يوجد موقع ويب يسمى Hire2Hack يقبل أيضًا طلبات "استعادة" كلمات المرور. هنا تبدأ تكلفة الخدمة من 150 دولارًا. لا أعرف شيئًا عن الباقي ، لكن عليك أن تقدم لهم معلومات عن نفسك لأنك ستدفع لهم. للتسجيل ، تحتاج إلى تقديم اسم مستخدم وبريد إلكتروني وكلمة مرور وما إلى ذلك. الشيء المضحك هو أنهم يقبلون حتى تحويلات ويسترن يونيون للدفع.
تجدر الإشارة إلى أن أسماء المستخدمين هي معلومات قيّمة للغاية ، خاصةً عندما تكون مرتبطة بعنوان بريد إلكتروني. قل لي ، من منكم يشير إلى اسمك الحقيقي عند تسجيل صندوق بريد؟ لا أحد ، هذا ممتع!
لذا ، فإن عناوين البريد الإلكتروني هي معلومات قيمة ، خاصة إذا كنت تتسوق عبر الإنترنت أو تريد تعقب تقلب الزوج على موقع المواعدة. إذا كنت بائعًا ، فيمكنك استخدام عناوين بريدك الإلكتروني للتحقق من العملاء أو المشتركين لديك الذين يستخدمون حاليًا خدمات أي من منافسيك.
لذلك ، يدفع محتالو التصيد الكثير من المال مقابل عناوين المستخدمين الحقيقية. بالإضافة إلى ذلك ، يستخدمون نوافذ استعادة كلمة المرور وتسجيل الدخول لتعدين عناوين البريد الإلكتروني الصالحة باستخدام هجمات التوقيت. اعتبرت العديد من بوابات التجارة الإلكترونية ووسائل التواصل الاجتماعي سرقة عناوين البريد الإلكتروني الصالحة مشكلة يمكن أن تسبب ضررًا كبيرًا منذ نشر دراسات مثيرة للاهتمام في هذا المجال. لذلك علينا أن نقاتل على جبهتين - ضد هجمات التوقيت وضد تسرب المعلومات من هذا النوع.
تحويل القسائم الإلكترونية إلى أموال
جيريمي غروسمان: لذلك نظرنا إلى ثلاثة أنواع من عمليات الاحتيال عبر الإنترنت ، ونحن الآن نزيد من رهانها. الطريقة التالية هي تسييل eCoupons. تستخدم هذه القسائم في عمليات الشراء عبر الإنترنت. يُدخل العميل معرفه الفريد ويتم تطبيق خصم على شرائه. يقدم كبار التجار عبر الإنترنت للعملاء برنامج خصم مدعوم من AmEx.
يعرف الكثير منكم أن القسائم تقدم خصمًا يتراوح من بضعة دولارات إلى بضع مئات من الدولارات وتأتي مع معرف مكون من 16 رقمًا. هذه الأرقام ثابتة للغاية وعادة ما تأتي بالترتيب. في البداية ، كان يُسمح بقسيمة واحدة فقط لكل طلب ، ولكن بعد ذلك ، مع ازدياد شعبية البرنامج ، تمت إزالة هذه القيود ، ويمكن الآن استخدام أكثر من 3 قسائم مع طلب واحد.
طور شخص ما برنامجًا نصيًا يحاول تحديد الآلاف من قسائم الخصم الصالحة الممكنة. يدرك البائعون أوامر تزيد قيمتها عن 50 ألف دولار ، والتي تم دفع 200 كوبون أو أكثر بدلاً من النقود. موافق ، هذه هدية عيد ميلاد جيدة!
ظلت المشكلة دون أن يلاحظها أحد لفترة طويلة لأن البرنامج عمل بشكل رائع، والكل استخدم الكوبونات وكان الجميع سعداء. استمر هذا حتى اكتشف نظام جدولة تحميل البرنامج زيادة بنسبة 90% في حمل المعالج أثناء قيام الأشخاص بالتمرير عبر أرقام المعرفات، واختيار تلك التي توفر خصمًا.
طلب التجار من مكتب التحقيقات الفيدرالي التحقيق في هذه القضية ، حيث اشتبهوا في وجود خطأ ما. لكن المشكلة كانت أن البضاعة تم إرسالها إلى عنوان غير موجود ، وهذا أربكهم. واتضح أن المهاجم تواطأ مع خدمة التوصيل التي "اعترضت" البضائع مسبقًا.
