14:36
21/9/2015

Bardzo nieprecyzyjny artykuł w Gazecie — stawia więcej znaków zapytania niż odpowiedzi. Jak to możliwe, że po włamaniu na skrzynkę podmieniono konto? Jak to możliwe, że bank nie zweryfikował dyspozycji złożonej poprzez e-mail (o ile rzeczywiście tak została złożona). Nie wiadomo też, jak atakujący przejął kontrolę nad skrzynką (“złamał” hasło, czy zainfekował maszynę szpitala?).

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


10 komentarzy

Dodaj komentarz
  1. No… wybiórczo napisane. Niestety personel szpitala jak i innych instytucji nie jest przygotowany (czytaj: specjalnie wyszkolony) do korzystania z komputera. Po prostu brakuje ograniczeń zasobów komputera dla użytkownika. Prosty przykład: w pracy wchodzi się w Internet, na pocztę, na strony XxX (w NASA tak robią) i stąd te zagrożenia, bo antywirus to tylko podstawowa ochrona. Olbrzymim zagrożeniem dla komputera jest jego użytkownik. Zwiększenie bezpieczeństwa danych na komputerze oraz jego zasobów (czytaj: kont bankowych) mogłoby być zrealizowane poprzez ograniczenie praw użytkownikowi korzystającego z komputera w instytucji. Wydaję mi się, że ta sytuacja się nie zmieni. Wdrożenie wyżej napisanego przeze mnie ograniczenia nie jest trudne, ale wprowadza pewną komplikację dla właściciela firmy/instytutu ponieważ nie zdaje sobie sprawy jakie to jest łatwe, a nie każdy właściciel firmy jest informatykiem. Koszta wdrożenia ograniczonych uprawnień są bardzo małe, ale taki dyrektor nie jest świadomy zagrożenia, bo każdy mówi, że to go nie dotyczy, dopóki dopóty nie zostanie ofiarą cyber(idioty)przestępcy.

    • Nie no, dałoby się to zrobić, wystarczyłoby aby przeglądarka (i inne procesy krytyczne też) hulały w piaskownicy i niech sobie pracownicy wchodzą choćby i na strony o hodowli pszczół w Nairobi. Tyle że to jest niewykonalne na Windows (no dobra, wykonalne, ale za dużo zachodu), do tego skuszony czymś user i tak kliknie by ominąć zabezpieczenia.

      A może w drugą stronę? Może tak zabezpieczyć operacje zmiany wrażliwych danych w banku by wymagały one osobistej wizyty pracownika banku u klienta? Bo bez przesady…ile razy szpital zmienia konta i dlaczego? To jest instytucja – tu raz ustawione działa przez wiele wiele lat! Zmienienie sobie nru konta ot tak mailem/pismem/telefonem nie powinno być W OGÓLE możliwe!

      A co do WiFi to istnieją szpitale z takową siecią dla pacjentów (serio! mamy XXI wiek w końcu! :)). Także wystarczy słabe zabezpieczenie i kłopoty gotowe, bo ktoś działając w dobrej wierze nie przewidział że jakiśpacjent będzie chciał zrobić kuku.

    • Co do WiFi, jest to sprawa dyskusyjna, bo np. na wimie pacjenci nie mają do niego dostępu.

  2. Dodam jeszcze, że możliwości włamania się do TEGO KONKRETNEGO komputera skąd SZPITAL wykonuje przelewy jest niewiele. Bo tak, po uno) nie włamiesz się do wifi, bo na oddziałach nie ma, a jeśli jest , to tylko switch i udostępniany jest pielęgniarkom przy rejestracji. Po zwei) ciężko znaleźć ten konkretny komputer, no nie :D? Po tri) komputer musiałby być zainfekowany przez załącznik w E-MAILU, bo ktoś znał tą osobę, albo znalazł jej dane w internecie, tej właśnie osoby , która obsługuje przelewy. Można również użyć socjotechniki do pozyskania e-maila, a następnie wysłać zainfekowany załącznik pracownicy. Po cuatr) Nie chce mi się wierzyć, że wysłanie maila do banku spowoduje zmianę nr konta na które jest wykonany przelew , TYM BARDZIEJ, że przelew jest z tzw. ‘timerem’. Tego się nie da zrobić ot tak, tylko poprzez autoryzację fizyczną. Po funf) Wydaję mi się, że z maila pozyskali pisma wraz z pieczątko oraz podpisem osoby, która jest autoryzowana do zmiany nr konta. Podrobili owe pismo, zeskanowali i wysłali do banku – TO ROZUMIEM (w takim przypadku bank może zmienić nr konta na który może być wykonany przelew. Chociaż ta metoda nie powinna w ogóle być zrealizowana, ale scenariusz jest do przełknięcia. Po sześć) Nie znają cyberprzestępcy (CHYBA ŻE TO IDIOTA). Znajdą oczywiście tylko słupów, dalej nie dotrą, a nawet jeśli to nie mają prawa im postawić zarzutów. Ostatnio czytałem w gazecie, że za POMYŁKĘ, a tak można nazwać to sytuację, mimo że NR KONTA bankowego zmienił haker, to winę ponosi SZPITAL, że dopuścił do takiego procederu

  3. Akurat tak się składa, że znam sprawę dosyć dobrze i ten artykuł to stek bzdur. Włamanie było, tyle że na serwer pocztowy kontrahenta i to z tego serwera wyszła wiadomość o zmianie numeru konta (a tak po prawdzie to w mailu był skan drukowanego pisma z pieczątką). Dla uwiarygodnienia całej akcji ktoś przed wysłaniem maila zadzwonił do głównej księgowej i poinformował o zmianie numeru konta. Biedna kobieta (co bądź porządna) dała się nabrać na ten numer i jest w chwili obecnej zawieszona. Niestety starsi ludzie nie są odporni na takie ataki socjotechniczne.

    Odnośnie WiFi w tym szpitalu – jest ogólnodostępne dla pacjentów, na każdym oddziale na sufitach wiszą AP-ki Cisco.

    • Też właśnie w wiadomościach usłyszałem że oszust podszył się pod dostawcę – firmę farmaceutyczną – i to na jego konto szpital przez 2 miesiące przelewał pieniądze za dostawy.

    • Mam kontakt z jednym z większych szpitali. Obecnie numer konta w tej jednostce można zmienić tylko aneksem do umowy. Sprawdzane są podpisy z wzorami w umowie itd.

      Oczywiście wszystko na nic się nie przyda jeżeli pracownik nie będzie trzymał się procedur.

  4. a może po prostu w mailu była faktura której treść ktoś podmienił i została opłacona przez szpital…

  5. “…po włamaniu na skrzynkę”
    Hm…
    Włamać się “NA DOM”, włamać się “NA SAMOCHÓD”???

    • #grammarnazi <3

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: