Існуе сайт пад назвай Hire2Hack, які таксама прымае заяўкі на "аднаўленне" пароляў. Тут кошт паслугі пачынаецца ад $150. Я не ведаю пра астатняе, але вы павінны даць ім інфармацыю аб сабе, таму што збіраецеся ім плаціць. Для рэгістрацыі патрабуецца пазначыць імя карыстальніка, email, пароль і гэтак далей. Пацешна тое, што яны прымаюць да аплаты нават пераводы па сістэме Western Union.
Варта прыняць да ўвагі, што імёны карыстальнікаў уяўляюць сабой вельмі каштоўную інфармацыю, асабліва калі яны прывязаныя да адрасу электроннай пошты. Скажыце, хто з вас паказвае сваё сапраўднае імя пры рэгістрацыі паштовай скрыні? Ніхто, вось гэта весела!
Такім чынам, адрасы электроннай пошты ўяўляюць сабой каштоўную інфармацыю, асабліва калі вы займаецеся пакупкамі ў інтэрнэце або хочаце адсачыць інтрыжку мужа, які завісае на сайце знаёмстваў. Калі вы прадавец, то з дапамогай адрасоў электроннай пошты можаце праверыць, хто з вашых спажыўцоў ці вашых падпісчыкаў у цяперашні час карыстаюцца паслугамі любога з вашых канкурэнтаў.
Таму зламыснікі, якія займаюцца фішынгам, плацяць вялікія грошы за рэальныя адрасы карыстальнікаў. Акрамя таго, яны выкарыстоўваюць вокны аднаўлення пароляў і лагінаў для майнінгу сапраўдных адрасоў электроннай пошты, выкарыстоўваючы часовыя атакі. Мноства буйных парталаў электроннай камерцыі і сацыяльных сетак разглядаюць крадзеж сапраўдных адрасоў электроннай пошты як праблему, здольную нанесці вялікую шкоду, з таго часу, як былі апублікаваныя цікавыя даследаванні ў гэтай галіне. Так што мы павінны ваяваць на два фронты - супраць таймінг-атак і супраць уцечак інфармацыі такога роду.
Ператвараем электронныя купоны ў грошы
Джэрэмі Гросман: такім чынам, мы разгледзелі тры спосабы інтэрнэт-махлярства і зараз уздымаем стаўкі. Наступны спосаб - гэта ператварэнне ў грошы электронных купонаў eCoupons. Гэтыя купоны выкарыстоўваюцца для пакупак па інтэрнэце. Кліент уводзіць свой унікальны ID, і да яго куплі прымяняецца зніжка. Буйныя інтэрнэт-гандляры прапануюць пакупнікам зніжкавы праграму, якая была падтрымана AmEx.
Многія з вас ведаюць, што купоны падаюць зніжку ад некалькіх да пары сотняў даляраў і забяспечаны 16-знакавым ID. Гэтыя нумары вельмі статычныя і звычайна ідуць па парадку. Спачатку да адной замове дазвалялася ўжываць толькі адзін купон, але затым, па меры росту папулярнасці праграмы, гэтыя абмежаванні былі знятыя, і цяпер з адной замовай можна выкарыстоўваць больш за 3-х купонаў.
Хтосьці распрацаваў скрыпт, які спрабуе вызначыць тысячы магчымых сапраўдных купонаў на скідку. Прадаўцам вядомы заказы на суму звыш 50 тысяч долараў, якія замест грошай аплачваліся 200 і больш купонамі. Пагадзіцеся, гэта нядрэнны калядны падарунак!
Праблема заставалася незаўважанай доўгі час, таму што праграма выдатна працавала, усё карысталіся купонамі і ўсе былі задаволеныя. Так працягвалася датуль, пакуль сістэма планавання загружанасці праграмы не выявіла павелічэнне загрузкі працэсара на 90% у той час, калі людзі "пракручвалі" ID нумара, выбіраючы тыя, што падавалі зніжку.
Гандляры звярнуліся да ФБР з просьбай расследаваць гэты выпадак, бо западозрылі нешта нядобрае. Але праблема складалася ў тым, што тавары адпраўляліся на неіснуючы адрас, і гэта іх збянтэжыла. Высветлілася, што зламыснік уступіў у змову са службай дастаўкі, якая загадзя "перахапляла" тавар.
У гэтым выпадку цікава, што купоны не з'яўляюцца валютай, гэта толькі маркетынгавыя інструменты. Аднак памылкі бізнес-логікі прывялі да таго, што ўзнікла неабходнасць прыцягнуць Сакрэтную службу, якая да таго ж сутыкнулася з фактамі махлярства службы дастаўкі, якая выкарыстоўвала сістэму на сваю карысць.
Заробак на фэйкавых акаўнтах
Трэй Форд: гэта адна з маіх любімых гісторый. «Рэальнае жыццё: узлом «Офіснай прасторы». Думаю, вы бачылі фільм пра хакераў "Офісная прастора". Давайце разбяромся ў гэтым працэсе. Хто з вас карыстаўся анлайн-банкінгам?
Выдатна, усе прызналіся, што карысталіся. Існуе адна цікавая рэч - магчымасць аплаты рахункаў анлайн па сістэме ACH. "Аўтаматызаваная разліковая палата" ACH працуе так. Выкажам здагадку, я жадаю купіць у Джэрэмі аўтамабіль і збіраюся перавесці грошы прама з майго рахунку на яго рахунак. Перш чым я правяду асноўны плацёж, мая фінансавая ўстанова павінна пераканацца ў тым, што ў нас усё наладжана. Таму спачатку сістэма пераводзіць нейкую мізэрную суму, ад некалькіх цэнтаў да 2 долараў, каб праверыць, што фінансавыя акаўнты і адрасы маршрутызацыі бакоў у парадку і кліент атрымаў гэтыя грошы. Пасля таго, як яны пераканаюцца, што гэты перавод ажыццёўлены нармальна, яны гатовы пераслаць поўны плацеж. Можна разважаць аб тым, ці з'яўляецца гэта законным, ці адпавядае ўмовам карыстацкай дамовы, але скажыце мне, хто з вас мае рахунак PayPal? А колькі чалавек маюць некалькі PayPal ID? Верагодна, гэта суцэль законна і адпавядае Terms & Conditions.
А зараз уявіце, што гэты механізм можна выкарыстоўваць для таго, каб зарабіць шмат грошай. Мы гаворым аб тым, каб выкарыстоўваць эфект ад стварэння, выкажам здагадку, 80 тысяч такіх акаўнтаў, наладзіўшы просты скрыпт. Адзінае, на што трэба звярнуць увагу - гэта на тое, што мы пачалі свой аповяд з выкарыстання лакальнага проксі, скрыпту RSnake, іншага хакерскай прылады, які павінен быць дапамагчы нам зарабіць, але цяпер мы збіраемся вярнуцца і паказаць, як зрабіць узлом нашмат прасцей, так, каб для заробку можна было б выкарыстоўваць адзін толькі браўзэр.
Гэтая канкрэтная атака носіць індывідуальны характар. 22-гадовы Майкл Ларджэнт з Каліфорніі выкарыстаў просты скрыпт, каб стварыць 58 тысяч фэйкавых брокерскіх акаўнтаў. Ён адкрыў іх у сістэмах Sсhwab, eTrade і некаторых іншых, прысвоіўшы фальшывым карыстальнікам гэтых акаўнтаў імёны персанажаў мультфільмаў.
Для кожнага з гэтых акаўнтаў ён выкарыстоўваў толькі праверачны пераклад па сістэме ACH, не ажыццяўляючы поўнага пераводу сродкаў. Але ён валодаў агульным лікам, на які сцякаліся ўсе гэтыя праверачныя сродкі, а затым пераводзіў іх сабе. Гучыць нядрэнна - гэта невялікія грошы, але ў суме яны прынеслі яму вельмі самавіты заробак. Вось так ён зрабіў грошы, прытрымліваючыся ідэі фільма «Офісная прастора». Самае цікавае тое, што тут няма нічога незаконнага - ён проста збіраў усе гэтыя маленечкія сумы, але рабіў гэта вельмі хутка.
На сістэме Google Checkout ён зарабіў $8225, на сістэмах eTrade і Sсhwab – яшчэ $50225. Затым ён вывеў гэтыя грошы на крэдытную картку і прысвоіў. Калі банк выявіў, што ўсе гэтыя тысячы рахункаў належаць аднаму чалавеку, супрацоўнікі банка патэлефанавалі яму і спыталі, навошта ён гэта зрабіў, хіба ён не разумее, што крадзе грошы? На што Майкл ім адказаў, што не разумеў і не ведаў, што здзяйсняе нешта супрацьзаконнае.
