Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/carbanak-la-piu-grande-rapina-bancaria-dell-era-digitale_56075.html

Il bottino è quantificato, per ora, in 300 milioni di dollari ma potrebbe facilmente avvicinarsi al miliardo. E' l'attacco più consistente mai avvenuto per proporzioni e complessità

Click sul link per visualizzare la notizia.

Sti caxxi! :eek:

perdonatemi ... ma se almeno la metà delle cose è vera, tanto di cappello a questi "criminali" :eek:

mi hanno fatto venire a mente lupin terzo :asd:

riuscire in un'impresa così complicata non è una cosa da pischelletti, quando poi addirittura si sospetta il tutto sia ancora in corso?
cioè ci stanno lavorando da più di un anno? o è la news a non essere aggiornata :stordita:

Ottimo, prenoto i biglietti, fra 3 anni faranno il film.

E comunque, se questi sono stati cpsì in gamba da mettere in piedi questa cosa, beh, bravi, mi viene da dire solo questo. Bravi!

Devi essere addentrato in molte delle procedure interne di una banca, anzi di molte banche, per mettere in piedi un furto di tale portata.
Venire a conoscenza che un tale istituto effettua un controllo sui conti ogni tot ore non è affatto semplice.

Ho letto l'articolo da più parti e mi sono fatto l'idea che l'ammontare stimato sia molto conservativo, perchè molti istituti hanno preferito tacere ed avviare prima indagini interne e poi denunce alle autorità, mantenendo un profilo basso tanto più se i soldi dei correntisti non sono stati toccati.

come c...o fa un ATM a contenere 7,3 milioni???

mantenendo un profilo basso tanto più se i soldi dei correntisti non sono stati toccati.

ma infatti, alla fine dei conti lo spettacolo era proprio quello!
che non si tratta della solita "pesca" via mail ai danni dei correntisti, ma sono andati direttamente alla fonte :eek:

mi ripeto ... tanto di cappello!

questo dollaro è troppo insicuro, sicuramente sparirà a breve :asd:

come c...o fa un ATM a contenere 7,3 milioni???

credo sia stato fatto in più volte, prelevando piano piano

come c...o fa un ATM a contenere 7,3 milioni???E' un refuso della traduzione.

L'articolo è un libero adattamento di questo:

http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?_r=0

La frase originale dell'articolo è: One Kaspersky client lost $7.3 million through A.T.M. withdrawals alone, the firm says in its report.

ma come si fa a essere cosi ritardati da credere e scrivere che un ATM sia stato svaligiato di 7,8 milioni di dollari, ma quanti cazzo di soldi pensate ci mettano dentro, ma siete deficienti. La gente andrebbe li con un carroarmato per rapinarli. Comunque la tecnica è una boiata da 4 soldi che potrebbe usare un qualsiasi noob cracker e probabilmente questa storia è solo la punta dell'iceberg di tante storie molto simili, questo perché in banca quasi qualunque dipendente ritardato può buttare dentro la sua password (gattino00) e muovere dei soldi da un conto a un altro, e se sti coglioni usano i pc pure per scaricare porno e aprire le mail che la nonna gli manda, la banca sarà piena di virus.

Devi essere addentrato in molte delle procedure interne di una banca, anzi di molte banche, per mettere in piedi un furto di tale portata.
Venire a conoscenza che un tale istituto effettua un controllo sui conti ogni tot ore non è affatto semplice.

Ho letto l'articolo da più parti e mi sono fatto l'idea che l'ammontare stimato sia molto conservativo, perchè molti istituti hanno preferito tacere ed avviare prima indagini interne e poi denunce alle autorità, mantenendo un profilo basso tanto più se i soldi dei correntisti non sono stati toccati.

Ho letto la notizia stamani sul quotidiano e il primo pensiero che mi è venuto in mente è stato il come abbiano fatto a conoscere certe cose. Difficile credere che non ci sia una o più talpe che hanno passato informazioni su procedure, sistemi e architetture delle reti.

Alla fine mi viene anche da dire tanto di cappello a coloro che sono riusciti in una tale impresa (tecnicamente parlando, si intende). Veramente impressionante.

https://www.youtube.com/watch?v=euI3v2jpTlI

:D

ma come si fa a essere cosi ritardati da credere e scrivere che un ATM sia stato svaligiato di 7,8 milioni di dollari [...]

LOOOL ma vero! credevo di aver capito io male :asd:
però dai ... un noob qualunque che muove/frega 300M $ ... mi pare quantomeno improbabile :D
poi oh, se c'è riuscito un unico cracker, soprattutto visto che ancora non hanno beccato nessuno ... io lo assumerei prima di subito!

qualunque sia l'ammontare del "furto" non sarà mai lontanamente paragonabile ai furti che le banche perpetrano dalla notte dei tempi.
Propongo il nobel per tutte le persone coinvolte, l'immunità parlamentare e un premio del 10% sui soldi che si sono fregati, ovviamente senza toccargli il bottino e ovviamente che il premio sia a carico delle banche.
Sto facendo di tutta l'erba un fascio? Puo' darsi, ma sticazzi!!!

ma come si fa a essere cosi ritardati da credere e scrivere che un ATM sia stato svaligiato di 7,8 milioni di dollari, ma quanti cazzo di soldi pensate ci mettano dentro, ma siete deficienti. La gente andrebbe li con un carroarmato per rapinarli. Comunque la tecnica è una boiata da 4 soldi che potrebbe usare un qualsiasi noob cracker e probabilmente questa storia è solo la punta dell'iceberg di tante storie molto simili, questo perché in banca quasi qualunque dipendente ritardato può buttare dentro la sua password (gattino00) e muovere dei soldi da un conto a un altro, e se sti coglioni usano i pc pure per scaricare porno e aprire le mail che la nonna gli manda, la banca sarà piena di virus.

un ATM nel cuore di una metropoli ci mette cazzo a erogare 7 milioni di dollari, qua si parla di una vicenda che dura da qualche anno, é ovvio che non si tratta di un prelievo una tantum e probabilmente si parla di piu' ATM di una banca, non di un solo sportello.

Devi essere addentrato in molte delle procedure interne di una banca, anzi di molte banche, per mettere in piedi un furto di tale portata.
Venire a conoscenza che un tale istituto effettua un controllo sui conti ogni tot ore non è affatto semplice.

Ho letto l'articolo da più parti e mi sono fatto l'idea che l'ammontare stimato sia molto conservativo, perchè molti istituti hanno preferito tacere ed avviare prima indagini interne e poi denunce alle autorità, mantenendo un profilo basso tanto più se i soldi dei correntisti non sono stati toccati.

Chiaro, per attaccare un sistema informatico devi conoscerlo a fondo, non é mica la classica falla della versione X di Apache o di un determinato router cisco. Piu' che hackeraggio inteso come rendere indisponibile un sistema o fregare dati sensibili, questo é stato un vero e proprio controllo remoto dell' IT di un intero gruppo bancario, sarà interessante capire che piattaforma SW condividevano le banche conivolte.

Leggendo l'articolo, la prima cosa che mi è venuta in mente, è stato lo sbanco di un casinò, mi pare in Croazia o uno dei paesi della ex Jugoslavia, dove, prima che vietassero l'uso degli smartphone, un geniaccio aveva creato un'app che tramite la fotocamera ed una ripresa video del lancio della pallina della roulette da parte del croupier, sembra riuscisse con buona accuratezza a prevedere il nr di uscita... non so se sia una bufala, parliamo di un po' di anni fa ... e non so quante decine o centinaia di migliaia di $ di vincita da parte di un 3 o 4 persone la notizia parlava di una grossa somma in ogni caso.... XD

Usando le credenziali di accesso ottenute impersonando i funzionari della banca, i criminali gonfiavano artificiosamente il saldo di un conto per poi effettuare il trasferimento di fondi voluto: da 1000 a 10000 dollari ad esempio, per trasferirne 9000 al di fuori della banca.

