مشرف: سيداتي وسادتي، هذا الحديث مضحك للغاية ومثير للاهتمام للغاية، سنتحدث اليوم عن أشياء حقيقية يتم ملاحظتها على الإنترنت. تختلف هذه المحادثة قليلاً عن تلك التي اعتدنا عليها في مؤتمرات Black Hat لأننا سنتحدث عن كيفية قيام المهاجمين بجني الأموال من هجماتهم.
سنعرض لك بعض الهجمات المثيرة للاهتمام التي يمكن أن تحقق ربحًا، وسنخبرك بالهجمات التي حدثت بالفعل في الليلة التي مررنا فيها بـ Jägermeister وقمنا بالعصف الذهني. لقد كان الأمر ممتعًا، ولكن عندما أفاقنا قليلًا، تحدثنا إلى مسئولي تحسين محركات البحث وعلمنا بالفعل أن الكثير من الأشخاص يكسبون المال من هذه الهجمات.
أنا مجرد مدير وسط بلا عقل، لذا سأتخلى عن مقعدي وأقدم لك جيريمي وتري، اللذين هما أكثر ذكاءً مني. يجب أن أحصل على مقدمة ذكية وممتعة، لكنني لا أفعل ذلك، لذا سأعرض هذه الشرائح بدلاً من ذلك.
تظهر الشرائح التي تظهر جيريمي غروسمان وتري فورد على الشاشة.
جيريمي جروسمان هو المؤسس والرئيس التنفيذي للتكنولوجيا في شركة WhiteHat Security، وقد تم اختياره كواحد من أفضل 2007 مديرًا للتكنولوجيا من قبل InfoWorld في عام 25، وهو المؤسس المشارك لاتحاد أمان تطبيقات الويب، والمؤلف المشارك لهجمات البرمجة النصية عبر المواقع.
تري فورد هو مدير الحلول المعمارية في شركة WhiteHat Security، ويتمتع بخبرة 6 سنوات كمستشار أمني لشركات Fortune 500 وأحد مطوري معيار أمان بيانات بطاقة الدفع PCI DSS.
أعتقد أن هذه الصور تعوض عن افتقاري إلى الفكاهة. على أية حال، أتمنى أن تستمتعوا بعرضهم التقديمي ثم تفهموا كيفية استخدام هذه الهجمات على الإنترنت لكسب المال.
جيريمي غروسمان: مساء الخير، شكرًا لكم جميعًا على حضوركم. ستكون هذه محادثة ممتعة للغاية، على الرغم من أنك لن ترى هجمات يوم الصفر أو تقنيات جديدة رائعة. سنحاول فقط أن نجعلها مسلية ونتحدث عن الأشياء الحقيقية التي تحدث كل يوم والتي تسمح للأشرار بجني الكثير من المال.
نحن لا نحاول إثارة إعجابك بما يظهر في هذه الشريحة، ولكننا ببساطة نشرح ما تفعله شركتنا. إذن، White Hat Sentinel، أو "Guardian White Hat" هو:
- عدد غير محدود من التقييمات - التحكم في مواقع العملاء وإدارتها بشكل احترافي، والقدرة على فحص المواقع بغض النظر عن حجمها وتكرار التغييرات؛
- نطاق واسع من التغطية - فحص معتمد للمواقع للكشف عن نقاط الضعف التقنية واختبار المستخدم لتحديد الأخطاء المنطقية في مجالات الأعمال غير المكشوفة؛
- القضاء على النتائج الإيجابية الكاذبة - يقوم فريقنا التشغيلي بمراجعة النتائج ويعين التصنيف المناسب لدرجة الخطورة والتهديد؛
- التطوير ومراقبة الجودة - يتيح لنا نظام WhiteHat Satellite Appliance خدمة أنظمة العملاء عن بعد من خلال الوصول إلى الشبكة الداخلية؛
- التحسين والتحسين - يتيح لك المسح الواقعي تحديث النظام بسرعة وكفاءة.
