Mae yna wefan o'r enw Hire2Hack, sydd hefyd yn derbyn ceisiadau am "adfer" cyfrineiriau. Yma mae cost y gwasanaeth yn dechrau o $150. Nid wyf yn gwybod am y gweddill, ond mae'n rhaid ichi roi gwybodaeth iddynt amdanoch chi'ch hun oherwydd eich bod yn mynd i'w talu. I gofrestru, mae angen i chi ddarparu enw defnyddiwr, e-bost, cyfrinair, ac ati. Y peth doniol yw eu bod hyd yn oed yn derbyn trosglwyddiadau Western Union.
Mae'n werth nodi bod enwau defnyddwyr yn wybodaeth werthfawr iawn, yn enwedig pan fyddant yn gysylltiedig â chyfeiriad e-bost. Dywedwch wrthyf, pa un ohonoch sy'n nodi eich enw iawn wrth gofrestru blwch post? Neb, mae hyn yn hwyl!
Felly, mae cyfeiriadau e-bost yn wybodaeth werthfawr, yn enwedig os ydych chi'n siopa ar-lein neu eisiau olrhain hanes eich priod ar safle dyddio. Os ydych chi'n werthwr, gallwch ddefnyddio cyfeiriadau e-bost i wirio pa rai o'ch cwsmeriaid neu danysgrifwyr sy'n defnyddio gwasanaethau unrhyw un o'ch cystadleuwyr ar hyn o bryd.
Felly, mae ymosodwyr gwe-rwydo yn talu arian mawr am gyfeiriadau defnyddwyr go iawn. Yn ogystal, maent yn defnyddio cyfrinair a ffenestri adfer mewngofnodi i gloddio cyfeiriadau e-bost dilys gan ddefnyddio ymosodiadau seiliedig ar amser. Mae llawer o byrth e-fasnach a chyfryngau cymdeithasol mawr yn ystyried dwyn cyfeiriadau e-bost dilys fel problem a all achosi llawer o ddifrod ers i astudiaethau diddorol gael eu cyhoeddi yn y maes hwn. Felly mae'n rhaid i ni ymladd ar ddau ffrynt - yn erbyn ymosodiadau amseru ac yn erbyn gollyngiadau gwybodaeth o'r math hwn.
Rydym yn troi cwponau electronig yn arian
Jeremy Grossman: Felly, rydym wedi edrych ar dair ffordd o dwyll ar-lein ac yn awr rydym yn gwella'r sefyllfa. Y ffordd nesaf yw troi eCoupons yn arian. Defnyddir y cwponau hyn ar gyfer siopa ar-lein. Mae'r cwsmer yn nodi ei ID unigryw a rhoddir gostyngiad ar ei bryniant. Mae manwerthwyr mawr ar-lein yn cynnig rhaglenni disgownt i gwsmeriaid, sydd wedi'u cefnogi gan AmEx.
Mae llawer ohonoch yn gwybod bod cwponau yn darparu gostyngiadau yn amrywio o ychydig i ychydig gannoedd o ddoleri ac yn dod ag ID 16-digid. Mae'r niferoedd hyn yn sefydlog iawn ac fel arfer yn ymddangos mewn trefn. Ar y dechrau, dim ond un cwpon a ganiateir fesul archeb, ond yna, wrth i'r rhaglen dyfu mewn poblogrwydd, codwyd y cyfyngiadau hyn, a nawr gellir defnyddio mwy na 3 cwpon gydag un archeb.
Mae rhywun wedi datblygu sgript sy'n ceisio nodi miloedd o gwponau disgownt dilys posibl. Mae gwerthwyr yn gwybod am archebion gwerth dros 50 mil o ddoleri, y talwyd amdanynt gyda 200 neu fwy o gwponau yn lle arian. Cytuno, dyma anrheg Nadolig dda!