Гэта вельмі добры спосаб наладзіць новыя адносіны з людзьмі з Сакрэтнай Службы, якія ідуць за вамі паўсюль і хочуць даведацца пра вас як мага больш. Яшчэ раз паўтару - самае смешнае ў гэтай схеме тое, што тут не было нічога супрацьзаконнага. Яго затрымалі на падставе Patriot Act, “Патрыятычнага Акту”. Хто ведае, што такое "Патрыятычны Акт"?
Правільна, гэта закон, які пашырае паўнамоцтвы спецслужбаў у сферы супрацьдзеяння тэрарызму. Гэты хлопец выкарыстоўваў імёны з мультфільмаў і коміксаў, таму яны змаглі затрымаць яго за выкарыстанне фальшывых імёнаў карыстальнікаў. Так што тыя з прысутных, хто выкарыстоўвае для сваіх паштовых скрыняў выдуманыя імёны, павінны быць асцярожныя - гэта можа быць прызнана незаконным!
Абвінавачанне Secret Service будавалася па чатырох пунктах: кампутарнае махлярства, інтэрнэт махлярства і паштовае махлярства, але акт атрымання грошай быў прызнаны цалкам законным, бо ён выкарыстоўваў сапраўдны рахунак. Я не магу сказаць, правільна гэта было зроблена ці не, этычна ці не этычна, але ў прынцыпе ўсё, што рабіў Майкл, адпавядала Terms & Conditions, прыведзеным на вэб-сайтах, так што, магчыма, гэта проста была такая дадатковая функцыя.
Узлом банкаў праз ASP
Джэрэмі Гросман: вы ведаеце, я шмат падарожнічаю, і сустракаюся з людзьмі, якія тэхнічна падкаваныя ці наадварот, зусім не разбіраюцца ў тэхніцы. І калі мы замаўляем аб жыцці, яны пытаюцца, дзе я працую. Калі я адказваю, што займаюся інфармацыйнай бяспекай, яны пытаюцца, што гэта такое. Я тлумачу, і тады яны кажуць: "о, значыць вы можаце ўзламаць банк"!
Такім чынам, калі вы пачынаеце тлумачыць, як сапраўды можна ўзламаць банк, вы маеце на ўвазе ўзлом праз пастаўшчыкоў прыкладных фінансавых праграм ASP. Application Service Providers – гэта кампаніі, якія прадстаўляюць у арэнду ўласнае праграмнае і апаратнае забеспячэнне сваім кліентам – банкам, крэдытным саюзам, іншым фінансавым кампаніям.
Іх паслугамі карыстаюцца дробныя банкі і падобныя кампаніі, якім фінансава не выгадна мець уласны "софт" і "жалеза". Таму яны арандуюць магутнасці ASP, плацячы ім памесячна ці кожны год.
ASP карыстаюцца падвышанай увагай хакераў, таму што замест таго, каб узламаць адзін банк, яны могуць адразу ўзламаць 600 ці тысячу банкаў. Так што ASP уяўляюць для дрэнных хлопцаў вельмі цікавую мэту.
Такім чынам, кампаніі ASP абслугоўваюць цэлую кучу банкаў на аснове трох найважнейшых URL - параметраў: ідэнтыфікатара кліента client_ID, ідэнтыфікатара банка bank_ID і ідэнтыфікатара рахунку acct_ID. Кожны кліент ASP мае свой адзіны ўнікальны ідэнтыфікатар, які патэнцыйна можа выкарыстоўвацца на некалькіх банкаўскіх сайтах. Кожны банк можа мець любую колькасць карыстацкіх акаўнтаў для кожнага фінансавага прыкладання - ашчаднай сістэмы, сістэмы праверкі рахунку, сістэмы плацяжоў і гэтак далей, і кожнае фінансавае прыкладанне мае свой ID. Пры гэтым кожны кліенцкі акаўнт у гэтай сістэме дадаткаў таксама мае свой ID. Такім чынам, у нас ёсць тры сістэмы акаўнтаў.
Такім чынам, як нам адначасова ўзламаць 600 банкаў? У першую чаргу мы глядзім у канец радка URL такога тыпу: і спрабуем замяніць acct_id адвольным значэннем #X, пасля чаго атрымліваем вялікае, вылучанае чырвоным колерам, паведамленне аб памылцы такога зместу: "Account #X belongs to Bank #Y" (рахунак #X належыць банку #Y). Далей мы бярэм bank_id, змяняем яго ў браўзэры на #Y і атрымліваем паведамленне: "Bank #Y belong to Client #Z" (банк #Y належыць кліенту #Z).