لذلك، نحن نقوم بتدقيق كل موقع في العالم، ولدينا أكبر فريق من مختبري تطبيقات الويب، ونجري 600-700 اختبار تقييم كل أسبوع، وجميع البيانات التي ستراها في هذا العرض التقديمي تأتي من خبرتنا في القيام بهذا النوع من العمل .
في الشريحة التالية، ترى الأنواع العشرة الأكثر شيوعًا من الهجمات على مواقع الويب العالمية. وهذا يوضح نسبة التعرض لهجمات معينة. كما ترون، 10% من جميع المواقع معرضة للبرمجة النصية عبر المواقع، و65% تسمح بتسرب المعلومات، و40% عرضة لانتحال المحتوى. بالإضافة إلى البرمجة النصية عبر المواقع، فإن عمليات حقن SQL وتزوير الطلب عبر المواقع سيئ السمعة، والتي لم يتم تضمينها في العشرة الأوائل لدينا، شائعة. لكن هذه القائمة تحتوي على هجمات بأسماء مقصورة على فئة معينة، والتي يتم وصفها باستخدام لغة غامضة، وخصوصيتها أنها موجهة ضد شركات معينة.
هذه هي عيوب المصادقة، وعيوب عملية التفويض، وتسرب المعلومات، وما إلى ذلك.
تتحدث الشريحة التالية عن الهجمات على منطق الأعمال. فرق ضمان الجودة المشاركة في ضمان الجودة عادة لا تولي اهتماما لهم. إنهم يختبرون ما يجب أن يفعله البرنامج، وليس ما يمكنه فعله، ومن ثم يمكنك رؤية ما تريد. الماسحات الضوئية، كل هذه الصناديق البيضاء/السوداء/الرمادية، كل هذه الصناديق متعددة الألوان غير قادرة على اكتشاف هذه الأشياء في معظم الحالات، لأنها ببساطة تركز على سياق ما يمكن أن يكون عليه الهجوم أو ما يحدث بشكل مشابه عندما يحدث. إنهم يفتقرون إلى الذكاء ولا يعرفون ما إذا كان أي شيء قد نجح على الإطلاق أم لا.
وينطبق الشيء نفسه على جدران الحماية لتطبيقات IDS وWAF، والتي تفشل أيضًا في اكتشاف عيوب منطق الأعمال لأن طلبات HTTP تبدو طبيعية تمامًا. سنوضح لك أن الهجمات المتعلقة بالعيوب في منطق الأعمال تنشأ بشكل طبيعي تمامًا، فلا يوجد قراصنة ولا أحرف أولية أو غيرها من الشذوذات، فهي تبدو وكأنها عمليات تحدث بشكل طبيعي. الشيء الرئيسي هو أن الأشرار يحبون هذه الأشياء لأن العيوب في منطق الأعمال تجعلهم يكسبون المال. إنهم يستخدمون XSS وSQL وCSRF، لكن هذه الأنواع من الهجمات أصبحت صعبة التنفيذ بشكل متزايد، وقد رأينا أنها انخفضت خلال السنوات الثلاث إلى الخمس الماضية. لكنها لن تختفي من تلقاء نفسها، تمامًا كما لن يختفي تجاوز سعة المخزن المؤقت. ومع ذلك، يفكر الأشرار في كيفية استخدام هجمات أكثر تعقيدًا لأنهم يعتقدون أن "الأشرار الحقيقيين" يسعون دائمًا إلى جني الأموال من هجماتهم.
أريد أن أظهر لك حيلًا حقيقية يمكنك استخدامها واستخدامها بالطريقة الصحيحة لحماية عملك. غرض آخر من عرضنا هو أنك قد تتساءل عن الأخلاق.
استطلاعات الرأي والتصويت عبر الإنترنت
لذلك، لبدء مناقشتنا حول أوجه القصور في منطق الأعمال، دعونا نتحدث عن الاستطلاعات عبر الإنترنت. تعتبر استطلاعات الرأي عبر الإنترنت هي الطريقة الأكثر شيوعًا لمعرفة الرأي العام أو التأثير عليه. سنبدأ بربح قدره 0 دولار ثم ننظر إلى نتائج 5، 6، 7 أشهر من المخططات الاحتيالية. لنبدأ بإجراء استطلاع بسيط جدًا. أنت تعلم أن كل موقع ويب جديد، وكل مدونة، وكل بوابة إخبارية تجري استطلاعات رأي عبر الإنترنت. ومع ذلك، لا يوجد مجال كبير جدًا أو ضيق جدًا، ولكننا نريد أن نرى الرأي العام في مجالات محددة.
