Once a fraudster, forever a fraudster

Data: 16 kwietnia 2014 | Autor: | Brak komentarzy »

Kto raz ukradnie, ten na zawsze pozostaje złodziejem, jak mawiają Amerykanie (Once a thief, forever a thief). Teorię tę potwierdza opisany dzisiaj przypadek, który miał miejsce za naszą południową granicą, w Czechach. Historia jest bardzo barwna, może nie nadaje się na pełnometrażowy film, ale na odcinek serialu detektywistycznego na pewno.

Za początek historii należy uznać odkrycie dyrektor Państwowego Muzeum Rolnictwa w Pradze, że na kontach tej instytucji brakuje ponad 10 milionów koron (ponad 1,5 mln PLN). Z uwagi na skalę braku – niemal 1/3 rocznego budżetu muzeum – jego szefowa nie próbowała podejmować żadnych własnych działań wyjaśniających, ale od razu powiadomiła policję.

Przeczytaj całość wpisu »


O grzechu zaniechania

Data: 8 kwietnia 2014 | Autor: | Brak komentarzy »

Każdy przypadek nadużycia, zwłaszcza wewnętrznego, powinien być dogłębnie i fachowo przeanalizowany i zbadany. Tyle dobre praktyki zarządzania ryzykiem nadużyć. A jak wygląda praktyka codzienna? Cóż… Najwłaściwszą odpowiedzią będzie zapewne: „różnie”.

Nie jest jednak tajemnicą, że wiele firm rezygnuje z przeprowadzenia postępowania wyjaśniającego, szczególnie jeśli w takim przypadku muszą uciekać się do wsparcia ekspertów zewnętrznych. Powodów takiego postępowania jest mnóstwo, poczynając od tych rzeczywistych („ponieśliśmy stratę i jeszcze mamy wydawać kolejne środki”, „jak pójdziemy do sądu, to będzie to trwało”), poprzez średnio wiarygodne („teraz już wiemy, na co zwracać uwagę”), na kompletnie wydumanych kończąc („wyczerpaliśmy limit pecha”, „to tylko jedna czarna owca”).

Przeczytaj całość wpisu »


Bity, bajty, kilobajty, nadużycia…

Data: 31 marca 2014 | Autor: | Brak komentarzy »

Ponieważ już w co najmniej kilku wpisach podawałem przykłady, w których osoby zajmujące się oficjalnie zwalczaniem nadużyć okazywały się ich sprawcami, pora na wrzucenie kamyczka do ogrodu nieco innej profesji. Okazja nadarza się sama, ponieważ w ostatnich tygodniach na karę 7 lat więzienia skazano byłego kierownika działu bezpieczeństwa IT Barclays Banku, który w ciągu 5 lat pracy sprzeniewierzył ponad 2,1 mln funtów.

John Skermer został zatrudniony w Barclays w 2008 r. jako inżynier-programista. Wśród projektów, nad którymi pracował znajdowała się aplikacja „porządkująca” rachunki bankowe. Jej zadaniem było przeczesywanie baz systemu bankowego w poszukiwaniu przede wszystkim dwóch typów rachunków. Pierwszym były rachunki „osierocone”, to jest takie, które nie posiadały przypisanego właściciela – były bowiem np. używane do księgowań technicznych, przejściowej alokacji funduszy, czy też omyłkowo pozostawionych po zamknięciu rachunku podstawowego kont rozliczeniowych, kredytowych czy depozytowych. Drugą grupę stanowiły rachunki „uśpione”, to jest takie, z których od dłuższego czasu nie korzystał ich właściciel i poza naliczaniem opłat i odsetek nie odbywały się na nich żadne inne operacje. Tego rodzaju rachunki występują w praktycznie każdym banku z uwagi np. na śmierć czy długotrwałą chorobę posiadacza rachunku, a wcale nie tak rzadko klienci o nich po prostu zapominają…

Przeczytaj całość wpisu »


Koszty wiary na słowo

Data: 21 marca 2014 | Autor: | Brak komentarzy »

W ostatnich dniach kanadyjskie media ujawniły interesujący przypadek kompromitacji zabezpieczeń serwera internetowego, na którym pracowała kanadyjska platforma obrotu bitcoinami Canadian Bitcoins. Formalnie wypadałoby powiedzieć, iż przestępca uzyskał dostęp do serwera za pomocą narzędzi socjotechnicznych zastosowanych wobec pracownika wsparcia technicznego firmy hostingowej Granite Networks. Niestety zapis rozmowy nie jest dostępny, więc nie jest jasne, jakich sztuczek użył oszustw, ale z pewnością miał niezwykły dar przekonywania…

Ale po kolei. Opiszmy najpierw, co – zgodnie z wypowiedzią prezesa Canadian Bitcoins – musi zrobić pracownik tej firmy, aby zarządzać serwerem. Opcje są dwie. Po pierwsze – dostęp zdalny, możliwy wyłącznie z jednego adresu IP, z którego korzystają pracownicy biura głównego platformy, połączony oczywiście z dodatkowym uwierzytelnieniem użytkownika (nie ujawniono, na czym bazujący i ilu składnikowy). Drugą opcją jest osobista wizyta w firmie Granite Networks i praca na terminalu lokalnym. Jest ona jednak nieco bardziej kłopotliwa… Co najmniej 2 godziny przed fizycznym pojawieniem się na miejscu należy powiadomić o tym ochronę. Następnie, po przybyciu, należy użyć karty dostępowej aby wejść do budynku, zarejestrować się na ochronie, przejść przez skaner siatkówki, pokonać jeszcze dwie pary drzwi z kontrolą dostępu, a wreszcie podać kod numeryczny, aby dostać się do tej części serwerowni, w której stoją maszyny użytkowane przez Canadian Bitcoins.

Przeczytaj całość wpisu »


Jak oszukujący oszustów oszust został bohaterem

Data: 20 marca 2014 | Autor: | Brak komentarzy »

Niedawny wpis o dyrektorze ds. zwalczania nadużyć nieudolnie wyprowadzającym środki z organizacji Oxfam wzbudził spore zainteresowanie Czytelników. Idąc tym tropem, w dniu dzisiejszym przedstawiam kolejną nietypową sprawę, której bohater zaczął okradać swojego pracodawcę, aby zrekompensować sobie straty spowodowane przez… nadużycie, którego padł ofiarą.

Sama sprawa jest stosunkowo szeroko znana, ponieważ dotyczy potężnej firmy z branży agrarnej i spożywczej Archer Daniels Midland (ADM), która w drugiej połowie lat 90-tych ubiegłego wieku przyznała się do udziału w procederze zmowy cenowej oraz ustawiania podaży lizyny, wspólnie ze swoimi największymi konkurentami. Główną rolę w ujawnieniu sprawy odgrywał jeden z wysoko postawionych zarządzających ADM, Mark Whitacre. Kulisy tego wydarzenia zostały szczegółowo opisane w książce Kurta Eichenwalda „The Informant”, a następnie zekranizowane w filmie pod tym samym tytułem (polski tytuł: „Intrygant”) z Mattem Damonem w roli głównej.

Przeczytaj całość wpisu »