CDR.cz - Vybráno z IT

Diskuse k CDR SecUpdate za 44. týden - první malware pro Windows 8, jak ukrást z banky milióny za 60 sekund

Jak mohli vybrat najednou z více bankomatů? Falešné karty, které bankomat autorizoval při vstupu?

+1
+4
-1
Je komentář přínosný?

Presne ta ista otazka mi napadla po precitani. Chapal by som pouzitie nejakych 3 az 5 kariet k jednemu uctu, ale zeby sa s jednou kartou dalo vybrat 200 000 $ z bankomatu sa mi tiez nezda realne...

+1
-9
-1
Je komentář přínosný?

Taky by to mol být firemní účet, ke kterému se vydává běžně vícero karet, ale tohle vypadá, že to nebyli zrovna amatéři, takže si asi udělali i kopie karty.

+1
-4
-1
Je komentář přínosný?

Podle oficiálních dokumentů se jednalo o výběry v kasínech a šlo o více účtů najednou. Je možné, že to nebyly přímo bankomaty, těžko říct, jak se vybírají peníze ve Vegas.. :-)

http://www.fbi.gov/sandiego/press-releases/2012/fourteen-charged-in-mill...

+1
+6
-1
Je komentář přínosný?

Stačí jedna origoš karta, pak naklonavat (zkopírovat magnetickou stopu na prázdné karty) a znát PIN a není problém provést výběr ve stejný okamžit v několika desítkách či i stovek místech najednou ...

+1
-9
-1
Je komentář přínosný?

Typicky blbě napsané sql transakce, za tohle se prostě nepřipouštělo ke zkoušce, a je až neuvěřitelné, že by to bylo v bankovním informačním systému O.O

+1
+2
-1
Je komentář přínosný?

Jinak. Je az neuveritelne, co vsechno za chyby v bankovnich systemech je. Delam v oboru, takze mam prehled. S cim se obcas setkavam, to zustava rozum stat.

Napriklad Penetracni testy webovych rozhrani pro klienty (=internetove bankovnictvi). Kdy myslite, ze se opravuji chyby nalezene externi firmou v penetracnich testech? Ihned jako HotPatch? :-D Ee. Vetsinou az pri dalsim velkem vyvoji, protoze manazeri nechteji uvolnit penize pro retesty oprav(=nove penetracni testy externi firmou). Chyby, kdy se utocnik napriklad pomoci xss dostane na ucet obeti jsou tak v systemech bank klidne i pul roku potom, co o nich vi nejen zamestnanci vyvoje, ale i ta externi firma, jejich zamestnanci.

+1
+2
-1
Je komentář přínosný?

Jo, je to des a bida .. nicmene i pres vsechno, vybrat penize z banky neni jak byva ve filmech. I pres vsechny chyby. Horsi je spis postoj bank v nasich zemich, kdy nechteji za nic rucit vuci klientovi , kdyz ne z jeho viny nekdo zneuzije platebni kreditni kartu :(

+1
-7
-1
Je komentář přínosný?

Co já jsem slyšel, tak například americké bankovní instituce jsou na tom poměrně špatně. Kvůli tomu chystá pravděpodobně ruská mafie koordinovaný útok (viz http://cdr.cz/clanek/cdr-security-update-novy-miniflame-malware-cili-na-...) na údajně nezabezpečené banky.

Evropa by na tom měla být obecně lépe než zámoří. Ale jen naše tuzemské banky na tom mohou být jinak..

+1
+5
-1
Je komentář přínosný?

Hmm, a vis vubec jak se delaji transakce v takovemhle systemu ? To nebyvaji jednoduche sql prikazy ukoncene commitem :) A casto to nebyvaji ani slozitejsi distribuovane transakce. Zivot je ponekud jiny, nez jednoduse vypadajici update na papire :D

+1
+1
-1
Je komentář přínosný?

Já tedy vím pendrek o bankovnictví i programování, leč US platební systémy jsou děravé jak ementál. Mnoho platebních systémů tam vůbec nedělá test adresy (AVS check, IIRC) při výběru z kreditky (a některé dokonce ani CVV check - test pinu kreditky), což v praxi znamená, že stačí znát 16 ciferné číslo karty a datum expirace k nákupu, který jde navíc na jinou adresu než jaká je majitele karty...

Potencielně to už zní jako problém, a tady věc jen začíná. Z vlastností Luhn algoritmu totiž plyne, že pro každý základní blok číslic (první 4 = banka, dalších 8 typ karty, poslední 4 aktuální řada karet) z čísla kreditky existuje snadno generovatelná řada všech 1000 kreditek stejného typu a se shodným datem expirace.

Tedy stačí když někdo "vynese" jednu kartu a v nezabezpečených platebních systémech lze udělat pěkný bugr.

Jestli tomuhle někdo říká bezpečnost, tak potěš koště...

+1
-7
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.