Пользователь
Забыли пароль? Регистрация
Горячие новости
Сейчас на сайте

Пользователей на сайте: 404

0 пользователей, 404 гостя

Как украсть миллион?

Теллер Hansapank допустил ошибку, которая свела на нет всю хитроумную систему безопасности электронного банка.
Представьте себе, что вы, уважаемый читатель, бесчестный человек. В том смысле, что вы узнали вдруг, что у вашего знакомого появилась на счету в Hansapank кругленькая сумма (условно – миллион крон), и заела вас при таком известии страшная тоска. Вы не спите, не едите, маетесь. И думаете, между прочим, что хорошо бы этот миллион у друга «тово». Думать так – отвратительно, но многих ведь это не останавливает.



Волшебный PIN-калькулятор
Как украсть миллион с банковского счета? Сначала – три подготовительных этапа. Вам нужно:

1) быть членом правления какой-нибудь (подставной) фирмы, у которой есть счет в Hansapank, причем доступ к этому счету осуществляется по старинке, через карточку с паролями (это важно);

2) разузнать личный код миллионщика;

3) не полениться разузнать и так называемый «признак пользователя», то есть те шесть циферок, которые ваш знакомый миллионщик вводит в окошечко электронного банка Hanza.net.

Намек: их легко подсмотреть, потому что, в отличие от пароля, высвечиваются они не звездочками, а цифрами. Можно и не подсматривать: если сесть на минутку за компьютер, с которого ваш друг входит в е-банк, легко проверить, не запомнились ли логины на странице электронного банка. Чаще всего они запоминаются автоматически, и извлечь их из компьютера – раз плюнуть.

Система следующая. Вы идете в контору Hansapank и говорите, что наняли вашего знакомого миллионщика бухгалтером в фирму, где вы в членах правления. Поэтому вам нужно-де оформить ему доверенность на счет, а заодно взять PIN-калькулятор. Для этого есть веская причина: начиная с мая пользователь с карточкой паролей не может осуществлять операции на сумму более 10 тысяч крон. Чтобы, например, оплатить более крупный счет, вам нужно заменить карточку паролей на более надежные средства защиты – PIN-калькулятор или устройство для чтения ID-карты. Последнее нам не подходит, потому что украсть у миллионщика ID-карту непросто.

Теперь следите за руками. Теллер, руководствуясь правилами банка, просит у вас личный код миллионщика. Вы его, натурально, предъявляете, и теллер оформляет вашему знакомому доступ к счету фирмы. Замечтавшись о небе-море-облаках, он выдает вам ваш PIN-калькулятор – и одновременно переоформляет на тот же PIN-калькулятор доступ к заветному «миллионному» счету, блокируя и карточку паролей миллионщика, и его постоянный пароль.

С этого момента ваш знакомый перестает быть хозяином своего счета, о чем он, правда, пока не догадывается. Вам остается активизировать PIN-калькулятор (на этот счет банк дает подробные инструкции) – и дело в шляпе. С PIN-калькулятором вы можете переводить на другие счета суммы, которые существенно превышают 10 тысяч крон.

Защита от дурака

Описанная выше история произошла в действительности. Правда, с той существенной разницей, что никакого миллиона крон на счету Ольги, бухгалтера одного из таллиннских квартирных товариществ, не было, а председатель товарищества оформлял ей доступ к банковскому счету товарищества с абсолютно честными намерениями.

Случилось так, что в пятницу, 8 июня председатель КТ отправился в контору Hansapank, не договорившись предварительно с Ольгой, более того, не имея на руках ни доверенности от нее, ни трудового договора с ней – только ее личный код. Теллер поверил председателю, выдал ему PIN-калькулятор, закрыл карточку паролей Ольги и стер заодно ее основной пароль. Ольга обнаружила это в пятницу вечером, когда хотела заплатить за квартиру, но «залогиниться» на счет не смогла. Ситуация выправилась лишь к среде.

Hansapank уже принес Ольге свои извинения. По словам пресс-секретаря банка Кристийны Тамберг, имела место «досадная и грубая ошибка конкретного работника». То есть теллер вполне имел право оформить доступ к счету только по личному коду. Ликвидировать карточку паролей Ольги при оформлении PIN-калькулятора – тоже: это делается «для удобства клиента», чтобы он не мучился, вспоминая, как и через что входить на данный счет. А вот выдача PIN-калькулятора, предназначавшегося для Ольги, другому лицу – это ошибка, которую Hansapank признал.

«ДД» послал запросы в другие эстонские банки: возможна ли такая ситуация у них? SEB Eesti U"hispank и Nordea ответили, что невозможна, поскольку Ольга должна лично явиться в контору за PIN-калькулятором. То же и в Hansapank – в теории. На практике, как объяснили Ольге банковские работники, на время отпусков конторы набирают «летних теллеров», которые, конечно, проходят обучение, но... Правда, тут же выяснилось, что в случае с Ольгой ошибку допустил теллер с солидным сроком работы. Чего ждать тогда от «летних»?

Разумеется, никто не застрахован от ошибок, непрофессионализма и «человеческого фактора», но в банках системы безопасности должны быть дуракоустойчивы как нигде. Ибо бесчестные люди не дремлют. Хорошо, если Hansapank сумеет позаботиться о благосостоянии своих клиентов первым...


Фото: Сергей Трофимов

www.dzd.ee

Эстония Прямая ссылка Добавил: Vitaly 06.07.2007 15:46

|


Добавить комментарий