Bity, bajty, kilobajty, nadużycia…

Data: 31 marca 2014 | Autor: | Brak komentarzy »

Ponieważ już w co najmniej kilku wpisach podawałem przykłady, w których osoby zajmujące się oficjalnie zwalczaniem nadużyć okazywały się ich sprawcami, pora na wrzucenie kamyczka do ogrodu nieco innej profesji. Okazja nadarza się sama, ponieważ w ostatnich tygodniach na karę 7 lat więzienia skazano byłego kierownika działu bezpieczeństwa IT Barclays Banku, który w ciągu 5 lat pracy sprzeniewierzył ponad 2,1 mln funtów.

John Skermer został zatrudniony w Barclays w 2008 r. jako inżynier-programista. Wśród projektów, nad którymi pracował znajdowała się aplikacja „porządkująca” rachunki bankowe. Jej zadaniem było przeczesywanie baz systemu bankowego w poszukiwaniu przede wszystkim dwóch typów rachunków. Pierwszym były rachunki „osierocone”, to jest takie, które nie posiadały przypisanego właściciela – były bowiem np. używane do księgowań technicznych, przejściowej alokacji funduszy, czy też omyłkowo pozostawionych po zamknięciu rachunku podstawowego kont rozliczeniowych, kredytowych czy depozytowych. Drugą grupę stanowiły rachunki „uśpione”, to jest takie, z których od dłuższego czasu nie korzystał ich właściciel i poza naliczaniem opłat i odsetek nie odbywały się na nich żadne inne operacje. Tego rodzaju rachunki występują w praktycznie każdym banku z uwagi np. na śmierć czy długotrwałą chorobę posiadacza rachunku, a wcale nie tak rzadko klienci o nich po prostu zapominają…

Czytaj dalej »


Koszty wiary na słowo

Data: 21 marca 2014 | Autor: | Brak komentarzy »

W ostatnich dniach kanadyjskie media ujawniły interesujący przypadek kompromitacji zabezpieczeń serwera internetowego, na którym pracowała kanadyjska platforma obrotu bitcoinami Canadian Bitcoins. Formalnie wypadałoby powiedzieć, iż przestępca uzyskał dostęp do serwera za pomocą narzędzi socjotechnicznych zastosowanych wobec pracownika wsparcia technicznego firmy hostingowej Granite Networks. Niestety zapis rozmowy nie jest dostępny, więc nie jest jasne, jakich sztuczek użył oszustw, ale z pewnością miał niezwykły dar przekonywania…

Ale po kolei. Opiszmy najpierw, co – zgodnie z wypowiedzią prezesa Canadian Bitcoins – musi zrobić pracownik tej firmy, aby zarządzać serwerem. Opcje są dwie. Po pierwsze – dostęp zdalny, możliwy wyłącznie z jednego adresu IP, z którego korzystają pracownicy biura głównego platformy, połączony oczywiście z dodatkowym uwierzytelnieniem użytkownika (nie ujawniono, na czym bazujący i ilu składnikowy). Drugą opcją jest osobista wizyta w firmie Granite Networks i praca na terminalu lokalnym. Jest ona jednak nieco bardziej kłopotliwa… Co najmniej 2 godziny przed fizycznym pojawieniem się na miejscu należy powiadomić o tym ochronę. Następnie, po przybyciu, należy użyć karty dostępowej aby wejść do budynku, zarejestrować się na ochronie, przejść przez skaner siatkówki, pokonać jeszcze dwie pary drzwi z kontrolą dostępu, a wreszcie podać kod numeryczny, aby dostać się do tej części serwerowni, w której stoją maszyny użytkowane przez Canadian Bitcoins.

Czytaj dalej »


Jak oszukujący oszustów oszust został bohaterem

Data: 20 marca 2014 | Autor: | Brak komentarzy »

Niedawny wpis o dyrektorze ds. zwalczania nadużyć nieudolnie wyprowadzającym środki z organizacji Oxfam wzbudził spore zainteresowanie Czytelników. Idąc tym tropem, w dniu dzisiejszym przedstawiam kolejną nietypową sprawę, której bohater zaczął okradać swojego pracodawcę, aby zrekompensować sobie straty spowodowane przez… nadużycie, którego padł ofiarą.

Sama sprawa jest stosunkowo szeroko znana, ponieważ dotyczy potężnej firmy z branży agrarnej i spożywczej Archer Daniels Midland (ADM), która w drugiej połowie lat 90-tych ubiegłego wieku przyznała się do udziału w procederze zmowy cenowej oraz ustawiania podaży lizyny, wspólnie ze swoimi największymi konkurentami. Główną rolę w ujawnieniu sprawy odgrywał jeden z wysoko postawionych zarządzających ADM, Mark Whitacre. Kulisy tego wydarzenia zostały szczegółowo opisane w książce Kurta Eichenwalda „The Informant”, a następnie zekranizowane w filmie pod tym samym tytułem (polski tytuł: „Intrygant”) z Mattem Damonem w roli głównej.

Czytaj dalej »


Jak monitorować pracownika, by nie trafić do Strasbourga

Data: 11 marca 2014 | Autor: | Brak komentarzy »

Praktycznie każda prezentacja czy tekst dotyczący możliwości monitoringu pracowników przez pracodawców wspomina o wyroku Europejskiego Trybunału Praw Człowieka w sprawie Copland przeciwko Wielkiej Brytanii jako przypadku precedensowym, wytyczającym podstawy ram dozwolonego nadzoru. Zazwyczaj nie ma też czasu na jej dokładniejsze omówienie, a warto ten przypadek znać, jako że może on stanowić swoisty benchmark dla zasad stosowanych w naszej organizacji.

Na początek kilka informacji o przebiegu zdarzeń. Warto przy tym zastrzec, że wersje podawane przez strony różnią się, aczkolwiek faktem pozostaje sposób i zakres monitoringu pani Copland, zaś odmienne stanowiska prezentowane są jedynie co do okresu jego trwania. Pani Lynette Copland pracowała (a zgodnie z jej profilem na LinkedIn – pracuje nadal) jako asystentka dyrektora państwowego Carmarthenshire College.

Czytaj dalej »


Walczący z nadużyciami bywają kiepskimi oszustami…

Data: 7 marca 2014 | Autor: | Brak komentarzy »

Dziwnym zbiegiem okoliczności, kiedy przyszło mi pisać o oszuście w szeregach osób powołanych do walki z nadużyciami, podobnie jak w niedawnym wpisie, nasz nowy bohater jest również (byłym już) pracownikiem organizacji charytatywnej. O ile jednak wcześniejszy przypadek został wykryty – można powiedzieć – zgodnie ze sztuką, to w obecnym kazusie sprawca podał się swoim kolegom niemal na tacy.

Mowa o byłym dyrektorze ds. zwalczania nadużyć brytyjskiej organizacji Oxfam, której celem jest walka z głodem na świecie, Edwardzie McKenzie-Green. Ten specjalista z ponad 10-letnim stażem w antyfraudowym biznesie sam stanął po drugiej stronie barykady. Jak twierdzi jego adwokat, powodem, dla którego McKenzie sięgnął po pieniądze swojego pracodawcy, było uzależnienie od silnych środków przeciwbólowych, które dyrektor brał, aby… przeciwdziałać skutkom stresu na pełnionym przez siebie stanowisku. Spowodowało to, że ze strażnika bezpieczeństwa finansowego zamienił się w złodzieja, tym groźniejszego, że zlokalizowanego na prominentnym stanowisku wewnątrz organizacji.

Czytaj dalej »