Aeth y broblem heb ei sylwi am amser hir oherwydd roedd y rhaglen yn gweithio'n wych, roedd pawb yn defnyddio'r cwponau ac roedd pawb yn hapus. Parhaodd hyn nes i system amserlennu llwyth y rhaglen ganfod cynnydd o 90% yn llwyth y prosesydd tra bod pobl yn sgrolio trwy rifau adnabod, gan ddewis y rhai a roddodd ddisgownt.
Gofynnodd y masnachwyr i'r FBI ymchwilio i'r achos hwn oherwydd eu bod yn amau bod rhywbeth o'i le. Ond y broblem oedd bod y nwyddau yn cael eu hanfon i gyfeiriad nad oedd yn bodoli, ac roedd hyn yn eu drysu. Daeth i'r amlwg bod yr ymosodwr wedi cynllwynio gyda'r gwasanaeth dosbarthu, a oedd yn “rhyng-gipio” y nwyddau ymlaen llaw.
Yr hyn sy'n ddiddorol am yr achos hwn yw nad yw cwponau yn arian cyfred, dim ond offer marchnata ydyn nhw. Fodd bynnag, arweiniodd gwallau mewn rhesymeg busnes at yr angen i gynnwys y Gwasanaeth Cudd, a oedd hefyd yn wynebu ffeithiau twyll gan y gwasanaeth dosbarthu, a ddefnyddiodd y system o'i blaid.
Ennill arian o gyfrifon ffug
Trey Ford: dyma un o fy hoff straeon. "Bywyd Go Iawn: Hacio Gofod Swyddfa." Rwy'n credu eich bod wedi gweld y ffilm am hacwyr "Office Space". Gadewch i ni ddeall y broses hon. Faint ohonoch sydd wedi defnyddio bancio ar-lein?
Gwych, cyfaddefodd pawb eu bod yn ei ddefnyddio. Un peth diddorol yw'r gallu i dalu biliau ar-lein trwy ACH. Mae'r "Tŷ Clirio Awtomataidd" ACH yn gweithio fel hyn. Gadewch i ni ddweud fy mod eisiau prynu car gan Jeremy ac rydw i'n mynd i drosglwyddo arian yn uniongyrchol o fy nghyfrif i'w gyfrif. Cyn i mi wneud y prif daliad, mae angen i'm sefydliad ariannol sicrhau bod popeth mewn trefn. Felly, yn gyntaf mae'r system yn trosglwyddo rhywfaint o swm bach iawn, o ychydig cents i 2 ddoleri, i wirio bod cyfrifon ariannol a chyfeiriadau llwybro'r partïon mewn trefn a bod y cleient yn derbyn yr arian. Unwaith y byddant yn fodlon bod y trosglwyddiad hwn wedi'i gwblhau'n gywir, maent yn barod i anfon y taliad llawn ymlaen. Gallwn ddadlau a yw hyn yn gyfreithiol, a yw'n cydymffurfio â thelerau'r cytundeb defnyddiwr, ond dywedwch wrthyf, faint ohonoch sydd â chyfrif PayPal? Faint o bobl sydd â sawl ID PayPal? Mae'n debyg bod hyn yn gwbl gyfreithiol ac yn cydymffurfio â'r Telerau ac Amodau.
Nawr dychmygwch y gellir defnyddio'r mecanwaith hwn i ennill llawer o arian. Rydym yn sôn am ddefnyddio effaith creu, dyweder, 80 mil o gyfrifon o'r fath trwy sefydlu sgript syml. Yr unig beth y mae angen i chi roi sylw iddo yw ein bod wedi dechrau ein stori trwy ddefnyddio dirprwy lleol, sgript RSnake, offeryn hacio arall a ddylai ein helpu i wneud arian, ond nawr rydyn ni'n mynd i ddod yn ôl a dangos sut i wneud hacio yn llawer haws , fel y gallwch ddefnyddio dim ond un porwr i ennill arian.
Mae'r ymosodiad arbennig hwn yn bersonol ei natur. Defnyddiodd Michael Largent, 22, o California, sgript syml i greu 58 o gyfrifon broceriaeth ffug. Agorodd nhw yn systemau Schwab, eFasnach a rhai eraill, gan aseinio enwau cymeriadau cartŵn i ddefnyddwyr ffug y cyfrifon hyn.
