Qurğuşun: xanımlar və cənablar, bu söhbət çox gülməli və çox maraqlıdır, bu gün biz internetdə müşahidə olunan real şeylərdən danışacağıq. Bu söhbət Black Hat konfranslarında öyrəşdiyimiz söhbətlərdən bir az fərqlidir, çünki biz hücumçuların hücumlarından necə pul qazandıqları barədə danışacağıq.
Biz sizə qazanc gətirə biləcək bəzi maraqlı hücumlar göstərəcəyik və Jägermeister üzərindən keçib beyin fırtınası apardığımız gecə baş verən hücumlardan bəhs edəcəyik. Əyləncəli idi, amma bir az ayıqlaşanda SEO işçiləri ilə danışdıq və əslində bir çox insanın bu hücumlardan pul qazandığını öyrəndik.
Mən sadəcə beyinsiz orta menecerəm, ona görə də yerimi verib sizi məndən çox ağıllı olan Ceremi və Treylə tanış edəcəyəm. Ağıllı və əyləncəli bir giriş etməliyəm, amma yox, ona görə də əvəzinə bu slaydları göstərəcəyəm.
Ekranda Ceremi Qrossman və Trey Fordu göstərən slaydlar göstərilir.
Ceremi Qrossman 2007-ci ildə InfoWorld tərəfindən ən yaxşı 25 CTO-dan biri adlandırılan WhiteHat Security-nin qurucusu və baş texnologiya direktoru, Veb Tətbiq Təhlükəsizliyi Konsorsiumunun həmtəsisçisi və saytlararası skript hücumlarının həmmüəllifidir.
Trey Ford, Fortune 6 şirkətləri üçün təhlükəsizlik məsləhətçisi kimi 500 illik təcrübəyə malik olan və PCI DSS ödəniş kartı məlumatlarının təhlükəsizliyi standartının tərtibatçılarından biri olan WhiteHat Security-nin Memarlıq Həlləri Direktorudur.
Düşünürəm ki, bu şəkillər mənim yumor çatışmazlığımı tamamlayır. Hər halda, ümid edirəm ki, siz onların təqdimatından zövq alacaqsınız və sonra bu hücumların İnternetdə pul qazanmaq üçün necə istifadə edildiyini başa düşəcəksiniz.
Ceremi Qrossman: Günortanız xeyir, gəldiyiniz üçün hər kəsə təşəkkür edirəm. Bu, çox əyləncəli söhbət olacaq, baxmayaraq ki, siz sıfır gün hücumları və ya sərin yeni texnologiyalar görməyəcəksiniz. Biz sadəcə onu əyləncəli etməyə çalışacağıq və hər gün baş verən və pis adamların çoxlu pul qazanmasına imkan verən real hadisələrdən danışacağıq.
Biz bu slaydda göstərilənlərlə sizi heyran etməyə çalışmırıq, sadəcə olaraq şirkətimizin nə etdiyini izah edirik. Beləliklə, White Hat Sentinel və ya "Guardian White Papaq" belədir:
- qeyri-məhdud sayda qiymətləndirmə – müştəri saytlarına nəzarət və ekspert idarəetməsi, ölçüsündən və dəyişmə tezliyindən asılı olmayaraq saytları skan etmək imkanı;
- geniş əhatə dairəsi - texniki zəiflikləri aşkar etmək üçün saytların səlahiyyətli skan edilməsi və aşkar edilməmiş biznes sahələrində məntiqi səhvləri müəyyən etmək üçün istifadəçi testi;
- yanlış pozitivlərin aradan qaldırılması – əməliyyat komandamız nəticələri nəzərdən keçirir və müvafiq ciddilik və təhlükə reytinqini təyin edir;
- inkişaf və keyfiyyətə nəzarət - WhiteHat Satellite Appliance sistemi daxili şəbəkəyə çıxış vasitəsilə müştəri sistemlərinə uzaqdan xidmət göstərməyə imkan verir;
- təkmilləşdirmə və təkmilləşdirmə - real skanlama sistemi tez və səmərəli şəkildə yeniləməyə imkan verir.
Beləliklə, biz dünyada hər bir saytı yoxlayırıq, bizdə ən böyük veb tətbiqi pentesters komandamız var, biz hər həftə 600-700 qiymətləndirmə testi keçiririk və bu təqdimatda görəcəyiniz bütün məlumatlar bu cür işi görmək təcrübəmizdən gəlir. .
Növbəti slaydda siz qlobal vebsaytlara ən çox yayılmış 10 hücum növünü görürsünüz. Bu, müəyyən hücumlara qarşı həssaslığın faizini göstərir. Gördüyünüz kimi, bütün saytların 65%-i saytlararası skriptlərə qarşı həssasdır, 40%-i məlumat sızmasına yol verir, 23%-i isə məzmun saxtakarlığına qarşı həssasdır. Saytlararası skriptlərə əlavə olaraq, SQL inyeksiyaları və ilk onluğumuza daxil olmayan bədnam saytlararası sorğu saxtakarlığı geniş yayılmışdır. Lakin bu siyahıda qeyri-müəyyən dillə təsvir edilən və spesifikliyi müəyyən şirkətlərə qarşı yönəlmiş ezoterik adlarla hücumlar var.
Bunlar autentifikasiya qüsurları, avtorizasiya prosesinin qüsurları, məlumat sızması və s.
Növbəti slayd biznes məntiqinə edilən hücumlardan bəhs edir. Keyfiyyət təminatı ilə məşğul olan QA komandaları adətən onlara əhəmiyyət vermirlər. Proqramın nə edə biləcəyini yox, nə etməli olduğunu yoxlayırlar və sonra siz istədiyinizi görə bilərsiniz. Skanerlər, bütün bu Ağ/Qara/Boz Qutular, bütün bu çoxrəngli qutular əksər hallarda bunları aşkar edə bilmir, çünki onlar sadəcə olaraq hücumun nə ola biləcəyi və ya baş verəndə oxşar hadisələrin kontekstində təsbit olunublar. Onların zəkaları çatışmır və heç bir şeyin işə yarayıb-yaxmadığını bilmirlər.
Eyni şey, HTTP sorğuları tamamilə normal göründüyü üçün biznes məntiqi qüsurlarını aşkar edə bilməyən IDS və WAF tətbiqi təhlükəsizlik duvarlarına da aiddir. Biz sizə göstərəcəyik ki, biznes məntiqi qüsurları ilə bağlı hücumlar tamamilə təbii şəkildə yaranır, orada hakerlər, metaxarakterlər və ya digər qəribəliklər yoxdur, onlar təbii olaraq baş verən proseslərə bənzəyirlər. Əsas odur ki, pis adamlar bu şeyi sevirlər, çünki biznes məntiqindəki qüsurlar onlara pul qazandırır. Onlar XSS, SQL, CSRF istifadə edirlər, lakin bu tip hücumların həyata keçirilməsi getdikcə çətinləşir və biz onların son 3-5 ildə azaldığını gördük. Lakin onlar öz-özünə yox olmayacaqlar, necə ki, tampon daşması da getməyəcək. Bununla belə, pis adamlar daha mürəkkəb hücumlardan necə istifadə etmək barədə düşünürlər, çünki onlar "əsl pis adamların" həmişə öz hücumlarından pul qazanmağa çalışdıqlarına inanırlar.
Mən sizə biznesinizi qorumaq üçün gəmidə götürə biləcəyiniz və onlardan düzgün şəkildə istifadə edə biləcəyiniz real fəndləri göstərmək istəyirəm. Təqdimatımızın digər məqsədi odur ki, etika ilə bağlı maraqlanırsınız.
Onlayn sorğular və səsvermə
Beləliklə, biznes məntiqinin çatışmazlıqlarını müzakirə etməyə başlamaq üçün onlayn sorğulardan danışaq. Onlayn sorğular ictimai rəyi öyrənmək və ya təsir etmək üçün ən geniş yayılmış üsuldur. Biz $0 mənfəətlə başlayacağıq və sonra 5, 6, 7 aylıq saxtakarlıq sxemlərinin nəticələrinə baxacağıq. Çox, çox sadə sorğu ilə başlayaq. Bilirsiniz ki, hər yeni sayt, hər bloq, hər bir xəbər portalı onlayn sorğular keçirir. Yəni, heç bir niş çox böyük və ya çox dar deyil, lakin biz konkret sahələrdə ictimai rəyi görmək istəyirik.
Diqqətinizi Texas ştatının Ostin şəhərində keçirilmiş bir sorğuya cəlb etmək istərdim. Ostin beagle Vestminster İt Şousunda qalib gəldiyi üçün, Austin Amerika Dövlət Adamı Mərkəzi Texasdakı it sahibləri üçün onlayn olaraq Austin's Best in Show sorğusu keçirməyə qərar verdi. Minlərlə sahib foto təqdim edib və öz sevimlilərinə səs verib. Bir çox digər sorğular kimi, ev heyvanınız üçün lovğalanma hüququndan başqa heç bir mükafat yox idi.
Səsvermə üçün Web 2.0 sistem proqramından istifadə edilib. Əgər iti bəyəndinizsə və onun cinsin ən yaxşı iti olub-olmadığını öyrəndinizsə, “bəli” düyməsini sıxdınız. Beləliklə, siz şounun qalibi üçün namizəd kimi saytda yerləşdirilən bir neçə yüz itə səs verdiniz.
Bu səsvermə üsulu ilə 3 növ saxtakarlıq mümkün olub. Birincisi, eyni itə dəfələrlə səs verdiyiniz sonsuz səsvermədir. Çox sadədir. İkinci üsul, rəqib itə qarşı çox sayda səs verdiyiniz mənfi çoxsaylı səsvermədir. Üçüncü yol o idi ki, sözün əsl mənasında müsabiqənin son dəqiqəsində siz yeni it yerləşdirdiniz, ona səs verdiniz ki, mənfi səs almaq ehtimalı minimal olsun və 100% müsbət səs toplayaraq qalib oldunuz.
Üstəlik, qələbə səslərin ümumi sayına görə deyil, faizlə müəyyən edildi, yəni hansı itin maksimum müsbət reytinq aldığını müəyyən edə bilmədiniz, yalnız müəyyən bir it üçün müsbət və mənfi reytinqlərin faizi hesablandı. . Ən yaxşı müsbət/mənfi hesab nisbətinə malik it qalib gəldi.
Həmkarı Robert "RSnake" Hansenin rəfiqəsi ondan Chihuahua Tinyinə müsabiqədə qalib gəlməsinə kömək etməsini xahiş etdi. Roberti bilirsiniz, o, Ostindəndir. O, super haker kimi Burp proxy-ni düzəltdi və ən az müqavimət yolunu izlədi. O, 1 nömrəli fırıldaq texnikasından istifadə edərək, onu bir neçə yüz və ya min sorğudan ibarət Burp döngəsindən keçirdi və bu, itə 2000 müsbət səs gətirdi və onu 1-ci yerə gətirdi.
Sonra o, Çuçu ləqəbli Tiny-nin rəqibinə qarşı 2 nömrəli aldatma texnikasından istifadə etdi. Müsabiqənin son dəqiqələrində o, Çuçuya qarşı 450 səs verdi və bu, 1:2-dən çox səs nisbəti ilə Tiny-nin 1-ci yerdəki mövqeyini daha da möhkəmləndirdi, lakin müsbət və mənfi rəylərin faizi baxımından Tiny yenə də məğlub oldu. Bu slaydda siz bu nəticədən ruhdan düşmüş kibercinayətkarın yeni üzünü görürsünüz.
Bəli, maraqlı ssenari idi, amma məncə, dostum bu tamaşanı bəyənmədi. Siz sadəcə Ostində keçirilən Chihuahua yarışmasında qalib gəlmək istəyirdiniz, amma sizi sındırmağa və eyni şeyi etməyə çalışan biri var idi. Yaxşı, indi mən zəngi Treyə təhvil verirəm.
Süni tələb yaratmaq və ondan pul qazanmaq
Trey Ford: "Süni DoS" anlayışı onlayn bilet aldığımız zaman bir neçə fərqli maraqlı ssenariyə istinad edir. Məsələn, uçuşda xüsusi oturacaq bron edərkən. Bu, idman tədbiri və ya konsert kimi istənilən bilet növünə aid edilə bilər.
Aviaşirkətin oturacaqları, fiziki əşyalar, istifadəçi adları və s. kimi nadir əşyaların təkrar alışının qarşısını almaq üçün proqram münaqişələrin qarşısını almaq üçün müəyyən müddətə elementi kilidləyir. Və burada əvvəlcədən bir şey rezerv etmək imkanı ilə əlaqəli zəiflik gəlir.
Taymout haqqında hamımız bilirik, sessiyanı bitirmək haqqında hamımız bilirik. Lakin bu xüsusi məntiqi qüsur bizə uçuşda oturacaq seçməyə və sonra heç bir ödəniş etmədən yenidən seçim etmək üçün geri qayıtmağa imkan verir. Şübhəsiz ki, bir çoxunuz tez-tez ezamiyyətlərə gedirsiniz, amma mənim üçün bu işin vacib hissəsidir. Biz bu alqoritmi bir çox yerlərdə sınaqdan keçirmişik: siz uçuş seçirsiniz, oturacaq seçirsiniz və yalnız hazır olduqdan sonra ödəniş məlumatlarınızı daxil edirsiniz. Yəni siz yer seçdikdən sonra o, sizin üçün müəyyən müddətə - bir neçə dəqiqədən bir neçə saata qədər qorunur və bu müddət ərzində başqa heç kim bu yeri sifariş edə bilməz. Bu gözləmə müddətinə görə, sadəcə olaraq vebsayta qayıdıb istədiyiniz yerləri bron etməklə təyyarədəki bütün yerləri bron etmək üçün real imkanınız var.
Beləliklə, DoS hücumu seçimi görünür: təyyarədəki hər oturacaq üçün bu dövrü avtomatik olaraq təkrarlayın.
Biz bunu ən azı iki böyük aviaşirkətdə sınaqdan keçirmişik. Eyni zəifliyi istənilən digər rezervasiyada tapa bilərsiniz. Bu, biletlərinizi yenidən satmaq istəyənlər üçün qiymətləri qaldırmaq üçün əla fürsətdir. Bunun üçün möhtəkirlər sadəcə olaraq pul itkisi riski olmadan qalan biletləri bron etməlidirlər. Bu yolla siz yüksək tələbatlı məhsulları - video oyunları, oyun konsolları, iPhone və s. satan e-ticarəti "çökə" bilərsiniz. Yəni, onlayn bron və ya rezervasiya sistemindəki mövcud qüsur təcavüzkarın ondan pul qazanmasına və ya rəqiblərinə ziyan vurmasına imkan verir.
Captcha şifrəsinin açılması
Ceremi Qrossman: İndi captcha haqqında danışaq. İnterneti zibilləyən və spamla mübarizə üçün istifadə edilən zəhlətökən şəkilləri hamı bilir. Potensial olaraq, captcha-dan da qazanc əldə edə bilərsiniz. Captcha real insanı botdan ayırmağa imkan verən tam avtomatlaşdırılmış Turing testidir. Captcha istifadəsini araşdırarkən çox maraqlı şeylər kəşf etdim.
Captcha ilk dəfə təxminən 2000-2001-ci illərdə istifadə edilmişdir. Spam göndərənlər Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook və s. pulsuz e-poçt xidmətləri üçün qeydiyyatdan keçmək üçün captcha-nı aradan qaldırmaq istəyirlər. və spam göndərin. Captcha olduqca geniş istifadə edildiyi üçün, hər yerdə olan captcha-dan yan keçməyi təklif edən bütün xidmətlər bazarı meydana çıxdı. Nəhayət, bu mənfəət gətirir - misal olaraq spam göndərmək olar. Captcha-dan yan keçməyin 3 yolu var, gəlin onlara baxaq.
Birincisi, ideyanın həyata keçirilməsində olan qüsurlar və ya captcha-dan istifadə zamanı çatışmazlıqlardır.
Beləliklə, sualların cavabları çox az entropiya ehtiva edir, məsələn, “4+1-in nəyə bərabər olduğunu yazın”. Eyni suallar dəfələrlə təkrarlana bilər və mümkün cavabların diapazonu olduqca kiçikdir.
Captcha-nın effektivliyi bu şəkildə yoxlanılır:
- test şəxsin və serverin bir-birindən uzaq olduğu şəraitdə aparılmalıdır;
test fərd üçün çətin olmamalıdır; - sual elə olmalıdır ki, insan bir neçə saniyə ərzində ona cavab verə bilsin,
Yalnız sual verilən şəxs cavab verməlidir; - suala cavab vermək kompüter üçün çətin olmalıdır;
- əvvəlki suallar, cavablar və ya onların kombinasiyası haqqında biliklər növbəti testin proqnozlaşdırılmasına təsir etməməlidir;
- test görmə və ya eşitmə qüsuru olan insanlara qarşı ayrı-seçkiliyə yol verməməlidir;
- test coğrafi, mədəni və ya linqvistik cəhətdən qərəzli olmamalıdır.
Göründüyü kimi, "düzgün" captcha yaratmaq olduqca çətindir.
Captcha-nın ikinci çatışmazlığı OCR optik xarakter tanınmasından istifadə etmək imkanıdır. Kod parçası nə qədər vizual səs-küy ehtiva etməsindən asılı olmayaraq captcha şəklini oxuya, onu hansı hərflərin və ya rəqəmlərin yaratdığına baxa və tanınma prosesini avtomatlaşdıra bilir. Tədqiqatlar göstərdi ki, əksər captchalar asanlıqla sındırıla bilər.
Böyük Britaniyanın Nyukasl Universitetinin Kompüter Elmləri Məktəbinin mütəxəssislərindən sitatlar gətirəcəyəm. Onlar Microsoft captcha-nın sındırılmasının asanlığından danışırlar: “Hücumumuz 92% seqmentləşdirmə müvəffəqiyyət dərəcəsinə nail ola bildi ki, bu da o deməkdir ki, MSN captcha sxemi 60% hallarda təsviri seqmentləşdirib sonra onu tanımaqla sındırıla bilər. ” Yahoo-nun captcha-nı sındırmaq da asan idi: “İkinci hücumumuz 33,4% seqmentləşdirmə uğuru əldə etdi. Beləliklə, captchaların təxminən 25,9%-i krekinq edilə bilər. Tədqiqatımız göstərir ki, spam göndərənlər Yahoo-nun captcha-dan yan keçmək üçün heç vaxt ucuz insan əməyindən istifadə etməməlidirlər, əksinə, aşağı qiymətli avtomatlaşdırılmış hücuma etibar etməlidirlər”.
Captcha-dan yan keçməyin üçüncü üsulu "Mexanik Türk" və ya "Türk" adlanır. Biz onu dərc edildikdən dərhal sonra Yahoo-nun captcha-sına qarşı sınaqdan keçirdik və bu günə qədər belə bir hücumdan necə qorunacağımızı bilmirik və heç kim bilmir.
Bu, istifadəçilərin bəzi məzmun tələb etdiyi "böyüklər" saytını və ya onlayn oyununu idarə edəcək bir pis adamın olduğu vəziyyətdir. Növbəti şəkili görə bilməmişdən əvvəl hakerin sahibi olduğu sayt sizə tanış olan onlayn sistemə, məsələn Yahoo və ya Google-a sorğu göndərəcək, oradan captcha-nı götürüb istifadəçiyə keçirəcək. İstifadəçi suala cavab verən kimi, haker təxmin edilən captcha-nı hədəf sayta göndərəcək və istifadəçiyə öz saytından tələb olunan şəkli göstərəcək. Çox maraqlı məzmunu olan çox populyar saytınız varsa, sizin üçün avtomatik olaraq digər insanların captchalarını dolduracaq bütün insanlar ordusunu səfərbər edə bilərsiniz. Bu çox güclü bir şeydir.
Bununla belə, təkcə insanlar captchaları yan keçməyə çalışmır; müəssisələr də bu texnikadan istifadə edirlər. Robert "RSnake" Hansen bir dəfə öz bloqunda rumıniyalı "captcha həlledicisi" ilə danışdı, o, hər min həll edilmiş captcha üçün 300-500 dollar nisbətində saatda 9 ilə 15 captcha həll edə biləcəyini söylədi.
O, birbaşa deyir ki, onun komanda üzvləri gündə 12 saat işləyir, bu müddət ərzində təxminən 4800 captcha həll edir və captchaların nə qədər çətin olmasından asılı olaraq, işlərinə görə gündə 50 dollara qədər pul ala bilirlər. Maraqlı yazı idi, amma daha maraqlısı blog istifadəçilərinin bu yazının altına qoyduğu şərhlərdir. Vyetnamdan dərhal bir mesaj gəldi, burada müəyyən bir Quang Hung, 20 captcha üçün 4 dollara işləməyə razı olan 1000 nəfərlik qrupu haqqında məlumat verdi.
Növbəti mesaj Banqladeşdən idi: “Salam! Ümid edirəm ki, yaxşısan! Biz Banqladeşdən aparıcı emal şirkətiyik. Hazırda 30 operatorumuz gündə 100000-dən çox captcha həll etmək iqtidarındadır. Biz əla şərtlər və aşağı tarif təklif edirik - Yahoo, Hotmail, Mayspace, Gmail, Facebook və s. saytlardan təxmin edilən 2 captcha üçün 1000 dollar. Biz gələcək əməkdaşlığı səbirsizliklə gözləyirik”.
Daha bir maraqlı mesajı bir Babu adlı şəxs göndərib: “Mən bu işlə maraqlanıram, zəhmət olmasa, mənə telefonla zəng edin”.
Beləliklə, olduqca maraqlıdır. Biz bu fəaliyyətin nə dərəcədə qanuni və ya qeyri-qanuni olduğunu müzakirə edə bilərik, amma fakt budur ki, insanlar əslində ondan pul qazanırlar.
Başqalarının hesablarına giriş əldə etmək
Trey Ford: Haqqında danışacağımız növbəti ssenari başqasının hesabını ələ keçirməklə pul qazanmaqdır.
Hər kəs parolları unudur və tətbiqin təhlükəsizliyi sınağı üçün parol sıfırlamaları və onlayn qeydiyyat iki fərqli, fokuslanmış biznes prosesini təmsil edir. Parolunuzun sıfırlanmasının asanlığı ilə qeydiyyatdan keçməyin asanlığı arasında böyük bir boşluq var, ona görə də parol sıfırlama prosesini mümkün qədər sadə etməyə çalışmalısınız. Ancaq onu sadələşdirməyə çalışsaq, problem yaranır, çünki parolu sıfırlamaq nə qədər sadədirsə, o qədər də təhlükəsiz deyil.
Ən yüksək profilli işlərdən biri Sprint-in istifadəçi yoxlama xidmətindən istifadə edərək onlayn qeydiyyatla bağlı idi. White Hat komandasının iki üzvü onlayn qeydiyyat üçün Sprint-dən istifadə etdi. Cib telefon nömrəniz kimi sadə bir şeydən başlayaraq siz olduğunuzu sübut etmək üçün təsdiq etməli olduğunuz bir neçə şey var. Bank hesabınızı idarə etmək, xidmətlər üçün ödəniş etmək və s. kimi şeylər üçün onlayn qeydiyyatdan keçməlisiniz. Telefon almaq çox rahatdır, əgər siz bunu başqasının hesabından edə bilsəniz və sonra alış-veriş edib daha çox şey edə bilsəniz. Fırıldaq variantlarından biri ödəniş ünvanını dəyişmək, bütöv bir dəstə mobil telefonun ünvanınıza çatdırılmasını sifariş etməkdir və zərərçəkmiş onların pulunu ödəməyə məcbur olacaq. Stalking manyakları da bu fürsəti arzulayırlar: qurbanlarının telefonlarına GPS izləmə funksiyası əlavə etmək və onların hər bir hərəkətini istənilən kompüterdən izləmək.
Beləliklə, Sprint şəxsiyyətinizi yoxlamaq üçün ən sadə suallardan bəzilərini təklif edir. Bildiyimiz kimi, təhlükəsizlik ya çox geniş spektrli entropiya ilə, ya da yüksək ixtisaslaşmış məsələlərlə təmin edilə bilər. Mən sizə Sprint qeydiyyat prosesinin bir hissəsini oxuyacağam, çünki entropiya çox aşağıdır. Məsələn, bir sual var: “aşağıdakı ünvanda qeydiyyatdan keçmiş avtomobil markasını seçin” və marka seçimləri Lotus, Honda, Lamborghini, Fiat və “yuxarıda göstərilənlərin heç biri”dir. Mənə deyin, hansınızda yuxarıdakılardan hər hansı biri var? Gördüyünüz kimi, bu çətin tapmaca kollec tələbəsi üçün ucuz telefonlar əldə etmək üçün sadəcə əla fürsətdir.
İkinci sual: “Aşağıdakılardan hansı sizinlə yaşayır və ya aşağıdakı ünvanda yaşayır”? Bu suala cavab vermək çox asandır, hətta bu adamı ümumiyyətlə tanımırsınız. Jerry Stifliin - bu soyadın içində üç "ay" var, bir saniyədən sonra buna çatacağıq - Ralph Argen, Jerome Ponicki və John Pace. Bu siyahıda maraqlı olan odur ki, verilən adlar tamamilə təsadüfidir və hamısı eyni modelə tabedir. Əgər onu hesablasanız, onda əsl adı müəyyən etməkdə çətinlik çəkməyəcəksiniz, çünki o, təsadüfi seçilmiş adlardan xarakterik bir şeylə, bu halda üç hərf “i” ilə fərqlənir. Beləliklə, Stayfliin açıq şəkildə təsadüfi bir ad deyil və təxmin etmək asandır, bu şəxs sizin hədəfinizdir. Çox, çox sadədir.
Üçüncü sual: “Sadalanan şəhərlərdən hansında heç vaxt yaşamamısınız və ya bu şəhəri öz ünvanınızda istifadə etməmisiniz?” — Longmont, Şimali Hollivud, Genuya və ya Butte? Vaşinqton ətrafında üç sıx məskunlaşmış ərazimiz var, buna görə də açıq cavab Şimali Hollivuddur.
Sprint onlayn qeydiyyatı zamanı diqqətli olmağınız lazım olan bir neçə şey var. Daha əvvəl dediyim kimi, təcavüzkar ödəniş məlumatlarınızda alış-veriş üçün göndərmə ünvanını dəyişdirə bilsə, siz ciddi şəkildə zərər çəkə bilərsiniz. Həqiqətən qorxulu olan odur ki, bizdə Mobil Lokator xidmətimiz var.
Onunla siz əməkdaşlarınızın hərəkətlərini izləyə bilərsiniz, çünki insanlar mobil telefon və GPS-dən istifadə edir və xəritədə onların harada olduğunu görə bilərsiniz. Beləliklə, bu prosesdə baş verən digər olduqca maraqlı şeylər də var.
Bildiyiniz kimi, parol sıfırlanarkən e-poçt ünvanı istifadəçi yoxlamasının digər üsullarından və təhlükəsizlik suallarından üstündür. Növbəti slayd, istifadəçinin hesabına daxil olmaqda çətinlik çəkdiyi təqdirdə e-poçt ünvanınızı göstərməyi təklif edən bir çox xidmətləri göstərir.
Biz bilirik ki, insanların çoxu e-poçtdan istifadə edir və e-poçt hesabı var. Birdən insanlar ondan pul qazanmağın yolunu tapmaq istədilər. Siz həmişə qurbanın e-poçt ünvanını tapacaqsınız, formaya daxil edin və manipulyasiya etmək istədiyiniz hesabın parolunu sıfırlamaq imkanınız olacaq. Daha sonra siz onu şəbəkənizdə istifadə edirsiniz və həmin poçt qutusu sizin qızıl anbarınız olur, qurbanın bütün digər hesablarını oğurlaya biləcəyiniz əsas yerdir. Siz yalnız bir poçt qutusuna sahib olmaqla qurbanın bütün abunəliyini alacaqsınız. Gülməyi dayandır, bu ciddidir!
Növbəti slayd neçə milyon insanın müvafiq e-poçt xidmətlərindən istifadə etdiyini göstərir. İnsanlar Gmail, Yahoo Mail, Hotmail, AOL Mail-dən aktiv istifadə edirlər, lakin onların hesablarını ələ keçirmək üçün super haker olmaq lazım deyil, autsorsing vasitəsilə əllərinizi təmiz saxlaya bilərsiniz. Həmişə deyə bilərsiniz ki, bununla heç bir əlaqəsi yoxdur, belə bir şey etməmisiniz.
Beləliklə, "Parolun Bərpası" onlayn xidməti Çində yerləşir və burada "sizin" hesabınızı sındırmaq üçün pul ödəyirsiniz. Təxminən 300 dollar olan 43 yuan üçün 85% müvəffəqiyyət dərəcəsi ilə xarici poçt qutusu parolunu sıfırlamağa cəhd edə bilərsiniz. 200 yuan və ya 29 dollara ev e-poçt xidməti poçt qutusu parolunuzu sıfırlamaqda 90% uğur qazanacaqsınız. İstənilən şirkətin poçt qutusunu sındırmaq üçün min yuana, yəni 143 dollara başa gəlir, lakin uğura zəmanət verilmir. Siz həmçinin 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN və s.
BLACK HAT ABŞ Konfransı. Zəngin ol və ya öl: Black Hat metodlarından istifadə edərək onlayn pul qazan. 2-ci hissə (link sabah mövcud olacaq)
Bəzi reklamlar 🙂
Bizimlə qaldığınız üçün təşəkkür edirik. Məqalələrimiz xoşunuza gəlirmi? Daha maraqlı məzmun görmək istəyirsiniz? Sifariş verməklə və ya dostlarınıza tövsiyə etməklə bizə dəstək olun, , Bizim tərəfimizdən sizin üçün ixtira edilmiş giriş səviyyəli serverlərin unikal analoquna Habr istifadəçiləri üçün 30% endirim: (RAID1 və RAID10, 24 nüvəyə qədər və 40 GB DDR4 ilə mövcuddur).
Dell R730xd 2 dəfə ucuzdur? Yalnız burada Hollandiyada! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollardan! haqqında oxuyun
Mənbə: www.habr.com