Есть разные типы переводов. Например, в MT103 Single Customer Credit Transfer полей, описывающих цепочку передачи платежа, аж 9 штук. Т.е. от отправителя к получателю платёж может (грубо говоря) идти последовательно через 7 организаций. С технической точки зрения, два соседних агента в цепочке должны проверять только валидность платёжного сообщения, наличие юридических взаимоотношений (например, корреспондентских счетов) на шаг вперед и назад по цепочке, и (как правило) соответствие платежного сообщения правилам AML. Deutsche Bank тут, практически наверняка, был в цепочке, и должен быь делать проверки.
… А потом неожиданно обнаружить в своей выписке счета за большие телевизоры, ковры, ювелирку и прочие «предметы обихода», которые не заказывал. Реальный случай, между прочим… Заказы, правда, удалось отменить (почти все), деньги — вернуть (вообще все), но данные по ID — пришлось скрыть (есть тут такая возможность). Дело закрыли, никого не нашли. Identity theft в Швеции — реальная проблема. Можно легко квартиры или дома лишиться.
Тут сложно сказать наверняка. Озвучиваются две версии: одна, что платёжка-таки дошла до конечного банка в цепочке (Pan Asia Banking Corp), тот то ли не нашёл у себя такого клиента, то ли удивился размеру перевода, сигнализировал «наверх» (в Deutsche Bank), там обнаружили опечатку, и, в свою очередь, связались с ЦБ Бангладеш; вторая — что в самом Deutsche Bank обнаружили опечатку, и забили тревогу. С моей точки зрения, обе версии имеют право на жизнь.
Банковская тайна в последнее время стала весьма эфемерным понятием в виду деятельности FATF, и прочих подобных организаций. Все банки, работающие с основными мировыми валютами, обязаны реализовывать антиотмывочные (AML — Anti-Money Laundering) меры, или, говоря проще, именно с пристрастием разглядывать «текстовое поле получателя» (и, естественно, отправителя) всех проходящих через них платежей. А будет это просто сличение со списком бинладенов, или что-то более сложное — зависит от банка. Хотя, КМК, ловить орфографические ошибки в международных платежах — дело довольно стрёмное. Какое-нибудь Jabatan Bomba dan Penyelamat, вызывающее тревожные ассоциации даже у живого человека, оказывается вполне мирной частью пожарной охраны и т.п…
Позволю себе добавить немного деталей из других публичных источников, немного дополнив их собственными измышлениями…
Во-первых, там всё было хорошо социально наинженерено. В мусульманских странах выходные — пятница и суббота, на западе — суббота и воскресенье. Плюс к этому, 8-го февраля был «китайский новый год» — официальный выходной на Филлипинах. Серьёзный задел времени.
Во-вторых, сыграла свою роль своеобразность ПО SWIFT. С одной стороны оно весьма весьма скурпулёзное в плане мер безопасности (криптография, периодические проверки собственной целостности, мощная система разграничения прав доступа...), а с другой стороны — довольно кондовое, чтобы в этих мерах безопасности реально мог разобраться средней руки сотрудник.
В-третьих, скорее всего, нужно упомянуть недостаточную квалификацию сотрудников банка, отвечающих за IT безопасность в целом.
В-четвёртых, общее разгильдяйство участников.
И в-пятых — оригинальное антиотмывочное законодательтво на Филлипинах.
Скорее всего, в банк подсадили программный троян и/или живого агента, который некоторое время собирал информацию о работе IT систем, связанных с валютными переводами через FRB NY, где у банка был долларовый счёт. Достаточно было узнать формат платежных поручений, процедуру их обработки и логины операторов, вводящих и авторизирующих платежи через свифтовый терминал.
В ночь с четверга на пятницу (с 4-го на 5-е февраля), злоумышленники послали через свифтовый терминал банка 35 платёжек на общую сумму $951M, и немного «подпортили» ПО SWIFT (в одном из источников написано, что удалили nroff.exe), так, что перестала работать печать уведомлений о проведённых платежах (и, скорее всего, через некоторое время, после проверки целостности, вообще весь терминал). При этом только 5 платежей на $101M нормально обработались в FRB, а остальные, судя по всему, оказались составлены некорректно. 4 платежа на $81M ушли в филлипинский банк, а один на $20M — в шриланкийский. Прошедшие платежи использовали названия реально финансируемых государством проектов (стороительство мостов, метро и т.п.) и не вызвали подозрений у AML системы FRB.
