¿Es posible robar dinero directamente de los sistemas de un banco grande?

Cada transacción necesita un registro de auditoría (los números deben venir de algún lugar) y los sistemas bancarios tienen estos cheques en su lugar. ¿Son perfectos? Casi, pero lo suficiente para que sea más fácil buscar otros vectores de ataque, como los humanos.

¿Mencioné que estaba en la cárcel en un país lejano y necesito que me envíe dinero para una fianza?

Muy bien, así es como robas dinero de la computadora de un banco:

Realice una transferencia bancaria o ACH a otro banco. Retirar ese dinero del otro banco. Si eres de la mentalidad de ir a lo grande o de ir a casa, envía ese dinero a muchos otros bancos. Tomar una transferencia bancaria grande y enviarla de vuelta inmediatamente puede parecer sospechoso para el banco receptor si es la única transacción, pero recibir una transferencia grande y enviar tal vez el 20% parece normal. Además, también sería útil integrar la transferencia en alguna otra cuenta que normalmente es altamente activa.

Recuerda, no es tuyo hasta que sea efectivo. Las transferencias bancarias se pueden revertir, por lo que debe realizar el retiro o hacer que el proceso de lavado no se devuelva.

A veces esa línea en el banco es a través de una computadora externa en una compañía regular. Este caso tiene algunos ejemplos de dónde se tomó dinero real de un banco por computadora .

Consulte la parte inferior de ese artículo para ver los enlaces a los incidentes a continuación. El artículo se centra en el caso PATCO del que he hablado anteriormente

  

Experi-Metal Inc., que en diciembre de 2009 demandó a su banco anterior, Comerica, después de perder más de $ 550,000 en transferencias bancarias fraudulentas;

     

Village View Escrow de Redondo Beach, California, que en marzo perdió $ 465,000 en un truco en línea;

     

Choice Escrow, que en noviembre de 2010 demandó a su banco, BankcorpSouth, alegando medidas de seguridad inadecuadas;

     

Hillary Machinery, que en enero de 2010 fue demandada por su banco, PlainsCapital Bank, después de una batalla legal por la responsabilidad del fraude de ACH. La demanda se resolvió posteriormente por términos no revelados;

     

La Diócesis Católica de Des Moines, Iowa, que en agosto perdió $ 600,000 en transacciones fraudulentas de ACH.

Los bancos utilizan mucha seguridad, pero seguro, usted todavía tiene criminales inteligentes y bien pagados que intentarán encontrar errores de configuración, debilidades, vulnerabilidades o lagunas, ya que es menos riesgoso físicamente intentar robar dinero en Internet que retener un banco con una pistola.

Todavía hay probabilidades razonables de que te atrapen si consigues una grande - consulta este artículo del FBI en los arrestos por robos de Worldpay. Lo más inteligente de este trabajo fue utilizar una gran banda de personas que retiran hasta el máximo en tarjetas en ubicaciones en todo el mundo simultáneamente.

Siempre hay una posibilidad, pero especialmente con los bancos es casi imposible. Ha habido casos de hackeo de bancos.

Hay una serie de medidas para prevenir esto. Por otro lado, si mira a su alrededor, todavía hay varios bancos que utilizan métodos básicos de autenticación de entrada que son bastante fáciles de obtener a través de la ingeniería social o el rastreo ( tema reciente) .

Probablemente hay incluso más casos de los admitidos, los bancos realmente no quieren ser conocidos como inseguros.

Quizás algo más que te pueda interesar es un artículo reciente sobre cómo se podría explotar bolsas bursátiles abusando de las latencias.

La forma más común de robar dinero de un banco es probablemente el fraude electrónico y los robos en persona. Sería difícil robar dinero directamente del banco, lo más probable es que el ataque sea contra cuentas individuales. Las personas aún cometen fraudes como comprobar kiting .

La mayoría de los ciberataques son llevados a cabo por criminales profesionales que utilizan varias mules para canalizar el dinero. Esto suele ser un grupo o sindicato bien organizado. Al utilizar mulas, la organización criminal puede poner la caída en la mula y escapar con el dinero. Consulte algunos de los artículos de Krebs on Security .

  

De: enlace   

Sieldineroestáilegalmentedesconectadodesucuenta,tieneunabuenacantidaddeprotecciónen Regulación E en los Estados Unidos. Y en muchos casos, la transacción será revertida. El banco también puede reembolsarle sin hacer el esfuerzo de recuperar el dinero si es realmente más barato considerando el tiempo y el esfuerzo y su valor para el banco.

De hecho, los bancos mantienen registros de auditoría regulares, monitorean la actividad de la cuenta, etc. Muchos bancos más pequeños no permiten transferencias externas para clientes individuales regulares a través de su banca por Internet o requieren autorización especial. La mayoría de los bancos no están implementando la autenticación de dos factores para el inicio de sesión y antes de cada transacción para cuentas comerciales y / o transferencias grandes. Los bancos pueden monitorear actividades inusuales y responder a sospechas de fraude. Muchos bancos también ofrecen alertas de actividad de la cuenta que la persona puede usar para iniciar una investigación de fraude.

Sería posible atacar las aplicaciones internas de los bancos, pero en la mayoría de los casos, estos aún serían ataques contra las cuentas de los clientes, no "el dinero del banco". Las aplicaciones internas también deben tener controles para detectar fraudes o actividades irregulares. La mayoría de las solicitudes de un banco tratarán con el dinero del cliente.

Aquí hay algunos recursos adicionales:

• Ataques a bancos
• Cert. de EE. UU .: Comprensión y protección contra las mulas de dinero

Todos los bancos con los que he trabajado tienen una cantidad extrema de seguridad en torno a los "mainframes" a los que hace referencia. Solo se puede acceder a ellos a través del dispositivo 'x' (bloqueado en algún sótano sin acceso externo, etc.). Todas las transacciones se realizan a través de proxies y arquitecturas FW / IPS de múltiples capas. No es imposible, pero es todo menos fácil

Editar :: Sin mencionar la seguridad del punto final en los propios servidores. Obtener acceso a ellos puede que ni siquiera sea el mayor problema (la clave SSH solo inicia sesión, etc.).

Primero que nada, no es robar dinero del banco, es más como imprimir tu propio efectivo.

Técnicamente, es posible ganar dinero de esa manera, pero solo los bancos centrales pueden hacer esto, por lo que debería tener acceso a sus sistemas para asignar divisas a un banco comercial y luego asignárselo a usted mismo. También tendría que pasar por alto la pista de auditoría en los sistemas del banco y las heurísticas que marcarían cualquier ganancia repentina grande.

Si desea robar una cuenta bancaria, el mejor método sigue siendo la transferencia a una cuenta de tenencia y luego a un servicio de e-gold, y finalmente se reenvía a una cuenta de cobrador donde un recolector designado (contratado por comisión no es la persona real que roba el efectivo ) Vacía la cuenta en efectivo.

Los programas de heurística de auditoría recogerán instantáneamente cualquier cambio de bit directo, ya que cualquier cambio inesperado en un saldo o transferencia se marcará si es legítimo o no.

Hace algunos años, se inyectó un código JavaScript en el sitio web de un banco. Estaba en silencio y seguía recogiendo credenciales. Luego, las personas utilizaron esas credenciales para robar dinero del banco con un mínimo esfuerzo, en comparación con piratear hasta el núcleo del sistema.

El problema es que los sistemas son circulares. Donde el comienzo del círculo se encuentra con la línea de retorno, existe un eslabón débil. Lo que es difícil es identificar correctamente el enlace débil y explotarlo.