È possibile rubare denaro direttamente dai sistemi di una grande banca?

Ogni transazione ha bisogno di una pista di controllo - i numeri devono venire da qualche parte - ei sistemi bancari hanno questi controlli in atto. Sono perfetti? Quasi, ma abbastanza da rendere più semplice la ricerca di altri vettori di attacco, come gli umani.

Ho detto che ero in prigione in un paese lontano e ho bisogno che tu mi leghi i soldi per la cauzione?

Bene, ecco come rubi denaro dal computer di una banca:

Fai un bonifico o un trasferimento ACH su un'altra banca. Ritira quei soldi dall'altra banca. Se sei grande o vai a casa mentalità, porta quei soldi a molte altre banche. Prendere un grosso bonifico bancario e rinviarlo immediatamente potrebbe sembrare sospetto alla banca ricevente se è l'unica transazione, ma ricevere un grosso trasferimento e mandarne forse il 20% sarebbe normale. Sarebbe inoltre utile incorporare il trasferimento in qualche altro account che è normalmente molto attivo.

Ricorda, non è tuo finché non è denaro. I bonifici possono essere invertiti, quindi è necessario effettuare il ritiro o farlo andare così lontano e lavato che non si sta tornando.

A volte quella linea in banca passa attraverso un computer esterno in un'azienda normale. Questo caso ha alcuni esempi di dove sono stati prelevati soldi reali da una banca per mezzo di computer .

Vedere la parte inferiore di questo articolo per i collegamenti agli incidenti di seguito. L'articolo si concentra sul caso PATCO di cui ho parlato in precedenza

Experi-Metal Inc., which in December 2009 sued its former bank, Comerica, after losing more than $550,000 in fraudulent wire transfers;

Village View Escrow of Redondo Beach, Calif., which in March lost $465,000 to an online hack;

Choice Escrow, which in November 2010 sued its bank, BankcorpSouth, alleging inadequate security measures;

Hillary Machinery, which in January 2010 was sued by its bank, PlainsCapital Bank, after a legal battle over ACH fraud liability. The suit was later settled for undisclosed terms;

The Catholic Diocese of Des Moines, Iowa, which in August lost $600,000 in fraudulent ACH transactions.

Le banche usano molta sicurezza, ma certo - hai ancora criminali intelligenti e ben pagati che cercheranno errori di configurazione, punti deboli, vulnerabilità o scappatoie, dal momento che è meno rischioso fisicamente cercare di rubare denaro su Internet piuttosto che tenere su una banca con una pistola.

Ancora ragionevoli probabilità di essere scoperti se ne tiri fuori uno grande - vedi questo articolo dell'FBI sugli arresti di rapina Worldpay. La parte intelligente di questo lavoro è stata l'utilizzo di una grande banda di persone che si ritiravano al massimo sulle carte in tutto il mondo contemporaneamente.

C'è sempre una possibilità, ma soprattutto con le banche è quasi impossibile. Ci sono stati casi in cui sono state violate le banche.

Esistono numerose misure per prevenire questo. D'altra parte, se ci si guarda intorno, ci sono ancora un certo numero di banche che utilizzano metodi di autenticazione di input di base che sono piuttosto facili da ottenere attraverso l'ingegneria sociale o lo sniffing ( argomento recente) .

Probabilmente ci sono ancora più casi di quelli ammessi, le banche non vogliono essere conosciute come non sicure.

Forse qualcos'altro che potresti desiderare è un recente articolo su come si potrebbe sfruttare borse abusando di latenze.

Il modo più comune per rubare denaro da una banca è probabilmente ancora la frode telematica e le rapine in prima persona. Sarebbe difficile rubare denaro direttamente dalla banca, più probabilmente l'attacco sarebbe contro conti individuali. Le persone continuano a commettere frodi come controllo kiting .