Per la serie, "ma allora è vero che il denaro è solo un click su un computer per le banche" :D

però dai ... un noob qualunque che muove/frega 300M $ ... mi pare quantomeno improbabile :DLui ha parlato di tecnica da noob. è evidente che solo per aver fatto una operazione su larga scala chi ha fatto questa roba non è un noob.

Di fatto è sempre la stessa storia, l'utente medio è uno che scrive le password per controllare i sistemi critici dell'azienda nei bigliettini che attacca allo schermo del PC, e chi progetta la sicurezza interna o non capisce una cippa o ha le mani legate da manager che non capiscono una cippa.

Qui il problema è che la sicurezza informatica è stata gestita col :ciapet: perchè non è MINIMAMENTE perdonabile che una postazione con poteri così elevati sui registri della banca possa essere anche lontanamente infettata.

Esistono hypervisor e macchine virtuali proprio per queste situazioni dove serve sicurezza, il sistema di controllo dei conti sta su una VM isolata da internet e isolata dalla VM di uso comune dell'impiegato, che può essere lasciata a se stessa e anche se riempita di malware non fa danni a nessuno.

Poi certo, il responsabile della sicurezza deve girare e fare ispezioni a sorpresa per trovare e cestinare tutti i bigliettini con password che gli impiegati e i manager immancabilmente scriveranno e metteranno in posti vari.

Per la serie, "ma allora è vero che il denaro è solo un click su un computer per le banche" Se basta usare la password di un impiegato o di un manager per "creare" 10'000 dollari ad minchiam il problema è che il sistema informatico che gestisce il registro delle transazioni è scritto coi piedi.

ma come si fa a essere cosi ritardati da credere e scrivere che un ATM sia stato svaligiato di 7,8 milioni di dollari, ma quanti cazzo di soldi pensate ci mettano dentro, ma siete deficienti. La gente andrebbe li con un carroarmato per rapinarli. Comunque la tecnica è una boiata da 4 soldi che potrebbe usare un qualsiasi noob cracker e probabilmente questa storia è solo la punta dell'iceberg di tante storie molto simili, questo perché in banca quasi qualunque dipendente ritardato può buttare dentro la sua password (gattino00) e muovere dei soldi da un conto a un altro, e se sti coglioni usano i pc pure per scaricare porno e aprire le mail che la nonna gli manda, la banca sarà piena di virus.

perdonami, ma non hai idea dei sistemi che usano le banche o grandi aziende :)

1) La password di ogni singolo utente và cambiata ogni 30 giorni
2) La password è autogenerata
3) I computer sono tutti sotto rete con dominio, firewall (hardware e software), vpn per le filiali e sotto server proxy
4) Il traffico del computer viene filtrato, quindi facebook, twitter, google e tutti i domini "scomodi" vengono bloccati.
5) Le persone serie utilizzerebbero Thin client.

Per capirsi, se fossi io il sysadmin non gli avrei manco permesso di modificare lo sfondo del desktop.


ps: nell'articolo c'è scritto "prelevamenti" è sbagliato! "Prelievi" è la giusta parola.
fonte:http://www.accademiadellacrusca.it/it/lingua-italiana/consulenza-linguistica/domande-risposte/banca-ospedale-prelievo-prelevamento

perdonami, ma non hai idea dei sistemi che usano le banche o grandi aziende :)

1) La password di ogni singolo utente và cambiata ogni 30 giorni
2) La password è autogenerata
3) I computer sono tutti sotto rete con dominio, firewall (hardware e software), vpn per le filiali e sotto server proxy
4) Il traffico del computer viene filtrato, quindi facebook, twitter, google e tutti i domini "scomodi" vengono bloccati.
5) Le persone serie utilizzerebbero Thin client.

