Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Hacker dostal šest let za pokus vysát 3,2 milionu z účtů České spořitelny

Krajský soud v Ostravě uložil šest let vězení Lumíru Heričovi. Podle obžaloby se naboural do účtů osmi desítek klientů České spořitelny. Pokusil se z nich převést přes 3,2 milionu korun. Zásah banky ale finančním operacím buď zcela zabránil, nebo byly peníze urychleně vráceny na účty majitelů.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

old fashioned Vince VII..

hmmm, a jakpak zfalšoval SMS-code?

;-D;-D;-D

0/0
1.2.2011 7:23

chleba.s.maslem.a.medem

Re: hmmm, a jakpak zfalšoval SMS-code?

V roce 2006, kdy se činu dopustil, žádný SMS code v bankingu spořitelny nebyl. ;-)

0/0
1.2.2011 9:59

mrg

...

cheche, chtěls hrát levou a spadla klec... to nas.ere, Herič, co?

0/0
31.1.2011 18:30

Moše Dajan

Hacker?

Nainstalovat do veřejného počítače skrytý keylogger a je úplně "top" hacker v ČR.;-D

0/0
31.1.2011 16:20

Concrete_Donkey

Re: Hacker?

Taky jsem ziral na oznaceni "nejvetsi hacker v CR" . Zpusobem, kterym on ziskaval udaje k trestne cinnosti jsme se bavili ve skole, kdyz nam bylo 13 let.

0/0
31.1.2011 20:30

trojuhelník

......

Pan Drobil chtěl z fondů živ. prostředí  vysát 3 mld Kč. Dostal plnou podporu od presidenta a od premiéra. To není spravedlivé a vyvářené;-(

0/0
31.1.2011 15:58

eSATA

Za tři míče šest let?

To by Vondra musel mít deset životů aby si tu zlodějinu mohl odsedět.

0/0
31.1.2011 15:56

sickland 4

to je fér...

A Drobil, kterej chtěl vysát ze státní pokladny půl mld, složil funkci ministra.....ale to už  je takovej náš evergreen. Malé ryby stát nekompromisně trestá, velké ryby nechává plavat dál....:-)

0/0
31.1.2011 15:55

ould

Není možná...

to fakt ještě před čtyřmi lety nebyla na vstupní obrazovce klávesnice, přes kterou se myší zadává heslo a potvrzovací SMS8-o

a mi se to už zdá jako věčnost

0/0
31.1.2011 15:48

certik_bertik

ten

kdo má internet banking tak si o to sám říká

0/0
31.1.2011 15:47

holkazdaleka5

Re: ten

podle toho, u ktere banky. :-P

0/0
31.1.2011 15:52

certik_bertik

Re: ten

taky by lidi neubylo aby občas zvedli zadek a šli si něco vyřídit po svých

0/0
31.1.2011 15:57

Pes na koze jel

Re: ten

no jasně. vůbec ten internet taky zrušit ;-O

0/0
31.1.2011 15:59

holkazdaleka5

Re: ten

a co by taci certici bertici delali? ;-D

0/0
31.1.2011 16:03

certik_bertik

Re: ten

to přece netvrdím, jen by měli mít lidi pud finanční sebezáchovy

0/0
31.1.2011 16:03

holkazdaleka5

Re: ten

to vis, kazdy nema cas jit v pracovni dobe na postu a stat frontu u prepazky... ;-D

ja sve ucty platim pres vikend, vecer  ci v cizine, muzu zadat valuta-datum, podivat se kdykoli na ucet kreditky atd. atd.

muzu nakupovat/prodavat akcie kdykoliv atd....

ale ty holt nemas poneti o e-banking........

0/0
31.1.2011 16:02

certik_bertik

Re: ten

taky na to nemám moc čas, ale jednou za měsíc si na to půl hodiny udělám

0/0
31.1.2011 16:10

holkazdaleka5

Re: ten

e-banking ma hodne funkci, ty jdes jen zaplatit sve ucty....

0/0
31.1.2011 16:18

certik_bertik

Re: ten

jistě, no co vydělám tak poplatím účty a něco zbyde na živobytí, k čemu bych potřeboval další funkce

0/0
31.1.2011 16:21

holkazdaleka5

neni to chyba ceske sporitelny?

ma e-banking zajistit proti hackrum, ci ne? 8-o

0/0
31.1.2011 15:18

CortaCircuito

Re: neni to chyba ceske sporitelny?

Keylogger ve své podstatě není útok na banku, ale na klienta - banka v tomhle může udělat jen pár opatření... ale nemůže chodit lidem domů zabezpečovat počítače.

0/0
31.1.2011 15:23

holkazdaleka5

Re: neni to chyba ceske sporitelny?

ja mam e-banking u UBS, nemam jeden klic, nybrz decoder.... takze se ten klic meni pri kazdem nahlaseni. kazda banka musi zavest takovy system vstupu zakaznika do systemu, aby zadny hacker ji nemohl knaknout. ;-)

0/0
31.1.2011 15:49

CortaCircuito

Re: neni to chyba ceske sporitelny?

