Existuje stránka s názvem Hire2Hack, která také přijímá požadavky na „obnovu“ hesel. Zde cena služby začíná od 150 $. O zbytku nevím, ale musíte jim o sobě dát informace, protože jim zaplatíte. Chcete-li se zaregistrovat, musíte zadat uživatelské jméno, e-mail, heslo atd. Legrační je, že přijímají i převody přes Western Union.
Stojí za zmínku, že uživatelská jména jsou velmi cennou informací, zejména pokud jsou spojena s e-mailovou adresou. Řekněte mi, kdo z vás při registraci schránky uvádí své skutečné jméno? Nikdo, to je zábava!
E-mailové adresy jsou tedy cennými informacemi, zvláště pokud nakupujete online nebo chcete-li vystopovat, jak váš manžel na seznamce uhodil. Jste-li prodejce, můžete pomocí e-mailových adres zkontrolovat, kteří z vašich zákazníků nebo předplatitelů aktuálně využívají služeb některého z vašich konkurentů.
Proto phishingoví útočníci platí velké peníze za skutečné uživatelské adresy. Kromě toho používají okna pro obnovení hesla a přihlášení k dolování platných e-mailových adres pomocí útoků založených na čase. Mnoho velkých portálů elektronického obchodu a sociálních médií považuje krádež platných e-mailových adres za problém, který může způsobit mnoho škod, protože v této oblasti byly publikovány zajímavé studie. Musíme tedy bojovat na dvou frontách – proti útokům načasováním a proti únikům informací tohoto druhu.
Proměňujeme elektronické kupony na peníze
Jeremy Grossman: Takže jsme se podívali na tři způsoby online podvodů a nyní zvyšujeme náskok. Dalším způsobem je proměnit eKupony na peníze. Tyto kupóny se používají pro online nakupování. Zákazník zadá své jedinečné ID a na jeho nákup se uplatní sleva. Velcí online prodejci nabízejí zákazníkům slevové programy, které podporuje AmEx.
Mnoho z vás ví, že kupony poskytují slevy v rozmezí od několika do několika set dolarů a přicházejí s 16místným ID. Tato čísla jsou velmi statická a obvykle se objevují v pořadí. Zpočátku byl povolen pouze jeden kupon na objednávku, ale poté, jak program rostla popularita, byla tato omezení zrušena a nyní lze na jednu objednávku použít více než 3 kupony.
Někdo vyvinul skript, který se snaží identifikovat tisíce možných platných slevových kuponů. Prodejci vědí o objednávkách v hodnotě přes 50 tisíc dolarů, které byly placeny 200 a více kupony místo peněz. Souhlas, to je dobrý vánoční dárek!
Problém zůstal dlouho bez povšimnutí, protože program fungoval skvěle, každý využíval kupony a všichni byli spokojeni. To pokračovalo, dokud systém plánování zatížení programu nezjistil 90% nárůst zatížení procesoru, zatímco lidé procházeli identifikační čísla a vybírali ta, která poskytovala slevu.
Obchodníci požádali FBI, aby tento případ prošetřila, protože měli podezření, že něco není v pořádku. Problém byl ale v tom, že zboží bylo zasíláno na neexistující adresu a to je mátlo. Ukázalo se, že útočník vstoupil do spiknutí s doručovací službou, která zboží předem „zachytila“.
Na tomto případu je zajímavé, že kupony nejsou platidlo, jsou to pouze marketingové nástroje. Chyby v obchodní logice však vedly k nutnosti zapojit tajnou službu, která se také potýkala s podvody ze strany doručovací služby, která systém využívala ve svůj prospěch.
Vydělávat peníze z falešných účtů
Trey Ford: tohle je jeden z mých oblíbených příběhů. "Skutečný život: Hackování kancelářského prostoru." Myslím, že jste viděli film o hackerech "Office Space". Pojďme pochopit tento proces. Kolik z vás využilo online bankovnictví?
