Банковская АБС

[skud-pro 0]

Кто-нибудь умеет работать с банковскими АБС? Например если есть доступ в сеть Банка, и в сети есть права ентерпрайз админа, дальнейший шаг - слив всего Банка на свой счет, но тут желателен опыт или что-то типа того. АБСка по сути просто БД с транзакциями, верно? Пару раз в день ходят составы в ЦБ, как ходит тот же swift я хз, в составе ЦБ или в своем какой-то собвтенном? Вобщем нужна инфа по теме, мб есть у кого опыт и знания.

[kauhywka 329]

Что. Ты. Курнул.

[freddy777 357]

Цитата

дальнейший шаг - слив всего Банка на свой счет

Ну залей на свою классик дебит лямов 400

[skud-pro 0]

лол, не, я понимаю что кардинг и обнесение Банка это разные суммы. Однако вы разве не слышали о том что сейчас это так скажем тренд, даже ДБО уже не так интересно как слить весь Банк? Причем тренд уже такого уровня что ЦБ будет делать (уже проектирует) у себя антифрод. Вдумайтесь. ЦБ делает у себя антифрод. Для транзакций между ЦБ и банками. Не на пустом месте, были преценденты.

Получить доступ к сети Банка и эскалировать свои привелегии в инфраструктуре сейчас не просто реально а очень реально. Золотой век ведь идет, непуганных админов и тупых безопасников, про бизнес юзеров я вообще молчу

Вот я и спрашиваю, кто-нибудь умеет работать с АБСкой?

[and_wm 11]

skud-pro (09 September 2016 - 00:32) писал:

Кто-нибудь умеет работать с банковскими АБС? Например если есть доступ в сеть Банка, и в сети есть права ентерпрайз админа, дальнейший шаг - слив всего Банка на свой счет, но тут желателен опыт или что-то типа того. АБСка по сути просто БД с транзакциями, верно? Пару раз в день ходят составы в ЦБ, как ходит тот же swift я хз, в составе ЦБ или в своем какой-то собвтенном? Вобщем нужна инфа по теме, мб есть у кого опыт и знания.

Открою тебе тайну великую. Даже если ты шаришься в сети банка то у тебя доступа к ЕРЦ нет, от слова совсем. Ну это только если ты физически не подключен к серверу. У свифта вообще отдельный терминал, с отдельной линией. И так по многим банковским системам. Если ты еще что сможешь с счета на счет перекинуть это только через КБ, отдельный, возможно в системе одного банка и то до первой выписки по счету. А из бухгалтера делают ежеутренне да и зачастую чаще. Так что если чего можешь слямзить, что у какого либо клиента который на остатки забил. И то в предлах одной страны тебя будут искать очень долго. И найдут быстро. Потому что обнальщика по юрикам быстро возмут в оборот. А он очень быстро сольет тебя. Выгнать за пределы, ну тут валюный контроль. Даже не пытайся.  

В общем шарся по сетке, можно кому слить БД. Если она кому интересна. Но слить остатки. Особенно в крупных, практически глушняк.

[skud-pro 0]

and_wm (09 September 2016 - 05:09) писал:

Открою тебе тайну великую. Даже если ты шаришься в сети банка то у тебя доступа к ЕРЦ нет, от слова совсем.

Вы перечитали pci dss и стоБР. В жизни все иначе   Мы же не о ТОП10 банков говорим.

and_wm (09 September 2016 - 05:09) писал:

Ну это только если ты физически не подключен к серверу.

Есть админские подсети, есть сервера с двумя сетевухами, есть доступ ентерпрайз админа, с ним выудить админский доступ к ядру сети ничего не стоит, хоть в Инет его шарь.

and_wm (09 September 2016 - 05:09) писал:

У свифта вообще отдельный терминал, с отдельной линией. И так по многим банковским системам.

про свифт да, не знаю, возможно что то типа отдельное, но в общей инфраструктуре.

and_wm (09 September 2016 - 05:09) писал:

Если ты еще что сможешь с счета на счет перекинуть это только через КБ, отдельный, возможно в системе одного банка и то до первой выписки по счету.

Это вообще непонятно на чем основано. Причем тут КБ когда речь об АБС?



Вобщем мне интересно пообщаться с тем у кого опыт а не умение читать pci dss.

[and_wm 11]

АБС бывают разные, и протоколы безопаски тоже. Просто подведены под единый стандарт. Криптования, связи и прочего.

Все зависит что ты мечтаешь в системе провернуть. Отсюда надо и плясать. Я не программист, оно мне не тарахтело. Но суть и принципы работы знаю изнутри.

Да по факту ты можешь откатить проводки, но провести без ключа, а он может идти в виде таблетки уже никак. Свернутый баланс по завершению банковского дня, уже никак внутри не поменяешь. Вернее можно, но это куча переписки с контролирующей организацией.  Отчеты уходят на ЦБ (в каждой стране он называется по разному) при не совпадении данных по ушедшим и принятым файлам, и подкорректированным тобой в БД по прошествии, сразу подымается буча. Со всеми вытекающими.

Это кстати международный стандарт, что бы не думал что это только в РФ.

