Črna kronika

Abanka zanika vdor

Ljubljana, 16. 01. 2008 15.06 |

PREDVIDEN ČAS BRANJA: 5 min
Avtor
T.J./D.Š.
Komentarji
21

V Abanki zanikajo, da bi nepridiprav vdrl v njihov infrormacijski sistem in odtujil za 8.000 evrov sredstev.

Na naše uredništvo se je obrnila komitentka Abanke Vipa, ki so ji novembra neznanci preko spletnega bančništva ukradli skoraj 8.000 evrov. Po njenih navedbah je banka ugotovila, da je do kraje prišlo zaradi njene lastne malomarnosti, banke pa ni zanimalo niti, kako je poskrbljeno za varnost na njenem računalniku. Kot nas je opozorila naša bralka, je za podobno zgodbo slišala še od dveh drugih komitentov Abanke. Kot smo izvedeli neformalno, naj bi do podobnih tatvin v pretekosti že prihajalo. Prav Abanka naj bi bila ena od dveh slovenskih bank, ki sta najpogostejši tarči spletnih napadalcev.

Za komentar smo povprašali tudi Abanko, kjer so nam sporočili, da imajo tudi primere, pri katerih uporabniki spletne banke zatrjujejo, da niso izdali plačilnih nalogov. Ko obstaja takšen sum, banka nemudoma prepreči nadaljnjo uporabo spletne banke in napoti stranko na najbližjo policijsko postajo, da poda kazensko ovadbo. So pa v Abanki poudarili, da takšnih primerov v zadnjih letih niso imeli veliko in da lahko na podlagi do sedaj znanih dejstev z gotovostjo trdijo, da v nobenem primeru ni prišlo do vdora v bančni informacijski sistem. Podrobnosti konkretnega primera nam niso mogli posredovati, saj so po Zakonu o bančništvu zavezani k varovanju podatkov o posamezni stranki.

V Abanki zagotavljajo, da je spletno bančništvo varna oblika poslovanja in da ustrezno skrbijo za varnost informacijskega sistema.
V Abanki zagotavljajo, da je spletno bančništvo varna oblika poslovanja in da ustrezno skrbijo za varnost informacijskega sistema. FOTO: Dare Čekeliš

Začelo se je, ko je preverjala stanje

Naša bralka do sedaj z banko ni imela negativnih izkušenj, dokler ni 16. novembra 2007 v popoldanskem času preverjala svojega stanja na osebnem računu in presenečena ugotovila, da ima na računu negativno stanje 400 evrov. Še dan pred tem je bilo stanje krepko pozitivno, na računu je namreč imela 7.500 evrov, v vmesnem času pa ni opravila nobenih transakcij.

Takoj je poklicala poslovalnico Abanke na Jesenicah, kjer so ji povedali, da je nekdo prek spletne banke v njenem imenu izvršil dve transakciji. Uslužbenka banke je poslala potrdilo o transakcijah na policijsko postajo Jesenice, naša bralka pa je še isti dan uradno prijavila nastalo škodo. Policist je ugotovil, da se na policijski postaji Ljubljana - Center že ukvarjajo s tem primerom, saj je bilo oškodovanih več ljudi.

Policisti so že prijeli nepridiprava

Policija je tako že aretirala izraelskega državljana Emila Graiderja, ki je isti dan dvigoval denar z bančnega računa, na katerega je bila izvršena tudi ena od transakcij z računa naše bralke. Spletni tat je bil poslan v pripor, kjer je še danes, saj proti njemu še vedno teče kazenski postopek. Policisti so bralki povedali, da ne potrebujejo njenega računalnika, saj že imajo dokaz, da je do tatvine prišlo preko drugega računalnika.

