Los crackers sacaron en torno a 200.000 euros en transferencias sucesivas de 3.000 y 4.000 euros. Presuntamente, los piratas pudieron haber utilizado una página de suplantación de identidad de Novagalicia Banco para conseguir las claves de acceso a la cuenta. Los fondos robados constituían la totalidad de los ahorros municipales.
|
etiquetas: cerdedo , ayuntamiento , timo , phishing , estafa
Y es que todos tenemos claro que si alguien entra con una escopeta en mano a la caja fuerte de un banco no se está robando el dinero de los clientes, sino del banco. Y es éste quien debe responder para resarcir lo robado.
En el caso de un robo online se debe valorar si las medidas de seguridad eran suficientes.
¿No había ningún responsable económico que recibiese alertas por móvil o algo parecido?
Raro, raro...
Robar en lugar de piratear.
Diría que son términos más adecuados aunque, por supuesto, menos impactantes y sensacionalistas...
Luego, por artículos mal escritos como este, se menciona algo de hacking y ya te tratan como un delincuente.
#8 #10 Ten en cuenta que no es una cuenta personal, es un ayuntamiento, no se cuantos trabajadores tendrá pero imagino que por ejemplo al pagar nóminas tendrán movimientos grandes o con cualquier pago de cualquier obra que hagan, es parecido a una cuenta de una empresa pero con gastos puntuales más altos (la empresa suele ser unos gastos mas o menos 'constantes' a lo largo del año, un ayuntamiento tendrá proyectos, obras y similares con picos de gasto importantes)
El mensaje incluye la cifra a transferir y las últimas cifras de la cuenta bancaria de destino.
Con ello da igual la técnica de phishing que se utilice porque a menos que tengas también el terminal móvil no puedes ejecutar la transferencia y si el hacker intenta modificar la cuenta de destino también es fácil de identificar con el SMS.
También tengo una tarjeta de cartón del banco con códigos de seguridad. Sin disponer de esa tarjeta el hacker no puede ejecutar ninguna transferencia por sí mismo, únicamente puede interceptar las que haga yo. Por lo que se podría producir una transferencia falseada pero no cincuenta seguidas.
No digo que ese sea un modelo a seguir ni que sea la forma que se debería haber utilizado en este caso, lo que indico es que si existe un tipo de estafa conocida por el banco, como es el phishing, tiene la obligación de implantar medidas de seguridad para contrarestarlo.
El motivo para poner el dinero en el banco es principalmente la seguridad. No podemos permitir que el banco no se haga responsable de actos debidos a una seguridad insuficiente.
Si las transferencias vía internet no son suficientemente seguras y el banco no es capaz de mejorarlas su obligación sería no ofrecer ese servicio, volver al cajero automático o las oficinas bancarias.
Por otra parte, las transferencias son "retrocedibles"; es decir, hay un plazo de tiempo para anularlas (creo que son 24 horas).
Tu banco (como el mio ) supongo que lo que hace es avisarte si superas un valor (no mira la cuenta a la que va, sino la cantidad) y se puede programar para que sea mas o menos (en mi caso por ejemplo todo gasto superior a 100 euros soy un histérico) pero en una cuenta empresarial eso sería una locura y totalmente inutilizcable, igual tenían un límite mucho mayor para los avisos por ejemplo o simplemente no lo tenian configurado (creo que casi todos los bancos permiten eso hoy en dia)
El phishing no es un ataque "al banco" es un ataque "al usuario" ¿es el usuario de esa cuenta el responsable de lo que ha pasado? también se le debe presuponer un poco de mano y no caer en un phishing (ojo, hablo de si es un phishing que no sabemos aún seguro si ha sido eso aunque tenga toda la pinta)
Menéame, cada dia estas peor
Me lo huelo a kilómetros: le llega el spam típico del pisching, seguro que a su cuenta de correo oficial, que la usará hasta para mandarle fotos de gatitos a su suegra, pincha y entra y mete las claves, sin comprobar certificado, ni dirección, ni nada.
Seguro que no tomó precauciones normales, buscar la web del banco en google, no usar IE, antivirus, control del usuario con permisos.
Pero bueno, lo demás como dices es lo normal, controlar los movimientos con mensajes, cosa que yo tengo también.
Siempre que voy a mi ayuntamiento y veo el percal informático, me echo a temblar.
Me choca que si, como dice la noticia, "La administración local se percató del robo en torno a las 14.30 horas de ayer (martes)" el banco no anulara, por lo menos, las emitidas esa mañana.
Por otra parte desconozco el sistema exacto de verificación de Novagalicia Banco pero sólo con las claves de usuario no es posible realizar transferencias. Todas las entidades tienen un sistema de control que puede ser una tarjeta de claves, un SMS de confirmación, etc.