To nejde. Opakuji nejde. Proti lidské blbosti není obrana. Můžeš to trochu zkomplikovat... ale pořád nejslabším článkem zůstaneš ty. I ten tvůj generátor klíče je zranitelný "man-in-the-middle" útokem - prostě ty si budeš myslet, že komunikuješ s bankou, ve skutečnosti komunikuješ se mnou a já komunikuji s bankou. A cestou pár věcí pozměním... Ano je to o chlup složitější, ale cesta existuje. Prostě musíš se snažit taky se zabezpečit, nemůžeš čekat, že tě banka zachrání.

0/0
31.1.2011 16:25

bimek

amatér

ukrást pár milionů = zlodějina

ukrást miliardy = politika

0/0
31.1.2011 14:07

yamajka89

6 let za prachy, 14 a míň za život

kde je blicí smajlík.. ? hlavně že se všichni ohání kecama o tom, jak prachy nejsou všechno..

0/0
31.1.2011 14:00

CortaCircuito

Re: 6 let za prachy, 14 a míň za život

Já nevím jak tam u vás, ale tady u nás je pořád 14 více než 6...

0/0
31.1.2011 14:54

Pes na koze jel

Re: 6 let za prachy, 14 a míň za život

;-DR^

0/0
31.1.2011 15:14

wrah

Rozumné banky

Rozumné banky mají k elektronickému bankovnictví generátor jednorázového pin k potvrzení transakce. A pak je mu jakýkoliv keylogger k ničemu, protože má sice jméno, heslo i pin majitele účtu, ale ono pin je použitelné jen jednou, tj když s ním ten majitel již provedl transakci, tak si ho může pseudohacker naložit.

0/0
31.1.2011 13:56

pepcad

hmm

Nepouziva nahodou sporka i overeni pres telefon u kazde nove transakce??? Pak se sice mohl nabourat do jejich uctu ale jedine co mohl je se podivat co tam maji ale nic vic

0/0
31.1.2011 13:48

elpe08

Re: hmm

R^R^

0/0
31.1.2011 13:54

v.vilik

Re: hmm

Přesně tak. Nedovedu si představot, jak autorizoval příkaz v převodu peněz. :-)

0/0
31.1.2011 14:07

chleba.s.maslem.a.medem

Re: hmm

Receno s Kefalinem: V te dobe jeste lehke kulomety nebyly! ;-)

V roce 2006, kdy ten pokus o prevody provedl, autorizace pres SMS ve sporitelnim bankingu jeste nebyla, jenom denni limit na transakce pres e-banking.

0/0
31.1.2011 14:35

Pes na koze jel

Re: hmm

no vzhledem k tomu, že byla stanovena nějaká částka, tak se asi jen nedíval :-)

0/0
31.1.2011 15:15

Jsem z Letné. Nade mě není!

Studenti VŠ to je elita národa.

Jak může bejt student VŠ tak tupej, že leze do internetového bankovnictví z veřejně přístupného počítače? Bože.......

0/0
31.1.2011 13:42

vandit

tzv hacker

tenhle yaryn je pouze zlodej nic vic..  ziskat takto pristupova data neni zadny hackersky umeni..  je to jen a jen o tom, ze je rozhodnutej to zneuzit...

0/0
31.1.2011 13:41

/dev/null

Re: tzv hacker

Napsat užitečný keylogger není zase tak jednoduché. Na jedny přístupové údaje bude v souboru mnoho tisíc zbytečných řádků. Pokud se pouštěl jen v případě, že v prohlížeči byly načtené stránky ČS, tak už je dost pokročilé.

Nechápu ale, že u ČS stačí k odeslání peněz přístup do internetového bankovnictví. Ostatní banky vyžadují potvrzení přes sms, takže by musel ukrást ještě telefon, což se nenápadně udělat nedá.

0/0
31.1.2011 14:03

CortaCircuito

Je to neuvěřitelně primitivní, ale účinné

naopak je to velmi primitivní: necháš prostě logovat a odesílt vše 1) není třeba žádná logika na místě, ale hlavně pokud mě napadne později útočit třeba na ČSOB tak podklady už máš u sebe i za minulost (více dat, více účtů atd) - pokud bys to rozlišoval na místě, tak bys musel pokaždé aktualizovat ten keylog, což je nebezpečné. (Krom toho získáš spoustu užitečných věcí - jako třeba jména a hesla k emailům, přes to se dostaneš na paypal, facebook = často autentifikační údaje, shody hesel...)

.

A pak stačí jednoduchý parser - který ti prostě v tom doma v tichu a klidu najde zajímavé věci... třeba si najdeš řádek www.idnes.cz - a s velkou pravděpodobností za ním bude následovat jméno a heslo k dukátům. (Na to ti stačí i obyčejné vyhledávání třeba ve wordu .... vyhledat třeba adresu banky a následovat budou velmi pravděpodobně přihlašovací údaje, necháš vyhledat zavináč a s velkou pravděpodobností je to součástí přihlašovacího jména a následuje heslo k mailu).

