10.02.2015 | 20:38

Adam Haertle

Ukradli bankowi milion dolarów, chcieli wysłać na polskie konta

Firewalle, IDSy, IPSy, antywirusy i VPNy nie pomogły amerykańskiemu bankowi uniknąć trywialnego włamania. Tradycyjnie zawiódł pracownik, który zniwelował niemal wszystkie zabezpieczenia i ułatwił życie przestępcom.

Pewnego październikowego poranka nieustalony do tej pory sprawca wysłał z konta banku dwa przelewy do dwóch banków w Polsce na łączną kwotę niecałego miliona dolarów. Pokażemy Wam krok po kroku jak do tego doszło.

Tajemnicze przelewy

Bank Stanowy w Bellingham to mała placówka, zatrudniająca zaledwie 5 pracowników. Mimo małej skali działalności wdrożyła ona wiele mechanizmów i procedur bezpieczeństwa, które okazały się być w omawianym przypadku całkowicie bezużyteczne. Środki finansowe banku chroniły następujące rozwiązania:

  • dedykowana stacja robocza do przelewów,
  • sprzętowy VPN do banku Rezerwy Federalnej, który pośredniczył w realizacji przelewów,
  • profil użytkownika o ograniczonych uprawnieniach do realizowania przelewów,
  • aktywny Windows Firewall,
  • zainstalowany na każdej stacji roboczej Symantec Small Business Endpoint Protection 12.5 (z modułami antywirusa, firewalla, IDSa i IPSa),
  • każdy przelew musiał być autoryzowany przez dwóch pracowników,
  • każdy pracownik dysponował własnym tokenem sprzętowym niezbędnym do realizacji przelewu,
  • token był zabezpieczony dodatkowym hasłem a każdy pracownik miał swój login i hasło,
  • sieć banku chroniona była przez sprzętowy firewall Sonic WALL NSA 240 (z modułami Gateway Antivirus, Gateway Anti-Spyware i Gateway Intrusion Protection),
  • siedziba banku objęta była monitoringiem wizyjnym.

Mimo wszystkich wymienionych powyżej mechanizmów bezpieczeństwa dnia 28 października 2011 roku we wczesnych godzinach porannych ktoś wysłał z banku dwa przelewy: o godzinie 7:12 na kwotę 485 tysięcy dolarów do warszawskiego oddziału Citibanku oraz o godzinie 7:21 na kwotę 455 tysięcy dolarów do katowickiego oddziału banku ING. W czasie wykonywania operacji nikogo w siedzibie banku nie było. Jak to możliwe? Aby to zrozumieć musimy prześledzić chronologię wydarzeń z raportu biegłego, badającego kluczową stację roboczą.

Wg Google gdzieś tutaj znajduje się siedziba banku

Wg Google gdzieś tutaj znajduje się siedziba banku

Historia wszystkich wpadek

Wyniki badania komputera, z którego dokonano przelewu oraz zeznania pracowników opowiadają następującą historię:

  • 30 lipca 2008 (ponad 3 lata przed incydentem) ostatni raz zaktualizowany został moduł Proactive Threat Protection Symanteca, dzięki czemu w dniu incydentu był nieaktywny
  • komputer był regularnie używany do przeglądania stron internetowych w tym Facebooka a jego użytkownik miał zwyczaj otwierania każdej wiadomości email, łącznie z tymi oznaczonymi jako spam
  • w bliżej nieustalonym momencie przed incydentem na adres poczty elektronicznej banku [email protected] przyszła wiadomość zawierająca link do złośliwego oprogramowania, pracownik kliknął w link, pobrał oprogramowanie i zainstalował konia trojańskiego Zeus, który pobrał dodatkowe moduły
  • konta zarówno użytkownika jak i administratora nie były zabezpieczone hasłem
  • antywirus Symanteca ustawiony był na skanowanie całego dysku raz w tygodniu
  • 13 października Symantec wykrył Zeusa i powiadomił o tym pracownika, który zignorował ostrzeżenie
  • 18 października Symantec przeniósł jeden z elementów Zeusa do kwarantanny i powiadomił o tym użytkownika, który zignorował ostrzeżenie
  • 26 października Zeus pobrał dodatkowy program który został użyty w bezpośrednim ataku
  • 27 października, dzień przed incydentem, pracownica banku wykonała prawidłowy przelew, korzystając ze swojego tokena, loginu i hasła oraz z identycznego zestawu innego pracownika, po czym oba tokeny zostawiła podłączone do komputera a komputer zostawiła włączony i poszła do domu.

