Re: Plus Bank - Największe włamanie/kradzież/wyciek pełnych danych od lat - Zmieńcie swoje hasła !

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Plus Bank - Największe włamanie/kradzież/wyciek pełnych danych od lat - Zmieńcie swoje hasła ! › Re: Plus Bank - Największe włamanie/kradzież/wyciek pełnych danych od lat - Zmieńcie swoje hasła !

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!feeder.erje.net
!1.eu.feeder.erje.net!weretis.net!feeder4.news.weretis.net!news.mixmin.net!aioe
.org!.POSTED!not-for-mail
From: janek z pola <a...@e...pl>
Newsgroups: pl.biznes.banki
Subject: Re: Plus Bank - Największe włamanie/kradzież/wyciek pełnych danych od
lat - Zmieńcie swoje hasła !
Date: Sun, 14 Jun 2015 12:33:24 +0200
Organization: Aioe.org NNTP Server
Lines: 62
Message-ID: <mljl9l$7oc$1@speranza.aioe.org>
References: <5...@g...com>
<mli1a0$ga2$1@node2.news.atman.pl>
<557c8d2c$0$2195$65785112@news.neostrada.pl>
<mli3ha$ias$1@node2.news.atman.pl> <8...@a...kjonca>
<mli4iv$jc8$1@node2.news.atman.pl>
<1vu7jtkwb8ll2$.1uutpzfqnv1ez.dlg@40tude.net>
<x...@n...atman.pl>
NNTP-Posting-Host: R3sch/jyG0DYhO/OMw713g.user.speranza.aioe.org
Mime-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8Bit
X-Complaints-To: a...@a...org
User-Agent: KNode/4.8.5
X-Notice: Filtered by postfilter v. 0.8.2
Xref: news-archive.icm.edu.pl pl.biznes.banki:613788
[ ukryj nagłówki ]

Rafał Grzelak wrote:

> Borys Pogoreło wrote:
>
>> Dnia Sat, 13 Jun 2015 22:42:07 +0200, marek napisał(a):
>>
>> > (zwracam uwagę że w tym przypadku tez wypłynęło sporo kasy, jak
>> > piszą...) bank nie ujawnia (bo PR) i oddaje pokornie kasę
>> > okradzionym klientom a opłaty dla wszystkich i za wszystko rosną !
>>
>> Oddaje albo i nie, tu jest ciekawy przypadek:
>>
> http://zaufanatrzeciastrona.pl/post/jak-okradziono-k
lienta-plus-banku-
ktory-nie-odzyskal-swoich-pieniedzy/
>> Poziom żenady wiąż rośnie.
>
> Numer jest o tyle ciezki do odkrecenia, ze pieniadze nie znikly w
> PlusBanku, a w banku, w ktorym konto mial sprzedawca.
>

Mechanizm tego oszustwa jest bardzo ciekawy. Ktoś musiał bardzo dokładnie
znać zarówno system bankowy (to, że nie ma podanego rachunku nadawcy na
historii operacji) oraz system tej firmy (to, że identyfikacja wpłaty
następuje wyłącznie po jej tytule i że nawet jeżeli dane nadawcy wskazują,
że nadawcą jest ta sama firma, to taki przelew zostanie przyjęty).

Szczególnie ten drugi warunek jest ciekawy. Firma oczekiwała przelewu, który
miał być dla kogoś za jakieś coś (np. opłata za kosmetyki, którą miała
przekazać na konto sklepu internetowego w banku XYZ). "Kupujący"
zadeklarował przelew na konto w banku ABC - w tym banku firma ma swoje konto
i przyjmuje przelewy z innego konta w banku ABC natychmiastowo.

Nawet jeżeli nie można było stwierdzić, że przelew na konto w banku ABC
przyszedł z innego konta tej samej firmy w tym samym banku (czyli
wewnętrzny, prawdopodobnie zaufany), to przecież dane nadawcy pewnie tam
jednak były. No i jako dane nadawcy zapewne były dane tej firmy.
Podejrzewam, że firma nie przewidziała po prostu że ktoś może wyciąć taki
numer. Możliwe że nawet ten numer konta nadawcy jest w historii transakcji
razem z nazwą nadawcy - tylko pewnie nie wpadli na to, żeby weryfikować te
dane.

Tym niemniej trzeba mieć naprawdę potężną wiedzę i prawdopodobnie lata
doświadczenia w branży bankowej, żeby wpaść na taki scenariusz ataku.
Dodajmy jeszcze, że aby scenariusz zadziałał trzeba było mieć skradzione
hasło dostępu do jakiejś bankowości elektronicznej banku ABC do właściwego
konta użytkownika.

No jestem ciekaw, czy firma ta może pokazać w sądzie swój regulamin, gdzie
mówi "jeżeli przyjdzie przelew o wskazanym tytule do banku ABC, to my robimy
przelew na taką samą kwotę na wcześniej podany obcy rachunek w banku XYZ".
Czy to wystarczy, żeby uznać rzeczywistą szkodę firmy, spowodowaną
zaniedbaniem banku?

--
Wysłane z pola.