Za zdaj še ni jasno, kako je izraelskemu državljanu uspelo oškodovati našo bralko. Banka trdi, da ni prišlo vdora v informacijski sistem.
Za zdaj še ni jasno, kako je izraelskemu državljanu uspelo oškodovati našo bralko. Banka trdi, da ni prišlo vdora v informacijski sistem. FOTO: POP TV

Pogovarjajo se prek odvetnikov

Zgodba se je zapletla, ko je naša bralka od banke zahtevala povračilo denarja. Po njenih trditvah naj bi jo v banki zavrnili, češ da niso krivi za nastalo škodo. Dolgoletna komitentka se zato odslej z banko pogovarja prek odvetnika, ki je Abanki poslal dva odškodninska zahtevka, na katera je prejel negativen odgovor. Konec novembra pa je bila vabljena na Okrožno sodišče v Ljubljani kot ena izmed prič v kazenskem postopku zoper izraelskega državljana Emila Graiderja.

V Abanki teh trditev naše bralke niso mogli komentirati, saj gre tudi pri tem za varovanje zaupnosti podatkov o njihovih komitentih. So pa dodali, da bo Abanka bralki povrnila vso nastalo škodo, če bi se v kateremkoli primeru izkazalo, da je bila oškodovana zaradi vdora v njihov informacijski sistem.

Odgovor Abanke na pritožbo

Gospodu Rajku Rudežu je bilo prav tako 16.11.2007 preko Abaneta izveden vdor na račun pri Abanki Kranj. Komitentu banke je bilo odvzeto 2100 Evrov. Na pritožbe in zahtevke je banka odgovorila podobno kot v zgornjem primeru, saj so zapisali, da ni prišlo do vdora v njihov informacijski sistem. Komitent Abenke je še poudaril, da gre najverjetnje za širše dimenzije tega problema pri banki, ki pa jih skrbno skrivajo, da ne bi prišlo do panike in množičnega odpovedovanja njihovih storitev internetnega bančništva.

V Abanki so Rudežu odgovorili, da je v tem konkretnem primeru prišlo do odtujitve podatkov, s pomočjo katerih je bila izvedena nezakonita transakcija. V Abanki še poudarjajo, da zagotavljajo popolno varnost in da v tem primeru ne obstajajo pravna podlaga za odškodninsko tožbo proti banki.


Je spletno bančništvo varno?

V Abanki so poudarili, da je spletno bančništvo še vedno zelo varna oblika poslovanja. Banka skrbi za varnost informacijskega sistem, največ pa lahko za svojo varnost naredijo ozaveščeni uporabniki. Tako v banki svetujejo, naj uporabniki najprej poskrbijo za ustrezno zaščito osebnega računalnika. Ustrezno morajo ravnati tudi z digitalnim potrdilom. Tako je potrebno iz čitalca po končani uporabi odstraniti pametno kartico in zaščititi računalnik pred dostopom tretjih oseb. Potrdilo mora biti nameščeno tako, da ne bo omogočalo njegovega izvoza. Dostop do potrdila naj uporabniki zaščitijo z osebnim geslom, ki naj ga redno menjavajo. Pri uporabi spletne banke je pomembo tudi pravilno zaključevanje seje, še svetujejo v Abanki.

Naša bralka zatrjuje, da je za zaščito ustrezno poskrbela, njen računalnik pa je bil v času transakcije izključen. Na njem ima nameščen ustrezen operacijski sistem in spletni brskalnik z zahtevanimi popravki, posodobljen protivirusni program, ki ni zaznal nikakršnega napada, ter požarni zid. Disketo z digitalnim potrdilom varno hrani in ni bila fizično odtujena, prav tako gesla za prevzem potrdila ni zaupala nikomur. Potrdilo je bilo na računalnik nameščeno tako, da je preprečen izvoz osebnega ključa potrdila. Zato lahko z gotovostjo trdi, da neznanci iz njenega računalnika niso mogli pridobiti digitalnega potrdila. Skrivnostno tatvino bo tako verjetno dokončno pojasnil šele zaključek preiskave.

