Показано с 1 по 8 из 8.

1,5 миллиона рублей исчезли со счета компании в интернет-банке

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    1,5 миллиона рублей исчезли со счета компании в интернет-банке

    Полтора миллиона рублей исчезло со счетов екатеринбургского предприятия, которое обслуживалось через интернет-банк.
    Руководители фирмы уверены: система была плохо защищена от взлома. Однако в самом банке вину на себя брать не спешат.

    Директор Уральского бюро экспертизы и оценки Елена Топал четвертый день находится в шоковом состоянии. Полтора миллиона рублей – это весь оборотный капитал фирмы. Раньше проверять состояние расчетного счета и снимать с него деньги она могла через "интернет" с помощью сертифицированной программы, которую месяц назад установил ей банк. Теперь же на счете "ноль", а на сайте "УБРиР", где она обслуживалась, она читает признание: "Обнаружен вирус, похищающий секретные ключи клиентов". Эти электронные ключи-пароли злоумышленники подобрали и к счету Елены.

    "В моем понимании, был поставлен некачественный продукт, который удалось вскрыть", - считает Елена. "Две платежки порядка 900 тысяч с лишним, они ушли в Новокузнецк за оплату каких-то квартир, на каких-то физических лиц. В банке мне подтвердили, что естественно, денег там уже нет", - говорит она.

    Хакеры оказались с юмором. 65 тысяч рублей перевели на счет Всемирного фонда охраны природы, а 400 тысяч переслали екатеринбургской общественной организации по борьбе с наркотиками. В "Уральском банке реконструкции и развития" эту ситуацию комментируют осторожно. Программу, дающую доступ к управлению счетом через интернет, называют надежной. А вот компьютеры клиентов – нет. Многие, если и защищены антивирусами, то зачастую некачественными, пиратскими. К тому же, намекают банкиры, похитить ЭЦП (электронно-цифровую подпись) могут и недобросовестные сотрудники потерпевшей фирмы.

    "Факт хищения является недоказанным на данный момент. То есть, деньги действительно ушли, но они подписаны корректной ЭЦП", - уверяет и.о. начальника управления безопасности информационных систем банка Вячеслав Родионов. Хотя признает, что с помощью вируса подпись действительно можно было украсть, но говорить пока об этом рано.

    Лучше рано, чем поздно, уверена Елена Топал. Если бы сотрудники банка заранее научили ее, как правильно хранить ключ доступа к интернет-счету, хищения денег можно было бы избежать. Теперь расследованием случившегося занимаются сотрудники милиции, которые и сами признаются: нахваливаемая банкирами система обслуживания через интернет показала себя далеко не с лучшей стороны.

    "Только по нашему городу в неделю может обратиться в органы внутренних дел – в районные либо иные органы внутренних дел – порядка семи человек. Ну, примерно 1 человек в день на организацию. Ну, может, две организации в день страдают", - говорит оперуполномоченный отдела "К" криминальной милиции ГУВД Свердловской области.
    Как показывает практика, выйти на след интернет-злоумышленников и вернуть деньги удается далеко не всегда. Но Елена Топал намерена действовать решительно. Если следствие докажет, что деньги с ее счета пропали из-за ненадежности банковской программы, она не исключает возможности взыскать с коммерческой организации свои исчезнувшие деньги через суд.
    В банке УБРиР свою вину не признают, отмечая, что зачастую наиболее уязвимы для хакерских атак как раз не банковские, а клиентские компьютеры. Еще одна версия произошедшего с точки зрения банка — похищение электронно-цифровой подписи недобросовестными сотрудниками пострадавшей компании.
    Опрошенные эксперты единогласно встают на защиту банка: сколько ни тверди пользователям о необходимости проведения грамотной политики безопасности и использовании антивирусов — все тщетно, отмечают они. Подобные прецеденты повторяются все чаще и чаще. «Такой финал ожидает любого беспечного пользователя интернет-банкинга. Банк, возможно, мог бы быть настойчивее в требованиях к своим клиентам более внимательно относиться к безопасности компьютеров, но основная часть вины все-таки на пользователе», — считает генеральный директор «Доктора Веб» Борис Шаров.
    В подобных системах основная уязвимость — человеческий фактор, подтвердил генеральный директор Safeline Михаил Савельев. Злоумышленнику гораздо проще воспользоваться неосторожностью, халатностью или неосведомленностью жертвы: записанный рядом с компьютером пароль, постоянно вставленный ключевой носитель, несоблюдение основных мер защиты — сколько об этом ни говори — остается нормой поведения, при том, что соблюдение требований безопасности считается паранойей, говорит он. «В каждом конкретном случае, разбираться в том, кто виноват — трудно. Каждый, кто соглашается на удобство работы через интернет, должен принимать риски того, что удобство может обернуться подобной проблемой. А раз так, надо что-то делать для того, чтобы минимизировать риски», — добавил Савельев.