المثير في هذه الحالة أن الكوبونات ليست عملة ، إنها مجرد أدوات تسويقية. ومع ذلك ، أدت أخطاء منطق العمل إلى حقيقة أنه أصبح من الضروري إشراك الخدمة السرية ، والتي واجهت أيضًا حقائق الاحتيال من قبل خدمة التوصيل ، والتي استخدمت النظام لصالحها.
كسب المال من حسابات وهمية
تري فورد: هذه واحدة من قصصي المفضلة. "الحياة الحقيقية: القرصنة" مساحة المكتب ". أعتقد أنك شاهدت فيلم القرصنة Office Space. دعونا نلقي نظرة على هذه العملية. كم منكم استخدم الخدمات المصرفية عبر الإنترنت؟
عظيم ، اعترف الجميع أنهم استخدموها. هناك شيء واحد مثير للاهتمام - القدرة على دفع الفواتير عبر الإنترنت باستخدام نظام ACH. تعمل "غرفة المقاصة الآلية" التابعة لـ ACH على هذا النحو. لنفترض أنني أريد شراء سيارة من جيريمي وسأقوم بتحويل الأموال مباشرة من حسابي إلى حسابه. قبل أن أقوم بالدفع الأساسي ، يجب أن تتأكد مؤسستي المالية من استعدادنا جميعًا. لذلك ، في البداية ، يقوم النظام بتحويل مبلغ ضئيل ، من بضعة سنتات إلى 2 دولار ، للتحقق من أن الحسابات المالية وعناوين التوجيه الخاصة بالأطراف سليمة وأن العميل قد تلقى هذه الأموال. بمجرد اقتناعهم بأن هذا التحويل قد تم بشكل صحيح ، يكونون على استعداد لإرسال الدفعة الكاملة. يمكنك التكهن بما إذا كان هذا قانونيًا ، وما إذا كان يتوافق مع شروط اتفاقية المستخدم ، ولكن أخبرني ، كم منكم لديه حساب على PayPal؟ كم عدد الأشخاص الذين لديهم معرّفات PayPal متعددة؟ ربما يكون هذا قانونيًا تمامًا ووفقًا للشروط والأحكام.
تخيل الآن أنه يمكن استخدام هذه الآلية لكسب الكثير من المال. نحن نتحدث عن استخدام تأثير إنشاء ، على سبيل المثال ، 80 ألف حساب من هذا القبيل من خلال إعداد نص بسيط. الشيء الوحيد الذي يجب ملاحظته هو أننا بدأنا قصتنا باستخدام وكيل محلي ، نص RSnake ، وأداة قرصنة أخرى من شأنها أن تساعدنا في كسب المال ، ولكننا الآن سنعود ونبين كيفية جعل القرصنة أسهل بكثير ، بحيث الأرباح سيكون من الممكن استخدام متصفح واحد فقط.
هذا الهجوم هو فردي. استخدم مايكل لارجنت البالغ من العمر 22 عامًا من كاليفورنيا نصًا بسيطًا لإنشاء 58 حساب وساطة مزيف. قام بفتحها في Schwab و eTrade وبعض الأنظمة الأخرى ، وتخصيص أسماء شخصيات كرتونية للمستخدمين الوهميين لهذه الحسابات.
لكل من هذه الحسابات ، استخدم فقط تحويل اختباري من خلال نظام ACH ، دون إجراء تحويل كامل للأموال. لكنه كان يمتلك حسابًا مشتركًا ، تتدفق إليه جميع أموال التحقق ، ثم يحولها إلى نفسه. يبدو الأمر جيدًا - هذا ليس كثيرًا من المال ، لكن في المجموع ، جلبوا له دخلًا قويًا للغاية. هكذا كسب المال ، متبعًا فكرة فيلم "Office Space". الشيء الأكثر إثارة للاهتمام هو أنه لا يوجد شيء غير قانوني هنا - لقد جمع كل هذه المبالغ الصغيرة ، لكنه فعل ذلك بسرعة كبيرة.
على نظام Google Checkout ، ربح 8225 دولارًا أمريكيًا على نظامي eTrade و Schwab - 50225 دولارًا أخرى. ثم سحب هذه الأموال إلى بطاقة ائتمان وخصصها. عندما اكتشف البنك أن كل هذه الآلاف من الحسابات تخص شخصًا واحدًا ، اتصل به موظفو البنك وسألوه عن سبب قيامه بذلك ، ألا يفهم أنه يسرق الأموال؟ أجاب مايكل أنه لا يفهم ولا يعرف أنه كان يفعل شيئًا غير قانوني.