Ar gyfer pob un o'r cyfrifon hyn, dim ond trosglwyddiad dilysu ACH a ddefnyddiodd, heb wneud trosglwyddiad cronfa lawn. Ond roedd yn berchen ar gyfrif ar y cyd yr oedd yr holl gronfeydd dilysu hyn yn llifo iddo, ac yna'n eu trosglwyddo iddo'i hun. Mae'n swnio'n dda - nid yw'n llawer o arian, ond yn gyfan gwbl daeth ag incwm sylweddol iawn iddo. Dyna sut y gwnaeth arian, yn dilyn y syniad o'r ffilm Office Space. Y peth diddorol yw nad oes dim byd anghyfreithlon yma - fe gasglodd yr holl symiau bach hyn, ond fe'i gwnaeth yn gyflym iawn.
Enillodd $8225 ar system Google Checkout, a $50225 arall ar y systemau eFasnach a Schwab. Yna tynnodd yr arian hwn yn ôl i gerdyn credyd a'i embezzle. Pan ddarganfu’r banc fod yr holl filoedd hyn o gyfrifon yn perthyn i un person, galwodd gweithwyr y banc ef a gofyn pam y gwnaeth hyn, onid yw’n deall ei fod yn dwyn arian? Atebodd Michael nad oedd yn deall ac nad oedd yn gwybod ei fod yn gwneud rhywbeth anghyfreithlon.
Mae hon yn ffordd dda iawn o adeiladu perthynas newydd gyda phobl y Gwasanaeth Cudd sy'n eich dilyn o gwmpas ac eisiau gwybod cymaint â phosibl amdanoch chi. Ailadroddaf unwaith eto - y peth mwyaf doniol am y cynllun hwn yw nad oedd dim byd anghyfreithlon yma. Cafodd ei gadw o dan Ddeddf Gwladgarwr. Pwy a wyr beth yw Deddf Gwladgarwr?
Mae hynny'n iawn, mae hon yn gyfraith sy'n ehangu pwerau gwasanaethau cudd-wybodaeth ym maes atal terfysgaeth. Roedd y dyn hwn yn defnyddio enwau o gartwnau a chomics, felly roedden nhw'n gallu ei chwalu am ddefnyddio enwau defnyddwyr ffug. Felly dylai'r rhai sy'n bresennol sy'n defnyddio enwau ffug ar gyfer eu blychau post fod yn ofalus - gall hyn gael ei ystyried yn anghyfreithlon!
Roedd ditiad y Gwasanaeth Cudd yn seiliedig ar bedwar cyfrif: twyll cyfrifiadurol, twyll rhyngrwyd a thwyll post, ond canfuwyd bod y weithred o dderbyn arian yn gwbl gyfreithiol, gan ei fod yn defnyddio cyfrif go iawn. Ni allaf ddweud a gafodd ei wneud yn gywir ai peidio, yn foesegol ai peidio, ond yn y bôn roedd popeth a wnaeth Michael yn cydymffurfio â'r Telerau ac Amodau a restrir ar y gwefannau, felly efallai mai nodwedd ychwanegol yn unig ydoedd.
Hacio banciau trwy ASP
Jeremy Grossman: wyddoch chi, rwy'n teithio llawer ac yn cwrdd â phobl sy'n dechnegol ddeallus neu, i'r gwrthwyneb, nad ydynt yn hyddysg o gwbl mewn technoleg. A phan rydyn ni'n siarad am fywyd, maen nhw'n gofyn ble rydw i'n gweithio. Pan atebaf fy mod yn gwneud diogelwch gwybodaeth, maent yn gofyn beth yw hynny. Rwy'n esbonio, ac yna maen nhw'n dweud: “O, felly gallwch chi hacio banc”!
