W dniu 14-06-15 o 11:49, janek z pola pisze:

> Dla mnie w całej tej sytuacji najgorsze nie jest samo włamanie, tylko sposób
> obsługi tego przez bank - tzn. przynajmniej z tego co obecnie wiemy. Ogólnie
> Z3S twierdzi, że od miesięcy brała udział w negocjacjach "trójstronnych"
> (bank, włamywacz, Z3S). Dziwne, że przez ten czas nie udało się
> zneutralizować włamywacza. Dziwne, że włamywacz zainteresował się szerokim
> upublicznieniem całego tematu, mimo że nie jest to dla niego opłacalne.
> Dziwne, że głosu nie zabiera nadzór. To wszystko powoduje, że cała ta sprawa
> wygląda trochę jak atak na Solorza, wykonany przy użyciu ataku na jego bank.
> Może komuś po prostu zależało, żeby postawić właścieciela tego banku w złym
> świetle?

Bardzo celna uwaga. Zacznijmy od tego, co tak naprawdę wiadomo. Wiadomo,
że ktoś dysponuje danymi dotyczącymi kilkudziesięciu klientów. W ich
posiadanie mógł wejść w różny sposób. Włamanie na serwer banku należy
brać pod uwagę, ale przecież,to tylko jeden z możliwych sposobów. Równie
dobrze mógł wejść w posiadanie danych umożliwiających mu zalogowanie się
do systemu w imieniu tych klientów - a sposobów na to jest szereg - i
pozyskać w ten sposób te dane. Ponieważ nie są do tego potrzebne zwrotne
interakcje klienta (chyba), to pozyskawszy te dane mógł sobie je po
prostu zgromadzić i nagle w odpowiednim dniu pobrać te dane. Teraz udaje
hakera chcąc wyłudzić pieniądze od banku.

Z artykułów na Niebezpiecznik.pl wynika, że oni po porostu dostali
e-maila z propozycją pośrednictwa. I to całą ich wiedza na ten temat.
Danych nie widziałem, ale jeśli ktoś je widział i zna system
transakcyjny PLUS BANK, to prosiłbym o analizę, czy zostały opublikowane
jakiekolwiek dane niedostępne z punktu widzenia klienta. Bo jak nie, to
raczej skłonny jestem sądzić, że ktoś przejął dane logowania, a nie
serwer banku.

A nagonka medialna z merytoryką niema nic wspólnego. Inna sprawa, ze ten
akurat bank niespecjalnie ma szczęście. Kilka afer już tam była - ta z
Bankiem Staropolskim moim zdaniem jednoznacznie mnie przekonała, że
akurat temu bankowi nie można ufać.

do góry

W dniu 14-06-15 o 15:13, Arek pisze:

> Skroił tyle ile było potrzeba. Więcej groziło wpadką lub wywołaniem
> głośnego alarmu zbyt wcześnie.

Ale to, że skroił kogokolwiek, to wiemy od niego. A jeśli nawet skroił,
to nie wiemy, czy wykorzystując lukę w systemie bankowym, czy powiedzmy
podstawiając stronę podobną do bankowej i wykorzystując fakt, że mało
kto zwraca uwagę na certyfikaty strony, albo jakieś przekierowania.

> Mógł przelać kasę do innych banków i jej nie wyprowadzać

Czyli sadzisz, że ewentualnie zwróci? :-) Jeśli doszło do fraudu poprzez
wyprowadzenie środków na inny rachunek, to pierwszą rzeczą, którą się
robi, to próba blokady rachunku, na który wyprowadzono środki.

> lub narobić bajzlu w systemie skutkującym blokadą.

Nie podejrzewam, by facet miał taką możliwość.

> Ale posunął się za daleko.

do góry

W dniu 14-06-15 o 12:33, janek z pola pisze:

> Tym niemniej trzeba mieć naprawdę potężną wiedzę i prawdopodobnie lata
> doświadczenia w branży bankowej, żeby wpaść na taki scenariusz ataku.
> Dodajmy jeszcze, że aby scenariusz zadziałał trzeba było mieć skradzione
> hasło dostępu do jakiejś bankowości elektronicznej banku ABC do właściwego
> konta użytkownika.

Co by wskazywało na zaproponowany przeze mnie w innym poście mechanizm.
Sprawca po prostu przeją dane do logowania się do danego konta ofiary, a
nie serwer banku.
>
> No jestem ciekaw, czy firma ta może pokazać w sądzie swój regulamin, gdzie
> mówi "jeżeli przyjdzie przelew o wskazanym tytule do banku ABC, to my robimy
> przelew na taką samą kwotę na wcześniej podany obcy rachunek w banku XYZ".
> Czy to wystarczy, żeby uznać rzeczywistą szkodę firmy, spowodowaną
> zaniedbaniem banku?
>
Ale jakie zaniedbanie banku. Klient może sobie zlecić dowolny przelew -
to jego kasa.

do góry

On 2015-06-14, Robert Tomasik <r...@g...pl> wrote:
> Co by wskazywało na zaproponowany przeze mnie w innym poście mechanizm.
> Sprawca po prostu przeją dane do logowania się do danego konta ofiary, a
> nie serwer banku.

Sprawdza miał dostęp do serwera banku i przesyłał dowody ku temu świadczące.
I nie dostęp przez aplikację, tylko dostęp administracyjny, shell, z dostępem
do powłoki i linii komend.

--
Wojciech Bańcer
p...@p...pl

do góry

Robert Tomasik <r...@g...pl> writes:

> Bardzo celna uwaga. Zacznijmy od tego, co tak naprawdę wiadomo.
> Wiadomo, że ktoś dysponuje danymi dotyczącymi kilkudziesięciu
> klientów.