Нарэшце, мы бярэм client_id, прысвойваем яму #Z - і гатова, мы пападаем у той рахунак, у які першапачаткова жадалі патрапіць. Пасля таго, як мы паспяхова ўзламалі сістэму, мы можам патрапіць такім жа чынам у любы іншы банкаўскі рахунак, або банк, або кліенцкі рахунак. Мы можам дабрацца да кожнага акаўнта ў сістэме. Тут увогуле няма ніякага намёку на аўтарызацыю. Адзінае, што яны правяраюць - гэта тое, што вы ўвайшлі ў сістэму пад сваім ID, і зараз вы свабодна можаце выключыць грошы, здзейсніць перавод і гэтак далей.
Аднойчы адзін з нашых кліентаў, ня ASP, пераслаў нашу інфармацыю аб гэтай уразлівасці іншаму кліенту, які карыстаўся ASP і паведаміў ім, што існуе праблема, якую трэба выправіць. Мы паведамілі ім, што, верагодна, давядзецца перапісаць усё прыкладанне, каб увесці аўтарызацыю і сістэма б правярала, ці ёсць у кліента права здзяйсняць фінансавыя аперацыі, і што гэта зойме некаторы час.
Праз два дні яны накіравалі нам адказ, у якім паведамлялі, што ўсё ўжо выправілі самі - яны так выправілі URL-адрас, што паведамленне пра памылку больш не з'яўляецца. Вядома, гэта было крута, і мы вырашылі паглядзець зыходны код, каб убачыць, што ж яны зрабілі, выкарыстаўшы сваю "вялікую" хакерскую тэхніку. Дык вось, усё што зрабілі - гэта перасталі выводзіць паведамленне пра памылку ў фармаце HTML. Увогуле, у нас адбылася вельмі цікавая размова з гэтым кліентам. Яны сказалі, што паколькі не ў стане вырашыць гэтую праблему па хуткім, вырашылі зрабіць пакуль так, спадзеючыся цалкам выправіць уразлівасць у аддаленай перспектыве.
Зваротны грашовы перавод
Яшчэ адзін спосаб махлярства, пра які я раскажу зусім коратка - гэта зваротны грашовы перавод. Гэтая аперацыя здзяйсняецца ў шматлікіх банкаўскіх прыкладаннях. Пры перакладзе $10000 з рахунку А на рахунак У формула аперацыі лагічна павінна працаваць так:
A = A - ($ 10,000)
B = B + ($10,000)
Гэта значыць $10000 адбіраецца з рахунку А і дадаецца да рахунку Ў.
Цікава тое, што банк не правярае, ці правільную велічыню пераводу вы ўводзіце. Напрыклад, вы можаце замяніць станоўчы лік адмоўным, гэта значыць перавесці _10000$ з рахунку А на рахунак В. Пры гэтым формула транзакцыі будзе выглядаць так:
A = A - (- $ 10,000)
B = B + (-$10,000)
Гэта значыць, замест спісання сродкаў з рахунку А адбудзецца іх спісанне з рахунку В і залічэнне на рахунак А. Такое адбываецца час ад часу і прыносіць цікавыя вынікі. Унізе гэтага слайда вы бачыце спасылку на даследчы артыкул .
Там апісваюцца падобныя рэчы, якія адбываюцца з памылкамі акруглення. У гэтым артыкуле кампаніі Corsaire маецца шмат цікавага, што паслужыла нам матэрыялам для некаторых уласных рашэнняў.
Але вернемся да папярэдняй праблемы. Мы звярнуліся ў службу бяспекі ASP і атрымалі наступны адказ: "Унутраны бізнес-кантроль прадухіліць падобныя праблемы". Мы сказалі: "ок, паглядзім на іх вэб-сайт". Праз некалькі тыдняў, калі мы працягнулі працаваць з нашым кліентам, мы атрымалі ад іх па пошце вось гэты чэк:
Тут пазначана, што гэта аплата за тэставаньне, праведзенае нашай кампаніяй WH, на суму 2 даляры. Вось так мы зарабляем грошы!
