Перейти к содержанию

Хакеры ограбили банк реконструкции и развития


Стажёр

Рекомендуемые сообщения

11.09.08, Чт, 09:58, Мск

Екатеринбургская компания Уральское бюро экспертизы и оценки стало жертвой необычной хакерской атаки: получив доступ к системе интернет-банкинга организации, злоумышленники перевели часть ее средств со счетов в в Уральском банке реконструкции и развития благотворительным организациям. Эксперты считают, что причина случившегося – недостаточная бдительность самой компании. И подобных случаев день ото дня все больше, предупреждают они.

 

Со счетов Уральского бюро экспертизы и оценки, обслуживавшихся через систему интернет-банкинга в Уральском банке реконструкции и развития (УБРиР ) «исчезло» 1,5 млн руб. Как рассказала директор пострадавшей компании Елена Топал, эта сумма составляла почти весь оборотный капитал фирмы. Сейчас на счете в банке не осталось средств, а на сайте, где он обслуживался, сообщается, что «обнаружен вирус, похищающий секретные ключи клиентов».

 

По факту кражи денежных средств возбуждено уголовное дело. Известно, что из 1,5 млн руб., которыми располагала компания, 900 тыс. руб. двумя платежками ушли в Новокузнецк в счет оплаты квартир. 400 тыс. руб. хакеры - «робин гуды» перевели на счет екатеринбургской общественной организации по борьбе с наркотиками, а еще 65 тыс. руб. - на счет Всемирного фонда охраны природы.

 

По словам Елены Топал, сертифицированная программа интернет-банкинга была установлена в ее компании всего месяц назад. Она считает, что получила не качественный программный продукт: это и спровоцировало печальный исход ситуации.

 

В банке УБРиР свою вину не признают, отмечая, что зачастую наиболее уязвимы для хакерских атак как раз не банковские, а клиентские компьютеры. Еще одна версия произошедшего с точки зрения банка - похищение электронно-цифровой подписи недобросовестными сотрудниками пострадавшей компании.

 

Опрошенные CNews эксперты единогласно встают на защиту банка: сколько не тверди пользователям о необходимости проведения грамотной политики безопасности и использовании антивирусов – все тщетно, отмечают они. Подобные прецеденты повторяются все чаще и чаще. «Такой финал ожидает любого беспечного пользователя интернет-банкинга. Банк, возможно, мог бы быть настойчивее в требованиях к своим клиентам более внимательно относиться к безопасности компьютеров, но основная часть вины все-таки на пользователе», - считается генеральный директор «Доктор Веб» Борис Шаров.

 

 

Уральское бюро экспертизы оказалось единственной жертвой хакеров, атаковавших систему интернет-банкинга УБРиР В подобных системах, основная уязвимость - человеческий фактор, подтвердил генеральный директор Safeline Михаил Савельев. Злоумышленнику гораздо проще воспользоваться неосторожностью, халатностью или неосведомленностью жертвы: записанный рядом с компьютером пароль, постоянно вставленный ключевой носитель, несоблюдение основных мер защиты - сколько об этом не говори - остается нормой поведения, при том, что соблюдение требований безопасности считается паранойей, говорит он. «В каждом конкретном случае, разбираться в том, кто виноват - трудно. Каждый, кто соглашается на удобство работы через интернет), должен принимать риски того, что удобство может обернуться подобной проблемой. А раз так, надо что-то делать для того, чтобы минимизировать риски», - добавил Савельев.

 

Генеральный директор SecurIT Алексей Раевский помимо версии недосмотра со стороны компании предположил, что причиной инцидента могло быть и то, что банк не позаботился должным образом о защите платежной системы, или проглядел в своих рядах инсайдера, который воспользовался служебным положением и похитил денежные средства. «Однако, как правило, банки лучше следят за тем, что делается в их стенах, поэтому с большей вероятностью можно предположить, что проблемы были на стороне клиента», - заключил Раевский.

 

Источник: CNews

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 23
  • Создана
  • Последний ответ

5 баллов

==================================

Ошибка при установлении защищённого соединения

 

msk.ubrr.ru использует недействительный сертификат безопасности.

 

К сертификату нет доверия, так как он является самоподписанным.

 

(Код ошибки: sec_error_ca_cert_invalid)

 

* Это может быть проблемой с конфигурацией сервера или же кто-то пытается подменить нужный вам сервер другим.

 

* Если в прошлом вы успешно соединялись с этим сервером, то возможно эта ошибка является временной. Попробуйте зайти позже.

 

Или же вы можете добавить исключение…

============================================

Я не понимаю, почему банк не может себе позволить купить сертификат нормальный, снять головняк хотя бы на 50%. Цена вопроса в тысячу долларов УПИРАЕТСЯ за ВСЕ.

Я не понимаю, почему производители интернет-банкингов, не делают защиту от дураков. Не соответствует конфигураци, значит не ставится и орет, что он в опасности.

Я не понимаю, какого моржового товарищества, специалисты используют убойную смесь php+java, с кривым Https.

Ну и те, кто вылил в паблик технологии тоже казлы.

Виноват банк однозначно

Ссылка на комментарий
Поделиться на другие сайты

Не по теме, но докучи.