أود أن ألفت انتباهكم إلى استطلاع واحد أجري في أوستن، تكساس. نظرًا لأن كلب أوستن بيجل فاز في عرض وستمنستر للكلاب، قرر أوستن أمريكان ستيتسمان إجراء استطلاع عبر الإنترنت لأفضل عرض في أوستن لأصحاب الكلاب في وسط تكساس. أرسل الآلاف من المالكين صورًا وصوتوا لمفضلاتهم. مثل العديد من الاستطلاعات الأخرى، لم تكن هناك جائزة سوى حقوق التفاخر لحيوانك الأليف.
تم استخدام تطبيق نظام Web 2.0 للتصويت. لقد قمت بالنقر فوق "نعم" إذا أعجبك الكلب واكتشفت ما إذا كان أفضل كلب في السلالة أم لا. لقد قمت بالتصويت على عدة مئات من الكلاب المنشورة على الموقع كمرشحين للفائز بالعرض.
باستخدام طريقة التصويت هذه، كان هناك 3 أنواع من الغش ممكنة. الأول هو التصويت الذي لا نهاية له، حيث تقوم بالتصويت لنفس الكلب مرارًا وتكرارًا. انه بسيط جدا. الطريقة الثانية هي التصويت السلبي المتعدد، حيث تقوم بالتصويت لعدد كبير من المرات ضد كلب منافس. الطريقة الثالثة كانت أنك، حرفيًا في اللحظة الأخيرة من المسابقة، قمت بوضع كلب جديد، وصوتت له، بحيث كانت احتمالية الحصول على أصوات سلبية ضئيلة، وفزت بحصولك على أصوات إيجابية بنسبة 100٪.
علاوة على ذلك، تم تحديد الفوز كنسبة مئوية، وليس من خلال إجمالي عدد الأصوات، أي أنه لا يمكنك تحديد أي كلب حصل على أكبر عدد من التقييمات الإيجابية، تم فقط حساب نسبة التقييمات الإيجابية والسلبية لكلب معين. . فاز الكلب الذي حصل على أفضل نسبة نقاط إيجابية/سلبية.
طلبت منه صديقة الزميل روبرت "RSnake" هانسن مساعدتها Chihuahua Tiny في الفوز بمسابقة. أنت تعرف روبرت، وهو من أوستن. لقد قام، مثل المتسلل الخارق، بإصلاح وكيل Burp واتبع المسار الأقل مقاومة. لقد استخدم تقنية الغش رقم 1، حيث قام بتشغيلها من خلال حلقة تجشؤ مكونة من عدة مئات أو آلاف الطلبات، مما أدى إلى حصول الكلب على 2000 صوت مؤيد وجلبه إلى المركز الأول.
بعد ذلك، استخدم تقنية الغش رقم 2 ضد منافس تايني الملقب تشوتشو. في الدقائق الأخيرة من المنافسة، أدلى بـ 450 صوتًا ضد Chuchu، مما عزز موقع Tiny في المركز الأول بنسبة تصويت تزيد عن 1:2، ولكن من حيث نسبة المراجعات الإيجابية والسلبية، ما زال Tiny خاسرًا. في هذه الشريحة، ترى الوجه الجديد لمجرم إلكتروني، وقد أحبطته هذه النتيجة.
نعم، لقد كان سيناريو مثيرًا للاهتمام، لكن أعتقد أن صديقي لم يعجبه هذا الأداء. لقد أردت فقط الفوز بمسابقة تشيهواهوا في أوستن، ولكن كان هناك شخص حاول اختراقك وفعل الشيء نفسه. حسنًا، الآن أقوم بتحويل المكالمة إلى Trey.
