Piotrek opisał na niebezpieczniku bardzo interesującą historię: Jak zostać słupem?
Ponieważ oszustwo dotyczy naszego środowiska oraz jest naprawdę łatwe do przeprowadzenia również rozsyłam ją w świat. W skrócie - okazuje się, że by założyć rachunek w banku wystarczy dokonać przelewu na konto z innego naszego rachunku.
A to już otwiera przestępcom drogę do oszustw.
.
Pokazywanie postów oznaczonych etykietą fraud. Pokaż wszystkie posty
Pokazywanie postów oznaczonych etykietą fraud. Pokaż wszystkie posty
24 marca 2012
Wyciek danych - fakty a nie mity
Na Expert Room portalu immusec.com umieściłem artykuł dotyczący statystyk i danych o wycieku rekordów. Zachęcam do lektury.
Podczas pisania zorientowałem się, że ubiegłym tygodniu bez szczególnego rozgłosu został pobity rekord świata ustanowiony 3 lata temu przez Heartland Payment Systems, Tower Federal Credit Union, Beverly National Bank. Obecnie rekord należy do Shanghai Roadway D&B Marketing Services Co. Ltd, który 17 marca 2012 zgłosił fakt utraty 150 000 000 rekordów.
.
Podczas pisania zorientowałem się, że ubiegłym tygodniu bez szczególnego rozgłosu został pobity rekord świata ustanowiony 3 lata temu przez Heartland Payment Systems, Tower Federal Credit Union, Beverly National Bank. Obecnie rekord należy do Shanghai Roadway D&B Marketing Services Co. Ltd, który 17 marca 2012 zgłosił fakt utraty 150 000 000 rekordów.
.
7 lutego 2012
Niebezpieczne karty RFID
Ostatnio, przy okazji innych tematów kilkakrotnie zaczynała się dyskusja o kartach RFID - czynaprawdę są tak bezpieczne jak przekonują niektórzy.
Własnie zobaczyłem, że Piotrek Konieczny zajął się w tych dniach tematem. By nie powielać bezsensownie treści (chodzą słuchy, że takie jedno ministerstwo drukuje ostatnio internet a lubię lasy) załączam linki do 2 jego ciekawych artykułów.
Jak na razie procedura kradzieży gotówki w rozsądnych ilościach byłaby kłopotliwa i długotrwała, niemniej czekam na masowe zastosowania. Skoro już można to teraz tylko chwile dzielą nas od spopularyzowania ataku.
Własnie zobaczyłem, że Piotrek Konieczny zajął się w tych dniach tematem. By nie powielać bezsensownie treści (chodzą słuchy, że takie jedno ministerstwo drukuje ostatnio internet a lubię lasy) załączam linki do 2 jego ciekawych artykułów.
Tutaj Piotrek pokazuje filmiki na których widać jak kopiuje się dane z kart RFID.
Tutaj są już informacje o tym, że można skopiować jednorazowy kod zabezpieczający CVV i po skopiowaniu na czystą kartę wykorzystać do płatności.
Jak na razie procedura kradzieży gotówki w rozsądnych ilościach byłaby kłopotliwa i długotrwała, niemniej czekam na masowe zastosowania. Skoro już można to teraz tylko chwile dzielą nas od spopularyzowania ataku.
20 lipca 2011
A kto kradnie dane...
Ostatnio pisałem kto popełnia defraudacje, warto przypomnieć sobie kto kradnie dane. Niecały rok temu Imperva przeprowadziła badania z których wyszło, że większość tego typu incydentów, chyba zgodnie z przewidywaniami osób siedzących w temacie, popełniają pracownicy działów HR i marketingu.
Zresztą całość badań wygląda strasznie - aż 72% badanych pracowników przyznało się do faktu wynoszenia firmowych danych na zewnątrz.