Felly, pan ddechreuwch egluro sut y gellir hacio banc mewn gwirionedd, rydych chi'n sôn am hacio trwy ddarparwyr cymwysiadau ariannol ASP. Mae Darparwyr Gwasanaeth Cymwysiadau yn gwmnïau sy'n prydlesu eu meddalwedd a'u caledwedd eu hunain i'w cleientiaid - banciau, undebau credyd, a chwmnïau ariannol eraill.
Defnyddir eu gwasanaethau gan fanciau bach a chwmnïau tebyg nad yw'n broffidiol yn ariannol i gael eu meddalwedd a'u caledwedd eu hunain ar eu cyfer. Felly maen nhw'n rhentu capasiti ASP, gan eu talu'n fisol neu'n flynyddol.
Mae ASPs yn cael llawer o sylw gan hacwyr oherwydd yn lle hacio un banc, gallant hacio 600 neu fil o fanciau ar unwaith. Felly mae ASPs yn darged diddorol iawn ar gyfer dynion drwg.
Felly, mae cwmnïau ASP yn gwasanaethu criw cyfan o fanciau yn seiliedig ar dri pharamedr URL pwysig: ID cleient client_ID, ID banc bank_ID ac ID cyfrif acct_ID. Mae gan bob cleient ASP ei ddynodwr unigryw ei hun, y gellir ei ddefnyddio o bosibl ar draws sawl safle bancio. Gall pob banc gael unrhyw nifer o gyfrifon defnyddwyr ar gyfer pob cais ariannol - system gynilo, system gwirio cyfrifon, system dalu, ac ati, ac mae gan bob cais ariannol ei ID ei hun. Ar ben hynny, mae gan bob cyfrif cleient yn y system gais hon ei ID ei hun hefyd. Felly mae gennym ni dair system gyfrif.
Felly sut ydyn ni'n hacio 600 o fanciau ar unwaith? Yn gyntaf rydym yn edrych ar ddiwedd llinyn URL fel hyn: a cheisiwch ddisodli acct_id gyda gwerth mympwyol #X, ac ar ôl hynny rydym yn cael neges gwall fawr, goch gyda'r cynnwys canlynol: “Mae cyfrif #X yn perthyn i Fanc #Y” (mae cyfrif #X yn perthyn i fanc #Y). Nesaf, rydym yn cymryd bank_id, yn ei newid yn y porwr i #Y ac yn cael y neges: “Mae banc #Y yn perthyn i Cleient #Z” (mae banc #Y yn perthyn i gleient #Z).
Yn olaf, rydyn ni'n cymryd y client_id, yn ei aseinio #Z - a dyna ni, rydyn ni'n mynd i mewn i'r cyfrif roedden ni eisiau mynd i mewn iddo yn wreiddiol. Ar ôl i ni hacio'r system yn llwyddiannus, gallwn fynd i mewn i unrhyw gyfrif banc arall, neu gyfrif banc, neu gleient yn yr un modd. Gallwn gyrraedd pob cyfrif yn y system. Nid oes unrhyw awgrym o awdurdodi yma o gwbl. Yr unig beth maen nhw'n ei wirio yw eich bod chi wedi mewngofnodi gyda'ch ID, a nawr gallwch chi dynnu arian yn rhydd, gwneud trosglwyddiad, ac ati.
Un diwrnod anfonodd un o'n cwsmeriaid nad oeddent yn ASP ein gwybodaeth am y bregusrwydd hwn ymlaen at gwsmer arall a oedd yn defnyddio ASP a dywedodd wrthynt fod problem yr oedd angen ei datrys. Dywedasom wrthynt ei bod yn debygol y byddai'n rhaid i ni ailysgrifennu'r cais cyfan i gyflwyno awdurdodiad a byddai'r system yn gwirio a oedd y cleient wedi'i awdurdodi i wneud trafodion ariannol, ac y byddai hyn yn cymryd peth amser.
