Как я украл $14 миллионов

Генеральный директор компании Security Compass Ниш Балла сохранил этот чек из банкомата в качестве доказательства того, то его фирма перевела обманным путем 14 миллионов долларов на созданный им банковский счет. В начале 2010 года Ниш Балла сел за компьютер с одной целью: украсть огромную сумму денег из банка.

Но это не было обычным ограблением. Балла занимает пост генерального директора Security Compass, компании, которая тестирует системы безопасности в банках, у розничных торговцев, в энергетических компаниях и других организациях с конфиденциальными данными. Его клиенты - как и это отделение банка в Соединенных Штатах Америки, которое подверглось его нападению в 2010 году - платят ему за то, чтобы он взламывал их системы.

А это может быть гораздо легче, чем многие себе представляют. Лица, обвиняемые в краже 45 миллионов долларов из банка, о чем писали печатные издания на позапрошлой неделе, использовали аналогичный план действий, "создав" деньги из ниоткуда.

Простые четыре  шага

Балла рассказал CNNMoney подробности своего преступления. Вот 4 простых шага, которые сделали его миллионером.

Шаг первый, получить доступ. У Баллы было одно большое преимущество перед настоящими грабителями. Его клиент дал ему доступ к внутренней сети банка. Для настоящих преступников также существуют несколько удивительно легких способов получить доступ.

По мнению Баллы, в некоторых местах доступ можно получить просто подключившись в беспроводной сети банка - услуга, которую все больше и больше банков предоставляют своим клиентам. Как только вы подключились к Wi-Fi банка, внутренняя и внешняя сеть зачастую недостаточно изолированы друг от друга. Вполне возможно обмануть другие компьютеры банка, заставив их "думать", что ваш компьютер - это компьютер банка. Этот прием известен, как "ARP-спуфинг".

Еще один способ: Кто-то, притворившись уборщиком, может вставить флеш-диск в компьютер банковского служащего, после чего перезагрузить его, используя новую оперативную систему, что позволит ему получить доступ к жесткому диску в системе работника банка. На этом этапе, имена пользователей и пароли, как правило, легко читаются.

Но, так как он уже имел доступ к сети своего клиента, Балла и его ассистенты пропустили этот этап по получению физического доступа и сразу же погрузились в поиски денег.

Шаг второй, начните изучать. Балла использовал сниффер, который можно найти онлайн бесплатно, чтобы выяснить, какие банковские системы были связаны друг с другом.

После этого он использовал волновой метод передачи пакета данных, при котором небольшие блоки, направляющие поток информации, переполняют внутреннюю сеть банка данными. При такого рода атаке, коммутатор превращается в концентратор, беспорядочно передающий информацию.

Компьютеры банковских работников тут же становятся главной целью Баллы. И вот сниффер пригодился опять, на этот раз для поиска логинов и паролей в потоке информации. В конце концов, один был найден. Он получил доступ к компьютеру одного из работников.

Фотогаллерея: Место кражи 45 миллионов долларов

Шаг третий, двигаемся дальше. К великому удивлению, информация, передаваемая между компьютерами служащих и основной базой данных, не была зашифрована. А это означает, что пароли и номера банковских счетов были доступны.

Шаг четвертый, деньги. Вместо того, что красть деньги со счетов вкладчиков, Балла придумал новый счет для себя.

"Мы проникли в базу данных, где хранились счета и создали новый счет с 14 миллионами долларов", - рассказывает Балла. "Мы просто создали эти 14 миллионов долларов из воздуха".

Если бы он захотел, он мог бы прийти в любое отделение банка и перевести эти деньги на оффшорный счет, после чего мог бы никогда больше не работать.  Вместо этого, он нашел банкомат и распечатал доказательство своего нажитого нечестным путем богатства.

"Руководители банка были крайне удивлены", - вспоминает Балла. "Они были шокированы".Он сказал, что банк тут же ликвидировал благосостояние Баллы и принял меры по укреплению своей сети.

Касаемо кражи, о которой стало известно на позапрошлой неделе, правительственные чиновники говорят, что грабители взломали сети компаний, обрабатывающих операции с предоплатными дебетовыми картами, и ловко использовали счета, чтобы создать высокий лимит расходов. После чего, осталось просто создать физические дебетовые карты на эти счета и ходить снимать наличные в банкоматах.

"Они просто обновили базу данных с учетом информации на эту дебетовую карту", - объясняет Балла. "Вот так все просто". Во многих банковских кражах, связанных с компьютерами, включая недавнюю аферу с 45 миллионами долларов, очень трудно определить, кто, в конечном счете, несет ответственность за любые убытки.

Это, как правило. не индивидуальные клиенты. Законодательство США защищает потребительские текущие и сберегательные счета от потерь, связанных с мошенничеством. Бизнес-счета, в этом плане, защищены меньше.

Балла рассказал, что некоторые финансовые учреждения имеют страховку на случай потерь, но он также отметил, что страховые компании неохотно выдают страховые сертификаты с высоким лимитом покрытия, так как риски в этой области по-прежнему не до конца осознаны.  В конце концов, он заключил, что ответственность за убытки лежит в равной степени на компании, страховой компании и правительстве.