Per capirsi, se fossi io il sysadmin non gli avrei manco permesso di modificare lo sfondo del desktop.


ps: nell'articolo c'è scritto "prelevamenti" è sbagliato! "Prelievi" è la giusta parola.
fonte:http://www.accademiadellacrusca.it/it/lingua-italiana/consulenza-linguistica/domande-risposte/banca-ospedale-prelievo-prelevamento

Nel mondo dei sogni si.....nel mondo reale il capo o i capi che non hanno la minima idea di cosa sia un computer (figuriamoci cosa sia la sicurezza informatica) pretendono di avere la password che non scade perchè è troppo difficile ricordarsi una passqord al mese (ma stai tranquillo che sanno a memoria i numeri di telefono di tutte quelle che gli passano sotto la scrivania)...pretendono di avere la possibilità di andare su facebook o altri cazzi e tu se vuoi tenerti stretto il tuo lavoro devi fare come dicono....e via di password uguali al dominio o allo stesso nome utente su pc con accesso full a internet e su cui sono amministratori di macchina....

e te lo dico non per sentito dire,ma perchè l'ho visto e lo vedo tutt'ora fare in aziende leader mondiali del loro settore o peggio in aziende che gestiscono segreti militari (su pc con windows 2000,giuro!!!).....

lasciamo perdere ....:rolleyes:

1) La password di ogni singolo utente và cambiata ogni 30 giorniChiunque abbia un grado più alto dell'admin (un manager qualsiasi) generalmente fa pressioni per non doverla cambiare sul suo PC e se non c'è un altro manager di grado più alto che gli dà delle legnate e lo rimette al suo posto, l'Admin non può farci niente.
Se il capo è un troglodita anche un semplice impiegato può ottenere questa concessione semplicemente chiedendolo al capo.

Inoltre, nel 99% dei casi dove avviene il cambio delle password, gli utenti usano al max 2 password che cambiano da un mese all'altro o aggiungono numeri progressivi o date alla fine della stessa password (facilmente capibili o trovabili tramite attacco con dizionari), se il sistema non controlla che le password siano diverse da quella precedente tendono a "cambiare" la password rimettendo la stessa.

2) La password è autogenerataFantascenza pura e semplice. Nei rarissimi casi dove avviene le password sono su dei post-it attaccati allo schermo o al tavolo della postazione a cui si riferisce perchè nessuno si sbatte a ricordare una stringa alfanumerica di lettere/numeri/simboli che cambia ogni 30 giorni. (già non ricordano le password che mettono loro e fanno i post it con le loro credenziali in situazioni normali, figurati una assegnata dal sistema)
Con una cifra irrisoria pagata alla donna delle pulizie puoi avere le password di mezza azienda.

3) I computer sono tutti sotto rete con dominio, firewall (hardware e software), vpn per le filiali e sotto server proxyQuanto queste misure siano efficaci dipende da quanto hanno voglia di spendere per attuarle in modo decente ai piani alti.
Generalmente i fondi per l'IT tendono ad avere costi rilevanti per cambiare i portatili dei manager a cadenza annuale o biennale sui quali non si discute, ma per il resto è quasi sempre una lotta al coltello, assumendo che qualcuno ascolti l'Admin.
4) Il traffico del computer viene filtrato, quindi facebook, twitter, google e tutti i domini "scomodi" vengono bloccati.Stesso discorso del punto 1.

5) Le persone serie utilizzerebbero Thin client.Vedi punto 1. Nessuno di quelli che conta un pochino in una ditta (cioè di quelli che hanno password che vale la pena rubare) si accontenta di un thin client, vogliono il portatile nuovo e bello, e vogliono fare il pazzo che gli pare.

Chiunque abbia un grado più alto dell'admin (un manager qualsiasi) generalmente fa pressioni per non doverla cambiare sul suo PC e se non c'è un altro manager di grado più alto che gli dà delle legnate e lo rimette al suo posto, l'Admin non può farci niente.
Se il capo è un troglodita anche un semplice impiegato può ottenere questa concessione semplicemente chiedendolo al capo.

