Bity, bajty, kilobajty, nadużycia…

Data: 31 marca 2014 | Autor: | Brak komentarzy »

Ponieważ już w co najmniej kilku wpisach podawałem przykłady, w których osoby zajmujące się oficjalnie zwalczaniem nadużyć okazywały się ich sprawcami, pora na wrzucenie kamyczka do ogrodu nieco innej profesji. Okazja nadarza się sama, ponieważ w ostatnich tygodniach na karę 7 lat więzienia skazano byłego kierownika działu bezpieczeństwa IT Barclays Banku, który w ciągu 5 lat pracy sprzeniewierzył ponad 2,1 mln funtów.

John Skermer został zatrudniony w Barclays w 2008 r. jako inżynier-programista. Wśród projektów, nad którymi pracował znajdowała się aplikacja „porządkująca” rachunki bankowe. Jej zadaniem było przeczesywanie baz systemu bankowego w poszukiwaniu przede wszystkim dwóch typów rachunków. Pierwszym były rachunki „osierocone”, to jest takie, które nie posiadały przypisanego właściciela – były bowiem np. używane do księgowań technicznych, przejściowej alokacji funduszy, czy też omyłkowo pozostawionych po zamknięciu rachunku podstawowego kont rozliczeniowych, kredytowych czy depozytowych. Drugą grupę stanowiły rachunki „uśpione”, to jest takie, z których od dłuższego czasu nie korzystał ich właściciel i poza naliczaniem opłat i odsetek nie odbywały się na nich żadne inne operacje. Tego rodzaju rachunki występują w praktycznie każdym banku z uwagi np. na śmierć czy długotrwałą chorobę posiadacza rachunku, a wcale nie tak rzadko klienci o nich po prostu zapominają…

Skermer szybko zorientował się, że dysponując dostępem do baz banku na poziomie surowych danych oraz kontem produkcyjnym (tj. działającym na systemie wykorzystywanym w codziennych operacjach banku) ze znacznymi uprawnieniami może wykorzystywać rachunki ujawniane przez utrzymywaną przez niego aplikację do własnych celów. Rozpoczął od operacji doskonale znanych pracowników działów nadużyć, tj. od wyprowadzania środków zgromadzonych na rachunkach uśpionych. Szybko jednak swoją działalnością objął także rachunki „osierocone” – przydawały się one zwłaszcza do ustanawiania na nich debetów i wykorzystywaniu limitów kredytowych. Jeśli rachunek nie umożliwiał tego rodzaju operacji, Skermer odpowiednio go parametryzował, określając niezbędne limity. Śledztwo wykazało, że całkowita wartość sald debetowych wykorzystanych przez oszusta, przekroczyła 1 mln funtów. Swoją działalność Skermer kontynuował także po awansie na kierownika działu bezpieczeństwa IT.

Ukradzione środki transferowane były m.in. na rachunki założone przez Skermera w innych bankach na fałszywe dane, ale kwoty te stanowiły raczej mniejszość sprzeniewierzonej sumy. Oszust nie poczynił też większych inwestycji materialnych – za wyprowadzone środki kupił sobie SUV-a marki Audi. Dokąd zatem wędrowały główne strumienie pieniędzy? Część z nich przelewana była na rachunki hoteli i klubów, w których miło spędzał czas Skermer w towarzystwie pań świadczących różnego rodzaju usługi umilające czas mężczyznom. I to właśnie na ich prywatne rachunki trafiła zdecydowana większość sprzeniewierzonej sumy. Chociaż trudno w to uwierzyć, niewątpliwa faworytka oszusta zainkasowała z tego tytułu 997 tys. funtów!

Oczywiście nic, co dobre, nie trwa wiecznie. Tak też było i w tym przypadku. Awans Skermera sprawił, że nie miał on już bezpośredniej kontroli nad aplikacją tropiącą bezpańskie i martwe rachunki. Tymczasem aplikacja ta trafiła do rąk nowego programisty, który przy okazji aktualizacji jej konfiguracji usunął zapisane wcześniej przez oszusta wyjątki parametryzacji, wprowadzone w celu uniknięcia wykrycia rachunków, których używał. Jak można się domyślić, już pierwsze raporty wg znowelizowanych zasad ujawniły szereg niezidentyfikowanych rachunków, na których w kilku wcześniejszych latach przeprowadzono szereg operacji o wartości kilkudziesięciu tysięcy funtów każda. Z uwagi na funkcję pełnioną przez Skermera, przeprowadzenie postępowania wyjaśniającego w tej sprawie powierzono właśnie jemu.

Niestety muszę rozczarować Czytelników spodziewających się dalszego rozwoju akcji i usuwaniu przez oszusta śladów swojej wcześniejszej działalności, myleniu tropów, czy też maskowania efektów swojej działalności za pomocą wewnętrznych przelewów z rachunków nieświadomych klientów. Po otrzymaniu wstępnych informacji w zleconej mu do badania sprawie, Skermer najzwyczajniej w świecie załamał się i powędrował wprost do szefa IT Barclays, któremu przyznał się do swojej działalności. Ściśle współpracował także z policją, ujawniając szczegóły swojego procederu i oddając pozostałe mu jeszcze 722 tys. funtów.

Wydający wyrok sędzia zwrócił szczególną uwagę na to, że Skermer działał w zasadzie bez żadnego nadzoru. Kod tworzonej przez niego aplikacji, ani jej konfiguracja nie podlegały weryfikacji na drugą rękę, dzięki czemu mógł ją sparametryzował w sposób wykluczający z wyników rachunki, które wykorzystywał do wyprowadzania środków. Myślę, że biorąc pod uwagę profil serwisu Fraud IQ, należy ten punkt uzasadnienia wyroku dodatkowo rozszerzyć o równie istotną kwestię – już jako szef bezpieczeństwa IT Skermer nie wprowadził wymogu dodatkowej kontroli działań programistów, ani niezależnych testów bezpieczeństwa tworzonego przez nich oprogramowania. W ten sposób ochronił oczywiście siebie, ale niewykluczone także, że ułatwił działanie innym oszustom, z efektami działania których przyjdzie się zmierzyć jeszcze Barclays Bankowi.



Skomentuj wpis

Musisz być zalogowany/a, żeby zamieszczać komentarze.