    Генеральный директор SecurIT Алексей Раевский, помимо версии недосмотра со стороны компании, предположил, что причиной инцидента могло быть и то, что банк не позаботился должным образом о защите платежной системы или проглядел в своих рядах инсайдера, который воспользовался служебным положением и похитил денежные средства. «Однако, как правило, банки лучше следят за тем, что делается в их стенах, поэтому с большей вероятностью можно предположить, что проблемы были на стороне клиента», — заключил Раевский.

    Источник: Вести-Урал

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    интересный случай.
    я бы всетаки винил в случившемся пользователей,
    частенько те кто пользуется интернет банкингом и банк клиентами пренебрегают мерами безопастности.
    то ЭЦП гденибуть на компе хранятся. опятьже, даже как написано в инструкции хранить на дискете, но дискета постоянно в компе
    а что у них с антивирусами и файрволами, тоже большая загатка.
    бывают случаи когда спецы банка выезжают к ним для установки программы,
    потому что бугалтера сами не могут это сделать, а админов у них нет, соответственно кто же тогда следит за защитой(видимо никто)
    так что впаривание вируса с вытекающими последствиями вполне возможно, хотя например я о таком (у нас) пока неслышал.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для sergey888
    Регистрация
    28.06.2007
    Адрес
    The pirate bay
    Сообщений
    471
    Вес репутации
    344
    Поэтому все что связанно у меня с компьютером никак не соприкасается с деньгами. Я конечно понимаю что организация и частный пользователь это разные вещи. Но я как частный пользователь могу себе позволить управлять средствами лично через банк без помощи компьютера. Кстати никакие оплаты через интернет я тоже не произвожу это у меня такая старомодная привычка расплачиваться за все лично. (Имеется ввиду не только наличные но и кредитные карточки)
    А оплате по телефону или по интернету я не доверяю.
    Kaspersky Internet Security 2013 и Windows 8 Профессионал с Media Center
    Стандартный пользователь + Политики ограниченного использования программ

  5. #4
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    4
    Вес репутации
    36
    Цитата Сообщение от SDA Посмотреть сообщение
    Раньше проверять состояние расчетного счета и снимать с него деньги она могла через интернет с помощью сертифицированной программы, которую месяц назад установил ей банк. Теперь же на счете ноль, а на сайте УБРиР, где она обслуживалась, она читает признание: Обнаружен вирус, похищающий секретные ключи клиентов. Эти электронные ключи-пароли злоумышленники подобрали и к счету Елены.
    если программа сертифицированная - почему какой-то вирус смог похитить ключи для ЭЦП? По башке разработчикам и сертификаторам надо давать за такое. Данный случай еще раз доказывает, что криптографию, в том числе и ЭЦП, надо реализовывать во внешней железке, куда ключ можно только записать, и невозможно прочитать. А чисто софтверные решения хороши только для Васи с Петей, которые решили поиграть в шпионов или секретных агентов.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -а на мой взгляд, банк, коль уж работает с клиентами через интернет, мог бы и посущественней защиту организовать...
    -некоторые банки используют для авторизации несколько этапов, в качестве дополнительной меры безопасности, схема выглядит примерно так:

    1) заходите на ресурс Банка и вводите свой зарегистрированный логин и пароль, ну или ЭЦП;
    2) на следующем этапе авторизации вводите зарегистрированный номер Вашего мобильного телефона, на который банковская система отправит одноразовый пароль доступа, которым Вы сможете подтвердить вход в платёжную систему, причём, только на протяжении очень непродолжительного отрезка времени с момента захода на сайт Банка;

    ...такую схему наглым хацкерам будет уже 'немного' сложнее взломать, ну по крайней мере одного зловреда, ворующего ЭЦП, будет явно недостаточно

    P.S. -а вообще то, я не стал бы раьотать с банком, который в столь незначительной мере обеспокоен безопасностью счетов своих клиентов
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    292
    Ага, в платёжных автоматах используется аутентификация через мобилу, я когда увидел ещё подумал, что за фигня (аутентификация там совершенно не требуется).

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.05.2005
    Сообщений
    74
    Вес репутации
    59
    Аааааа. Там же iBank2 на java. И ключ на флэшке либо дискете. Чтобы этот ключ использовать, нужен ещё и пароль. Однозначно, либо инсайдер постарался, либо внедрённый с трояном кейлоггер. В любом случае, в банке записаны IP, с которых были сеансы. И у провайдеров обязан быть СОРМ. Так что фраза "выйти на след интернет-злоумышленников и вернуть деньги удается далеко не всегда" довольно непонятна. Определить точку выхода - пара пустяков.
    Так что журналюгам - минус 1.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -нет!.. не всё так просто (в смысле "выйти на след интернет-злоумышленников") существует множество способов запутать/увести/скрыть след...
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

Похожие темы

  1. Долг за интернет — 230 тысяч рублей. Пожалуйте в суд.
    От Kacnep в разделе Новости интернет-пространства
    Ответов: 1
    Последнее сообщение: 18.11.2009, 14:04
  2. За год ФСБ отразила почти полтора миллиона интернет-атак
    От rubin в разделе Новости компьютерной безопасности
    Ответов: 3
    Последнее сообщение: 20.12.2007, 10:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00429 seconds with 16 queries