Бухгалтер похитила миллион через Банк-Клиент

ИА "Клерк.Ру". Отдел новостей Бухгалтер из Екатеринбурга Светлана Мелкозерова получила 3 года лишения свободы в колонии общего режима за похищение 1 миллиона 100 тысяч рублей через Банк-Клиент. Ее осудили за 60 эпизодов мошенничества с использованием служебного положения. Бухгалтер поступала по следующей схеме. Через местную прессу она нашла фирмы, обналичивающие деньги. Дальше она просто через Банк-Клиент переводила некоторые суммы на счета этих фирм. Об этом сообщает ИА Новый Регион.

h ttp://www.klerk.ru/news/?117711

Ссылка на комментарий
Поделиться на другие сайты

5 баллов

==================================

Ошибка при установлении защищённого соединения

 

msk.ubrr.ru использует недействительный сертификат безопасности.

 

К сертификату нет доверия, так как он является самоподписанным.

 

(Код ошибки: sec_error_ca_cert_invalid)

 

* Это может быть проблемой с конфигурацией сервера или же кто-то пытается подменить нужный вам сервер другим.

 

* Если в прошлом вы успешно соединялись с этим сервером, то возможно эта ошибка является временной. Попробуйте зайти позже.

 

Или же вы можете добавить исключение…

============================================

Я не понимаю, почему банк не может себе позволить купить сертификат нормальный, снять головняк хотя бы на 50%. Цена вопроса в тысячу долларов УПИРАЕТСЯ за ВСЕ.

Я не понимаю, почему производители интернет-банкингов, не делают защиту от дураков. Не соответствует конфигураци, значит не ставится и орет, что он в опасности.

Я не понимаю, какого моржового товарищества, специалисты используют убойную смесь php+java, с кривым Https.

Ну и те, кто вылил в паблик технологии тоже казлы.

Виноват банк однозначно

В однозначности вины банка можно усомниться. Если есть подтверждения тому, что банк выдал некачественный, нелицензионный продукт клиенту, то это уже НАРУШЕНИЕ ПРАВ ПОТРЕБИТЕЛЯ С ОТЯГЧАЮЩИМИ.

Если таковых подтверждений недостаточно, то вину банка можно свести на 50%, а остальные 50 оставить для клиента.

И в том и другом случае банк и клиент зажались в средствах защиты своего инструментария. А всем известно: скупой платит дважды. Причем второй раз бывает многим дороже!!!

 

Ссылка на комментарий
Поделиться на другие сайты

айкидока, а Вы в банке работаете да? С той стороны, с которой Вы описываете, по моему скромному опыту, к банку вообще не подкопаться. Я правда не юрист (слава Богу, привед Бесцветным! :о)), и иногда банк даже денег берут за банк-клиент и интернет-банкинг, но если атм в договорах есть за что зацепить банк, то наверное юристы у него плохие :о))

Ссылка на комментарий
Поделиться на другие сайты

то это уже НАРУШЕНИЕ ПРАВ ПОТРЕБИТЕЛЯ С ОТЯГЧАЮЩИМИ.

Закон "О защите прав потребителей" распространяется только на граждан (то есть физических лиц" и только, когда они приобретают товар (услугу) для личных (потребительских) целей.

 

но если атм в договорах есть за что зацепить банк, то наверное юристы у него плохие

Вы удивитесь, но юристы в банках не очень хорошие, кроме тех кто курирует крупные инвестиционные проекты и недвижку, ляпов у них полно

НО, с другой стороны, все что Вы описываете, сиречь

банк не может себе позволить купить сертификат нормальный, снять головняк хотя бы на 50%

производители интернет-банкингов, не делают защиту от дураков

специалисты используют убойную смесь php+java, с кривым Https

изначально не наказуемо, и не означает шо банк должен компенсировать ущерб, так как клиент согласился с такими условиями работы. Получается, что, прежде чем заключать договор с банком, нужно советоваться не только с юристами и бухгалтерами, но и с айтишниками.

Если компания хочет стрясти бабло с банка, то ей нужно доказать, что деньги списали из-за нарушения банком условий договора или действующего законодательства

 

Ссылка на комментарий
Поделиться на другие сайты

Вполне нормальный расклад. Начиная с конца 2006 года подобные способы хищения среди бухгалтеров стали очень распространенные. К этому можно еще добавить перечисление денег на з/п карточки "мертвых" сотрудников. Или, например выдача депонированных денег лицам, которые давно уволились.

Сказать откровенно подобные действия так же банальны, как и простая кража телефона сотрудника с соседнего стола под прицелом камеры наблюдения.

А вот бывают способы более изощренные, когда главбух так химичит, что в результате под удар попадает рядовой бухгалтер. Вот тут-то приходиться ковыряться не один день.

 

Ссылка на комментарий
Поделиться на другие сайты

В копилочку аргументов по теме "Как убедить руководство потратить деньги на eToken'ы для хранения ключей" :smile20:

Ну хз, я вот например не люблю е-токены. Очень. И всегда задаю простой до дебильности вопрос, а чем они лучше банальных смарткарт? Вот чем лучше они, ась? Уважаемый Bercut просветите меня плиз :о))

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...