Dau ddiwrnod yn ddiweddarach fe wnaethon nhw anfon ymateb atom yn dweud eu bod eisoes wedi trwsio popeth eu hunain - roedden nhw wedi cywiro'r URL fel nad oedd y neges gwall yn ymddangos mwyach. Wrth gwrs, roedd yn cŵl, a phenderfynon ni edrych ar y cod ffynhonnell i weld beth wnaethon nhw gyda'u techneg hacio “gwych”. Felly, y cyfan a wnaethant oedd rhoi'r gorau i arddangos neges gwall mewn fformat HTML. Ar y cyfan, cawsom sgwrs ddiddorol iawn gyda'r cleient hwn. Gan nad oeddent yn gallu datrys y broblem hon yn gyflym, dywedasant eu bod wedi penderfynu gwneud hynny am y tro, gan obeithio trwsio'r bregusrwydd yn llwyr yn y tymor hir.
Trosglwyddiad arian gwrthdroi
Dull arall o dwyll, y byddaf yn siarad amdano’n fyr iawn, yw trosglwyddiad arian gwrthdro. Perfformir y llawdriniaeth hon mewn llawer o gymwysiadau bancio. Wrth drosglwyddo $10000 o gyfrif A i gyfrif B, dylai'r fformiwla weithredu weithio fel hyn yn rhesymegol:
A = A - ($10,000)
B = B + ($10,000)
Hynny yw, mae $10000 yn cael ei dynnu o gyfrif A a'i ychwanegu at gyfrif B.
Y peth diddorol yw nad yw'r banc yn gwirio a ydych chi'n nodi'r swm trosglwyddo cywir. Er enghraifft, gallwch ddisodli rhif positif gydag un negyddol, hynny yw, trosglwyddo $10000 o gyfrif A i gyfrif B. Bydd y fformiwla trafodiad yn edrych fel hyn:
A = A - (-$10,000)
B = B + (-$10,000)
Hynny yw, yn lle debydu arian o gyfrif A, byddant yn cael eu debydu o gyfrif B a'u credydu i gyfrif A. Mae hyn yn digwydd o bryd i'w gilydd ac yn dod â chanlyniadau diddorol. Ar waelod y sleid hon gallwch weld dolen i erthygl ymchwil .
Mae'n disgrifio pethau tebyg sy'n digwydd gyda gwallau talgrynnu. Mae yna lawer o bethau diddorol yn yr erthygl hon gan Corsaire a roddodd ddeunydd i ni ar gyfer rhai o'n datrysiadau ein hunain.
Ond gadewch i ni ddychwelyd at y broblem flaenorol. Fe wnaethom gysylltu â ASP Security a chael yr ymateb a ganlyn: “Bydd rheolaethau busnes mewnol yn atal problemau o’r fath.” Dywedasom, "iawn, gadewch i ni edrych ar eu gwefan." Ychydig wythnosau'n ddiweddarach, wrth i ni barhau i weithio gyda'n cleient, cawsom y siec hon yn y post ganddynt:
Mae'n dweud yma bod hwn yn ffi $2 am brofi a wneir gan ein cwmni WH. Dyma sut rydyn ni'n gwneud arian!
Mae'r dderbynneb honno gennyf o hyd ar fy nesg. Ar gyfer dau brawf o'r fath gallwn gael cymaint â 4 bychod!
Ond ychydig fisoedd yn ddiweddarach clywsom gan gwsmer penodol fod $70000 wedi'i drosglwyddo'n anghyfreithlon i un o wledydd Dwyrain Ewrop. Ni ellid dychwelyd yr arian oherwydd ei bod yn rhy hwyr a chollodd ASP eu cleient. Mae'r pethau hyn yn digwydd, ond yr hyn nad ydym erioed wedi'i ddarganfod, oherwydd nad ydym yn wyddonwyr fforensig, yw faint o gwsmeriaid eraill yr effeithiwyd arnynt gan y bregusrwydd hwn. Oherwydd bod popeth yn y cynllun hwn yn edrych yn gwbl gyfreithiol eto - dim ond newid ymddangosiad yr URL rydych chi.