Inoltre, nel 99% dei casi dove avviene il cambio delle password, gli utenti usano al max 2 password che cambiano da un mese all'altro o aggiungono numeri progressivi o date alla fine della stessa password (facilmente capibili o trovabili tramite attacco con dizionari), se il sistema non controlla che le password siano diverse da quella precedente tendono a "cambiare" la password rimettendo la stessa.

Fantascenza pura e semplice. Nei rarissimi casi dove avviene le password sono su dei post-it attaccati allo schermo o al tavolo della postazione a cui si riferisce perchè nessuno si sbatte a ricordare una stringa alfanumerica di lettere/numeri/simboli che cambia ogni 30 giorni. (già non ricordano le password che mettono loro e fanno i post it con le loro credenziali in situazioni normali, figurati una assegnata dal sistema)
Con una cifra irrisoria pagata alla donna delle pulizie puoi avere le password di mezza azienda.

Quanto queste misure siano efficaci dipende da quanto hanno voglia di spendere per attuarle in modo decente ai piani alti.
Generalmente i fondi per l'IT tendono ad avere costi rilevanti per cambiare i portatili dei manager a cadenza annuale o biennale sui quali non si discute, ma per il resto è quasi sempre una lotta al coltello, assumendo che qualcuno ascolti l'Admin.
Stesso discorso del punto 1.

Vedi punto 1. Nessuno di quelli che conta un pochino in una ditta (cioè di quelli che hanno password che vale la pena rubare) si accontenta di un thin client, vogliono il portatile nuovo e bello, e vogliono fare il pazzo che gli pare.

Ed è per questo che le banche/aziende vengono infinocchiate con semplici bruteforce/injection/exploit/trojan.

Se un'azienda mi assume per fare da sysadmin, la decisione operativa della rete spetta a me, a prescinedere dai costi, altrimenti assumevi bimbominkia che ti metteva un server samba con le condivisioni senza password e i server connessi via lan con l'amministratore senza password, i router senza firewall con le password "admin/admin".

edit: il problema password autogenerata si può aggirare facendogli mettere 1 password diversa sempre mantendendo i parametri:
- 8 caratteri
- minimo 1 lettera minuscola e 1 maiuscola
- deve contenere almeno un numero
- deve contenere un carattere speciale ./&%$@ ecc..
- non deve essere uguale ad una password utilizzata di recente

Oltre che la password scelta, si utilizza una smartcard/chiave hardware/rfid/impronte digitali.


Per quelli che non vogliono il thin client usano una rete ESTERNA alla banca.

Se un'azienda mi assume per fare da sysadmin, la decisione operativa della rete spetta a me, a prescinedere dai costiQuesta non è una aspettativa realistica, purtroppo.
Ci sono casi di aziende dove chi comanda sa di essere un troglodita in campo IT (e che quindi magari dovrebbe demandare le decisioni a terzi) e quindi dà il giusto potere alla figura dell'Admin, ma di solito non è così.

Oltre che la password scelta, si utilizza una smartcard/chiave hardware/rfid/impronte digitali. Tempo perso perchè ne perderanno a pacchi, ci scriveranno sopra le password, faranno il 30 e diavolo comunque. Le impronte digitali non vanno bene perchè se hanno mani sporche o si sono fatti male o per una qualche ragione il lettore non gli legge il dito è un casino.

L'unico sistema serio e utile per l'umanità nel suo complesso è fare una selezione decente quando li assumi, tenere controllato e licenziarli se fanno cazzate del genere in quanto sono pericoli per l'azienda. Così chi ha orecchie per intendere cerca di diventare meno capra, e gli altri migrano verso altri lavori dove non è necessaria tutta questa sicurezza. Ma neanche chi assume il personale ne capisce una cippa, quindi come distingue le capre?