خلق الطلب الاصطناعي وكسب المال عليه
تري فورد: يشير مفهوم "DoS الاصطناعي" إلى عدة سيناريوهات مختلفة مثيرة للاهتمام عندما نشتري التذاكر عبر الإنترنت. على سبيل المثال، عند حجز مقعد خاص على متن رحلة جوية. يمكن أن ينطبق هذا على أي نوع من التذاكر، مثل حدث رياضي أو حفلة موسيقية.
من أجل منع عمليات الشراء المتكررة للعناصر النادرة مثل مقاعد الطيران والعناصر المادية وأسماء المستخدمين وما إلى ذلك، يقوم التطبيق بتأمين العنصر لفترة زمنية معينة لمنع التعارضات. وهنا تأتي الثغرة المرتبطة بإمكانية حجز شيء ما مسبقًا.
نعلم جميعًا عن المهلة، ونعلم جميعًا عن إنهاء الجلسة. لكن هذا الخلل المنطقي بالتحديد يسمح لنا باختيار مقعد على متن رحلة جوية ثم العودة لإجراء الاختيار مرة أخرى دون دفع أي شيء. من المؤكد أن الكثير منكم يذهب في كثير من الأحيان في رحلات عمل، ولكن بالنسبة لي يعد هذا جزءًا أساسيًا من العمل. لقد اختبرنا هذه الخوارزمية في العديد من الأماكن: يمكنك تحديد رحلة الطيران واختيار المقعد، ولا تقوم بإدخال معلومات الدفع الخاصة بك إلا عندما تكون جاهزًا. أي أنه بعد اختيارك للمكان، يتم حجزه لك لفترة زمنية معينة - من عدة دقائق إلى عدة ساعات، وخلال هذه الفترة لا يمكن لأي شخص آخر حجز هذا المكان. وبسبب فترة الانتظار هذه، لديك فرصة حقيقية لحجز جميع المقاعد على متن الطائرة بمجرد العودة إلى الموقع وحجز المقاعد التي تريدها.
وبالتالي، يظهر خيار هجوم DoS: كرر هذه الدورة تلقائيًا لكل مقعد على متن الطائرة.
لقد اختبرنا هذا على اثنتين من شركات الطيران الكبرى على الأقل. يمكنك العثور على نفس الثغرة الأمنية مع أي حجز آخر. هذه فرصة رائعة لرفع أسعار التذاكر الخاصة بك لأولئك الذين يرغبون في إعادة بيعها. للقيام بذلك، يحتاج المضاربون ببساطة إلى حجز التذاكر المتبقية دون أي مخاطرة بخسارة مالية. وبهذه الطريقة، يمكنك "تعطيل" التجارة الإلكترونية التي تبيع منتجات عالية الطلب - ألعاب الفيديو، وأجهزة الألعاب، وأجهزة iPhone، وما إلى ذلك. أي أن الخلل الموجود في نظام الحجز أو الحجز عبر الإنترنت يسمح للمهاجم بجني الأموال منه أو التسبب في ضرر للمنافسين.
فك تشفير كلمة التحقق
جيريمي غروسمان: الآن دعونا نتحدث عن كلمة التحقق. يعلم الجميع تلك الصور المزعجة التي تنتشر على الإنترنت وتستخدم لمكافحة البريد العشوائي. من المحتمل أن تتمكن أيضًا من تحقيق ربح من كلمة التحقق. Captcha هو اختبار تورينج مؤتمت بالكامل يسمح لك بالتمييز بين الشخص الحقيقي والروبوت. لقد اكتشفت الكثير من الأشياء المثيرة للاهتمام أثناء بحثي عن استخدام كلمة التحقق.