Для того что бы что то провернуть, надо понимать не только суть работы АБС, БД и прочее. Но и понимать суть бухучетов, отчетность и контроль наборганов и еще кучу не меньших по значимости факторов.

Так что для начала определись что ты хочешь учудить. А уже оттуда надо прыгать далее. А шариться по сети, это конечно замечательно. Но надо понимать что с этим дальше делать. И вообще что с этим можно делать.

[and_wm 11]

И по свифту.

Отдельный терминал, с с опломбированной и сертифицированной у системы машины. Не подключенная в банковой сети к тому же. Часто и в основном связь идет на спутник через блюдце. Отдельное помещение с ограниченным доступом.

Сам терминал, обычно айбиэмы раньше шли (старые как говно мамонта), работает под ораклом со своей ОС от свифта. Там даже клава специальная идет. Со своей кодировкой.  

В общем набрать в АБД ты приказ на движение сможешь, но исполнитель садится и делает проводки ручками. При наличии подписанных распоряжений.

[skud-pro 0]

and_wm (10 September 2016 - 03:48) писал:

Да по факту ты можешь откатить проводки, но провести без ключа, а он может идти в виде таблетки уже никак.

Ты хочешь сказать что составы в ЦБ отправляются вручную? no way. Где то может быть и может быть даже где то есть людю и роботы проверяющие на лютый фрод при отправке в ЦБ, но далеко не везде.

and_wm (10 September 2016 - 03:48) писал:

Свернутый баланс по завершению банковского дня, уже никак внутри не поменяешь. Вернее можно, но это куча переписки с контролирующей организацией.  Отчеты уходят на ЦБ (в каждой стране он называется по разному) при не совпадении данных по ушедшим и принятым файлам, и подкорректированным тобой в БД по прошествии, сразу подымается буча. Со всеми вытекающими.

Зачем менять баланс? Транзакция то на перевод денег, баланс сам сменится. Одна из десятков тысяч транзакций.

and_wm (10 September 2016 - 03:48) писал:

Так что для начала определись что ты хочешь учудить.

Слышал про то что с конца прошлого года по первые месяцы этого с банков рф слили несколько миллиардов? Вот я планирую поизучать вопрос работы с абс. Есть конкретные примеры систем, документация, особенности?

[and_wm 11]

В общем, можно тут просветительский флуд вести.  А можешь в жабу постучать. [email protected] Там в меру своих знаний покумекаем.

[skud-pro 0]

Для начала можно и тут пофлудить. Не думаю что бы общая инфа про абс была абсолютно секретной или каким то образом зашкварила рассказчика.

А жабой я не пользуюсь, как то неудобно и не особо секурно..

Что бы ты первым делом сделал когда получил бы доступ к банковской сети и эскалировал свои права до админа?

[and_wm 11]

Ну представим, гипотетически, такую ситуацию. Что у меня есть все права, и я могу ситуацию отслеживать онлайн.

1 Если имею доступ к просмотру остатков по текущим счетам клиентов. Отследил бы остатки и движение по ним. Частота, скорость, как часто запрашивается информация по остаткам. Исходя их этого разделил бы информации  по частоте пользования оных. Ежедневно, еженедельно, ежемесячно. Отделил физиков от юриков. Там уж дальше можно думать что учудить.

2. Отдельно посмотрел бы депозитные счета. Тут вариант просмотра авто списания по окончанию срока размещения, желательно увидеть какие могут отзываться по запросу клиента. Т.е. возможно ли сделать вид что клиент срочно отозвал депозит. Изменить формы уведомления на твои и прочее. Тут в случае замутки, будет временной лаг для проведения каких либо действий.

3. Посмотреть с какими корсчетами структура в целом работает. Для понимания с какими финструктурами у них уже произошел обмен бумагами для мониторинга. С корсчем один куй ничего не замутишь, но увидешь на какие банки если чего платежи могут быстро переставляться.

4. Возможно ли втихаря облажить клиентов небольшой комиссией, но тут вряд ли что выгорит в долгой перспективе. Т.к. счет всплывет достаточно быстро. Но отщепнуть кусочек можно, типо банк работал по договору комиссии. Но тут надо открывать короткую фирму, в общем гемор еще тот.  Но если структура, большая и не поворотливая. И организовывать на балансе головного, то может чего и выгорит.

Ну и самый большой вопрос вывода. Как что и когда, в каждой ситуации надо смотреть отдельно. Допустим найти фирму которая примет проблемные "объемы" можно. Даже  нереза, хотя можно и реза. Но тут надо думать, думать и еще раз думать. Головняков потом повылезает куча.

З.Ы, по вопросу слива хакерами средств с банков. Могу тебе сказать одно, без информации и согласия в самой структуре это не реально, практически. Это надо что бы не учета, не контроля не было. А это сомнительно. ТО уже потом отмазки кидают. Что мол де хакеры негодяи. Потому что  фин след всегда отслеживается. Так что бы слить большие объемы, и обналичить их в последствии. Без засвета и договорняка, не реально-)) А мелочь по карманам тырить от 100 до 1000 бачей. можно. Но все равно ловится.