Siopa o delesiopa
Trey Ford: Nawr rydw i'n mynd i ddweud wrthych chi am hac technegol iawn, felly gwrandewch yn ofalus. Rydyn ni i gyd yn nabod yr orsaf deledu fach o'r enw QVC, dwi'n siŵr eich bod chi'n prynu rhywbeth o'r siop deledu hon weithiau.
Gwybod pan fyddwch chi'n prynu rhywbeth ar-lein, waeth beth fo'r wefan, peidiwch â chlicio yn unman oherwydd bydd eich archeb yn dechrau cael ei phrosesu yn syth ar ôl hynny! Gallwch newid eich meddwl ar unwaith ac atal y trafodiad. Ond ychydig ddyddiau'n ddiweddarach fe gewch chi griw o sothach yn y post y mae'n rhaid i chi dalu amdano ar unwaith.
Ewch i mewn i Quantina Moore-Perry, haciwr ardystiedig 33 oed o Greensboro, Gogledd Carolina. Nid wyf yn gwybod beth wnaeth hi am fywoliaeth o'r blaen, ond gallaf ddweud wrthych sut y dechreuodd wneud arian ar ôl trafodiad ar hap yr honnir iddi ei wneud, er iddi ganslo'r trafodiad ar y wefan bron yn syth.
Dechreuodd yr holl bethau “gorchmynedig” hyn gyrraedd ei chyfeiriad post o QVC - bagiau llaw menywod, offer cartref, gemwaith, electroneg. Beth fyddech chi'n ei wneud pe bai rhywun yn anfon rhywbeth atoch yn y post na wnaethoch chi ei archebu? Mae hynny'n iawn, dim byd! Mae'n amlwg ar unwaith bod ein pobl...
Fodd bynnag, rydych chi'n cael llongau am ddim, ac mae cludo am ddim yn fantais! Wedi'r cyfan, mae'r parseli eisoes yn y post, nid oes angen i chi eu hanfon i unrhyw le. Os yw hon yn broses fusnes safonol, sut allwch chi ei defnyddio? Beth i'w wneud â'r 1800 o barseli a gyrhaeddodd ei chyfeiriad post o fis Mai i fis Tachwedd? Felly, gwnaeth y fenyw hon arwerthiant yr holl bethau hyn ar eBay, ac o ganlyniad i werthu'r holl sothach hwn, ei helw oedd $412000! Mae sut gwnaeth hi hyn yn syml iawn! Dywedodd wrth y swyddfa bost fod rhywun wedi archebu'r holl becynnau hyn o QVC i'w chyfeiriad, ond mae'n cael amser caled yn eu hail-becynnu a'u hanfon at y derbynwyr, felly gwnewch yn siŵr eu bod yn cael eu hanfon yn y pecyn QVC gwreiddiol!
Fel y gwelwch, mae hwn yn ateb technegol iawn! Fodd bynnag, dechreuodd QVC bryderu am y mater hwn ar ôl i 2 berson a brynodd yr eitem ar eBay ei dderbyn mewn pecynnau QVC. Canfu llys ffederal y ddynes yn euog o dwyll post.
Felly, roedd rhwystr technegol syml gyda chanslo archebion wedi'u gosod yn caniatáu i'r fenyw hon ennill llawer iawn o arian.
37:40 mun
Rhai hysbysebion 🙂
Diolch am aros gyda ni. Ydych chi'n hoffi ein herthyglau? Eisiau gweld cynnwys mwy diddorol? Cefnogwch ni trwy osod archeb neu argymell i ffrindiau, , Gostyngiad o 30% i ddefnyddwyr Habr ar analog unigryw o weinyddion lefel mynediad, a ddyfeisiwyd gennym ni ar eich cyfer chi: (ar gael gyda RAID1 a RAID10, hyd at 24 craidd a hyd at 40GB DDR4).
Dell R730xd 2 gwaith yn rhatach? Dim ond yma yn yr Iseldiroedd! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - o $99! Darllenwch am
Ffynhonnell: hab.com