تم استخدام كلمة التحقق لأول مرة حوالي 2000-2001. يريد مرسلو البريد العشوائي إزالة كلمة التحقق من أجل التسجيل في خدمات البريد الإلكتروني المجانية Gmail وYahoo Mail وWindows Live Mail وMySpace وFaceBook وما إلى ذلك. وإرسال البريد العشوائي. نظرًا لاستخدام كلمة التحقق على نطاق واسع جدًا، فقد ظهر سوق كامل من الخدمات التي تعرض تجاوز كلمة التحقق الموجودة في كل مكان. في النهاية، هذا يجلب الربح - على سبيل المثال إرسال البريد العشوائي. هناك 3 طرق لتجاوز كلمة التحقق، دعونا نلقي نظرة عليها.
الأول هو العيوب في تنفيذ الفكرة، أو العيوب في استخدام كلمة التحقق.
وبالتالي، فإن إجابات الأسئلة تحتوي على قدر قليل جدًا من الإنتروبيا، مثل "اكتب ما يساوي 4+1". يمكن تكرار نفس الأسئلة عدة مرات، ويكون نطاق الإجابات المحتملة صغيرًا جدًا.
يتم التحقق من فعالية كلمة التحقق بهذه الطريقة:
- يجب إجراء الاختبار في ظروف يكون فيها الشخص والخادم بعيدًا عن بعضهما البعض،
ألا يكون الاختبار صعباً على الفرد؛ - يجب أن يكون السؤال بحيث يتمكن الشخص من الإجابة عليه في غضون ثوانٍ قليلة،
فلا يجيب إلا من يُطرح عليه السؤال؛ - يجب أن تكون الإجابة على السؤال صعبة على الكمبيوتر؛
- يجب ألا تؤثر معرفة الأسئلة أو الإجابات السابقة أو مزيجها على إمكانية التنبؤ بالاختبار التالي؛
- يجب ألا يميز الاختبار ضد الأشخاص الذين يعانون من إعاقات بصرية أو سمعية؛
- يجب ألا يكون الاختبار متحيزًا جغرافيًا أو ثقافيًا أو لغويًا.
كما اتضح، فإن إنشاء كلمة التحقق "الصحيحة" أمر صعب للغاية.
العيب الثاني في كلمة التحقق هو إمكانية استخدام التعرف الضوئي على الحروف OCR. جزء من التعليمات البرمجية قادر على قراءة صورة captcha بغض النظر عن مقدار الضوضاء المرئية التي تحتوي عليها، ومعرفة الحروف أو الأرقام التي تشكلها، وأتمتة عملية التعرف. أظهرت الأبحاث أن معظم رموز التحقق يمكن اختراقها بسهولة.
سأقدم عروض أسعار من متخصصين من كلية علوم الكمبيوتر بجامعة نيوكاسل بالمملكة المتحدة. يتحدثون عن سهولة اختراق Microsoft captcha: "تمكن هجومنا من تحقيق معدل نجاح تجزئة بنسبة 92%، مما يعني أنه يمكن اختراق نظام MSN captcha في 60% من الحالات عن طريق تجزئة الصورة ثم التعرف عليها. " كان اختراق رموز التحقق الخاصة بـ Yahoo بنفس السهولة: "حقق هجومنا الثاني نجاحًا في التجزئة بنسبة 33,4%. وبالتالي، يمكن اختراق حوالي 25,9% من رموز التحقق. تشير أبحاثنا إلى أنه لا ينبغي مطلقًا لمرسلي البريد العشوائي استخدام العمالة البشرية الرخيصة لتجاوز اختبار captcha الخاص بـ Yahoo، بل يجب الاعتماد بدلاً من ذلك على هجوم آلي منخفض التكلفة."
الطريقة الثالثة لتجاوز كلمة التحقق تسمى "الترك الميكانيكي" أو "الترك". لقد قمنا باختباره ضد اختبار captcha الخاص بـ Yahoo مباشرة بعد النشر، وحتى يومنا هذا لا نعرف، ولا أحد يعرف، كيفية الحماية من مثل هذا الهجوم.