0/0
31.1.2011 15:12

/dev/null

Re: Je to neuvěřitelně primitivní, ale účinné

Dělal jsem takový keylogger, a není to jednoduché a už vůbec ne primitivní. Nestačí na to ani základní kurzy programování na vysoké škole. Problém je už s utajením programu (nesmí být v aplikacích a ni v trayliště), také není snadné odchytávat stisky kláves určené pro jiné programy, a pokud má uživatel výrazně jinak nastavenou citlivost kláves, budou v záznamech mezary, pak není možné pořád data někam posílat (síť je většinou kontrolovaná firawallem, a posílat emaily po každém slově je také nereálné). Takže se ukládá někam soubor s logem kláves, který se nakonec odešle emailem, ideálněji si pro něj dojdete osobně. Pokud někdo při přihlašování používá označování myší a ctrlc+v (já to dělám), tak také heslo nezjistíte přesně.

A parser také není jednoduchý, protože jen v ideální případě bude v záznamech sekvence typu: www.cs.czmarek48mojeheslo. Většina lidí bude mít adresu v paměti, takže tam bude třeba jen cs. nebo nějaký seznam nejoblíbenějších stránek, a pak tam nebude nic.

0/0
31.1.2011 15:36

CortaCircuito

Re: Je to neuvěřitelně primitivní, ale účinné

Asi máme dost odlišné standardy - konstrukce low level háku pro win, když přímo v popisu winapi máš pro to zdokumentované nástroje? (nemluvě asi tak o 15G návodů na netu? Schování dat ? Jeden soubor ubertajny.dat hluboko některém z běžných adresářů s atributem hidden? Odeslání dat? Jednoduchý send v rámci http protokolu? To považuješ za věci přesahující VŠ programování? To udělá každé script kiddie sorry.

.

A parser je primitivní věc. Jen musíš umět definovat pravidla. A v nejhorším se do toho podíváš ručně - odfiltruješ kody pro ovládání šipky, odstraníš na chvíli zřetězené znaky (opět primitivní) - a pak se zamyslíš co asi dělá typický user ve školní učebně (těžko bude mít záložky na ibanking, to je sebevražda rovnou)... lidí co skládají přihlašovací údaje myší + ctrl-c-v si nevšímám, protože s ohledem na čas, který jim to zabere zřejmě nebudou mít čas nějaké peníze vydělat. (Navíc hlídat obsah schránky win je snad ještě primitivnější než ten hook.

0/0
31.1.2011 16:21

CortaCircuito

Re: Je to neuvěřitelně primitivní, ale účinné

Samozřejmě pokud chceš to zamaskovat do kernelu tak potřebuješ něco vědět (zvlášť u Vist a W7)... ale pro účely tady toho co předvedl tady to nebylo třeba.

0/0
31.1.2011 16:32

/dev/null

Re: Je to neuvěřitelně primitivní, ale účinné

Ano, přesně tak. Skrytý soubor + odeslání později přes http. V předchozích příspěvcích jste ale psal o okamžitém odesílání. Odesílání dat přes http nebyla ta část, o které jsem mluvil v souvislosti s VS. 

A ovšem že parser je primitivní, pokud umíte definovat pravidla. Nic jiného to totiž není. Jde o to, že ty pravidla lze definovat jen v ideálních případech. Odfiltrovat šipky, backspace a další klávesy, které se po textu pohybují definovaným způsobem je také jednoduché, ale u kombinace klik myší + delete nevíte nic. A pokud pak uživatel dál píše, jste stracen. Přitom se to stane po každém překliknutí (jde na chybný znak a něco dopíše).

Šablonu sice v učebně mít definovanou nebude, ale url bude v paměti prohlížeče. A přístup do schránky souvisí s tím, že opět nevíte, tam to vložil. Sice se dá zjistit souřadnice kliknutí, a kde asi na stránce to bylo, ale to už je hodně přibližné, a dá se i odscrolovat..obtížnost se prostě odvíjí od toho, co od programu očekáváte.

0/0
31.1.2011 16:37

CortaCircuito

Re: Je to neuvěřitelně primitivní, ale účinné

Odesílat vše se týkalo obsahu, ne okamžiku (prostě nefiltruju nic na místě, ale až u sebe). Doma máš dost času ... a můžeš si s tím vyhrát, v nejhorším si to probereš ručně - obarvíš si některé znaky a projdeš si to ručně... z počátku budeš hledat jen ty zavináče, nebo třeba série čísel... je to jednoduché.

.

Samozřejmě automatizovaný seznam - jméno heslo z toho jen tak nedostaneš, ale tak co bys pro nějaký ten bakšiš neudělal ne ?

0/0
31.1.2011 16:48





Najdete na iDNES.cz