La maggior parte degli attacchi informatici viene eseguita da criminali professionisti utilizzando un numero di muli per incanalare i soldi. Questo è in genere un gruppo o un sindacato ben organizzato. Utilizzando i muli, l'organizzazione criminale può mettere la caduta sul mulo e fuggire con i soldi. Consulta alcuni degli articoli di Krebs on Security .

From: http://www.fbi.gov/news/stories/2010/october/cyber-banking-fraud/cyber-banking-fraud-graphic

Se il denaro è illecitamente collegato al tuo account, hai una buona quantità di protezione in Regolamento E negli Stati Uniti. E in molti casi, la transazione verrà annullata. La banca può anche rimborsarti senza impegnarsi a recuperare i soldi se è effettivamente più conveniente considerando il tempo e gli sforzi e il tuo valore per la banca.

Le banche infatti tengono traccia di audit regolari, monitorano l'attività dei conti, ecc. Molte banche più piccole non consentono trasferimenti esterni per i singoli clienti regolari attraverso il loro Internet banking o richiedono un'autorizzazione speciale. La maggior parte delle banche non implementa l'autenticazione a due fattori per l'accesso e prima di ogni transazione per conti commerciali e / o trasferimenti di grandi dimensioni. Le banche possono monitorare attività insolite e rispondere a sospette frodi. Molte banche offrono anche avvisi sulle attività dell'account che l'individuo può utilizzare per avviare un'indagine sulle frodi.

Sarebbe possibile attaccare le applicazioni interne delle banche, ma in genere sarebbero sempre gli attacchi contro gli account dei clienti, non "i soldi della banca". Le applicazioni interne dovrebbero anche avere controlli in atto per rilevare frodi o attività irregolari. La maggior parte delle applicazioni di una banca si occuperà dei soldi del cliente.

Ecco alcune risorse aggiuntive:

• Attacchi alle banche
• Cert degli Stati Uniti: comprensione e protezione contro i muli di denaro

Tutte le banche con cui ho lavorato hanno un'estrema sicurezza riguardo ai "mainframe" a cui ti riferisci. Sono accessibili solo tramite il dispositivo 'x' (bloccato in alcuni scantinati senza accesso esterno, ecc.). Tutte le transazioni passano tramite proxy e architetture FW / IPS a più livelli. Non è impossibile, ma è tutt'altro che facile

Modifica :: Per non parlare della sicurezza degli endpoint sui server stessi. Il loro accesso potrebbe non essere nemmeno il problema più grande (solo la chiave SSH accede, ecc.).

Prima di tutto, non rubare soldi alla banca è più come stampare i tuoi soldi.

Tecnicamente è possibile fare soldi in questo modo, ma solo le banche centrali per fare questo, quindi è necessario avere accesso ai loro sistemi per allocare la valuta a una banca commerciale e poi assegnarla ulteriormente a te stesso. Dovresti anche bypassare la pista di controllo nei sistemi della banca e l'euristica che avrebbe contrassegnato qualsiasi grande colpo improvviso.

Se vuoi rubare un conto in banca, il metodo migliore rimane trasferire su un conto di deposito e poi su un servizio di e-gold, infine inoltrare a un conto di raccolta dove un raccoglitore designato (assunto su commissione non la persona che ruba il denaro ) svuota il conto in contanti.

Qualunque colpo di bit diritto verrebbe immediatamente rilevato dai programmi di euristica di controllo, in quanto qualsiasi cambiamento imprevisto in un equilibrio o trasferimento verrà contrassegnato se legittimo o meno.

Alcuni anni fa un codice JavaScript è stato iniettato nel sito web di una banca. Era silenzioso e continuava a raccogliere credenziali. Le persone hanno quindi utilizzato queste credenziali per rubare denaro dalla banca con il minimo sforzo, rispetto all'hacking nel nucleo del sistema.

Il problema è che i sistemi sono circolari. Dove l'inizio del cerchio incontra la linea di ritorno esiste un anello debole. Ciò che è difficile è identificare correttamente il link debole e sfruttarlo.