Następnego dnia rano przestępca skorzystał z okazji, połączył się z komputerem w banku i wygenerował oba przelewy.

Wydarzenia po incydencie

To jeszcze nie koniec historii, ponieważ przestępca zadbał o zwiększenie szansy na to, że przelewy nie zostaną na czas cofnięte:

  • 28 października rano pracownica zorientowała się, że doszło do nieautoryzowanych przelewów i próbowała je anulować drogą elektroniczną, jednak okazało się to niemożliwe, ponieważ dostawca usług internetowej banku padł ofiarą ataku DDoS,
  • pracownia próbowała anulować przelewy telefonicznie, ale bank Rezerwy Federalnej odmówił wstrzymania przelewów,
  • 30 października bank Rezerwy Federalnej w końcu spróbował zatrzymać oba przelewy, ale odniósł sukces tylko w jednym przypadku, a kwota 485 000 dolarów powędrowała na polskie konto (jej dalszy los pozostaje nieznany),
  • w momencie badania dysku, wiele miesięcy po incydencie, na dysku nadal znajdowały się moduły Zeusa niewykryte przez Symanteca.

Epilog

O całym incydencie dowiedzieliśmy się tylko i wyłącznie dlatego, że bank pozwał swojego ubezpieczyciela. Co ciekawe, sąd nakazał wypłatę odszkodowania. Co prawda uznał, że bank był winien wielu zaniedbań, ale stwierdził też, że mimo wszystkich zaniedbań do straty by nie doszło, gdyby nie działanie włamywacza. Jako że bank był ubezpieczony od włamań, to ubezpieczyciel powinien wypłacić odszkodowanie. Taka sytuacja.

Powrót

Komentarze

  • 2015.02.10 20:50 Piotr Berent

    Nawet nie czytając nazw miejscowości można śmiało stwierdzić po ostatnim akapicie, że to musiało się dziać w USA ;)

    Odpowiedz
  • 2015.02.10 21:45 Большая Cобака

    Kluczowym elementem ataku było kliknięcie na link w emailu i pobranie Zeusa który dociągnął resztę syfu. No i „użytkownik miał zwyczaj otwierania każdej wiadomości email, łącznie z tymi oznaczonymi jako spam” – to już tragedia w komputerze bankowym.
    .
    Jak już jesteśmy przy bankowości „USA to Poland”, to powiem Wam coś, co może wydać się kompletną bzdurą, ale opowiadał mi o tym (były już) wysokiej rangi oficer jednej ze służb i myślę że tak było naprawdę. Otóż przed zamachami z 9/11, wiele przelewów na konto al Kaidy do USA szło różnymi drogami, taki łańcuszek żeby zmylić ślady. To częste działanie żeby ukryć prawdziwe źródła finansowania grup zbrojnych. Duże ilości przelewów na nie wzbudzające wysokości kwoty szły przez jakieś „Towarzystwa”, „Fundacje”, itp. Okazało się że w tym łańcuszku kilka przelewów szło też przez polskie banki, w tym jeden bank w moim mieście. Świat jest dziś taki mały…

    Odpowiedz
    • 2015.02.10 23:21 Moro

      Akurat żeby dokonać ataków 9/11 nie były potrzebne żadne duże pieniądze więc twoje rozumowanie jest idiotyczne i powtarzasz jak papuga jakieś durności bez zastanowienia.