Odgovr Abanke komitentu
  • Prenosnik Lenovo
  • Garmin ura
  • Wasup sup deska
  • Mitsubishi klima
  • Hisense TV
  • Krovni

KOMENTARJI (21)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

Remark18
17. 01. 2008 22.37
neznosje! sam si odgovoril na svoje vprašanja; Ja rabiš SSH, certifikate in požarne pregrade, samo moraš nadaljevati svoje vprašanje: Kdo naj skrbi za to? Ponudnik el. bančništva ali kakšna druga internetna trgovina? Prav zanima me, ali bi nekdo zaradi škodljivega programa na svojem računalniku tožil recimo Amazon.com ker mu je nekdo ob plačevanju knjige prestregel osebne podatke in jih izkoristil??? Ni šans. Riziko elektronskega bančništva in OSEBNEGA računalnika nosimo sami uporabniki. če pustiš odprta vrata v stanovanje, in ti nekdo nekaj ukrade, moraš najprej sebe udariti v glavo, ker nisi poskrbel vsaj za minimalno varnost. Pa poskušaj dobiti denar od zavarovalnice, čeprav si imel zavarovano stanovanje proti kraji!! To je samo en primer, lahko jih naštejem še veliko kjer sami moramo nositi del odgovornosti. a ne da bi ščitil banke ali zavarovalnice, samo to je pač tako. Če nisi siguren v elektronsko poslovanje, in nisi pripravljen, na neki način "tvegati" ga enostavno ne uporabljaj.In vsakič, ko natakrju daš kartico za plačilo računa lepo hodi za njim, da vidiš kaj bo počel z njo. Dovolj je, da prepiše številke s kartice in že lahko kupuje po internetu. Dostava robe pa nekje v Rusiji, Kitajski...pa jih išči. Keš v žep pa je. Samo po tem tvegaš, da te zaradi 100 € nekdo oropa in mogoče še kaj drugega stori ( bog ne daj).
neznosje@email.si
17. 01. 2008 13.33
"Remark18 | 17.01.2008 | 11:09 Vsak ponudnik pa ne samo elektronskega bančništva, vedno poudarja,da za varnost moramo poskrbeti predvsem uporabniki." Lepo, ocitno na tem internetu ne rabim niti SSH povezav pa posledicno nekih brezveznih certifikatov, ki so mi pac strosek, naj pac uporabniki poskrbijo za varnost, a ne? Ce se kaj zgodi jaz nic kriv, hah, naj pac za varnost poskrbijo predvsem uporabniki, jaz imam winse s sp2 pa uklopljenim fajrwolom, lol....................................
Ramzess
17. 01. 2008 11.42
Zanimiv primer, dvojna varnost, ena je v okviru banke, druga pa v okviru uporabnika, njegov lastni računalnik, kajti če slednji ne ustreza varnostnim normativom, banka stranki ni ničesar dolžna vračati, sicer pa bi morala stranka ob prošnji za e.bančništvo priložiti tudi potrdilo o varnosti računalnika, ipd., brezplačni program za pridobitev potrdil o tem in vzdrževanju varnosti da banka, bi lahko. Razumljivo je, da se ob prijavi preveri varnost in dejavnost obeh plati medalje, sicer bi stranka znala zlorabiti položaj, in obratno, ali banka. Morda se nekaterim zdi, da znanje računalništva ne šteje, morda, ampak žal tudi (danes so osnove premalo, "največ pa lahko za svojo varnost naredijo ozaveščeni uporabniki."), saj nevednost ob napakah ni izgovor. "Naša bralka zatrjuje, da je za zaščito ustrezno poskrbela, njen računalnik pa je bil v času transakcije izključen. Na njem ima nameščen ustrezen operacijski sistem in spletni brskalnik z zahtevanimi popravki, posodobljen protivirusni program, ki ni zaznal nikakršnega napada, ter požarni zid. Disketo z digitalnim potrdilom varno hrani in ni bila fizično odtujena, prav tako gesla za prevzem potrdila ni zaupala nikomur. Potrdilo je bilo na računalnik nameščeno tako, da je preprečen izvoz osebnega ključa potrdila. Zato lahko z gotovostjo trdi, da neznanci iz njenega računalnika