Citibank (nie)świadomym pomocnikiem w kradzieży tożsamości

Data: 9 czerwca 2010 | Autor: | Brak komentarzy »

Informacja nie jest najnowsza, bo pochodzi jeszcze z początku tego roku. Niemniej jednak jest na tyle charakterystyczna, że postanowiłem przybliżyć ją czytelnikom. Jak większość z Was wie, numer ubezpieczenia społecznego (Social Security Number) jest praktycznie podstawowym wyznacznikiem identyfikacyjnym obywatela Stanów Zjednoczonych, ponieważ przez lata jego istnienia wykrystalizował się pogląd, że nie jest on znany nikomu poza jego posiadaczem. Logicznym następstwem tego faktu jest to, że Amerykanie raczej się z nim nie afiszują i nie ujawniają go tak chętnie, jak np. Polacy swoje numery PESEL.

Jakież było zatem zdziwienie ponad 600.000 klientów Citibanku, którzy mogli odkryć, że bank wydrukował ich numery ubezpieczenia społecznego na kopertach z korespondencją rozesłaną pod koniec stycznia! Fakt – nie był to „goły” SSN, ale był wkomponowany w dłuższy szereg cyfr, niemniej jednak dla każdego średnio rozgarniętego człowieka, znającego schemat tworzenia 9-cyfrowego numeru, był on widoczny jak na dłoni.

Przeczytaj całość wpisu »


ACFE 2010 Report już jest!

Data: 7 czerwca 2010 | Autor: | Brak komentarzy »

Na stronach Association of Certified Fraud Examiners pojawiła się już tegoroczna edycja raportu dotyczącego sytuacji w światku nadużyć korporacyjnych (2010 Report to the Nations on Occupational Fraud and Abuse). Co ciekawe, od edycji 2010 raport ma charakter międzynarodowy – wcześniej ograniczał się tylko do obszaru USA. Raport publikowany jest co dwa lata i opiera się na szczegółowych ankietach wypełnianych przez posiadaczy tytułu Certified Fraud Examiner.

W zasadzie można powiedzieć, że jest lepiej. Tak przynajmniej można wnioskować po dwóch kluczowych wskaźnikach prezentowanych w każdym raporcie, tj.:

  • wartości strat powodowanych przez nadużycia jako procencie rocznych przychodów firmy – dla 2010 to 5%, podczas gdy w Raporcie 2008 było to 7%;
  • wartości strat dla pojedynczego wykrytego przypadku nadużycia (mierzonego medianą) – dla 2010 to 160.000 USD, zaś dwa lata wcześniej było to 175.000 USD.

Przeczytaj całość wpisu »


Budżet miejski ofiarą trojana

Data: 1 czerwca 2010 | Autor: | Brak komentarzy »

Jak donosi „The Register”, kalifornijskie miasto Carson straciło ponad 400.000 USD w wyniku wycieku poufnych danych bankowych z komputera skarbniczki miejskiej. Historia datuje się jeszcze z 2007 r., aczkolwiek dopiero teraz ją upubliczniono. Jak ustalono, laptop pani skarbnik został zarażony wariantem trojana Talex, aczkolwiek nadal nie wiadomo, jaką drogą został on zainstalowany na komputerze.

W sprawie tej zaangażowanych jest 5 osób, które oskarżono o próbę wyprowadzenia z konta bankowego miasta ponad 450.000 USD (odzyskano jedynie 44.000 USD). Prawdopodobnie w sprawę może być zaangażowanych jeszcze więcej osób, ale na ten moment nie jest jasne, o jaką liczbę chodzi. Sądząc jednak po już ujawnionej liczbie sprawców, miasto padło ofiarą zorganizowanej grupy hackerów. Jak widać, ataki na komputery za pomocą malware’u nie są zagrożeniem jedynie dla osób prywatnych, chociaż to one najczęściej padają ich ofiarą.

Włodarze Carlton zapewniają, że od czasu incydentu miasto znacznie wzmocniło procedury bezpieczeństwa związane z transferami online. W szczególności, po każdej operacji aż trzy osoby dostają niezależne powiadomienie o jej wykonaniu za pomocą e-maila, SMS-ów oraz faksu. Innych szczegółów nie podano, ale jak sami możecie się domyślić, ujawnione „ulepszenie” jest działaniem wyłącznie reakcyjnym. Oczywiście przyspieszy przyspieszy ono wykrycie potencjalnego nadużycia i zapewne ułatwi odzyskanie utraconych środków, ale gdzie podziała się prewencja?


Nowy rodzaj phishingu – tabnabbing

Data: 27 maja 2010 | Autor: | Brak komentarzy »

Cóż, świat idzie do przodu, a razem z nim oszuści. W sieci, na blogu jednego z deweloperów Firefoxa, Azy Raskina, pojawił się niedawno wpis o nowej możliwości wyłudzania poufnych danych identyfikacyjnych, tym razem za pomocą skryptów podmieniających „normalną” przeglądaną przez nas stronę. Raskin wspomina, że podatne na ten mechanizm są w tej chwili Firefox i Chrome, nie wspomina natomiast o Internet Explorerze.

Jak to działa? Cały pomysł oparty jest na braku uwagi przeglądających naraz szereg stron www w kartach. Otóż wystarczy wstawić do kodu strony przemyślny skrypt (Raskin zamieszcza zresztą przykładowy skrypt na swojej stronie), który po określonym czasie nieaktywności użytkownika dana karta „odświeżyła” stronę, ładując na niej inną, spreparowaną stronę, zachęcającą użytkownika do podania informacji identyfikacyjnych. Może to być strona logowania do banku, poczty e-mail, czy innej usługi sieciowej. Zajęty przeglądaniem innych stron użytkownik w większości wypadków stwierdzi po prostu, że z powodu dłuższej nieaktywności wygasła mu sesja w poczcie, czy banku. Po wypełnieniu danych logowania, wędrują one do przestępców, a strona wczytuje właściwą stronę, tj. tą, której użytkownik oczekuje. Prawda, że proste?

Przeczytaj całość wpisu »


Konflikt interesów w handlu paliwami w Meksyku

Data: 27 maja 2010 | Autor: | Brak komentarzy »

Reuters opublikował informacje o nadużyciu, jakie miało miejsce w meksykańskiej firmie paliwowej Pemex. Jak ujawniono, jedna z menedżerek wyższego szczebla pomiędzy sierpniem a grudniem 2008 r. sprzedawała firmie należącej do jej męża (Blu Trading) paliwo, jak to ujęto, „z nienależnymi dochodami dla firmy Blu Trading kosztem Pemexu”. Jak podano, żona udzielała mężowi nienależnych upustów przy zakupach, co łącznie kosztowało Pemex 13 milionów dolarów. Trzeba przyznać, że to ładna kwota, jak na 5 miesięcy współpracy…