No i teraz mamy dwa podejścia. Albo zezwolić pracownikom na tego typu praktyki, albo zdecydowanie zwiększyć skuteczność mechanizmów kontrolnych. Taka sytuacja tylko powoduje spadek szacunku dla pracodawcy, ośmiesza go wraz z posiadanymi zabezpieczeniami.
Zresztą całość badań wygląda strasznie - aż 72% badanych pracowników przyznało się do faktu wynoszenia firmowych danych na zewnątrz.
No i teraz mamy dwa podejścia. Albo zezwolić pracownikom na tego typu praktyki, albo zdecydowanie zwiększyć skuteczność mechanizmów kontrolnych. Taka sytuacja tylko powoduje spadek szacunku dla pracodawcy, ośmiesza go wraz z posiadanymi zabezpieczeniami.
18 lipca 2011
Kto okrada korporacje?
Co prawda artykuł ma już parę tygodni, niemniej nie chciałbym by zaginął w niepamięci.
KGHM zrobilo badania (na podstawie prowadzonych przez siebie śledztw) i okazało się, że największym zagrożeniem są osoby piastujące najwyższe stanowiska, szczególnie z działach finansowych.
Naprawdę polecam lekturę artykułu "Kto okrada korporacje?"
Polecam też analizę calego raportu "Who is the typical fraudster"
KGHM zrobilo badania (na podstawie prowadzonych przez siebie śledztw) i okazało się, że największym zagrożeniem są osoby piastujące najwyższe stanowiska, szczególnie z działach finansowych.
Naprawdę polecam lekturę artykułu "Kto okrada korporacje?"
Polecam też analizę calego raportu "Who is the typical fraudster"
3 stycznia 2011
Whistleblowing - szczerość bez strachu
Przeglądając blogi zgłoszone do konkursu "Blog Roku 2010" trafiłem na stronę Whistleblowing - szczerość bez strachu.
Polecam okresowe zaglądanie - autor zajmuje się bardzo bliskim zagadnieniem - a mianowicie podejściem do zgłaszania wykrytych nieprawidłowości. Oszustwa czy przypadkowe "wtopy" trafiają się wszędzie. Wykrycie ich nie jest łatwe - zazwyczaj wychodzą na jaw jako rezultat działalności organów kontroli wewnętrznej lub też w efekcie donosu (w pozytywnym tego słowa znaczeniu)z wewnątrz firmy.
Warto zaznaczyć, że to dzięki takim donosom unika się gigantycznych kryzysów reputacyjnych - firma ma szansę wykazać się, podjąć odpowiednie środki zaradcze, a nie tylko biernie przyglądać się temu co robią z nią media.
Nadużycia, niewłaściwie zabezpieczone obszary, nie działające zabezpieczenia - najczęściej najpierw odkrywane są przez szeregowych pracowników. To od ich świadomości zależy czy zostaną usunięte w zarodku czy przeobrażą się w kryzys.
Jak właściwie przygotować firmę na whistleblowing można dowiedzieć się z bloga. ja ze swej strony tylko po raz kolejny powołam się na prof. Jamesa Reason'a i jego teorię ukrytych defektów oraz promowanie "kultury sprawiedliwości"
Polecam okresowe zaglądanie - autor zajmuje się bardzo bliskim zagadnieniem - a mianowicie podejściem do zgłaszania wykrytych nieprawidłowości. Oszustwa czy przypadkowe "wtopy" trafiają się wszędzie. Wykrycie ich nie jest łatwe - zazwyczaj wychodzą na jaw jako rezultat działalności organów kontroli wewnętrznej lub też w efekcie donosu (w pozytywnym tego słowa znaczeniu)z wewnątrz firmy.
Warto zaznaczyć, że to dzięki takim donosom unika się gigantycznych kryzysów reputacyjnych - firma ma szansę wykazać się, podjąć odpowiednie środki zaradcze, a nie tylko biernie przyglądać się temu co robią z nią media.
Nadużycia, niewłaściwie zabezpieczone obszary, nie działające zabezpieczenia - najczęściej najpierw odkrywane są przez szeregowych pracowników. To od ich świadomości zależy czy zostaną usunięte w zarodku czy przeobrażą się w kryzys.
Jak właściwie przygotować firmę na whistleblowing można dowiedzieć się z bloga. ja ze swej strony tylko po raz kolejny powołam się na prof. Jamesa Reason'a i jego teorię ukrytych defektów oraz promowanie "kultury sprawiedliwości"
5 października 2010
Jerome Kerviel skazany
Onet.pl przed chwilą podał, że:
Najciekawszą z kar jest niewątpliwie konieczność zapłacenia odszkodowania w wysokości prawie 5 mld euro. Wiadomo już, że p. Kerviel potrafi zarabiać (i tracić) pieniądze, zastanawia mnie jednak kto mu da niezbędny kapitał początkowy...
polecam lekturę reszty artykułu, jest tam więcej faktów...
Jerome Kerviel, makler z banku Societe Generale, został skazany we wtorek w Paryżu na 5 lat więzienia, w tym 2 w zawieszeniu, oraz zapłacenie odszkodowania w wysokości 4,9 mld euro za oszustwo i spowodowanie w 2008 roku rekordowej straty w tym banku.
Sąd uznał Kerviela za winnego wszystkich stawianych mu głównych zarzutów: świadomego narażenia banku na straty, fałszerstwa i niedozwolonego wprowadzania danych informatycznych.
Najciekawszą z kar jest niewątpliwie konieczność zapłacenia odszkodowania w wysokości prawie 5 mld euro. Wiadomo już, że p. Kerviel potrafi zarabiać (i tracić) pieniądze, zastanawia mnie jednak kto mu da niezbędny kapitał początkowy...
polecam lekturę reszty artykułu, jest tam więcej faktów...
2 września 2010
Bank może odpowiadać za czyny swojego byłego pracownika
na portalu RP pojawiła się interesująca informacja dotycząca odpowiedzialności banku za ujawnianie przez pracowników informacji stanowiących tajemnicę bankową.
Sąd Najwyższy stwierdził, że bank może odpowiadać wobec klienta także w wówczas, gdy informacje o stanie jego kont przekazał przestępcom jego były pracownik.Polecam zapoznanie się z resztą informacji. Ciekawe jak ostatecznie zakończy się sprawa. Banki raczej nie będą musiały obawiać się gigantycznych odszkodowań (jak w tym przypadku konieczności oddania pieniędzy wpłaconych porywaczom), niemniej podkreśla jak ważna jest poufność danych klientów w bankach.
7 czerwca 2010
Bezpieczeństwo kart raz jeszcze - hackowanie POS
Pozostając w temacie bezpieczeństwa kart kredytowych (i kart płatniczych oczywiście) warto przypomnieć o tym, że poza skimmingiem czyli skanowaniem pasków magnetycznych kart (które przestałoby istnieć gdyby wykorzystywano możliwości kart chipowych EMV) istnieje jeszcze inny sposób na zdobywanie PIN'ów. Tym sposobem jest "modernizowanie" terminali POS.
Polecam obejrzenie przykładowego filmiku poglądowego (z dawnych czasów, ale ładnie zrobiony).
A jak to wygląda w praktyce?
Po pierwsze gdy kelner podaje Ci w restauracji POS byś zapłacił za obiad, to skąd masz pewność co to jest za urządzenie? Kto potrafi zweryfikować co to jest i co ma tak naprawdę w środku?
Po drugie znam przypadek gdy w supermarkecie grupa Rumunów zamknęła dziecko na noc, schowane na półce między towarami. Dobrze przeszkolony maluch potrafił rozwiercić i otworzyć skądinąd dość dobrze zabezpieczone urządzenie i dokonać paru przeróbek. W końcu wszystko jakoś można złamać. Klienci cały dzień grzecznie korzystali z kart, a przestępcy zacierali ręce ze szczęścia.