هذا هو الحال عندما يكون لديك شخص سيء يقوم بتشغيل موقع "للبالغين" أو لعبة عبر الإنترنت حيث يطلب المستخدمون بعض المحتوى. قبل أن يتمكنوا من رؤية الصورة التالية، سيقوم الموقع الذي يملكه المتسلل بتقديم طلب خلفي إلى نظام عبر الإنترنت تعرفه، مثل Yahoo أو Google، ويلتقط رمز التحقق من هناك ويمرره إلى المستخدم. وبمجرد إجابة المستخدم على السؤال، سيقوم المتسلل بإرسال رمز التحقق المخمن إلى الموقع المستهدف ويعرض للمستخدم الصورة المطلوبة من موقعه. إذا كان لديك موقع مشهور جدًا ويحتوي على الكثير من المحتوى المثير للاهتمام، فيمكنك حشد جيش كامل من الأشخاص الذين سيقومون تلقائيًا بملء رموز التحقق الخاصة بأشخاص آخرين نيابةً عنك. هذا شيء قوي جداً
ومع ذلك، لا يحاول الأشخاص فقط تجاوز رموز التحقق، بل تستخدم الشركات أيضًا هذه التقنية. تحدث روبرت "RSnake" هانسن ذات مرة على مدونته مع "captcha Solver" الروماني الذي قال إنه يمكنه حل من 300 إلى 500 كلمة التحقق في الساعة بمعدل 9 إلى 15 دولارًا لكل ألف كلمة التحقق التي تم حلها.
يقول بشكل مباشر أن أعضاء فريقه يعملون 12 ساعة يوميًا، ويحلون حوالي 4800 كلمة التحقق خلال هذا الوقت، واعتمادًا على مدى صعوبة رموز التحقق، يمكنهم الحصول على ما يصل إلى 50 دولارًا يوميًا مقابل عملهم. لقد كان هذا منشورًا مثيرًا للاهتمام، ولكن الأمر الأكثر إثارة للاهتمام هو التعليقات التي تركها مستخدمو المدونة أسفل هذا المنشور. ظهرت رسالة على الفور من فيتنام، حيث أبلغ كوانج هونغ عن مجموعته المكونة من 20 شخصًا، الذين وافقوا على العمل مقابل 4 دولارات لكل 1000 كلمة التحقق.
الرسالة التالية كانت من بنغلاديش: “مرحبًا! أتمنى أن تكون بخير! نحن شركة تجهيز رائدة من بنغلاديش. حاليًا، لدينا 30 مشغلًا قادرون على حل أكثر من 100000 كلمة التحقق يوميًا. نحن نقدم شروطًا ممتازة وسعرًا منخفضًا - 2 دولارًا مقابل 1000 كلمة التحقق من مواقع Yahoo وHotmail وMayspace وGmail وFacebook وما إلى ذلك. ونحن نتطلع إلى مزيد من التعاون."
تم إرسال رسالة أخرى مثيرة للاهتمام من قبل بابو: "أنا مهتم بهذا العمل، من فضلك اتصل بي عبر الهاتف".
لذلك فمن المثير للاهتمام للغاية. يمكننا مناقشة مدى قانونية أو عدم قانونية هذا النشاط، ولكن الحقيقة هي أن الناس يكسبون المال منه بالفعل.
الوصول إلى حسابات الآخرين
تري فورد: السيناريو التالي الذي سنتحدث عنه هو كسب المال عن طريق الاستيلاء على حساب شخص آخر.
ينسى الجميع كلمات المرور، وبالنسبة لاختبار أمان التطبيقات، تمثل إعادة تعيين كلمة المرور والتسجيل عبر الإنترنت عمليتين تجاريتين متميزتين ومركزتين. هناك فجوة كبيرة بين سهولة إعادة تعيين كلمة المرور الخاصة بك وسهولة التسجيل، لذلك يجب عليك أن تسعى جاهدة لجعل عملية إعادة تعيين كلمة المرور بسيطة قدر الإمكان. ولكن إذا حاولنا تبسيط الأمر، تظهر مشكلة لأنه كلما كان إعادة تعيين كلمة المرور أسهل، كلما كانت أقل أمانًا.