niso mogli pridobiti digitalnega potrdila." Zanimiva, a zelo splošna izjava (ki velja in je uporabna za prav vse uporabnike, ne pa izključno zanjo), ki pa jo, žal, mora preveriti in potrditi računalniški forenzik in izdati potrdilo, ali izjava drži ali ne, seveda z veliko več konkretnimi podrobnostmi. "Policisti so bralki povedali, da ne potrebujejo njenega računalnika, saj že imajo dokaz, da je do tatvine prišlo preko drugega računalnika." Sicer ne vem kje so našli tega izraelca, ampak ta izgovor je prej ko ne čuden, ali pa tudi ne, zakaj ne bi preverili njenega računalnika, če pa to sicer radi, brez tehtnega razloga počnejo. Vprašanje če bralka dobila, ali zahtevala, ta dokaz, ali podatke o njem, v pogled. Zdi se da interesi policije gledajo drugam, tja kjer jih plačujejo, ta banka, njeno vodstvo, pa ima vpliv, ni kaj.
Remark18
17. 01. 2008 11.09
Eno samo nakladanje. Vsaka stranka je za uporabo elektronske banke podpisala pogodbo, v kateri so tudi napotki kako varno poskrbeti za certifikat. Če se to ne izvaja, po tem nima smisla razpravljati o elektronskem bančništvu. Veliko uporabnikov je "komot" pa gesla zapisuje na za to neprimerna mesta ( poglejte na monitorje in pod tipkovnice v svojem podjetju!!!). Sedaj, ko komu poberejo denar je lahko govoriti o tem, kako je računalnik bil zaščiten s požarno pregrado, cerifikat ni bilo mogoče izvoziti...bla bla bla. Verjetno bi tudi jaz to povedal, samo da dobim nazaj denar, ki sem ga z SVOJO malomarnostjo izgubil. Podobno, kot če bi izgubil denarnico pa bi tožil Samsonite, da mi povrne škodo, ali pa z avtom zletim s ceste pa tožim proizvajalca ( kaj pa nekaj tisoč evrov škode na mojem avtu za Mercedes!!) Veliko vas je povedalo, da gre za vdor v informacijski sistem banke!!! Nobena banka, ki ima elektronsko banko, ne more vedeti kdo je na drugi strani računalnika, če pa se je stranka predstavila z VSEMI zahtevanimi varnostnimi elementi. Če bi šlo za vdor v informacijski sistem banke, ne bi pobral 8000 €, bolj verjetno je, da bi bilo 8.000.000 ali več!!! Pa to je smisel el. bančništva, da se lahko od koderkoli in kadarkoli prijavljaš! Halo!!! Prav rad bi videl, da banke začnejo izplačevati takšne neumne zahtevke za odškodnino ( češ jaz sem imel računalnik takrat ugasnjen, ha ha ha). Takoj svoj certifikat pošljem prijatelju v drugo državo, pobere moj denar, ga razdeliva jaz pa tožim banko. In jaz nisem nič naredil, pa ni denarja. BUTASTO. Tudi sam sem uporabnik elektronskega bančništva, pa mi nikoli niso nič pobrali. Slučajno? Dvomim, ker na požarni pregradi vsak dan vidim na tisoče poskusov vdora, ki ga DNEVNO posodobljeni varnostni programi uspešno ustavijo. Pri kolegih vidim silne okužbe računalnikov, kjer otroci , ali kar sami lastniki nameščajo vse kar se jim ponudi preko spleta (joj, kako luštkan kuža, to moram imeti na zaslonu, pa še prijatelju bom poslal, pa v službo bom odnesel, pa še zastonj je....). NO FREE LUNCH!!! Vsak ponudnik pa ne samo elektronskega bančništva, vedno poudarja,da za varnost moramo poskrbeti predvsem uporabniki.
fljuskus
17. 01. 2008 09.28
Branko: Če stranki vdrejo v PC in najdejo podatke(izvozljiv certifikat, podatke o pin-u, kartici,...) je krivda samo na strani stranke. Pri namestitvi OS-a ti lepo piše, da oni ne odgovarjajo zanič, tako da si tudi tam oplel. Problem je, ker ljudje hočejo bit preveč komot, če bi naredili obvezna prijava s kartico(čitalec kartic) in PIN bi se zagotovo kdo najdel, ki bi preklinjal čez banko, da kaj moram kupovat še čitalec, pa tolko problemov,... In je čisto možno, da je imela PC poln nesnage, trojancev,... in ji je kdo res prestregel in "ukradel" podatke...