      Odpowiedz
      • 2015.02.10 23:38 Большая Cобака

        Jak już piszesz w ten sposób, to podeprzyj się jakimiś analizami, jakimiś konkretami. Jeśli nie są potrzebne „duże pieniądze”, to jakie pieniądze są „właściwe” do tego – podaj kwotę „odpowiednich” pieniędzy potrzebnych do takich ataków, według ciebie. Oczywiście podeprzyj się wiarygodnymi źródłami.
        Komentarze takie jak twój są bez sensu, bo to sama krytyka dla krytyki, bez podawania sensownych argumentów. Już lepiej zamiast tak głupio pisać, zwal se konia.

        Odpowiedz
      • 2015.02.11 00:37 misiou

        mitoman, chce być ważny. co zrobisz. nic nie zrobisz…

        Odpowiedz
        • 2015.02.11 17:49 misiou

          Przeprasza za mój wcześniejszy i niegrzeczny wpis, zrozumcie mnie: http://static.comicvine.com/uploads/original/8/82445/1664334-unsuccessful_troll.jpg

          Odpowiedz
          • 2015.02.11 23:49 misiou

            duży pies, big dog, aka Большая Cобака podszywa się już pod inne nicki, w akcie desperacji.
            biedaku, nic nie znaczysz, skoro uciekasz się do takich frajerskich gestów.
            ps. adam, jest jakiś sposób na takie praktyki tutaj?

          • 2015.02.11 23:59 misiou

            desperat ze mnie, uciekam się do frajerskich komentarzy, zrozumcie mnie i wybaczcie: static.comicvine.com/uploads/original/8/82445/1664334-unsuccessful_troll.jpg

          • 2015.02.12 00:33 adam

            oczywiście, jest sposób na takie praktyki tutaj: po prostu bądź miły i nie atakuj forumowiczów

    • 2015.02.10 23:39 Janina

      Nie spodziewałem się, aby w 2015 roku jeszcze ktoś będzie wierzył w rządową wersję o 9/11.

      Odpowiedz
      • 2015.02.11 17:22 Большая Cобака

        Napisałem że wierzę w rządową wersję zamachów z 9/11?
        Widzisz w komentarzu coś „o wierze” w te zamachy?
        .
        Co do zamachów, to sam mam poważne wątpliwości czy było tak jak ogłosił to Bush i jego bandycki i imperialistyczny rząd.
        .
        Pytanie: Widzieliście gdzieś zdjęcia lub video samolotu który wbija się w Pentagon? Nie zobaczycie ich, bo ich nie ma. Choćbyście się osrali, to nie znajdziecie!
        Czy nie zachowały się żadne zdjęcia ani zapis video z takiego ataku?
        Budynek Pentagonu to nie jest zwykłe biuro. Przecież to super-ważny i jeden z najważniejszych budynków dla bezpieczeństwa USA. Pentagon musi mieć dookoła monitoring. Nawet w jego sąsiedztwie musiał być monitoring. I nie ma żadnego zapisu? Żadnego?! Nic?! Nawet bajki o tym że zapis został utajniony, nie mają racji bytu, bo niby co jest tak dziwnego i tajnego w zarejestrowanym na video locie na Pentagon że nie można go upublicznić? Można pokazać tysiące innych nagrań z ataków i katastrof lotniczych a tego nie można? Czemu nie można? No temu, bo takiego nagrania po prostu nie ma… Amerykanie pokazali Światu tylko zdjęcie wyrwy w Pentagonie, jeśli dobrze popatrzycie, to nie ma chu.. żeby taką wyrwę zrobił Boening… Kłamstwa i bajki dla amerykańskich debili!
        .
        Link do opisu ciekawego filmu „9/11 in Plane Site” na ten temat: http://www.filmweb.pl/film/911+in+Plane+Site-2004-261384/descs
        .
        Rodzi się zatem pytanie, jak było naprawdę.
        Podywagujmy: bardzo prawdopodobne jest że ataku mogli dokonać dżihadyści, ale zrobili to pod dyktando i przy pomocy imperialistycznych bandytów z amerykańskich kręgów wojskowych i przemysłu zbrojeniowego. Pamiętajcie że wojna to duuuuuuża kasa. Przemysł bandyckiego kraju USA znacznie przyspieszył podczas wojen w Zatoce. Że już nie wspomnę, że rodzina Bushów handlowała z klanem Ben Ladenów. W samej Zatoce, Amerykanie zanim napadli na Husseina, wcześniej sprzedawali mu broń i militarne technologie, dozbrajali go, pomagali mu w reżimie i ludobójstwie. Później cele się zmieniły i Jankesi stwierdzili że czas usunąć watażkę, aby ustanowić w jego kraju nowy i ugodowy rząd, przyjazny dla amerykańskiego biznesu. Po to były I i II wojna w Zatoce, bo na pewno nie po to żeby nieść demokrację…
        .
        I nie pisać mi że jestem „lewakiem”. Ktoś kto tak napisze, jest debilem!

        Odpowiedz
        • 2015.02.13 09:46 Debil

          Ty lewaku!

          Hasło „lewak” jest jeszcze spoko, mnie wyzywają od wariatów, paranoików i psycholi, między innymi z powodu tego, że moja opinia o 9/11 jest podobna do Twojej i milionów innych logicznie myślących ludzi. Ale musisz przyznać, że zagrywka była prawie doskonała, a od tego czego nie udało im się zakamuflować, media skutecznie odwróciły uwagę.
          A wystarczy odpowiedzieć sobie na jedno ważne pytanie („co lubię w życiu robić” :P): kto skorzystał na 9/11? Smaczku dodaje też fakt, że odkąd USA wkroczyło do Afganistanu (również pod pretekstem walki przeciwko inicjatorom 9/11) handel heroiną w Stanach wzrósł kilkukrotnie, a i zyski pewnie wyższe gdy się kontroluje pola zamiast skupować produkt. Teoria spiskowa w przypadku 9/11 jest wielowarstwowa, złapano wiele srok za jeden ogon.

          Odpowiedz
        • 2015.02.13 12:42 Debil

          Jeszcze to: http://pledge.onehumanityonelove.org/OpenLettertoNRA.htm
          Długie, ale warto przeczytać.

          Odpowiedz
  • 2015.02.10 21:50 Большая Cобака

    Wkradł się błąd, szkoda że nie można cofnąć komentarza:
    jest „Duże ilości przelewów na nie wzbudzające wysokości kwoty szły …”
    powinno być „Duże ilości przelewów na nie wzbudzające podejrzeń wysokości kwoty szły …”
    Jest jak jest ;)

    Odpowiedz
  • 2015.02.11 00:28 poncjusz

    taki pracownik ignorujacy ostrzezenia antyvirusa na komputerze bankowym powinien ostro oberwac ze zwolnieniem lacznie, jawnie to podpada pod wspoludzial tak samo jak ta ktora sie cudzym tokenem oraz haslem posluzyla. dyscyplinarka miala zapewne miejsce dla tych pracownikow.

    „konta zarówno użytkownika jak i administratora nie były zabezpieczone hasłem” hm aż trudno skomentować taki standard w tego rodzaju instytucji zaufania publicznego.

    Odpowiedz
    • 2015.02.11 11:41 Romek

      Oj tam oj tam. Od razu pod ścianę i rozszczelać. Jak by tak robiono to kto by pracował?

      Odpowiedz
  • 2015.02.11 10:48 bolo

    „niewykryte” piszemy łącznie

    Odpowiedz
    • 2015.02.11 10:57 Adam

      Dzięki, poprawione.

      Odpowiedz
      • 2015.02.11 17:26 Большая Cобака

        Tylko „Dzięki”?
        Może jakaś naklejka „Fuck NSA” lub podobna?

        Odpowiedz
  • 2015.02.12 15:25 Turysta

    Są może już jakieś nowe wieści ?
    BTW będzie tutaj subskrypcja komentarzy czy chociaż comentLuv :)

    Odpowiedz

Zostaw odpowiedź do Большая Cобака

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ukradli bankowi milion dolarów, chcieli wysłać na polskie konta

Komentarze