Ma resta fantascenza, si assume la ragazza carina, l'amico del cugino, e per licenziare qualcuno anche con giusta causa devi fare i salti mortali ("convincerlo" ad andarsene di solito è la strada che adottano e che funziona molto meglio)


Per quelli che non vogliono il thin client usano una rete ESTERNA alla banca. L'ho già detto sopra, si prende un PC qualsiasi (deve avere le feature di virtualizzazione quindi niente bidoni pre-2010), ci si mette un bell'hypervisor e si tengono distinti gli ambienti tra il sistema di controllo dei registri interni e il sistema operativo usato dall'utente normale.
Se sono due VM distinte con hypervisor, puoi riempire di merda finchè vuoi la VM usata dall'utente, ma non potrai MAI e poi MAI vedere alcunchè di quello che viene effettuato sulla VM dedicata a fare queste operazioni sul registro delle operazioni bancarie.

Cmq, per quanti siano i complici e per quanto ci abbiano lavorato (intendo tantissime ore per un pò di anni), bisogna dire che alla fine il gioco ne valeva la pena,perchè se hanno preso centinaia di milioni di euro, sono un buon ritorno d'investimento :asd:

sembra che sia davanti ad una webcam per incontri bondage!!!

Massimo rispetto per chi truffa il sistema truffa.
Il problema vero è cosa ci fanno con i soldi guadagnati...

A proposito delle password autogenerate: https://xkcd.com/936/

non so...ho come l'impressione che negli ultimi giorni Kapersky sia più attiva del solito...

A proposito delle password autogenerate: https://xkcd.com/936/Quello è valido se si parla di attacchi bruteforce (che provano tutte le possibili combinazioni) su sistemi che non hanno alcun controllo sul numero di tentativi di login per unità di tempo.

Praticamente tutti i sistemi connessi ad internet non progettati coi piedi tendono a far scattare allarmi belli grossi quando vengono fatti centinaia o migliaia di tentativi di login falliti per un dato account in un tempo limitato. Perchè francamente, non è minimamente umano tentare di loggarsi 1000 volte al secondo da punti diversi del pianeta per 3 giorni consecutivi, ed un server lo nota facilmente.

Ad esempio questo forum ti dà X tentativi di login se sbagli poi blocca i login per quell'account per X tempo.

Il motivo per cui la prima password è di solito più sicura della seconda è che con la prima non funziona un attacco basato su dizionari.
Se si usa un attacco con dizionari l'algoritmo di craccatura prova le diverse parole più che le combinazioni di lettere, quindi la seconda password è molto più facile da craccare che con un sistema bruteforce.

Quello è valido se si parla di attacchi bruteforce (che provano tutte le possibili combinazioni) su sistemi che non hanno alcun controllo sul numero di tentativi di login per unità di tempo.

Praticamente tutti i sistemi connessi ad internet non progettati coi piedi tendono a far scattare allarmi belli grossi quando vengono fatti centinaia o migliaia di tentativi di login falliti per un dato account in un tempo limitato. Perchè francamente, non è minimamente umano tentare di loggarsi 1000 volte al secondo da punti diversi del pianeta per 3 giorni consecutivi, ed un server lo nota facilmente.

Ad esempio questo forum ti dà X tentativi di login se sbagli poi blocca i login per quell'account per X tempo.

Il motivo per cui la prima password è di solito più sicura della seconda è che con la prima non funziona un attacco basato su dizionari.
Se si usa un attacco con dizionari l'algoritmo di craccatura prova le diverse parole più che le combinazioni di lettere, quindi la seconda password è molto più facile da craccare che con un sistema bruteforce.