Polecam obejrzenie przykładowego filmiku poglądowego (z dawnych czasów, ale ładnie zrobiony).
A jak to wygląda w praktyce?
Po pierwsze gdy kelner podaje Ci w restauracji POS byś zapłacił za obiad, to skąd masz pewność co to jest za urządzenie? Kto potrafi zweryfikować co to jest i co ma tak naprawdę w środku?
Po drugie znam przypadek gdy w supermarkecie grupa Rumunów zamknęła dziecko na noc, schowane na półce między towarami. Dobrze przeszkolony maluch potrafił rozwiercić i otworzyć skądinąd dość dobrze zabezpieczone urządzenie i dokonać paru przeróbek. W końcu wszystko jakoś można złamać. Klienci cały dzień grzecznie korzystali z kart, a przestępcy zacierali ręce ze szczęścia.
5 czerwca 2010
Karta płatnicza z klawiaturą
VISA wyprodukowała (wreszcie) kartę płatniczą będącą równocześnie tokenem generującym jednorazowe hasła. Użytkownik przed użyciem karty byłby zobligowany do podania na klawiaturze PIN, dzięki czemu na wyświetlaczu otrzymywałby hasło.
Pomysł jak najbardziej dobry, tylko...czemu nie posiada to już wbudowanej biometryki? To byłoby rozwiązanie na miarę obecnych czasów, szczególnie, że pojawiły się już bankomaty weryfikujące w ten sposób tożsamość klientów]
Tylko w sumie, co z tego wynalazku, gdy techniki przełamywania zabezpieczeń są kilka długości z przodu. nawet trudny, długi i jednorazowy PIN (czy też zdigitalizowany odcisk palca nie pomogą w sytuacji, gdy można oszukać terminale, że weryfikacja danych nastąpiła poprawnie.
Przypomnijmy sobie historię z początku roku: opis oraz poglądowe video:
Pomysł jak najbardziej dobry, tylko...czemu nie posiada to już wbudowanej biometryki? To byłoby rozwiązanie na miarę obecnych czasów, szczególnie, że pojawiły się już bankomaty weryfikujące w ten sposób tożsamość klientów]
Tylko w sumie, co z tego wynalazku, gdy techniki przełamywania zabezpieczeń są kilka długości z przodu. nawet trudny, długi i jednorazowy PIN (czy też zdigitalizowany odcisk palca nie pomogą w sytuacji, gdy można oszukać terminale, że weryfikacja danych nastąpiła poprawnie.
Przypomnijmy sobie historię z początku roku: opis oraz poglądowe video:
2 czerwca 2010
Wirtualne oszustwo zakończone realnym porwaniem!
O niebezpieczeństwach związanych z phishingiem wie coraz więcej osób.
Podobnie hasło "nigeryjski scam" też zaczyna już być rozpoznawane jako synonim oszustwa w stylu "Zmarł milioner, pracuję w banku w którym miał pieniądze. jeśli pomożesz mi je wyciągnąć to dam ci połowę" czy "Wygrałeś w loterii, jak uiścisz opłaty manipulacyjne to przelejemy Ci całość wygranej".
Mówiło się też o tym, że tego typu ataki potrafią przyjmować bardziej niebezpieczną formę gdy nie tylko ofiara jest "oskubywana" z pieniędzy ale i może mieć problemy w realnym życiu. Wojtek Smol opisuje ostatni tego typu przypadek:
Zachęcam do lektury całego artykułu.
"Źródło: Wirtualne oszustwo zakończone realnym porwaniem! (HARD CORE SECURITY LAB)"
Podobnie hasło "nigeryjski scam" też zaczyna już być rozpoznawane jako synonim oszustwa w stylu "Zmarł milioner, pracuję w banku w którym miał pieniądze. jeśli pomożesz mi je wyciągnąć to dam ci połowę" czy "Wygrałeś w loterii, jak uiścisz opłaty manipulacyjne to przelejemy Ci całość wygranej".