Super, všichni uznali, že to použili. Jedna zajímavá věc je možnost platit účty online přes ACH. ACH "Automated Clearing House" funguje takto. Řekněme, že si chci koupit auto od Jeremyho a převedu peníze přímo ze svého účtu na jeho účet. Než provedu hlavní platbu, moje finanční instituce se musí ujistit, že je vše v pořádku. Systém proto nejprve převede nějakou nepatrnou částku, od několika centů do 2 dolarů, aby ověřil, že finanční účty a směrovací adresy stran jsou v pořádku a klient obdržel peníze. Jakmile se přesvědčí, že tento převod byl dokončen správně, jsou připraveni přeposlat celou platbu. Můžeme polemizovat o tom, zda je to legální, zda je to v souladu s podmínkami uživatelské smlouvy, ale řekněte mi, kolik z vás má účet PayPal? Kolik lidí má více PayPal ID? To je pravděpodobně zcela legální a je v souladu s podmínkami.
Nyní si představte, že tímto mechanismem lze vydělat spoustu peněz. Bavíme se o využití efektu vytvoření dejme tomu 80 tisíc takových účtů nastavením jednoduchého skriptu. Jediná věc, které musíte věnovat pozornost, je, že jsme náš příběh začali pomocí místního proxy, skriptu RSnake, dalšího hackerského nástroje, který by nám měl pomoci vydělávat peníze, ale nyní se vrátíme a ukážeme, jak si hackování výrazně usnadnit , takže k vydělávání peněz můžete používat pouze jeden prohlížeč.
Tento konkrétní útok je osobní povahy. Michael Largent (22) z Kalifornie pomocí jednoduchého skriptu vytvořil 58 XNUMX falešných makléřských účtů. Otevřel je v systémech Schwab, eTrade a některých dalších a přiřadil jména kreslených postaviček falešným uživatelům těchto účtů.
Pro každý z těchto účtů použil pouze ověřovací převod ACH, aniž by provedl úplný převod prostředků. Ale vlastnil společný účet, na který tekly všechny tyto ověřovací prostředky, a poté je převedl na sebe. Zní to dobře – není to mnoho peněz, ale celkově mu to přineslo velmi podstatný příjem. Takto vydělával peníze podle myšlenky filmu Office Space. Zajímavé na tom je, že zde není nic nelegálního – všechny tyto nepatrné částky jen nasbíral, ale udělal to velmi rychle.
V systému Google Checkout vydělal 8225 50225 dolarů a dalších XNUMX XNUMX dolarů na systémech eTrade a Schwab. Tyto peníze pak vybral na kreditní kartu a zpronevěřil. Když banka zjistila, že všechny tyto tisíce účtů patří jedné osobě, zaměstnanci banky mu zavolali a zeptali se, proč to udělal, nechápe, že krade peníze? Na což Michael odpověděl, že nerozumí a neví, že dělá něco nezákonného.
Je to velmi dobrý způsob, jak budovat nové vztahy s lidmi z tajných služeb, kteří vás sledují a chtějí o vás vědět co nejvíce. Ještě jednou opakuji – nejvtipnější na tomto schématu je, že zde nebylo nic nezákonného. Byl zadržen podle zákona Patriot Act. Kdo ví, co je Patriot Act?
Je to tak, jde o zákon, který rozšiřuje pravomoci zpravodajských služeb v oblasti boje proti terorismu. Ten chlap používal jména z karikatur a komiksů, takže ho mohli zatknout za používání falešných uživatelských jmen. Přítomní, kteří používají pro své poštovní schránky smyšlená jména, by se tedy měli mít na pozoru – může to být považováno za nezákonné!
Obžaloba Tajné služby byla založena na čtyřech bodech: počítačový podvod, internetový podvod a poštovní podvod, ale akt přijímání peněz byl shledán zcela legální, protože používal skutečný účet. Nemohu říci, zda to bylo provedeno správně nebo ne, eticky nebo ne, ale v podstatě vše, co Michael udělal, bylo v souladu s podmínkami uvedenými na webových stránkách, takže to možná byla jen doplňková funkce.
Hackování bank přes ASP
Jeremy Grossman: Víte, hodně cestuji a potkávám lidi, kteří jsou technicky zdatní nebo se naopak v technice vůbec neorientují. A když mluvíme o životě, ptají se, kde pracuji. Když odpovím, že dělám informační bezpečnost, ptají se, co to je. Vysvětlím, a pak řeknou: „Aha, takže můžeš hacknout banku“!