Tylko tyle? Dziwnie mało. Gdyby przejął je z serwera banku, to byłoby
ich (chyba - nie wiem ile oni tam mają np. aktywnych klientów) znacznie
więcej. Może włamanie zostało błyskawicznie wykryte?

Sprawa jest dziwna. Normalnie włamywacz siedziałby cicho, kradłby
większą gotówkę raz na jakiś czas, robiłby tak, by wyglądało to na
phishing czy coś podobnego.
Przypuszczalnie włam został wykryty przez bank i dlatego włamywacz
wyszedł z cienia. Dość naiwne (myśl, że bank zapłaci za milczenie, może
przyjść do głowy raczej "nieletniemu") oraz niebezpieczne dla niego.
Normalnie włamywacz po wykryciu ataku powinien "zapaść się jak kamień
w wodę", jasne jest że w takiej sytuacji el dorado się kończy,
a ryzyko rozpoznania (nawet przypadkowego) znacznie wzrasta.

Jeśli "nieletni" (niekoniecznie metrykalnie) potrafił się tam włamać, to
przypuszczalnie był tam niezły bałagan, i wszyscy zainteresowani musieli
doskonale o tym wiedzieć.
--
Krzysztof Hałasa

do góry

W dniu 2015-06-15 o 17:53, Krzysztof Halasa pisze:
> Robert Tomasik <r...@g...pl> writes:
>
>> Bardzo celna uwaga. Zacznijmy od tego, co tak naprawdę wiadomo.
>> Wiadomo, że ktoś dysponuje danymi dotyczącymi kilkudziesięciu
>> klientów.

Taaa, jasne, kilkudziesięciu...
Wiadomo co innego.

> Tylko tyle? Dziwnie mało. Gdyby przejął je z serwera banku, to byłoby
> ich (chyba - nie wiem ile oni tam mają np. aktywnych klientów) znacznie
> więcej. Może włamanie zostało błyskawicznie wykryte?

http://niebezpiecznik.pl/post/wykradzione-dane-klien
tow-plus-banku-opublikowane-w-sieci-wlamywacz-spelni
a-grozbe/

"Plus Bank nie zapłacił 200 000 PLN okupu i włamywacz ukrywający się pod
pseudonimem "Raz" -- zgodnie z tym co zapowiadał kilka dni temu -- spełnił
swoją groźbę. W internecie udostępniono paczkę z danymi
_kilkuset_klientów_. Paczek będzie jednak więcej i będą publikowane co
tydzień."

Podkreślenie moje

Pozdrawiam
Piotr

do góry

On Mon, 15 Jun 2015 17:53:46 +0200, Krzysztof Halasa <k...@p...waw.pl>
wrote:
> Tylko tyle? Dziwnie mało. Gdyby przejął je z serwera banku, to
byłoby

Jak Wy czytacie te internety... Przecież z3s i inni podali, że
opublikowany w piątek dump zawiera dane 500 klientów mających rach.
firmowe. Rachunki i dane os. fiz. będą ujawniane w kolejnych
tygodniach jeśli bank nie wspomoże wybraną fundację proponowaną
kwotą.
Dump zawiera pesle (bo są też firmy os. fiz), adresy, historie
operacji z okresu aktywności włamywacza oraz dane kart płatniczych
jeśli takowe były przypisane do posiadacza rachunku.
To nie jest "tylko tyle".


> Sprawa jest dziwna. Normalnie włamywacz siedziałby cicho, kradłby
> większą gotówkę raz na jakiś czas, robiłby tak, by wyglądało to na
> phishing czy coś podobnego.

Wiara w Tora jest silna, szczególnie u włamywaczy z nutką romantyzmu,
tacy zawsze będą się chwalić, jeśli okoliczności i możliwości temu
sprzyjają.

--
Marek

do góry

"Camis" 5...@g...co
m

: O co chodzi?

Czy to bank Solorza?

--
.`'.-. ._. .-.
.'O`-' ., ; o.' eneuel@@gmail.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

do góry

W dniu 14.06.2015 o 09:34, Marek pisze:

> Opisana w tym konkretnym przypadku operacja wykorzystała pewne
> uproszczone mechanizmy banku co spowodowało, że będzie trudno wykazać,
> że operacja nie była np. fraudem pracownika firmy wyprowadzającego kasę.
> Z pkt. widzenia banku ta operacja wygląda analogicznie do sytuacji gdy
> nieuczciwy pracownik mający dostęp i upoważnienie do rachunku przelewa
> sobie (czyt. kradnie) z konta firmowego kasę.
> Bank umyje ręce, sprawa między poszkodowaną firmą a sprawcą.

Przecież tam jest prosta sprawa. Ktoś prócz pracownika/ów firmy wszedł w
posiadanie loginu i części hasła (aktualnie w Plus banku nie trzeba znać
całego aby się zalogować) i przy jego pomocy dokonał kradzieży.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Marek <f...@f...com> writes:

> Jak Wy czytacie te internety... Przecież z3s i inni podali, że
> opublikowany w piątek dump zawiera dane 500 klientów mających rach.
> firmowe. Rachunki i dane os. fiz. będą ujawniane w kolejnych
> tygodniach jeśli bank nie wspomoże wybraną fundację proponowaną kwotą.
> Dump zawiera pesle (bo są też firmy os. fiz), adresy, historie
> operacji z okresu aktywności włamywacza oraz dane kart płatniczych
> jeśli takowe były przypisane do posiadacza rachunku.
> To nie jest "tylko tyle".

W dalszym ciągu 500 to jest bardzo mało, nawet jeśli ograniczymy się do
osób prowadzących działalność. Oczywiście, być może ujawni więcej. 500
to jednak w dalszym ciągu może być phishing.
--
Krzysztof Hałasa

do góry