إحدى الحالات الأكثر شهرة تتعلق بالتسجيل عبر الإنترنت باستخدام خدمة التحقق من المستخدم الخاصة بـ Sprint. استخدم اثنان من أعضاء فريق White Hat Sprint للتسجيل عبر الإنترنت. هناك بعض الأشياء التي يجب عليك تأكيدها لإثبات هويتك، بدءًا بشيء بسيط مثل رقم هاتفك الخلوي. أنت بحاجة إلى التسجيل عبر الإنترنت لأشياء مثل إدارة حسابك المصرفي، والدفع مقابل الخدمات، وما إلى ذلك. يعد شراء الهواتف أمرًا مريحًا للغاية إذا كان بإمكانك القيام بذلك من حساب شخص آخر ثم إجراء عمليات شراء والقيام بالمزيد. أحد خيارات الاحتيال هو تغيير عنوان الدفع، وطلب تسليم مجموعة كاملة من الهواتف المحمولة إلى عنوانك، وسيضطر الضحية إلى دفع ثمنها. يحلم مجانين المطاردة أيضًا بهذه الفرصة: إضافة وظيفة تتبع نظام تحديد المواقع العالمي (GPS) إلى هواتف ضحاياهم وتتبع كل تحركاتهم من أي جهاز كمبيوتر.
لذا، تقدم Sprint بعضًا من أبسط الأسئلة للتحقق من هويتك. كما نعلم، يمكن ضمان الأمن إما من خلال مجموعة واسعة جدًا من الإنتروبيا، أو من خلال قضايا متخصصة للغاية. سأقرأ لك جزءًا من عملية التسجيل في Sprint لأن الإنتروبيا منخفضة جدًا. على سبيل المثال، هناك سؤال: "اختر ماركة سيارة مسجلة على العنوان التالي"، وخيارات العلامة التجارية هي Lotus، وHonda، وLamborghini، وFiat، و"لا شيء مما سبق". أخبرني، أي منكم يا رفاق لديه أي مما سبق؟ كما ترون، هذا اللغز الصعب هو مجرد فرصة عظيمة لطالب جامعي للحصول على هواتف رخيصة الثمن.
السؤال الثاني: "أي من الأشخاص التاليين يعيش معك أو يعيش في العنوان أدناه"؟ من السهل جدًا الإجابة على هذا السؤال، حتى لو كنت لا تعرف هذا الشخص على الإطلاق. جيري ستيفلين - هذا الاسم الأخير يحتوي على ثلاث "آي" فيه، سنصل إلى ذلك في ثانية - رالف أرغن، وجيروم بونيكي، وجون بيس. المثير للاهتمام في هذه القائمة هو أن الأسماء المقدمة عشوائية تمامًا، وجميعها تخضع لنفس النمط. إذا قمت بحسابها، فلن تجد صعوبة في التعرف على الاسم الحقيقي، لأنه يختلف عن الأسماء المختارة عشوائيا بشيء مميز، وهو في هذه الحالة الحروف الثلاثة "i". وبالتالي، من الواضح أن Stayfliin ليس اسمًا عشوائيًا، ومن السهل تخمين أن هذا الشخص هو هدفك. انها بسيطة جدا.
السؤال الثالث: "في أي من المدن المدرجة لم تعش أو تستخدم هذه المدينة في عنوانك مطلقًا؟" — لونجمونت، شمال هوليوود، جنوة أو بوتي؟ لدينا ثلاث مناطق ذات كثافة سكانية عالية حول واشنطن العاصمة، لذا فإن الإجابة الواضحة هي شمال هوليوود.
هناك بعض الأشياء التي يجب عليك توخي الحذر بشأنها عند التسجيل في Sprint عبر الإنترنت. كما قلت من قبل، قد تتعرض لأذى خطير إذا تمكن أحد المهاجمين من تغيير عنوان الشحن للمشتريات في معلومات الدفع الخاصة بك. الأمر المخيف حقًا هو أن لدينا خدمة تحديد المواقع عبر الهاتف المحمول.
من خلاله، يمكنك تتبع تحركات موظفيك، حيث يستخدم الأشخاص الهواتف المحمولة ونظام تحديد المواقع العالمي (GPS)، ويمكنك أن ترى مكانهم على الخريطة. لذلك هناك بعض الأشياء الأخرى المثيرة للاهتمام التي تحدث في هذه العملية.