Když tedy začnete vysvětlovat, jak může být banka vlastně hacknuta, mluvíte o hackování prostřednictvím poskytovatelů finančních aplikací ASP. Poskytovatelé aplikačních služeb jsou společnosti, které pronajímají svůj vlastní software a hardware svým klientům – bankám, družstevním záložnám a dalším finančním společnostem.
Jejich služeb využívají malé banky a podobné společnosti, pro které není finančně výhodné mít vlastní software a hardware. Pronajímají si tedy kapacitu ASP a platí je měsíčně nebo ročně.
ASP se těší velké pozornosti hackerů, protože místo hacknutí jedné banky mohou hacknout 600 nebo tisíc bank najednou. ASP tedy představují velmi zajímavý cíl pro padouchy.
Společnosti ASP tedy obsluhují celou řadu bank na základě tří důležitých parametrů URL: ID klienta client_ID, ID banky bank_ID a ID účtu acct_ID. Každý klient ASP má svůj vlastní jedinečný identifikátor, který může být potenciálně použit na více bankovních stránkách. Každá banka může mít libovolný počet uživatelských účtů pro každou finanční aplikaci – spořicí systém, systém ověřování účtů, platební styk atd. a každá finanční aplikace má své vlastní ID. Navíc každý klientský účet v tomto aplikačním systému má také své vlastní ID. Máme tedy tři systémy účtů.
Jak tedy hackneme 600 bank najednou? Nejprve se podíváme na konec řetězce adresy URL takto: a pokuste se nahradit acct_id libovolnou hodnotou #X, načež se nám zobrazí velká červená chybová zpráva s následujícím obsahem: „Účet #X patří bance #Y“ (účet #X patří bance #Y). Dále vezmeme bank_id, změníme ho v prohlížeči na #Y a dostaneme zprávu: „Banka #Y patří klientovi #Z“ (banka #Y patří klientovi #Z).
Nakonec vezmeme client_id, přiřadíme mu #Z – a je to, dostaneme se k účtu, do kterého jsme se původně chtěli dostat. Poté, co jsme úspěšně nabourali systém, můžeme se stejným způsobem dostat na jakýkoli jiný bankovní účet nebo bankovní nebo klientský účet. Dostaneme se ke každému účtu v systému. Není zde vůbec žádný náznak autorizace. Jediné, co kontrolují, je, že jste přihlášeni svým ID a nyní můžete libovolně vybírat peníze, provádět převody a tak dále.
Jednoho dne jeden z našich zákazníků mimo ASP předal naše informace o této chybě zabezpečení jinému zákazníkovi, který ASP používal, a řekl mu, že existuje problém, který je třeba opravit. Řekli jsme jim, že asi budeme muset přepsat celou aplikaci, abychom zavedli autorizaci a systém zkontroluje, zda má klient oprávnění k finančním transakcím, a že to bude nějakou dobu trvat.
O dva dny později nám poslali odpověď, že už vše sami opravili – opravili URL, takže se chybová hláška už nezobrazovala. Samozřejmě to bylo skvělé a rozhodli jsme se podívat na zdrojový kód, abychom viděli, co udělali se svou „skvělou“ hackerskou technikou. Takže vše, co udělali, bylo, že přestali zobrazovat chybovou zprávu ve formátu HTML. Celkově jsme měli s tímto klientem velmi zajímavý rozhovor. Řekli, že protože nebyli schopni tento problém rychle vyřešit, rozhodli se tak prozatím učinit v naději, že v dlouhodobém horizontu zranitelnost zcela opraví.
Zpětný převod peněz
Dalším způsobem podvodu, o kterém budu mluvit velmi krátce, je zpětný převod peněz. Tato operace se provádí v mnoha bankovních aplikacích. Při převodu 10000 XNUMX $ z účtu A na účet B by měl provozní vzorec logicky fungovat takto:
A = A – (10,000 XNUMX USD)
B = B + (10,000 XNUMX USD)
To znamená, že 10000 XNUMX $ je vybráno z účtu A a přidáno na účet B.
