19:57
17/3/2010

Wystarczył strój ochroniarza, lewa legitymacja i słowa “dzień dobry, ja po gotówkę dla Raiffeisena”, aby rabuś dostał 5 milionów złotych w gotówce.

Socjotechnika na 5 milionów złotych

W tym odcinku Security Fail występują: Centrum Obsługi Gotówkowej we Wrocławiu zwane dalej “liczarnią zewnętrzną” i Solid Security zwana dalej firmą ochroniarsko-transportową.

Zazwyczaj firma ochroniarsko-transportowa obsługująca bank zjawia się u progów liczarni zewnętrznej, aby odebrać gotówkę i przekazać ją rankiem do oddziału banku. Tym razem, zamiast prawdziwego ochroniarza zjawił się “przebieraniec”. Pokazał identyfikator, wypowiedział magiczne słowa “sezamie otwórz się”, które jak się okazuje brzmią “dzień dobry, ja po gotówkę dla Raiffeisena”… i dostał worek zawierający 5 milionów złotych w gotówce.

Pieniądze. Gdzie one teraz są?

Okazuje się, że liczarnie nie stosują “haseł dnia”, “elektronicznych kodów” ani innych środków ochrony dostępu… aby odebrać gotówkę wystarczy odpowiednio wyglądać. No to wygląda na to, że oprócz Ikei macie nowe miejsce na trenowanie socjotechniki :-) Więcej tutaj.

SecurityFail to cykl wpisów o wtopach z dziedziny (nie)bezpieczeństwa — nie tylko komputerowego. Wszystkie posty tego cyklu przeczytasz tutaj.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

35 komentarzy

Dodaj komentarz
  1. Czy z tym zajściem ma coś wspólnego ekipa niebezpiecznika?

  2. Jak to mówił nasz wykładowca: największe kradzieże nie odbyły się poprzez złamania zabezpieczeń tj. haseł itp. a jedynie na głupocie pracowników pracujących w danej firmie. Wyobraźmy sobie sytuacje podobną do tej tylko że zamiast ochroniarza przychodzi informatyk. Mówi do pracownika aby podał mu hasło do komputera bo musi przeprowadzić jakąś modernizacje bądź coś sprawdzić. Pracownik odpowiada że nie poda mu hasła do komputera bo nie może, a na to informatyk jak mi nie podasz hasła to napisz mi oświadczenie że nie podasz hasła a ja je zaniosę do dyrektora. I tu sprawa się kończy informatyk instaluje złośliwe oprogramowanie i komputery są jego.

    Ludzie którzy to stosują muszą mieć mocną głowę (psychikę) robiąc takie rzeczy.

  3. Złapali gościa? Czy już jest na Kajmanach? ;]

  4. Ojciec mojej szefowej zgarnął kiedyś jakąś ekipę kładącą kostkę brukową hasłem: “Szef powiedział, że macie jechać ze mną” i ekipa uporządkowała mu zasyfiały ogród przed domem.. Cóż.. Na bezczela :]

  5. Kevin Mitnick wiecznie żywy

  6. Koleś sam był? Bez auta? Trochę nie wierzę. W końcu zakładając banknoty 200 zł, jedna “banderola” to 20k zł, czyli takich paczuszek było minimum 250. Tak na oko dwie i pół aktówki/walizki (licząc po 2 rzędy po 5 paczek po 10 paczek w walizce). Wygląda mi to na grubszą akcję.

  7. Gdyby tylko ludzie zdawali sobie sprawe jak ‘bezpieczne’ sa ich pieniadze w bankach… Gdyby nie żyli w przekonaniu, że ludzie tam pracujący to najtęższe głowy w powiecie, znające się na wszystkim i wszystkich… O tak. Wtedy to byśmy mieli panikę, ‘jak w banku’ ;)

  8. @Rozie
    Miał jakiegoś dostawczaka, oklejonego jak te z właściwej firmy ochroniarskiej. I zaparkowanego w widocznym miejscu, żeby osoby wydające gotówkę widziały jak do niego wsiada i odjeżdża. Wszystko tak, aby jak najdłużej żyły w przekonaniu iż to naprawdę był ten właściwi konwój pieniędzy.

    Security Fail nie jest w liczarni (no dobra, tam też), ale w firmie ochroniarskiej lub w samym banku. Ktoś niepowołany dowiedział się, że tego dnia będzie do odbioru masa pieniędzy, poznał szczegóły i procedury (a raczej ich brak). Ktoś kto nie powinien mieć dostępu do tych informacji.

  9. Pewnie na Twitterze byla informacja ^^

  10. @rozie: cyt z podlinkowanego artykulu: “– Dzień dobry, ja po gotówkę dla Raiffeisena – przedstawia się konwojent w mundurze firmy ochroniarskiej Solid Security. Ma identyfikator i legitymację. Pracownica wydaje mu worek z pieniędzmi. Są w nim złotówki i obce waluty – w sumie ponad 5 milionów złotych. Mężczyzna wsiada do furgonetki oklejonej emblematami firmy ochroniarskiej i odjeżdża.”