Работники банка фактически забили на восстановление работоспособности терминала на выходных, и не смогли (а может, не имели полномочий) обнаружить подозрительные платежи вплоть до понедельника, когда они восстановили софт из бэкапа, получили подтверждения о проведённых и не проведённых платежах, которые «никто не заказывал», и стали пытать разрулить ситуацию, не привлекая лишнего внимания (а сама история, напомню, всплыла в прессе (причём, филлипинской!) только в конце февраля). Вдобавок, сейчас обе стороны (ЦБ Бангладеш и FRB NY) кидают друг-другу «обидки», что не могли достучаться до противоположной стороны из-за выходных (в пятницу и субботу — у ЦБ, а в субботу и воскресенье — у FRB).
У платежа на Шри-Ланку, как и описано в статье, обнаружилась ошибка в названии получателя, он остановился в транзитном банке, и его, в итоге, удалось отозвать, а вот платежи на Филлипины успешно дошли до получателей. Ими оказались некие загадочные лица, открывшие свои счета чуть менее года назад, положишине на них по $500, и не использовавшие их вплоть до рассматриваемых событий. Далее деньги собрали на вновь открытом счёте, через компанию почтовых переводов конвертировали в местную валюту, и выдали кэшем компании — оператору казино.
При этом оказалось, что менеджер филлипинского банка, в ведении которого были проведённые операции, сама открыла транзитный счёт на имя одного из клиентов своего отделения без его ведома, и санкционировала переводы, уже получив распоряжение из Бангладеш на приостановку платежей. Также есть свидетели, утверждающие, что часть окэшенных денег она лично увезла на своей машине, а её адвокат заявляет, что она боялась за свою жизнь и вообще выполняла распоряжения высшего руководства своего банка… Стоит упомянуть и то, что по филлипинскому антиотмывочному закону 2001 года, его действие не распространяется на казино, а вот правила соблюдения банковской тайны весьма строгие, и именно на них, и на право не свидетельствовать против самих себя, сейчас ссылаются подозреваемые…
Там не только «с зубами проблема», но и «с глазами». В демонстрируемой модели вместо внутренностей рта и глаз стоят простые «заглушки». А главное достижение — возможность в реальном времени захватывать анимацию лица-источника, и соответствующим образом реанимировать лицо-приёмник. Причём, все расчёты делаются по обычному «плоскому» видео (предыдущие подобные модели требовали изображение со «слоем дальности»). У ребят летом выходит статья в ACM Transactions on Graphics, препринт которой уже можно почитать, например, здесь: gvv.mpi-inf.mpg.de/files/TOG2016/PersonalizedFaceRig.pdf (если будет много желающих, могу попробовать сделать небольшой обзор-перевод...)
Спасибо автору и всем комментаторам за множество инетерсных идей! От себя хочу только лишний раз напомнить про важность соблюдения правил техники безопасности, особенно при работе с электричеством, огнём и едкой химией. Причём, не просто соблюдения, но и чёткого инструктирования ребёнка на доступном ему уровне.
Как-то раз сын (тогда ему было года четыре) обнаружил упавший на пол светодиод, и, естественно, обратился ко мне с вопросом, «что это такое?» Я, как мог, рассказал и показал, не забыв упомянуть, что штука эта нежная, легко перегорает, подключать её можно только «к маленьким батарейкам», да и то осторожно, и лучше всего под руководством папы. Но стоило отвлечься буквально на минуту, как раздался небольшой «бах», и в квартире погас свет. Ошарашенный ребёнок сидел возле розетки, с закопчёнными пальцами, а на полу лежали остатки светодиода… На удивление, кроме лёгкого шока и сажи на пальцах, других последствий не было…
Рискуя свалиться в офтопик, всё же не могу не отметить в этой связи потенциальную опасность другой парадоксальной ситуации. Демократическое государство, граждане которого делегируют (через выборы) часть своих прав, и соответствующее (через налоги) материальное обеспечение на их реализацию — правительству, теряет одну из основ своего существования. Граждане, вместо оплаты налогами содержания государства, сами переходят на его содержание. Т.е. формально у них пропадает право требования чего-либо от государства...