هذه طريقة جيدة جدًا لبناء علاقات جديدة مع أفراد الخدمة السرية الذين يتابعونك ويريدون معرفة أكبر قدر ممكن عنك. مرة أخرى ، أطرف شيء في هذا المخطط هو أنه لا يوجد شيء غير قانوني هنا. تم اعتقاله بناء على قانون باتريوت "قانون باتريوت". من يعرف ما هو قانون باتريوت؟
هذا صحيح ، هذا قانون يوسع صلاحيات الخدمات الخاصة في مجال مكافحة الإرهاب. استخدم هذا الرجل أسماء من الرسوم الكاريكاتورية والقصص المصورة ، لذا تمكنوا من إلقاء القبض عليه لاستخدامه أسماء مستخدمين مزيفة. لذلك يجب على أولئك الذين يستخدمون أسماء وهمية لصناديق البريد الخاصة بهم توخي الحذر - قد يعتبر هذا غير قانوني!
استندت لائحة اتهام الخدمة السرية إلى أربع تهم: الاحتيال على الكمبيوتر والاحتيال عبر الإنترنت والاحتيال عبر البريد الإلكتروني ، ولكن تبين أن فعل استلام الأموال كان قانونيًا تمامًا لأنه كان يستخدم حسابًا حقيقيًا. لا يمكنني معرفة ما إذا كان قد تم إجراؤه بشكل صحيح أم لا ، أخلاقيًا أم لا ، ولكن من حيث المبدأ كان كل ما فعله مايكل وفقًا للشروط والأحكام الواردة على مواقع الويب ، لذلك ربما كانت مجرد ميزة إضافية.
اختراق البنوك من خلال ASP
جيريمي غروسمان: كما تعلم ، أسافر كثيرًا ، وألتقي بأشخاص يتمتعون بالذكاء الفني أو ، على العكس من ذلك ، لا يفهمون التكنولوجيا على الإطلاق. وعندما نتحدث عن الحياة ، يسألونني أين أعمل. عندما أجيب بأنني أعمل في مجال أمن المعلومات ، يسألونني ما هو. أشرح ثم يقولون ، "أوه ، حتى تتمكن من كسر البنك"!
لذلك ، عندما تبدأ في شرح كيف يمكنك اختراق أحد البنوك فعليًا ، فإنك تقصد القرصنة من خلال موفري التطبيقات المالية ASP. مقدمو خدمات التطبيقات هم شركات تؤجر برامجها وأجهزتها الخاصة لعملائها - البنوك والاتحادات الائتمانية والشركات المالية الأخرى.
يتم استخدام خدماتهم من قبل البنوك الصغيرة والشركات المماثلة التي لا تدر أرباحًا مالية لامتلاك برامجها وأجهزتها الخاصة. لذا فهم يستأجرون سعة ASP ويدفعون لهم شهريًا أو سنويًا.
تحظى ASPs باهتمام كبير من المتسللين لأنه بدلاً من كسر بنك واحد ، يمكنهم كسر 600 أو ألف بنك في وقت واحد. لذا تعد ASPs هدفًا مثيرًا للاهتمام للغاية بالنسبة للأشرار.
لذلك ، تخدم ASPs مجموعة كاملة من البنوك استنادًا إلى أهم ثلاثة معلمات URL: client_ID و bank_ID و acct_ID. لكل عميل ASP معرف فريد خاص به ، والذي يمكن استخدامه على مواقع مصرفية متعددة. يمكن أن يكون لكل بنك أي عدد من حسابات المستخدمين لكل تطبيق مالي - نظام الادخار ونظام التحقق من الحساب ونظام الدفع وما إلى ذلك ، ولكل تطبيق مالي معرف خاص به. علاوة على ذلك ، كل حساب عميل في نظام التطبيق هذا له أيضًا معرّف خاص به. وبالتالي ، لدينا ثلاثة أنظمة للحسابات.
إذن ، كيف يمكننا اختراق 600 بنك في نفس الوقت؟ بادئ ذي بدء ، ننظر إلى نهاية سلسلة عنوان URL مثل هذا: ونحاول استبدال acct_id بقيمة تعسفية #X ، وبعد ذلك نحصل على رسالة خطأ كبيرة ، مظللة باللون الأحمر ، بالمحتوى التالي: "الحساب # X ينتمي إلى Bank #Y" (الحساب # X ينتمي إلى البنك #Y ). بعد ذلك ، نأخذ bank_id ، ونغيّره في المتصفح إلى #Y وستتلقى الرسالة: "Bank #Y ينتمي إلى Client #Z" (البنك #Y ينتمي إلى العميل #Z).
أخيرًا ، نأخذ client_id ، ونخصص #Z له - وهذا كل شيء ، ندخل إلى الحساب الذي أردنا الدخول إليه في الأصل. بعد أن نجحنا في اختراق النظام ، يمكننا الدخول إلى أي حساب مصرفي أو بنك أو حساب عميل آخر بنفس الطريقة. يمكننا الوصول إلى كل حساب في النظام. لا يوجد أي تلميح للترخيص هنا على الإطلاق. الشيء الوحيد الذي يقومون بفحصه هو أنك قمت بتسجيل الدخول باستخدام المعرف الخاص بك ، وأنت الآن حر في سحب الأموال وإجراء التحويل وما إلى ذلك.
في أحد الأيام ، قام أحد عملائنا من غير عملاء ASP بإعادة توجيه معلوماتنا حول هذه الثغرة الأمنية إلى عميل آخر كان يستخدم ASP وأبلغهم أن هناك مشكلة بحاجة إلى الإصلاح. أخبرناهم أنه ربما يتعين علينا إعادة كتابة التطبيق بالكامل لتقديم التفويض وسيتحقق النظام مما إذا كان للعميل الحق في إجراء المعاملات المالية ، وأن هذا سيستغرق بعض الوقت.
بعد يومين أرسلوا إلينا ردًا يخبرنا أنهم قاموا بالفعل بإصلاحه بأنفسهم - قاموا بإصلاح عنوان URL بحيث لا تظهر رسالة الخطأ مرة أخرى. بالطبع كان رائعًا وقررنا إلقاء نظرة على شفرة المصدر لمعرفة ما فعلوه بتقنية القرصنة "الرائعة". لذلك ، كل ما فعلوه هو التوقف عن عرض رسالة خطأ بتنسيق HTML. بشكل عام ، أجرينا محادثة شيقة للغاية مع هذا العميل. قالوا إنهم نظرًا لأنهم لم يتمكنوا من حل هذه المشكلة بسرعة ، فقد قرروا القيام بذلك في الوقت الحالي ، على أمل إصلاح الثغرة الأمنية بالكامل على المدى الطويل.
عكس تحويل الأموال
هناك طريقة أخرى للاحتيال ، سأتحدث عنها بإيجاز شديد ، وهي التحويل العكسي للأموال. يتم تنفيذ هذه العملية في العديد من التطبيقات المصرفية. عند تحويل 10000 دولار من الحساب أ إلى الحساب ب ، يجب أن تعمل صيغة العملية منطقيًا على النحو التالي:
أ = أ - (10,000 دولار)
ب = ب + (10,000 دولار)
وهذا يعني أنه تم سحب 10000 دولار من الحساب أ وإضافته إلى الحساب ب.
ومن المثير للاهتمام أن البنك لا يتحقق مما إذا كنت قد أدخلت مبلغ التحويل الصحيح. على سبيل المثال ، يمكنك استبدال رقم موجب برقم سالب ، أي تحويل _10000 دولار من الحساب أ إلى الحساب ب. في هذه الحالة ، ستبدو صيغة المعاملة كما يلي:
أ = أ - (- 10,000 دولار)
ب = ب + (- 10,000 دولار)
أي ، بدلاً من خصم الأموال من الحساب A ، سيتم خصمها من الحساب B وإضافتها إلى الحساب A. وهذا يحدث من وقت لآخر ويحقق نتائج مثيرة للاهتمام. في الجزء السفلي من هذه الشريحة ترى رابطًا لمقال بحثي .
يصف أشياء مماثلة تحدث مع أخطاء التقريب. تحتوي هذه المقالة من Corsaire على الكثير من الأشياء المثيرة للاهتمام والتي كانت بمثابة مادة لبعض الحلول الخاصة بنا.
لكن عد إلى المشكلة السابقة. اتصلنا بفريق أمان ASP وتلقينا الرد التالي: "ستمنع ضوابط العمل الداخلية مثل هذه المشكلات". قلنا ، "حسنًا ، دعنا نلقي نظرة على موقع الويب الخاص بهم." بعد بضعة أسابيع ، عندما واصلنا العمل مع عملائنا ، تلقينا هذا الشيك منهم بالبريد:
يُذكر هنا أن هذه دفعة مقابل الاختبار الذي أجرته شركتنا WH بمبلغ 2 دولار. هذه هي الطريقة التي نجني بها المال!
هذا الشيك لا يزال على مكتبي. بالنسبة لاثنين من هذه الاختبارات ، يمكننا الحصول على ما يصل إلى 4 دولارات!
لكن بعد بضعة أشهر سمعنا من عميل معين أنه تم تحويل 70000 ألف دولار بشكل غير قانوني إلى إحدى دول أوروبا الشرقية. تعذر إعادة الأموال لأن الأوان قد فات بالفعل وفقد ASP عميله. تحدث هذه الأشياء ، لكن ما لم نكتشفه أبدًا ، لأننا لسنا علماء في الطب الشرعي ، هو عدد العملاء الآخرين الذين تأثروا بهذه الثغرة الأمنية. نظرًا لأن كل شيء في هذا المخطط يبدو قانونيًا تمامًا مرة أخرى - ما عليك سوى تغيير مظهر عنوان URL.
التسوق من متاجر التلفاز
تري فورد: الآن سأخبركم عن اختراق تقني حقًا ، لذا استمعوا جيدًا. نعلم جميعًا محطة تلفزيونية صغيرة تسمى QVC ، وأنا متأكد من أنك تشتري أحيانًا شيئًا من متجر التلفزيون هذا.
اعلم أنه عندما تشتري شيئًا عبر الإنترنت ، بغض النظر عن موقع الويب ، لا تنقر في أي مكان ، لأن طلبك ستتم معالجته بعد ذلك مباشرة! يمكنك تغيير رأيك على الفور وإيقاف المعاملة. ولكن في غضون أيام قليلة ، ستتلقى مجموعة من الرسائل غير المرغوب فيها في البريد ، والتي يجب أن تدفع مقابلها على الفور.
إليكم كوانتينا مور بيري ، مخترق معتمد يبلغ من العمر 33 عامًا من جرينسبورو بولاية نورث كارولينا. لا أعرف ما الذي فعلته من أجل لقمة العيش من قبل ، لكن يمكنني أن أخبرك كيف بدأت في جني الأموال بعد صفقة عشوائية زُعم أنها أجرتها ، على الرغم من أنها ألغت المعاملة على الموقع على الفور تقريبًا.
بدأت كل هذه الأشياء "المطلوبة" في الوصول إلى عنوانها البريدي من QVC - حقائب اليد النسائية ، والأجهزة المنزلية ، والمجوهرات ، والإلكترونيات. ماذا ستفعل إذا أرسل لك شخص ما شيئًا في البريد لم تطلبه؟ هذا صحيح ، لا شيء! من الواضح أن شعبنا ...
ومع ذلك ، تحصل على شحن مجاني ، والشحن المجاني مفيد! بعد كل شيء ، الطرود موجودة بالفعل في البريد ، ولست بحاجة إلى إرسالها إلى أي مكان. إذا كانت هذه عملية تجارية قياسية ، فكيف يمكن استخدامها؟ ماذا تفعل مع 1800 طرد وصلت إلى عنوانها البريدي من مايو إلى نوفمبر؟ لذا ، وضعت هذه المرأة كل هذه الأشياء على موقع eBay ، ونتيجة لبيع كل هذه الأشياء غير المرغوب فيها ، حققت ربحًا قدره 412000 دولار! كيف فعلت ذلك - بسيط جدا! قالت في مكتب البريد إن شخصًا ما طلب كل هذه الطرود مع QVC إلى عنوانها ، لكن من الصعب جدًا عليها إعادة حزمها وإرسالها إلى المستلمين ، لذا دعهم يتم إرسالها في عبوة QVC الأصلية!
كما ترى ، هذا حل تقني للغاية! ومع ذلك ، أصبحت شركة QVC قلقة بشأن هذه المشكلة بعد أن استلمها شخصان اشتروا العنصر على eBay في عبوة QVC. وجدت محكمة فيدرالية المرأة مذنبة بتهمة الاحتيال عبر البريد.
وهكذا ، فإن وجود عقبة تقنية بسيطة مع إلغاء الطلبات المقدمة سمحت لهذه المرأة بكسب مبلغ ضخم من المال.
37:40 دقيقة
بعض الاعلانات 🙂
أشكركم على البقاء معنا. هل تحب مقالاتنا؟ تريد أن ترى المزيد من المحتوى المثير للاهتمام؟ ادعمنا عن طريق تقديم طلب أو التوصية للأصدقاء ، , خصم 30٪ لمستخدمي Habr على تناظرية فريدة من الخوادم المبتدئة ، والتي اخترعناها من أجلك: (متوفر مع RAID1 و RAID10 ، حتى 24 مركزًا وحتى 40 جيجا بايت DDR4).
ديل R730xd 2 مرات أرخص؟ هنا فقط في هولندا! Dell R420 - 2x E5-2430 2.2 جيجا هرتز 6C 128 جيجا بايت DDR3 2x960 جيجا بايت SSD 1 جيجا بايت في الثانية 100 تيرا بايت - من 99 دولارًا! أقرأ عن
المصدر: www.habr.com