Mówiło się też o tym, że tego typu ataki potrafią przyjmować bardziej niebezpieczną formę gdy nie tylko ofiara jest "oskubywana" z pieniędzy ale i może mieć problemy w realnym życiu. Wojtek Smol opisuje ostatni tego typu przypadek:
Pod pozorem wysokiej wygranej, grupie Afrykańczyków udało się od Amerykanki w ciągu kilku miesięcy wyłudzić 60 tys. USD! To jednak dopiero początek. Po wielomiesięcznej korespondencji z oszustami, kobieta otrzymała propozycję osobistego odebrania swej rzekomej nagrody (ponad milion USD) na terenie... RPA. 15 kwietnia kobieta przyleciała więc na wskazane przez oszustów lotnisko. Tam została porwana przez trzech Nigeryjczyków oraz obywatelkę RPA.
Zachęcam do lektury całego artykułu.
"Źródło: Wirtualne oszustwo zakończone realnym porwaniem! (HARD CORE SECURITY LAB)"
28 maja 2010
Kolejna mała aferka szpiegowska
Znów miała miejsca kolejna mała aferka szpiegowska. Disney ogłosił, że próbowano sprzedać jego poufne dane finansowe. Oczywiście takie informacje dotyczące spółek giełdowych wywołują zmiany kursów, co znaczy, że można na tym trochę zarobić. To co znamienne to fakt, że podane kto próbował dokonać malwersacji - asystentka.
Taka jest rzeczywistość bezpieczników. Pewne kategorie pracowników są szczególnie podatne na tego typu pomysły. Nie dość, że zarabiają stosunkowo niewiele to mają dostęp do poufnych danych, znacznej wartości rynkowej.
Do takich osób zalicza się:
- asystentki i sekretarki (przygotowujące materiały dla kierownictwa)
- sprzątaczki (czyszczące biurka i kosze na śmieci
- ochroniarzy (kręcących się po firmie)
- praktykantów i pracowników tymczasowych (którym wrzuca się zazwyczaj najpilniejszą ale i najważniejszą robotę)
I jak tu w takiej sytuacji chronić dane...?
A tak przy okazji - ciekawe podejście do poufności danych zaprezentowane zostało też w przypadku jakiejś gry komputerowej:
Jakiś czas temu Ninja Theory ujawniło, że pracuje nad " zupełnie nowym, niezwykle tajnym projektem, na temat którego nie ujawniono nawet jednego słowa". Piękny przykład podejścia "wiem ale nie powiem" :-) Ale zainteresowani wiedzą już, że mają czegoś szukać, więc pewnie to prędzej czy później znajdą.
Taka jest rzeczywistość bezpieczników. Pewne kategorie pracowników są szczególnie podatne na tego typu pomysły. Nie dość, że zarabiają stosunkowo niewiele to mają dostęp do poufnych danych, znacznej wartości rynkowej.
Do takich osób zalicza się:
- asystentki i sekretarki (przygotowujące materiały dla kierownictwa)
- sprzątaczki (czyszczące biurka i kosze na śmieci
- ochroniarzy (kręcących się po firmie)
- praktykantów i pracowników tymczasowych (którym wrzuca się zazwyczaj najpilniejszą ale i najważniejszą robotę)
I jak tu w takiej sytuacji chronić dane...?
A tak przy okazji - ciekawe podejście do poufności danych zaprezentowane zostało też w przypadku jakiejś gry komputerowej:
Jakiś czas temu Ninja Theory ujawniło, że pracuje nad " zupełnie nowym, niezwykle tajnym projektem, na temat którego nie ujawniono nawet jednego słowa". Piękny przykład podejścia "wiem ale nie powiem" :-) Ale zainteresowani wiedzą już, że mają czegoś szukać, więc pewnie to prędzej czy później znajdą.
Subskrybuj:
Posty (Atom)