Я, собственно, именно про это и писал. Если хотите, "достаточно четко сформулированная задача, набор технологий и свод правил по их использованию" — как раз задает тот уровень, ниже которого можно говорить о применимости «системы с элементами ИИ», а выше — уже нет. Причем подъём этого уровня не является чисто "механической" задачей, которая решится сама собой с повышением производительности железа. В качестве характерного примера тут можно привести задачу автоматического перевода с одного языка на другой. Полноценное решение у неё может быть только с использованием "настоящего" ИИ, хотя частные решения есть уже сейчас, и они, несомненно, будут дальше совершенствоваться, всё же оставаясь на огромной дистанции позади "живого" переводчика.
В общем случае — очень сложно, и пока невыполнимо. Именно тут проходит одна из граней, отделяющая «системы с элементами ИИ» и «полноценный ИИ». Если совсем упрощать, то «написание программы» (вне зависимости от того, на чём именно она будет написана) — это нахождение или построение функции, которая на заданном наборе исходных данных будет давать определённый результат. Как правило (для всех практически полезных задач), целевая функция рекурсивно разбивается на более простые «подфункции», до такой степени, что их реализация может быть формально описана, или взята из уже имеющихся «библиотек функций».
На самых нижних уровнях (когда можно чётко задать области определения и значений функции, а также класс функций, из которого можно сделать выбор) — для ИИ сейчас есть работа. А на верхних — пока нет, поскольку эта работа связана с восприятием сложности реального мира, каковая пока на много порядков выше возможностей имеющегося ИИ по её обработке (для этого нужно «понимать», как устроен мир, хотя бы в той области, где будет работать программа...)
Давным-давно, когда Wi-Fi не было вообще, а у преферанса и поэтэсс ещё не было негативных коннотаций, мой папа делал автоматизацию света в санузле, заделывая в дверной косяк прибор, который сейчас ищется по сочетанию слов «кнопка торшерная». Дверь открыл-закрыл — свет включился, опять открыл-закрыл — выключился. Дёшево и сердито…
В ожидании Большого Брата стёр куки, и попытался зайти на gmail.com — получил запрос подтверждения identity. Ввёл другой e-mail (который, кстати, уже был указан в профиле, как резервный). Оно написало «We've sent instructions to the email you provided: some@e.mail. Follow the instructions in the email to sign in to your account.». Ну ладно, думаю, почитаю письмо… А в письме такая «инструкция»: «Hi, Unfortunately Google was unable to verify your identity for account some@gmail.com. Please try to sign in again from a computer you’ve successfully signed in from recently.».
Где в Firefox «Recycle bin», из которого можно достать стёртые куки?! ;)
P.S. Я, конечно, понимаю, безопасность и всё такое, но лично мне галочки «отключить безопасность к свиням собачьим» в гугловских настройках очень не хватает.
Банковская тайна в последнее время стала весьма эфемерным понятием в виду деятельности FATF, и прочих подобных организаций. Все банки, работающие с основными мировыми валютами, обязаны реализовывать антиотмывочные (AML — Anti-Money Laundering) меры, или, говоря проще, именно с пристрастием разглядывать «текстовое поле получателя» (и, естественно, отправителя) всех проходящих через них платежей. А будет это просто сличение со списком бинладенов, или что-то более сложное — зависит от банка. Хотя, КМК, ловить орфографические ошибки в международных платежах — дело довольно стрёмное. Какое-нибудь Jabatan Bomba dan Penyelamat, вызывающее тревожные ассоциации даже у живого человека, оказывается вполне мирной частью пожарной охраны и т.п…
Во-первых, там всё было хорошо социально наинженерено. В мусульманских странах выходные — пятница и суббота, на западе — суббота и воскресенье. Плюс к этому, 8-го февраля был «китайский новый год» — официальный выходной на Филлипинах. Серьёзный задел времени.
Во-вторых, сыграла свою роль своеобразность ПО SWIFT. С одной стороны оно весьма весьма скурпулёзное в плане мер безопасности (криптография, периодические проверки собственной целостности, мощная система разграничения прав доступа...), а с другой стороны — довольно кондовое, чтобы в этих мерах безопасности реально мог разобраться средней руки сотрудник.
В-третьих, скорее всего, нужно упомянуть недостаточную квалификацию сотрудников банка, отвечающих за IT безопасность в целом.
В-четвёртых, общее разгильдяйство участников.
И в-пятых — оригинальное антиотмывочное законодательтво на Филлипинах.
