Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
Jak mohli vybrat najednou z více bankomatů? Falešné karty, které bankomat autorizoval při vstupu?
Presne ta ista otazka mi napadla po precitani. Chapal by som pouzitie nejakych 3 az 5 kariet k jednemu uctu, ale zeby sa s jednou kartou dalo vybrat 200 000 $ z bankomatu sa mi tiez nezda realne...
Taky by to mol být firemní účet, ke kterému se vydává běžně vícero karet, ale tohle vypadá, že to nebyli zrovna amatéři, takže si asi udělali i kopie karty.
Podle oficiálních dokumentů se jednalo o výběry v kasínech a šlo o více účtů najednou. Je možné, že to nebyly přímo bankomaty, těžko říct, jak se vybírají peníze ve Vegas.. :-)
http://www.fbi.gov/sandiego/press-releases/2012/fourteen-charged-in-mill...
Stačí jedna origoš karta, pak naklonavat (zkopírovat magnetickou stopu na prázdné karty) a znát PIN a není problém provést výběr ve stejný okamžit v několika desítkách či i stovek místech najednou ...
Typicky blbě napsané sql transakce, za tohle se prostě nepřipouštělo ke zkoušce, a je až neuvěřitelné, že by to bylo v bankovním informačním systému O.O
Jinak. Je az neuveritelne, co vsechno za chyby v bankovnich systemech je. Delam v oboru, takze mam prehled. S cim se obcas setkavam, to zustava rozum stat.
Napriklad Penetracni testy webovych rozhrani pro klienty (=internetove bankovnictvi). Kdy myslite, ze se opravuji chyby nalezene externi firmou v penetracnich testech? Ihned jako HotPatch? :-D Ee. Vetsinou az pri dalsim velkem vyvoji, protoze manazeri nechteji uvolnit penize pro retesty oprav(=nove penetracni testy externi firmou). Chyby, kdy se utocnik napriklad pomoci xss dostane na ucet obeti jsou tak v systemech bank klidne i pul roku potom, co o nich vi nejen zamestnanci vyvoje, ale i ta externi firma, jejich zamestnanci.
Jo, je to des a bida .. nicmene i pres vsechno, vybrat penize z banky neni jak byva ve filmech. I pres vsechny chyby. Horsi je spis postoj bank v nasich zemich, kdy nechteji za nic rucit vuci klientovi , kdyz ne z jeho viny nekdo zneuzije platebni kreditni kartu :(
Co já jsem slyšel, tak například americké bankovní instituce jsou na tom poměrně špatně. Kvůli tomu chystá pravděpodobně ruská mafie koordinovaný útok (viz http://cdr.cz/clanek/cdr-security-update-novy-miniflame-malware-cili-na-...) na údajně nezabezpečené banky.
Evropa by na tom měla být obecně lépe než zámoří. Ale jen naše tuzemské banky na tom mohou být jinak..
Hmm, a vis vubec jak se delaji transakce v takovemhle systemu ? To nebyvaji jednoduche sql prikazy ukoncene commitem :) A casto to nebyvaji ani slozitejsi distribuovane transakce. Zivot je ponekud jiny, nez jednoduse vypadajici update na papire :D
Já tedy vím pendrek o bankovnictví i programování, leč US platební systémy jsou děravé jak ementál. Mnoho platebních systémů tam vůbec nedělá test adresy (AVS check, IIRC) při výběru z kreditky (a některé dokonce ani CVV check - test pinu kreditky), což v praxi znamená, že stačí znát 16 ciferné číslo karty a datum expirace k nákupu, který jde navíc na jinou adresu než jaká je majitele karty...
Potencielně to už zní jako problém, a tady věc jen začíná. Z vlastností Luhn algoritmu totiž plyne, že pro každý základní blok číslic (první 4 = banka, dalších 8 typ karty, poslední 4 aktuální řada karet) z čísla kreditky existuje snadno generovatelná řada všech 1000 kreditek stejného typu a se shodným datem expirace.
Tedy stačí když někdo "vynese" jednu kartu a v nezabezpečených platebních systémech lze udělat pěkný bugr.
Jestli tomuhle někdo říká bezpečnost, tak potěš koště...
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.