  11. E, nie tyle banki underwritują.

  12. Solid Security dementuje jakoby to był ich pracownik, więc (drogą dedukcji Stanisława Michalkiewicza) to mógł być ich pracownik, co sobie premię sam wypłacił, i nic nie udawał.

  13. Normalnie ręce opadają…
    Jak można prowadzić firmę obracającą milionami złotych w gotówce (codziennie ?) i nie mieć podstawowych zabezpieczeń ?

    Osoba wydająca kasę znała ‘złodzieja’ ? Podpisał się on na jakimś formularzu chociaż ? Czy po prostu wszedł, przywitał się, wziął kasę i odjechał ?

    Zabawne jest to, że Policja nie ma portretu pamięciowego… A gdzie qwa kamery przemysłowe ? W głupim spożywczaku takie montują, a w miejscu gdzie przekazuje się grubą kasę takich zabrakło ?

    Nie chce mi się dalej pisać o tym, bo głupota i abstrakcyjność tej ‘kradzieży’ mnie przerasta…

  14. @Torwald
    Kradzież 5ml z banku oznacza… nic. Pewnie to mniejszy problem niż gdyby ktoś ukradł coś w spożywczaku.
    Kamery itp bzdury w erze wirtualnej kasy są tylko po to byś TY czuł, że Twoje pieniądze są w banku bezpieczne.
    A przecież fizycznie ich tam nie ma. To tylko bity gdzieś na dysku jakiegoś serwera. I właśnie o te serwery, o te dane należy się bać.

    Panowie “Niebezpieczniki”. Może “postraszcie” trochę gawiedź jak to w bankach wygląda? Jak się dywersyfikuje ryzyko utraty tego typu danych. Jak wyglądają mechanizmy ich backupowania (w końcu banki działają ze sprawności bliską 100%).

  15. FIRMA SOLID TYLE PŁACI SWOIM PRACOWNIKOM ŻE ZMUSZENI SĄ DORABIAĆ SOBIE PO GODZINACH………POZDRAWIAM OCHRONIARZY

  16. Nic.
    Chcę dostawać powiadomienia o nowych komentarzach a trzeba coś napisać.

  17. @Piotr: nic nie trzeba pisać, żeby śledzić komentarze — masz RSS do komentarzy, osobny kanał dla każdego posta… zlokalizowany poniżej przycisku “dodaj” :>

  18. @PK aktualnie RSS to najmniej wygodny sposób na cokolwiek…

  19. @Marcin – ja nie pisałem o bankach, tylko o tej całej “liczarni zewnętrznej”: tam mieli ‘żywą’ gotówkę a nie bity danych… A że banki mają w poważaniu przechowywaną u siebie gotówkę, bo jest ubezpieczona od kradzieży, zalania i Bóg wie czego jeszcze – to inna bajka.

  20. @Piotr: czy rozwiązaniem jest http://www.niebezpiecznik.pl/post/dostal-worek-pieniedzy-na-legitymacje-ochroniarza-security-fail-8/feed/ + http://www.feedmyinbox.com/

    ?

    Używałem tej kombinacji do czasu aż nowa wersja Apple Mail (już nie taka nowa) zaczęła bardzo fajnie obsługiwać RSS prawie jak wiadomości. Mam parę zastrzeżeń, ale chyba i tak najmniej niż do jakiegokolwiek czytnika RSS.

  21. @Torwald Jakie kamery? W Polsce jest kilkadziesiąt napadów na banki rocznie a ile pojawia się zdjęć z kamer? Przez okno mam bank PKO SA. Na zewnątrz zamontowane mają tylko atrapy kamer. Wiszą same obudowy. Pomijając to, że często zamontowane są za wysoko i nie łapią twarzy. Jakby kilka razy nie dostali odszkodowania za złe zabezpieczenia banku albo ktoś by im w tym banku zginął to może coś by zrobili w tym kierunku. Gdzie było hasło dnia? Imienna lista ochroniarzy jacy mieli przyjechać po kasę. Autentykacja chociażby odciskiem palca? W Polsce dużo robi się z przymrużeniem oka. Wielokrotnie kurier dostarczający mi przesyłki nie chciał mojego podpisu na blankiecie bo on sobie podpisze.

    Co do napadu może facet zastosował na większą skalę NLP jak facet we Włoszech co zgarnął z kasy 800 euro.

  22. Podejrzewam, tak samo jak policja, że w tym brała udział także kobieta która wydała taką kasę. Sortownie (pierwszy raz widzę określenie, liczarnia zewnętrzna) mają dość dobre zabezpieczenia w postaci monitoringu praktycznie każdego zakątka gdzie jest przyjmowana, wydawana, liczona i przechowywana kasa. Zazwyczaj gdy przyjeżdża konwój po odbiór gotówki to jest sprawdzany na podstawie legitymacji pracowniczej i dowodu z listą pracowników danej firmy. Lista ta jest aktualizowana przez firmę zajmującą się konwojami gotówki w momencie zatrudniania, zwalniania pracowników.
    W tym wypadku można się upatrywać jedynie tego że kobieta nie sprawdziła konwojenta z listą na której pewnie się nie znajdował (jak firma oficjalnie mówi że to nie jest jej pracownik).
    Pomysł z hasłem dnia jest trochę bez sensu gdyż pozwala pracownikom sortowni wpaść w rutynę i zamiast sprawdzać pracowników z listą zaczną wydawać każdemu pieniądze kto powie hasło.