Скорее всего, в банк подсадили программный троян и/или живого агента, который некоторое время собирал информацию о работе IT систем, связанных с валютными переводами через FRB NY, где у банка был долларовый счёт. Достаточно было узнать формат платежных поручений, процедуру их обработки и логины операторов, вводящих и авторизирующих платежи через свифтовый терминал.
В ночь с четверга на пятницу (с 4-го на 5-е февраля), злоумышленники послали через свифтовый терминал банка 35 платёжек на общую сумму $951M, и немного «подпортили» ПО SWIFT (в одном из источников написано, что удалили nroff.exe), так, что перестала работать печать уведомлений о проведённых платежах (и, скорее всего, через некоторое время, после проверки целостности, вообще весь терминал). При этом только 5 платежей на $101M нормально обработались в FRB, а остальные, судя по всему, оказались составлены некорректно. 4 платежа на $81M ушли в филлипинский банк, а один на $20M — в шриланкийский. Прошедшие платежи использовали названия реально финансируемых государством проектов (стороительство мостов, метро и т.п.) и не вызвали подозрений у AML системы FRB.
Работники банка фактически забили на восстановление работоспособности терминала на выходных, и не смогли (а может, не имели полномочий) обнаружить подозрительные платежи вплоть до понедельника, когда они восстановили софт из бэкапа, получили подтверждения о проведённых и не проведённых платежах, которые «никто не заказывал», и стали пытать разрулить ситуацию, не привлекая лишнего внимания (а сама история, напомню, всплыла в прессе (причём, филлипинской!) только в конце февраля). Вдобавок, сейчас обе стороны (ЦБ Бангладеш и FRB NY) кидают друг-другу «обидки», что не могли достучаться до противоположной стороны из-за выходных (в пятницу и субботу — у ЦБ, а в субботу и воскресенье — у FRB).
У платежа на Шри-Ланку, как и описано в статье, обнаружилась ошибка в названии получателя, он остановился в транзитном банке, и его, в итоге, удалось отозвать, а вот платежи на Филлипины успешно дошли до получателей. Ими оказались некие загадочные лица, открывшие свои счета чуть менее года назад, положишине на них по $500, и не использовавшие их вплоть до рассматриваемых событий. Далее деньги собрали на вновь открытом счёте, через компанию почтовых переводов конвертировали в местную валюту, и выдали кэшем компании — оператору казино.
При этом оказалось, что менеджер филлипинского банка, в ведении которого были проведённые операции, сама открыла транзитный счёт на имя одного из клиентов своего отделения без его ведома, и санкционировала переводы, уже получив распоряжение из Бангладеш на приостановку платежей. Также есть свидетели, утверждающие, что часть окэшенных денег она лично увезла на своей машине, а её адвокат заявляет, что она боялась за свою жизнь и вообще выполняла распоряжения высшего руководства своего банка… Стоит упомянуть и то, что по филлипинскому антиотмывочному закону 2001 года, его действие не распространяется на казино, а вот правила соблюдения банковской тайны весьма строгие, и именно на них, и на право не свидетельствовать против самих себя, сейчас ссылаются подозреваемые…
Как-то раз сын (тогда ему было года четыре) обнаружил упавший на пол светодиод, и, естественно, обратился ко мне с вопросом, «что это такое?» Я, как мог, рассказал и показал, не забыв упомянуть, что штука эта нежная, легко перегорает, подключать её можно только «к маленьким батарейкам», да и то осторожно, и лучше всего под руководством папы. Но стоило отвлечься буквально на минуту, как раздался небольшой «бах», и в квартире погас свет. Ошарашенный ребёнок сидел возле розетки, с закопчёнными пальцами, а на полу лежали остатки светодиода… На удивление, кроме лёгкого шока и сажи на пальцах, других последствий не было…
На самых нижних уровнях (когда можно чётко задать области определения и значений функции, а также класс функций, из которого можно сделать выбор) — для ИИ сейчас есть работа. А на верхних — пока нет, поскольку эта работа связана с восприятием сложности реального мира, каковая пока на много порядков выше возможностей имеющегося ИИ по её обработке (для этого нужно «понимать», как устроен мир, хотя бы в той области, где будет работать программа...)
Где в Firefox «Recycle bin», из которого можно достать стёртые куки?! ;)
P.S. Я, конечно, понимаю, безопасность и всё такое, но лично мне галочки «отключить безопасность к свиням собачьим» в гугловских настройках очень не хватает.