaji ani slozitejsi distribuovane transakce. Zivot je ponekud jiny, nez jednoduse vypadajici update na papire :D
Já tedy vím pendrek o bankovnictví i programování, leč US platební systémy jsou děravé jak ementál. Mnoho platebních systémů tam vůbec nedělá test adresy (AVS check, IIRC) při výběru z kreditky (a některé dokonce ani CVV check - test pinu kreditky), což v praxi znamená, že stačí znát 16 ciferné číslo karty a datum expirace k nákupu, který jde navíc na jinou adresu než jaká je majitele karty...
Potencielně to už zní jako problém, a tady věc jen začíná. Z vlastností Luhn algoritmu totiž plyne, že pro každý základní blok číslic (první 4 = banka, dalších 8 typ karty, poslední 4 aktuální řada karet) z čísla kreditky existuje snadno generovatelná řada všech 1000 kreditek stejného typu a se shodným datem expirace.
Tedy stačí když někdo "vynese" jednu kartu a v nezabezpečených platebních systémech lze udělat pěkný bugr.
Jestli tomuhle někdo říká bezpečnost, tak potěš koště...
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.