bysaRD
17. 01. 2008 09.25
u.soban: Gesla se dajo razbiti, vendar gre tukaj za 256 bitno kriptiranje. a veš koliko superračunalnikov bi potreboval da bi razbil kodo v realnem času? Jih nimamo na svetu toliko, oziroma so mnogo prepočasni. Lahko razbiješ ključ v cca 2-3tednih, samo to je glede na današnji dan 2-3 tedne stara inkripcija in nima več veze s trenutnim kriptiranjem. REAL TIME = NOT POSSIBLE!
bysaRD
17. 01. 2008 09.22
hack-proof sistema žal ni. Se pa strinjam, da to ni noben denar za banko in da so sedaj s takole novico izgubili vč kot let 7500€. Banka grebe k sebi, da nikoli! Če ni bilo vdora na bančni strani in ne vdora na strani stranke, hack ni možen, sam MITM attack (man-in-the-middle) ne deluje pri kriptiranih povezavah, oziroma deluje mnogo prepočasi, da bi se dalo pokraski kakšne informacije.
ambasador@amis.net
16. 01. 2008 19.46
matr tole je pa strašljivo...mam jaz tut spletno bančništvo pri abanki..... da o klošarskih izjavah moje banke ne govorim....uslužbenci naveličani dela, zafrustrirani, po hitrem postopku me odkiblat....predvsem poslovalnica Kranj.... 7500€ kao zmanjkal.....pa kva je to zaen dnar za banko? mislm halo......ne bodo oni povrnil.....pol nej pa nardijo hack proof sistem ane......nepa....za slovenclne je itk vsak sranje dobr......teh 7500€ zgubijo v tem času k more predsednik uprave na skret srat in ne more kake odločitve sprejet nepa da eno ubogo državljanko buzerirajo....
pikam_dopust@yahoo.com
16. 01. 2008 19.29
Keš bo spet rulal. Itak ima kup štacun popust na keš prodajo, kartice so sranje, ki ni nikoli varno, če imaš e-banko, pa še dodatno tvegaš, pa še varen si pred lastnim zapravljanjem, ker nimaš dovolj keša s seboj. :) Paradoks, ampak v to smer se počasi vračamo. Vsaj v SLO, kjer banke niti teoretično ne mislijo prevzemati odgovornosti za svoje napake.
u.soban@sobanu.net
16. 01. 2008 18.32
branko, se stinjam. Vsa gesla temeljijo na matematičnem algoritmu, taga pa se vedno da razbiti. Razbiti se ne da le hashiranja, vendar je problem hashiranja je, da hekerji pridobljeni hash primerjajo z njihovimi hashi (katerih prvotna vrednost jim je znana) in slej ko prej pride do ujemanja. Internet ni in ne bo varen, dokler bomo stali na internetnih hitrostih 1-10Mb/s. Ko bomo presegli te hitrosti, bo mogoče pošiljati ekstremno močne in obširne šifrirne ključe, ki jih je skoraj nemogoče presreči. Do takrat je določeno tveganje treba vzeti v zakup.
branko.slevec@siol.net
16. 01. 2008 18.12
No ja, naj tole lamentacijo malo razširim - recimo, da je uporabnik lahko delno (samo delno!) sokriv, če pride do vdora in tudi kraje certifikata (no ja, tu bi bil sokriv lahko tudi izdelovalec OS), druga stvar pa je kraja uporabniškega imena in gesla oz. PIN. Težko verjamem, da bi, četudi bi uporabnik imel geslo in ostalo zapisano na neki datoteki na računalniku, le-to tudi z gotovostjo našel. Recimo, če je po narodnosti Rus... Torej preostane tzv. "snifanje" pritiskov na tipkovnico oz. prestrezanje TCP/IP paketov, ki zapuščajo uporabnikov računalnik. V primeru odprtja internetne bančne storitve ali namenske aplikacije na svojem računalniku ter vzpostavljene povezave pa gre v vsakem primeru za vdor v bančni informacijski sistem. Ki niti približno ni varen, četudi je uporabljen generator gesel (ki deluje po nekem ključu, ponavadi matematičnem, ker, kot pravijo: "I nad jakim ima jak..."), če ni varno vse drugo.