كما تعلم، عند إعادة تعيين كلمة المرور، يكون لعنوان البريد الإلكتروني الأولوية على الطرق الأخرى للتحقق من المستخدم وأسئلة الأمان. تعرض الشريحة التالية العديد من الخدمات التي تعرض الإشارة إلى عنوان بريدك الإلكتروني إذا كان المستخدم يواجه صعوبة في تسجيل الدخول إلى حسابه.
نحن نعلم أن معظم الأشخاص يستخدمون البريد الإلكتروني ولديهم حساب بريد إلكتروني. وفجأة أراد الناس إيجاد طريقة لكسب المال منه. ستكتشف دائمًا عنوان البريد الإلكتروني للضحية، وتقوم بإدخاله في النموذج، وستتاح لك الفرصة لإعادة تعيين كلمة المرور للحساب الذي تريد التعامل معه. يمكنك بعد ذلك استخدامه على شبكتك، ويصبح صندوق البريد هذا هو قبتك الذهبية، وهو المكان الرئيسي الذي يمكنك من خلاله سرقة جميع حسابات الضحية الأخرى. سوف تتلقى اشتراك الضحية بالكامل من خلال الاستحواذ على صندوق بريد واحد فقط. توقف عن الابتسام، هذا أمر جدي!
توضح الشريحة التالية عدد الملايين من الأشخاص الذين يستخدمون خدمات البريد الإلكتروني المقابلة. يستخدم الأشخاص بشكل نشط Gmail وYahoo Mail وHotmail وAOL Mail، ولكن ليس من الضروري أن تكون متسللًا فائقًا لتتولى حساباتهم، يمكنك الحفاظ على نظافة يديك من خلال الاستعانة بمصادر خارجية. يمكنك دائمًا القول إنه لا علاقة لك بالأمر، ولم تفعل شيئًا كهذا.
لذا، فإن خدمة "استرداد كلمة المرور" عبر الإنترنت موجودة في الصين، حيث تدفع لهم مقابل اختراق حسابك "الخاص بك". مقابل 300 يوان، أي حوالي 43 دولارًا، يمكنك محاولة إعادة تعيين كلمة مرور صندوق البريد الأجنبي بمعدل نجاح يصل إلى 85%. مقابل 200 يوان، أو 29 دولارًا، ستحقق نجاحًا بنسبة 90% في إعادة تعيين كلمة مرور صندوق بريد خدمة البريد الإلكتروني بالمنزل. يكلف اختراق صندوق بريد أي شركة ألف يوان، أو 143 دولارًا، لكن النجاح غير مضمون. يمكنك أيضًا الاستعانة بمصادر خارجية لخدمات اختراق كلمات المرور لـ 163 و126 وQQ وYahoo وSohu وSina وTOM وHotmail وMSN وما إلى ذلك.
مؤتمر القبعة السوداء بالولايات المتحدة الأمريكية. كن ثريًا أو مت: اربح المال عبر الإنترنت باستخدام أساليب Black Hat. الجزء الثاني (الرابط سيكون متاحا غدا)
بعض الاعلانات 🙂
أشكركم على البقاء معنا. هل تحب مقالاتنا؟ تريد أن ترى المزيد من المحتوى المثير للاهتمام؟ ادعمنا عن طريق تقديم طلب أو التوصية للأصدقاء ، , خصم 30٪ لمستخدمي Habr على تناظرية فريدة من الخوادم المبتدئة ، والتي اخترعناها من أجلك: (متوفر مع RAID1 و RAID10 ، حتى 24 مركزًا وحتى 40 جيجا بايت DDR4).
ديل R730xd 2 مرات أرخص؟ هنا فقط في هولندا! Dell R420 - 2x E5-2430 2.2 جيجا هرتز 6C 128 جيجا بايت DDR3 2x960 جيجا بايت SSD 1 جيجا بايت في الثانية 100 تيرا بايت - من 99 دولارًا! أقرأ عن
المصدر: www.habr.com