Todo este asunte asunto huele un poco mal. Todo apunta que el que respondió al phishing no sólo dió el usuario y password sino que además facilitó las claves de control, y si hizo eso es para obligarle a que pague el el roto, porque hay que ser cortito que esto ya lleva años funcinando y se ha advertido miles de veces de este fraude. De hecho en mi banco periodicamente aparece cuando te conectas un aviso acerca de no responder nunca a email que te pidan las calves.
¿No se puede seguir la pista a las trasferencias hasta dar con la cuenta/as corrientes de los crackers? ¿utilizan "muleros" para las cuentas?
En el caso de que estén en un paraiso fiscal, creo que el secreto bancario se elimina cuando claramente se demuestra que es un robo.
¿Alguien sabe algo sobre estos temas?
www.youtube.com/watch?v=RHUs8TNumsA
Y he investigado un caso donde esto ocurrió.
Pero el caso es que ya estoy escamado de todo, y teniendo en cuenta que tenemos hasta políticos con ingresos extra que vienen de sucesivos premios de lotería, este caso de pirateo y desaparición de dinero me huele un poquito raro.
"Presuntamente, los piratas pudieron haber utilizado una página de suplantación de identidad de Novagalicia Banco para conseguir las claves de acceso a la cuenta"
Y las firmas electronicas? tambien se las sacaron por phishing? no se como ira novagalicia, normalmente hay tablas de codigos envios de codigos secretos a movil..., pero si eso es tan facil, la web del banco tiene la culpa por dejadez en su funcion de custodiar el dinero de los impositores...
Por cierto, quienes son los agraciados con las trasnferencias?
Mis padres tienen cuenta en Novagalicia antes conocida como Novacaixagalicia antes conocida como CaixaGalicia (en su caso), y para que casi cualquier operación tienen que recibir un sms en el teléfono móvil acordado entre cliente y oficina y escribir con el teclado virtual unas coordenadas concretas de la tarjeta de códigos que sólo tiene el cliente, además de, obviamente, introducir el pin.
Además, cuando se trata de transferencias, hay un doble filtro de seguridad y un envío de SMS de confirmación al cliente emisor.
Vamos, que los del ayuntamiento o son unos inútiles o son colegas de los "ladrones".
#12, la verdad es que cada cual usa la palabra hacker a su gusto. Yo diría que son hackers si realmente tienen conocimientos profundos de seguridad informática y los han utilizado para hacer el robo. Así pues habría hackers "éticos" y hackers "no éticos".
Vamos, que tu serías más bien hacker, y no cracker
Yo he pasado por otras 3 entidades diferentes y, siempre con el ejemplo de mis padres en mente, las he considerado "inseguras" en comparación a la hora de realizar operaciones online.
En España hay muchísima corrupción, pero eso no significa que tengamos que perder el respeto por el dinero público que, joder, es nuestro dinero!
1. En Junta de Gobierno Local se aprueba el gasto (a iniciativa del Alcalde, el Concejal de Hacienda u otro miembro).
2. Se manda la orden de pago a Tesorería.
3. El Tesorero manda la orden de pago al banco.
Aquí el responsable es el Tesorero, que debía controlar con cierta periodicidad los movimientos y saldos de las cuentas (normalmente no se pone todo el dinero en la misma cuenta del mismo banco, no sé si será el caso). Al ser de un pueblo pequeño lo ejercerá uno por acumulación, es decir, que será el Tesorero de varios Ayuntamientos en los que trabajará x horas en cada uno hasta completar su jornada laboral.
son varias las medidas de seguridad que ponen los bancos para evitar estos casos y aún que no son 100% imposibles de romper sí es bastante difícil y más sin dejar rastro, por lo que sigo pensando que alguien de dentro está implicado seguro, ya que mínimo son 3 o 4 pasos para hacer una transferencia, acceso web, coordenadas, firma electrónica y sms de seguridad.
Además, como bien he dicho en mi anterior comentario, un cracker realiza "modificaciones", no tiene por qué ser para saltarse sistemas anticopia. Puede ser cambiar el color de un texto, eliminar una popup molesto, etc
En cualquier caso yo no llegué a usarlo para fines ilícitos por lo que no puedes chatarme de "cracker" según tu definición.
Resumiendo: los ladrones o el ladrón tenían en su poder el móvil donde se reciben las notificaciones/códigos, la cartulina con los códigos y el usuario/contraseña. Mucho para un simple caso de phishing, ¿no?.
En cuanto a la torpeza de hacer las transferencias, eso deja un rastro y, salvo que el citado ayuntamiento esté autorizado por la entidad a realizar tranfererencias a entidades extranjeras a través de internet (lo dudo, casi imposible diría yo), el destino tienen que haber sido otras cuentas, dentro del mismo banco o en otra entidad, pero nacional. Entre entidades la transferencia no es instantánea, tarda entre uno y tres días en realizarse, es rastreable, retrocedible y para colmo, por las cantidades transferidas, deja un ineludible rastro en la Agencia Tributaria.