Zajímavostí je, že banka nekontroluje, zda zadáváte správnou částku převodu. Můžete například nahradit kladné číslo záporným, to znamená převést 10000 XNUMX USD z účtu A na účet B. Vzorec transakce bude vypadat takto:
A = A – (-10,000 XNUMX $)
B = B + (-10,000 XNUMX $)
To znamená, že místo odepsání prostředků z účtu A budou odepsány z účtu B a připsány na účet A. To se čas od času stává a přináší zajímavé výsledky. V dolní části tohoto snímku můžete vidět odkaz na článek výzkumu .
Popisuje podobné věci, které se stávají při zaokrouhlovacích chybách. V tomto článku od Corsaire je spousta zajímavých věcí, které nám poskytly materiál pro některá z našich vlastních řešení.
Ale vraťme se k předchozímu problému. Kontaktovali jsme ASP Security a obdrželi jsme následující odpověď: „Interní obchodní kontroly takovým problémům zabrání.“ Řekli jsme: "Dobře, podíváme se na jejich web." O několik týdnů později, když jsme pokračovali ve spolupráci s naším klientem, jsme od něj obdrželi tento šek:
Zde je napsáno, že se jedná o poplatek 2 $ za testování provedené naší společností WH. Takto vyděláváme peníze!
Tu účtenku mám pořád na stole. Za dva takové testy můžeme získat až 4 dolary!
Ale o pár měsíců později jsme od konkrétního zákazníka slyšeli, že 70000 XNUMX dolarů bylo nezákonně převedeno do jedné z východoevropských zemí. Peníze nebylo možné vrátit, protože bylo příliš pozdě a ASP ztratila svého klienta. Tyto věci se stávají, ale co jsme nikdy nezjistili, protože nejsme forenzní vědci, je, kolik dalších zákazníků bylo touto zranitelností postiženo. Protože vše v tomto schématu vypadá opět zcela legálně – jen měníte vzhled URL.
Nákupy z teleshoppingu
Trey Ford: Teď vám povím o opravdu technickém hacku, takže pozorně poslouchejte. Všichni známe malou televizní stanici jménem QVC, jsem si jistý, že si občas něco koupíte v tomto televizním obchodě.
Vězte, že když si něco koupíte online, bez ohledu na web, nikam neklikejte, protože vaše objednávka se začne zpracovávat ihned poté! Můžete okamžitě změnit názor a zastavit transakci. O pár dní později vám ale poštou přijde hromada nevyžádaných věcí, za které musíte okamžitě zaplatit.
Vstoupí Quantina Moore-Perry, 33letá certifikovaná hackerka z Greensboro v Severní Karolíně. Nevím, čím se dříve živila, ale můžu vám říct, jak začala vydělávat peníze po náhodné transakci, kterou údajně provedla, ačkoli transakci na stránce téměř okamžitě zrušila.
Všechny tyto „objednané“ věci začaly přicházet na její poštovní adresu z QVC - dámské kabelky, domácí spotřebiče, šperky, elektronika. Co byste dělali, kdyby vám někdo poštou poslal něco, co jste si neobjednali? Přesně tak, nic! Okamžitě je zřejmé, že naši lidé...
Máte však dopravu zdarma a doprava zdarma je výhodou! Koneckonců, balíky jsou již na poště, nemusíte je nikam posílat. Pokud se jedná o standardní obchodní proces, jak jej můžete použít? Co dělat s 1800 balíky, které jí od května do listopadu dorazily na poštovní adresu? Takže tato žena vydražila všechny tyto věci na eBay a v důsledku prodeje všeho toho harampádí byl její zisk 412000 XNUMX $! Jak to udělala, je velmi jednoduché! Na poště sdělila, že si někdo objednal všechny tyto balíčky od QVC na její adresu, ale ona má potíže je přebalit a odeslat adresátům, takže se ujistěte, že jsou odeslány v originálním balení QVC!
Jak vidíte, jedná se o velmi technické řešení! Společnost QVC se však tímto problémem začala zabývat poté, co 2 lidé, kteří si koupili položku na eBay, ji obdrželi v balení QVC. Federální soud uznal ženu vinnou z poštovního podvodu.
Jednoduchý technický zádrhel se zrušením zadaných objednávek tak této ženě umožnil vydělat obrovské množství peněz.
37:40 min
Nějaké inzeráty 🙂
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, , 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com