Гэты чэк да гэтага часу захоўваецца на маім стале. За два такіх тэсціравання мы можам атрымаць цэлых 4 даляры!
Але праз некалькі месяцаў мы пачулі ад канкрэтнага заказчыка, што $70000 былі незаконна пераведзены ў адну з Усходне-еўрапейскіх краін. Грошы не ўдалося вярнуць, таму што было ўжо позна, і ASP страцілі свайго кліента. Гэтыя рэчы здараюцца, але чаго мы так і не даведаліся, таму што мы не крыміналісты, гэта таго, колькі іншых кліентаў пацярпелі ад гэтай уразлівасці. Таму што ўсё ў гэтай схеме зноў выглядае цалкам законна - вы проста змяняеце выгляд URL-адрасы.
Пакупкі з тэлемагазінаў
Трэй Форд: зараз я раскажу вам пра па-сапраўднаму тэхнічны ўзлом, так што слухайце ўважліва. Усе мы ведаем маленькую тэлевізійную станцыю пад назвай QVC, я ўпэўнены, вы часам купляеце што-небудзь у гэтым тэлемагазіне.
Ведайце, што калі вы купляеце нешта анлайн, незалежна ад сайта, нікуды не клічце, таму што ваша замова адразу пасля гэтага пачне апрацоўвацца! Магчыма, вы адразу перадумаеце і спыніце транзакцыю. Але праз некалькі дзён вы атрымаеце па пошце кучу ўсякага барахла, за якое павінны неадкладна заплаціць.
Вось Куантына Мур-Пэры, 33-гадовая сертыфікаваная хакерша з Грынзбара, штат Паўночная Караліна. Я не ведаю, чым яна зарабляла на жыццё раней, але я магу сказаць вам, як яна пачала зарабляць грошы пасля выпадковай транзакцыі, якую яна нібыта здзейсніла, хаця практычна неадкладна адмяніла здзелку на сайце.
На яе паштовы адрас сталі прыходзіць ад QVC усе гэтыя замоўленыя рэчы жаночыя сумачкі, бытавыя прыборы, ювелірныя ўпрыгожванні, электроніка. Што б вы зрабілі, калі б вам дасылалі па пошце тое, што вы не замаўлялі? Правільна, нічога! Адразу відаць, нашы людзі…
Аднак вы атрымліваеце бясплатную дастаўку, а бясплатная дастаўка - гэта выгада! Бо пасылкі ўжо на пошце, вам не трэба іх нікуды дасылаць. Калі гэта стандартны бізнэс-працэс, дык як ім можна скарыстацца? Што рабіць з 1800 пасылкамі, якія прыходзілі на яе паштовы адрас з траўня па лістападзе? Дык вось, гэтая жанчына выставіла ўсе гэтыя рэчы на аўкцыёне eBay, і ў выніку продажу ўсяго гэтага барахла яе прыбытак склаў 412000 долараў! Як яна пры гэтым паступала - вельмі проста! Яна казала на пошце, што нехта замовіў на яе адрас усе гэтыя пасылкі з QVC, але ёй вельмі цяжка перапакоўваць іх і адсылаць адрасатам, таму няхай яны адпраўляюцца ў арыгінальнай упакоўцы QVC!
Як бачыце, гэтае вельмі тэхнічнае рашэнне! Аднак QVC занепакоіўся гэтай праблемай пасля таго, як 2 чалавекі, якія набылі тавар на eBay, атрымалі яго ў пакаванні QVC. Федэральны суд прызнаў гэтую жанчыну вінаватай у махлярстве з паштовымі адпраўленнямі.
Такім чынам, простая тэхнічная замінка з адменай зробленых заказаў дазволіла гэтай жанчыне зарабіць вялізную суму грошай.
37:40 мін
Крыху рэкламы 🙂
Дзякуй, што застаяцеся з намі. Вам падабаюцца нашыя артыкулы? Жадаеце бачыць больш цікавых матэрыялаў? Падтрымайце нас, аформіўшы замову ці парэкамендаваўшы знаёмым, , 30% зніжка для карыстальнікаў Хабра на ўнікальны аналаг entry-level сервераў, які быў прыдуманы намі для Вас: (даступныя варыянты з RAID1 і RAID10, да 24 ядраў і да 40GB DDR4).
Dell R730xd у 2 разы танней? Толькі ў нас у Нідэрландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – ад $99! Чытайце аб тым
Крыніца: habr.com