Al pringaete de las transferencias lo van a trincar, y lo del "phishing" no va a colar. Atentos que seguro que alguien sale esposado de las dependencias municipales en las próximas horas.
PD.- ¿Y si el "ladrón" es un cachondo y ha "donado" mediante transferencia toda la pasta a, yo que se, Médicos Sin Fronteras, Cáritas, Save The Children o Greenpeace, por ejemplo?. Jo jo jo
Si queréis inventar un nombre para los hackers cabrones me parece estupendo, pero no raptéis y prostituyáis un término que existía antes.
Ni de coña, hubo mucha discusión sobre el tema moral, se "inventaron" términos como "black hat hackers" o "white hat hackers", pero el término cracker, ya estaba asignado a los rompedores de códigos de protección.
Un dia, "alguien" se invento, malinterpretó, o se explico mal, diciendo que los "hackers malos" se llamaban crackers, y mucha gente simplemente se lo creyó.
Si no, ¿como llamas a la gente que crea cracks y keygens con sus cracktro? (bueno, los cracktro es cosa de los demosceners, pero forman parte del crupo cracker)
Es curioso porque yo creo que en la comunidad cracker no se tiene ese concepto que apunta #12: un cracker se dedicaría a estudiar -y modificar- código de una máquina a la que tenga acceso físico, mientras que el hacker se vale de internet para sus experiencias. Por tanto, podría haber tanto crackers buenos, como hackers malos. Para mí tiene muchísima más lógica esta definición, en base al ámbito tecnológico/de conocimiento, que la indudablemente extendida por todo el mundo de hackers = buenos; crackers = malos, que suena a moralina.
Y yo si me veo al incauto de turno poniendo todas las claves de la tarjeta de coordenadas en la web falsa, ademas, lo de las alertas al movil supongo que se puede configurar/desactivar, por que en una empresa y en un ayuntamiento puede ser una locura (imaginar el dia que se pagan las nominas... la de mensajes que tendrian que recibir).
¿Y qué responsabilidad tiene el ayuntamiento? ¿Nuestro dinero esta en manos de alguien a quien le pueden robar tan fácil?
La cosa sería para parar algunas construcciones que han costado millones de euros a los ciudadanos y ahora no son más que edificios fantasma.
Mientras que los hackers aficionados reconocen los tres tipos de hackers y los hackers de la seguridad informática aceptan todos los usos del término, los hackers del software libre consideran la referencia a intrusión informática como un uso incorrecto de la palabra, y se refieren a los que rompen los sistemas de seguridad como "crackers" (analogía de "safecracker", que en español se traduce como "un ladrón de cajas fuertes")."
es.wikipedia.org/wiki/Hacker
Poco más que decir; es con la acepción que más de acuerdo estoy
Una cosa es que no sepan informatica y otra es confundir terminos basicos por no buscar lo que significan.
¿Los hackers del software libre? ¿ein?
#80 Discrepo enérgicamente, goto #71 y #79 (wikipedia paste)
Si querés hacerte el copado, crackea la cuenta de Juan Car o de Coca- Cola, pero la de un ayuntamiento, por más que no te guste el intendente o la administración, sigue siendo el dinero de los ciudadanos.
Como para pillarles.
#68 Por ahí si que no paso. El origen del término "cracker" viene de mucho antes de que existiera esa scene pseudo-underground de los que fabrican cracks y keygens...de hecho, diría que desde los años 50 o 60 se viene usando. Voy a buscarte el dato
PD: Sus primeros usos datan de los años 60, pero aplicado a lo que estamos discutiendo, mejor no puede estar que aquí: catb.org/jargon/html/C/cracker.html
Después, en la época de los modems y bbs, los hackers eran los que se conectaban a sitios sin permiso, modificando (o no) información, en un inicio no había discusión moral, eran poquitos, y los crackers eran los que desprotegian programa, nada que ver con entrar en ninguna red.
Después, cuando lo de ser hacker se puso de moda, empezó la polémica sobre la ética hacker, para entonces el termino cracker ya existia, y se usaban otras palabras como "dark hacker" o cosas así, pero no cracker.
Un buen día, a alguien se equivocó, hubo gente que se lo creyeron, y se lió la cosa.
¿Que hoy en día está normalizado? Evidentemente, la gente ya está confundida, pero no deja de ser fruto de un error, "roba" el nombre a los petadores de protecciones, y puede provocar confusiones y mal entendidos.
Esa definición que me linkeas, indica que el termino "cracker" como "hacker malo" es de 1985, y entonces ya existían los crack de software (Me acuerdo de un LOGO crackeado de 83)
Y yo insisto, nadie ha respondido mi pregunta: ¿Como llamáis los que petan protecciones anticopia, crean cracks y keygens?
De todas maneras, te concedo el beneficio de la duda, que uno se hace mayor y la memoria no es lo que era
Eso es lo que pienso yo.