u.soban@sobanu.net
16. 01. 2008 17.56
V Sloveniji je teško zmagati take primere, ker odvetniki nimajo pojma, kako take stvari dokazovat.
simon@stegel.net
16. 01. 2008 17.42
S spodaj zapisanim se strinjam. Sam sem sicer komitent dveh bank, in sicer Banke Koper in Abanke. Na Koprški banki imam odprta dva računa (poslovni in osebni), na Abanki pa poslovnega, osebnega in varčevalnega. Če primerjam varnost storitev obeh bank, potem Abanka sigurno NI zmagovalka. Manjka ji npr kak generator gesel (kot je bilo zapisano), pa mogoce se kaj v sistemu samem. Zaenkrat pa slabih izkusenj z njo (naj potrkam) nisem se imel.
branko.slevec@siol.net
16. 01. 2008 17.14
"So pa dodali, da bo Abanka bralki povrnila vso nastalo škodo, če bi se v kateremkoli primeru izkazalo, da je bila oškodovana zaradi vdora v njihov informacijski sistem." Tale Abanka ima pa precej ...drzne izjave... ampak, "lako je biti car u zemlji budala... " - namreč, njihov informacijski sistem obsega tudi uporabnikov računalnik, ne glede na nivo znanja računalništva, omrežij in kriptografije s strani uporabnika. Kajti, če povezava med uporabnikovim računalnikom in bančnim sistemom ni BP (torej kriptirana in vse ostalo, kar naj počne tudi certifikat) je za to odgovorna in kriva predvsem banka - ali pa naj elektronsko posluje samo z tistimi, ki dokažejo znanje iz zgoraj omenjenih znanj, kar seveda zelo ...skrči obseg njihovega poslovanja. Imajo pa slovenske banke tudi srečo, da imaja v primeru tožbe opravka bolj ali manj z odvetniki, ki se jim ne sanja niti o pravu, še manj pa o logiki - seveda pa znajo to dobro zaračunati. eh, lako je biti car u zemlji budala...
jaksur@hotmail.com
16. 01. 2008 17.08
janezek123 se strinjam s teboj .Jaz sem komitent Hypo banke katera uporablja generator gesel in lahko povem ,da če geslo ki ga generiraš ne vpišeš po določenem času (nekaj minut) nimaš dostopa do spletne banke...
grega83@mail386.com
16. 01. 2008 17.07
Zgleda ma a-banka vipa probleme glede tega. Moji materi je pred leti zmanjkalo prebližno 30.000 tisoč takratnih sit, na izpisku je pisalo, da je bil opravljen nakup prek interneta. Ko je mati vprašala, kako je to možno, so ji odgovorili, če še ma kakšnega družinskega člana, čes da je to skoraj sigurno to on storil. (torej jaz, njen sin), pa zagarantiram da ni blo tak, ampak je nekdo zgleda imel številko kartice in letnico oz. potrebne podatke za izvršitev nakupa. Tistega denarja nikoli niso vrnili. Zgleda jim malo škriplje glede varnosti. Obnašanje zaposlenih na tej banki je pa drugo poglavje, lahko bi imeli tečaj komuniciranja pa bonton bi lahko tudi prebrali.
freya_skandinavia
16. 01. 2008 16.47
Se strinjam s kr_ena**, poznavanje računalnika tu ni dosti relevantno, če imaš urejen firewall in ostalo. Kriva je Abanka, pa če to priznavajo ali ne. Sem pa tudi sama imela izkušnje, ko so se obnašali, kot riti.
kr_ena**
16. 01. 2008 16.37
tadejkrze | 16.01.2008 | 15:55 Če bi znala uporabljati računalnik, se to ne bi zgodilo... ja kaj pa je zdaj tu znanje rač.pomebno,a moraš biti že strokovnjak ???? in kaj bi po tvoje mogla vedeti? mislim da tukaj ni njena krivda ampak banka ker nima poskrbljeno za dovolj dibrop zaščito.
gazda007@gmail.com
16. 01. 2008 16.34
Za začetek si lahko tudi daš omejitev pri poslovanju preko interneta . Pri 200€ dnevno za 7500€ rabiš 37 dni.
zasfican_ful
16. 01. 2008 15.55
Če bi znala uporabljati računalnik, se to ne bi zgodilo...