:) mi hai battuto sul tempo :P

ma come si fa a essere cosi ritardati da credere e scrivere che un ATM sia stato svaligiato di 7,8 milioni di dollari, ma quanti cazzo di soldi pensate ci mettano dentro, ma siete deficienti. La gente andrebbe li con un carroarmato per rapinarli. Comunque la tecnica è una boiata da 4 soldi che potrebbe usare un qualsiasi noob cracker e probabilmente questa storia è solo la punta dell'iceberg di tante storie molto simili, questo perché in banca quasi qualunque dipendente ritardato può buttare dentro la sua password (gattino00) e muovere dei soldi da un conto a un altro, e se sti coglioni usano i pc pure per scaricare porno e aprire le mail che la nonna gli manda, la banca sarà piena di virus.
In realta se fosse così facile come dici non avremmo pij un soldo sul cc. E i romenpolacchi invece di clonare le postepay con 20 euro sopra avrebbero altro da fare.
Ho letto la notizia stamani sul quotidiano e il primo pensiero che mi è venuto in mente è stato il come abbiano fatto a conoscere certe cose. Difficile credere che non ci sia una o più talpe che hanno passato informazioni su procedure, sistemi e architetture delle reti.

Alla fine mi viene anche da dire tanto di cappello a coloro che sono riusciti in una tale impresa (tecnicamente parlando, si intende). Veramente impressionante.


In realtà la cosa difficile è entrare nel sistema , una volta dentro , basta ( come scritto ) monitorare cosa fa il dipendente. E farlo .

Chiunque abbia un grado più alto dell'admin (un manager qualsiasi) generalmente fa pressioni per non doverla cambiare sul suo PC.Vero.
Puoi avere tutte le politiche di scadenza password di 'sto mondo, ma esiste sempre il flagghettino magico riservato ai vari SUSL/UL/SL e company:

http://lh6.ggpht.com/-x3FmbfANdpw/UCDas2omLEI/AAAAAAAADf4/lmy1jmXy0Mc/07-08-2012%25252013-28-44_thumb%25255B1%25255D.png

questo perché in banca quasi qualunque dipendente ritardato può buttare dentro la sua password (gattino00) e muovere dei soldi da un conto a un altroNo, fermo. Non credo sia veramente così semplice.
L'accesso ai PC della banca può essere semplice (magari ci sono delle regole ben precise per la stesura della password e via dicendo, ma ho mostrato qua sopra che si aggirano mettendo un semplice 'flag' nel profilo utente di qualcuno su un Domain Controller), ma riuscire a entrare nel PC di un impiegato di banca grazie al cielo non vuol dire avere accesso a tutti i movimenti di tutti i conti correnti (let alone movimentare quei conti).
Una volta loggato al PC che c'è allo sportello di una banca, immagino che serva l'accesso alla VPN con il datacenter (e qui le scuole di pensiero son due: VPN sempre attiva senza password né niente, oppure altra autenticazione diversa da quella con la quale si è entrati nel PC) e poi che servano le credenziali (ancora, immagino siano diverse da quelle usate per accedere al PC) per accedere fisicamente al software di gestione dei conti (se la macchina è un mero thin client come già ipotizzato da bobafetthotmail il problema non si pone, ma anche se la macchina non è un thin client spero bene che l'utente abbia installato solo un frontend).

Diciamo che grosse truffe non sono possibili senza la complicità (o l'estrema stupidità) di qualcuno interno alla banca, secondo me.

e poi ci si domanda come fa il crimine organizzato ed i terroristi a finanziarsi ?... beh.. non servono solo i bitcoins per muovere i soldi.. bastano anche questi hacker per tirare su qualche miliardo per poi comprare armi etc..

Il crimine organizzato fa quello che ha sempre fatto per secoli: cambiano solo i metodi e gli strumenti utilizzati, ma la sostanza ed il reimpiego delle "risorse" non cambia.

Un tempo i banditi piazzavano una carica di dinamite accanto alla cassaforte e la facevano saltare in aria, con appresso mezza banca, dipendenti e clienti.

Almeno con i furti elettronici non muore nessuno, almeno direttamente (indirettamente è ben diverso)

Nel minore dei mali, meglio questi furti che cassieri minacciati col taglierino o furgoni portavalori fatti esplodere.