  23. Dzis bylem na ulicy w moim miescie swiadkiem zabawnej scenki:
    Dwoch rozesmianych mlodych ludzi w wieku ok 23 lat podchodzi do konwoju firmy Solid Security do pana ochroniarza i pyta: “ma pan tam piec milionow zlotych?”, na co pan ochroniarz odpowiada: “kolego, to nie Solid Security w tym miescie, tylko gdzies indziej. Jestescie niedoinformowani”

  24. @Dwimenor: Nie musiał niczego się dowiadywać i przecieków też żadnych nie musiało być. Będziesz kiedyś w Poznaniu to idź do Starego Browaru, wjedź na 3 piętro parkingu. Po wyjściu na rzeczony parking spójrz w lewo.. zobaczysz taką wielką roletę. Powiedzmy że około godziny 13 (czas zmyśliłem) podjechała furgonetka firmy BRICK. Idziesz kolejnego dnia znów na miejsce i znów jest 13 i znów stoi BRICK. Potrafią tak stać nawet pół godziny (oczywiście stać w miejscu). Dodam tylko że ten parking jest dostępny dla wszystkich. Firma Brick jest oczywiście jedną z wielu która przyjeżdża po/z gotówką. Chcę tylko pokazać rozmiary tego swoistego fail.

  25. Poprawka – chodziło o firmę BRINKS :>

  26. […] Mamy teraz dylemat: kto zrobił lepszy przekręt, Thomas w roli fałszywego pilota, czy ciągle-nie-wiadomo-kto w roli fałszywego ochroniarza, który kilka tygodni temu na podrobioną legitymację dostał worek pieniędzy? […]

  27. […] się pod pracownika agencji ochrony SOLID Security konwojent, który odebrał worki z 5 milionami złotych na fałszywą legitymację i odjechał w siną dal. Według niektórych z Was, ta tajemnicza i […]

  28. […] z danymi na “zaświadczeniach” celowo pomijam — dobrze wiemy czym to grozi (por. dostał 5 milionów złotych na legitymację) i dobrze wiemy, że w Polsce chyba tylko konduktorzy PKP są skrupulatni w tej kwestii […]

  29. […] Trzeba przyznać, że przekręt niezły, ale mimo wszystko, ten starszy pan nie pobił ochroniarza, który na fałszywą legitymację otrzymał 5 milionów złotych… […]

  30. […] kwoty dalej gdzieś krąży… Prawie bije naszego, polskiego, fałszywego ochroniarza, który wyłudził 5 milionów złotych na lewą […]

  31. Może to się stało z pomocą prawdziwych ochroniarzy odbierający zazwyczaj gotówkę. Poprostu powiedzieli jakiemuś koledze jak ma sie ubrać gdzie pojść i co powiedzieć. Dali podrobić legitymację itp. Kazali mu przyjść kilkanaśie munut wcześniej przed nimi i tyle.

  32. Dodam żę ponad 10 lat temu chciałem oszukać bankomat. Bankomat miał taką funkcje jak wessanie spowrotem wypłaconej gotówki w przypadku nie odebrania jej po kilku sekundach. Wyciąłem z papieru kilka prostokątów o wymiarach 10zł i poprostu wsunołem w te rolki wysuwające banknoty po czym wyciągnołem 10zł. Bankomat wciągnoł papier hehe. Raz miałem przygotowane papierowe “20zł” ale bankomat wydał mi 2x10zł na co nie byłem przygotowany … wsunołem 2xpapierowe 10zł bankomat zassał je spowrotem ale wyskoczył komunikat OUT OF SERVICE hehe. NIestety operacje nie były anulowane automatycznie. GOtówka była normalnie pobierana zz mojego konta. W takich przypadkach trzeba iść do placówki obsługującej bankomat i poprostu powiedziec ze sie niewzielo pieniedzy – zapewne jest specjalna przegródka na nieodebrane pieniądze. Gorzej jak te pobrane papierki bankomat komuś wypłacił :D

  33. Urojenia ma już Solid Security że są mojm pracodawcą.Nie chce mieć z tą firmą nic wspólnego.Nigdy nie zawiązywałem żadnej umowy z poratalem typu mójpracodawca.pl nie chce mieć z tym kaziroctwem smoleńskim nic wspólnego.Tomasz Kucharski 02-683 Warszawa ul.Bartłomieja 5m9

  34. […] incydent bije rekord innego konwojenta firmy Solid Security z Wrocławia, o którym wspominaliśmy 5 lat temu, a który na fałszywą legitymację pobrał 5 milionów, podjeżdżając wcześniej pod sortownie […]

Odpowiadasz na komentarz kubaaa

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: