Hire2Hack adlı bir sayt var, o da parolların “bərpa edilməsi” üçün sorğuları qəbul edir. Burada xidmətin qiyməti 150 dollardan başlayır. Qalanlarını bilmirəm, amma siz onlara özünüz haqqında məlumat verməlisiniz, çünki onlara pul ödəyəcəksiniz. Qeydiyyatdan keçmək üçün istifadəçi adı, e-poçt, parol və s. təqdim etməlisiniz. Gülməli olan odur ki, onlar hətta Western Union köçürmələrini də qəbul edirlər.
Qeyd etmək lazımdır ki, istifadəçi adları xüsusilə e-poçt ünvanı ilə əlaqəli olduqda çox dəyərli məlumatdır. Mənə deyin, hansınız poçt qutusunu qeydiyyatdan keçirərkən əsl adınızı göstərir? Heç kim, bu əyləncədir!
Beləliklə, e-poçt ünvanları dəyərli məlumatdır, xüsusən də onlayn alış-veriş edirsinizsə və ya həyat yoldaşınızın bir tanışlıq saytında qaçmasını izləmək istəyirsinizsə. Əgər siz satıcısınızsa, müştərilərinizdən və ya abunəçilərdən hansının hazırda rəqiblərinizin xidmətlərindən istifadə etdiyini yoxlamaq üçün e-poçt ünvanlarından istifadə edə bilərsiniz.
Buna görə də, fişinq hücumçuları real istifadəçi ünvanları üçün böyük pul ödəyirlər. Bundan əlavə, vaxta əsaslanan hücumlardan istifadə edərək etibarlı e-poçt ünvanlarını mənimsəmək üçün parol və giriş bərpa pəncərələrindən istifadə edirlər. Bir çox böyük e-ticarət və sosial media portalları etibarlı e-poçt ünvanlarının oğurlanmasını bu sahədə maraqlı araşdırmalar dərc olunduğundan çox zərər verə biləcək bir problem kimi nəzərdən keçirir. Beləliklə, biz iki cəbhədə mübarizə aparmalıyıq - zamanlama hücumlarına və bu cür məlumat sızmasına qarşı.
Elektron kuponları pula çeviririk
Ceremi Qrossman: Beləliklə, biz onlayn fırıldaqçılığın üç yolunu nəzərdən keçirdik və indi anteni yüksəldirik. Növbəti yol elektron kuponları pula çevirməkdir. Bu kuponlar onlayn alış-veriş üçün istifadə olunur. Müştəri unikal şəxsiyyət vəsiqəsini daxil edir və alışına endirim tətbiq olunur. Böyük onlayn pərakəndə satıcılar müştərilərə AmEx tərəfindən dəstəklənən endirim proqramları təklif edirlər.
Çoxlarınız bilirsiniz ki, kuponlar bir neçə yüz dollardan bir neçə yüz dollara qədər endirimlər təqdim edir və 16 rəqəmli şəxsiyyət vəsiqəsi ilə gəlir. Bu nömrələr çox statikdir və adətən ardıcıl olaraq görünür. Əvvəlcə hər sifarişə yalnız bir kupon icazə verilirdi, lakin sonra proqramın populyarlığı artdıqca bu məhdudiyyətlər aradan qaldırıldı və indi bir sifarişlə 3-dən çox kupondan istifadə etmək olar.
Kimsə minlərlə mümkün etibarlı endirim kuponunu müəyyən etməyə çalışan bir skript hazırladı. Satıcılar, pul əvəzinə 50 və ya daha çox kuponla ödənilən 200 min dollardan yuxarı sifarişləri bilirlər. Razılaşın, bu yaxşı Milad hədiyyəsidir!
Proqram əla işlədiyi üçün problem uzun müddət diqqətdən kənarda qaldı, hər kəs kuponlardan istifadə etdi və hər kəs xoşbəxt idi. Bu, proqramın yükləmə cədvəli sistemi insanlar endirim təqdim edənləri seçərək ID nömrələri arasında sürüşərkən prosessorun yüklənməsində 90% artım aşkarlayana qədər davam etdi.
Treyderlər nəyinsə səhv olduğundan şübhələndikləri üçün FTB-dən bu işi araşdırmağı xahiş ediblər. Amma problem onda idi ki, mallar olmayan ünvana göndərilirdi və bu, onları çaşdırıb. Məlum olub ki, təcavüzkar malları əvvəlcədən “ələ keçirən” çatdırılma xidməti ilə sui-qəsd qurub.
Bu işdə maraqlı olan odur ki, kuponlar valyuta deyil, sadəcə marketinq alətləridir. Bununla belə, biznes məntiqindəki səhvlər Məxfi Xidməti cəlb etmək zərurətinə gətirib çıxardı ki, bu da sistemdən öz xeyrinə istifadə edən çatdırılma xidməti tərəfindən dələduzluq faktları ilə üzləşdi.
Saxta hesablardan pul qazanmaq
Trey Ford: bu mənim sevimli hekayələrimdən biridir. "Real Həyat: Ofis Məkanının Hacking". Düşünürəm ki, siz hakerlər haqqında "Ofis sahəsi" filminə baxmısınız. Bu prosesi başa düşək. Neçəniz onlayn bankçılıqdan istifadə etmisiniz?
Əla, hamı istifadə etdiyini etiraf etdi. Maraqlı bir şey, ACH vasitəsilə onlayn ödəmə imkanıdır. ACH "Avtomatlaşdırılmış Hesablama Palatası" belə işləyir. Deyək ki, mən Ceremidən maşın almaq istəyirəm və mən birbaşa hesabımdan onun hesabına pul köçürəcəyəm. Əsas ödənişi etməzdən əvvəl maliyyə qurumum hər şeyin qaydasında olduğundan əmin olmalıdır. Buna görə də, sistem tərəflərin maliyyə hesablarının və marşrut ünvanlarının qaydasında olduğunu və müştərinin pulu qəbul etdiyini yoxlamaq üçün əvvəlcə bir neçə sentdən 2 dollara qədər kiçik bir məbləğ köçürür. Bu köçürmənin düzgün yerinə yetirildiyinə əmin olduqdan sonra onlar tam ödənişi göndərməyə hazırdırlar. Bunun qanuni olub-olmaması, istifadəçi müqaviləsinin şərtlərinə uyğun olub-olmaması barədə mübahisə edə bilərik, amma deyin, neçənizin PayPal hesabı var? Neçə nəfərin birdən çox PayPal ID-si var? Bu, yəqin ki, tamamilə qanunidir və Qaydalar və Şərtlərə uyğundur.
İndi təsəvvür edin ki, bu mexanizmdən çoxlu pul qazanmaq olar. Söhbət sadə skript qurmaqla, deyək ki, 80 min belə hesab yaratmaq effektindən istifadə etməkdən gedir. Diqqət etməli olduğunuz yeganə şey odur ki, hekayəmizi yerli proksi, RSnake skripti və pul qazanmağımıza kömək edəcək digər sındırma alətindən istifadə etməklə başladıq, lakin indi biz qayıdıb sındırmağı necə asanlaşdıracağımızı göstərəcəyik. , belə ki, pul qazanmaq üçün yalnız bir brauzerdən istifadə edə bilərsiniz.
Bu xüsusi hücum şəxsi xarakter daşıyır. Kaliforniyadan olan 22 yaşlı Maykl Largent sadə skriptdən istifadə edərək 58 XNUMX saxta broker hesabı yaratdı. O, onları Schwab, eTrade və bəzi başqa şirkətlərin sistemlərində açıb, bu hesabların saxta istifadəçilərinə cizgi filmi personajlarının adlarını verib.
Bu hesabların hər biri üçün o, tam pul köçürmə etmədən yalnız ACH doğrulama köçürməsindən istifadə etdi. Lakin o, bütün bu yoxlama vəsaitlərinin axdığı ortaq hesaba sahib idi və sonra onları özünə köçürdü. Yaxşı səslənir - bu çox pul deyil, lakin ümumilikdə ona çox əhəmiyyətli gəlir gətirdi. O, Office Space filminin ideyasına əməl edərək pul qazandı. Maraqlısı odur ki, burada qeyri-qanuni heç nə yoxdur - o, sadəcə olaraq bütün bu xırda məbləğləri yığıb, amma bunu çox tez edib.
O, Google Checkout sistemində 8225 dollar, eTrade və Schwab sistemlərində isə 50225 dollar qazanıb. Daha sonra bu pulu kredit kartına çıxarıb və mənimsəyib. Bank bütün bu minlərlə hesabın bir nəfərə məxsus olduğunu aşkar edəndə bank işçiləri ona zəng edib soruşdular ki, niyə belə edir, o, pul oğurladığını başa düşmürmü? Buna Michael cavab verdi ki, o, qeyri-qanuni bir şey etdiyini başa düşmədi və bilmədi.
Bu, sizi izləyən və haqqınızda mümkün qədər çox şey bilmək istəyən Gizli Xidmət adamları ilə yeni əlaqələr qurmaq üçün çox yaxşı bir yoldur. Bir daha təkrar edirəm - bu sxemin ən gülməli tərəfi odur ki, burada qanunsuz heç nə yox idi. O, Patriot Qanununa əsasən saxlanılıb. Patriot Qanununun nə olduğunu kim bilir?
Düzdü, bu, terrorizmlə mübarizə sahəsində kəşfiyyat xidmətlərinin səlahiyyətlərini genişləndirən qanundur. Bu adam cizgi filmlərindən və komikslərdən adlardan istifadə edirdi, ona görə də saxta istifadəçi adlarından istifadə etdiyinə görə onu həbs edə bildilər. Beləliklə, poçt qutuları üçün uydurma adlardan istifadə edənlər diqqətli olmalıdırlar - bu qanunsuz hesab edilə bilər!
Gizli Xidmətin ittihamı dörd maddəyə əsaslanırdı: kompüter fırıldaqçılığı, internet fırıldaqçılığı və poçt fırıldaqçılığı, lakin o, real hesabdan istifadə etdiyi üçün pul almaq aktının tamamilə qanuni olduğu müəyyən edilib. Bunun düzgün olub-olmadığını, etik cəhətdən və ya edilmədiyini deyə bilmərəm, amma əsasən Mayklın etdiyi hər şey vebsaytlarda qeyd olunan Şərtlər və Şərtlərə uyğun gəlirdi, ona görə də bəlkə də bu, sadəcə əlavə xüsusiyyət idi.
ASP vasitəsilə bankları sındırmaq
Ceremi Qrossman: Bilirsiniz, mən çox səyahət edirəm və texniki cəhətdən savadlı və ya əksinə, texnologiyadan heç də xəbəri olmayan insanlarla tanış oluram. Həyatdan danışanda isə harada işlədiyimi soruşurlar. Mən cavab verəndə ki, mən informasiya təhlükəsizliyi ilə məşğulam, soruşurlar ki, bu nədir. Mən izah edirəm və sonra deyirlər: "Oh, bankı sındıra bilərsiniz"!
Beləliklə, bir bankın həqiqətən necə sındırıla biləcəyini izah etməyə başlayanda, siz ASP maliyyə proqram təminatçıları vasitəsilə sındırma haqqında danışırsınız. Tətbiq Xidməti Provayderləri öz proqram və avadanlıqlarını müştərilərinə - banklara, kredit ittifaqlarına və digər maliyyə şirkətlərinə icarəyə verən şirkətlərdir.
Onların xidmətlərindən kiçik banklar və analoji şirkətlər istifadə edirlər ki, onlar üçün öz proqram və avadanlıqlarına malik olmaq maliyyə baxımından sərfəli deyil. Beləliklə, onlar aylıq və ya illik ödəniş edərək ASP-nin gücünü icarəyə götürürlər.
ASP-lər hakerlərin çox diqqətini çəkirlər, çünki onlar bir bankı sındırmaq əvəzinə, eyni anda 600 və ya min bankı sındıra bilirlər. Beləliklə, ASP-lər pis adamlar üçün çox maraqlı bir hədəf təqdim edir.
Beləliklə, ASP şirkətləri üç mühüm URL parametrinə əsaslanan bütün banklara xidmət göstərir: müştəri ID-si client_ID, bank ID bank_ID və hesab ID-si acct_ID. Hər bir ASP müştərisinin özünəməxsus identifikatoru var və bu identifikator potensial olaraq bir çox bank saytlarında istifadə oluna bilər. Hər bir bankın hər bir maliyyə tətbiqi üçün istənilən sayda istifadəçi hesabı ola bilər - əmanət sistemi, hesabların yoxlanılması sistemi, ödəniş sistemi və s. və hər bir maliyyə tətbiqinin öz ID-si var. Bundan əlavə, bu proqram sistemindəki hər bir müştəri hesabının öz ID-si də var. Beləliklə, üç hesab sistemimiz var.
Bəs bir anda 600 bankı necə sındırırıq? Əvvəlcə bu kimi bir URL sətirinin sonuna baxırıq: və acct_id-i ixtiyari #X dəyəri ilə əvəz etməyə çalışın, bundan sonra biz aşağıdakı məzmunlu böyük, qırmızı xəta mesajı alırıq: “#X hesabı #Y Bankına məxsusdur” (#X hesabı #Y bankına aiddir). Daha sonra bank_id-ni götürürük, brauzerdə onu #Y-yə dəyişdiririk və mesajı alırıq: “Bank #Y, Müştəri #Z-yə məxsusdur” (bank #Y, müştəri #Z-yə aiddir).
Nəhayət, biz client_id-ni götürürük, ona #Z təyin edirik - və budur, biz əvvəlcə daxil olmaq istədiyimiz hesaba daxil oluruq. Sistemi müvəffəqiyyətlə sındırdıqdan sonra eyni şəkildə istənilən digər bank hesabına, bank və ya müştəri hesabına daxil ola bilərik. Sistemdəki hər hesaba çata bilərik. Burada heç bir icazə işarəsi yoxdur. Yoxladıqları tək şey şəxsiyyət vəsiqənizlə daxil olmağınızdır və indi siz sərbəst şəkildə pul çıxara, köçürmə edə və s.
Bir gün ASP olmayan müştərilərimizdən biri bu zəiflik haqqında məlumatımızı ASP-dən istifadə edən başqa bir müştəriyə yönləndirdi və onlara həll edilməsi lazım olan problem olduğunu bildirdi. Biz onlara dedik ki, yəqin ki, avtorizasiya tətbiq etmək üçün bütün ərizəni yenidən yazmalı olacağıq və sistem müştərinin maliyyə əməliyyatları etmək səlahiyyətinin olub-olmadığını yoxlayacaq və bunun bir qədər vaxt aparacağını.
İki gün sonra bizə cavab göndərdilər ki, onlar artıq hər şeyi özləri düzəltdilər - URL-i düzəldiblər ki, xəta mesajı artıq görünməsin. Əlbəttə ki, çox gözəl idi və biz onların “böyük” sındırma texnikası ilə nə etdiklərini görmək üçün mənbə koduna baxmaq qərarına gəldik. Beləliklə, onlar HTML formatında səhv mesajı göstərməyi dayandırdılar. Ümumiyyətlə, bu müştəri ilə çox maraqlı söhbətimiz oldu. Onlar bildiriblər ki, bu problemi tez bir zamanda həll edə bilmədiklərinə görə, uzunmüddətli perspektivdə zəifliyi tamamilə aradan qaldırmaq ümidi ilə hələlik bunu etmək qərarına gəliblər.
Əks pul köçürməsi
Haqqında çox qısa danışacağım başqa bir fırıldaq üsulu tərs pul köçürmələridir. Bu əməliyyat bir çox bank proqramlarında həyata keçirilir. A hesabından B hesabına 10000 ABŞ dolları köçürərkən əməliyyat düsturu məntiqi olaraq belə işləməlidir:
A = A - ($10,000)
B = B + ($10,000)
Yəni A hesabından 10000 XNUMX ABŞ dolları çıxarılır və B hesabına əlavə olunur.
Maraqlısı odur ki, bank sizin köçürmə məbləğini düzgün daxil edib-etmədiyinizi yoxlamır. Məsələn, siz müsbət rəqəmi mənfi ilə əvəz edə bilərsiniz, yəni A hesabından B hesabına 10000 ABŞ dolları köçürə bilərsiniz. Əməliyyat düsturu belə görünəcək:
A = A — (-$10,000)
B = B + (-$10,000)
Yəni pul vəsaitlərini A hesabından çıxarmaq əvəzinə, B hesabından debet edib A hesabının kreditinə yazılacaq. Bu, vaxtaşırı baş verir və maraqlı nəticələr verir. Bu slaydın altında bir araşdırma məqaləsinə keçid görə bilərsiniz .
Yuvarlaqlaşdırma xətaları ilə baş verən oxşar hadisələri təsvir edir. Bu məqalədə Corsaire-dən bir çox maraqlı şeylər var ki, bu da bizə öz həllərimiz üçün material təqdim edir.
Ancaq əvvəlki problemə qayıdaq. Biz ASP Security ilə əlaqə saxladıq və belə cavab aldıq: “Daxili biznes nəzarəti bu cür problemlərin qarşısını alacaq”. Dedik ki, “yaxşı, onların internet saytına baxaq”. Bir neçə həftə sonra müştərimizlə işləməyə davam edərkən onlardan bu çeki poçtla aldıq:
Burada deyilir ki, bu, şirkətimiz WH tərəfindən edilən sınaq üçün $2 ödənişdir. Bu şəkildə pul qazanırıq!
Həmin qəbz hələ də stolumun üstündədir. İki belə test üçün biz 4 dollara qədər qazana bilərik!
Amma bir neçə ay sonra konkret müştəridən eşitdik ki, Şərqi Avropa ölkələrindən birinə qeyri-qanuni yolla 70000 min dollar köçürülüb. Artıq gec olduğu və ASP müştərisini itirdiyi üçün pulu qaytarmaq mümkün olmayıb. Bunlar olur, amma biz heç vaxt öyrənmədiyimiz şey, çünki biz məhkəmə tibb işçisi deyilik, nə qədər başqa müştərilərin bu zəiflikdən təsirləndiyidir. Çünki bu sxemdəki hər şey yenidən tamamilə qanuni görünür - siz sadəcə URL-in görünüşünü dəyişirsiniz.
Teleshopdan alış-veriş
Trey Ford: İndi sizə həqiqətən texniki bir hack haqqında danışacağam, ona görə də diqqətlə qulaq asın. Biz hamımız QVC adlı kiçik televiziya stansiyasını tanıyırıq, əminəm ki, bəzən bu televiziya mağazasından nəsə alırsan.
Bilin ki, saytdan asılı olmayaraq onlayn bir şey satın aldığınız zaman heç yerə klikləməyin, çünki sifarişiniz bundan dərhal sonra işlənməyə başlayacaq! Siz dərhal fikrinizi dəyişə və əməliyyatı dayandıra bilərsiniz. Ancaq bir neçə gündən sonra poçtda bir dəstə zibil gəlir ki, dərhal ödəməlisən.
Şimali Karolina ştatının Greensboro şəhərindən olan 33 yaşlı sertifikatlı haker Quantina Moore-Perry-ə daxil olun. Onun əvvəllər nə işlə məşğul olduğunu bilmirəm, ancaq saytdakı əməliyyatı demək olar ki, dərhal ləğv etsə də, guya etdiyi təsadüfi əməliyyatdan sonra necə pul qazanmağa başladığını deyə bilərəm.
Bütün bu "sifarişli" şeylər QVC-dən onun poçt ünvanına gəlməyə başladı - qadın çantaları, məişət texnikası, zərgərlik, elektronika. Kimsə sizə sifariş etmədiyiniz bir şeyi poçtla göndərsə, nə edərdiniz? Düzdü, heç nə! Dərhal aydın olur ki, xalqımız...
Bununla belə, pulsuz çatdırılma əldə edirsiniz və pulsuz çatdırılma bir faydadır! Axı, bağlamalar artıq poçtdadır, onları heç yerə göndərməyə ehtiyac yoxdur. Bu standart bir iş prosesidirsə, ondan necə istifadə edə bilərsiniz? Maydan noyabr ayına qədər onun poçt ünvanına gələn 1800 bağlama ilə nə etmək lazımdır? Beləliklə, bu qadın bütün bunları eBay-də hərraca çıxardı və bütün bu zibilləri satması nəticəsində onun qazancı 412000 dollar oldu! Bunu necə etdiyi çox sadədir! O, poçt şöbəsinə dedi ki, kimsə bütün bu bağlamaları QVC-dən onun ünvanına sifariş edib, lakin o, onları yenidən qablaşdırmaqda və alıcılara göndərməkdə çətinlik çəkir, ona görə də onların orijinal QVC qablaşdırmasında göndərildiyinə əmin olun!
Gördüyünüz kimi, bu çox texniki bir həlldir! Bununla belə, QVC-ni eBay-də alan 2 nəfər əşyanı QVC qablaşdırmasında aldıqdan sonra bu məsələ ilə bağlı narahat olub. Federal məhkəmə qadını poçt dələduzluğunda təqsirli bilib.
Beləliklə, verilmiş sifarişlərin ləğvi ilə sadə bir texniki problem bu qadına böyük miqdarda pul qazanmağa imkan verdi.
37:40 dəq
Bəzi reklamlar 🙂
Bizimlə qaldığınız üçün təşəkkür edirik. Məqalələrimiz xoşunuza gəlirmi? Daha maraqlı məzmun görmək istəyirsiniz? Sifariş verməklə və ya dostlarınıza tövsiyə etməklə bizə dəstək olun, , Bizim tərəfimizdən sizin üçün ixtira edilmiş giriş səviyyəli serverlərin unikal analoquna Habr istifadəçiləri üçün 30% endirim: (RAID1 və RAID10, 24 nüvəyə qədər və 40 GB DDR4 ilə mövcuddur).
Dell R730xd 2 dəfə ucuzdur? Yalnız burada Hollandiyada! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollardan! haqqında oxuyun
Mənbə: www.habr.com