Moderator: Meine Damen und Herren, dieser Vortrag ist sehr lustig und sehr interessant. Heute werden wir über reale Dinge sprechen, die im Internet beobachtet werden. Dieses Gespräch unterscheidet sich ein wenig von denen, die wir von Black-Hat-Konferenzen gewohnt sind, denn wir werden darüber sprechen, wie Angreifer mit ihren Angriffen Geld verdienen.
Wir zeigen Ihnen einige interessante Angriffe, mit denen Sie Gewinn machen können, und erzählen Ihnen von den Angriffen, die tatsächlich in der Nacht stattfanden, in der wir Jägermeister besprochen und ein Brainstorming durchgeführt haben. Es hat Spaß gemacht, aber als wir etwas nüchterner wurden, sprachen wir mit den SEO-Leuten und erfuhren tatsächlich, dass viele Leute mit diesen Angriffen Geld verdienen.
Ich bin nur ein hirnloser mittlerer Manager, also gebe ich meinen Platz auf und stelle Ihnen Jeremy und Trey vor, die viel schlauer sind als ich. Ich hätte eine kluge und unterhaltsame Einführung haben sollen, aber das ist nicht der Fall, also zeige ich stattdessen diese Folien.
Auf dem Bildschirm werden Dias gezeigt, die Jeremy Grossman und Trey Ford zeigen.
Jeremy Grossman ist Gründer und Chief Technology Officer von WhiteHat Security, wurde 2007 von InfoWorld zu einem der 25 besten CTOs ernannt, Mitbegründer des Web Application Security Consortium und Mitautor von Cross-Site-Scripting-Angriffen.
Trey Ford ist Director of Architectural Solutions bei WhiteHat Security, verfügt über 6 Jahre Erfahrung als Sicherheitsberater für Fortune-500-Unternehmen und ist einer der Entwickler des PCI DSS-Standards für die Datensicherheit von Zahlungskarten.
Ich denke, diese Bilder machen meinen Mangel an Humor wett. Ich hoffe auf jeden Fall, dass Ihnen der Vortrag gefällt und Sie dann verstehen, wie diese Angriffe im Internet genutzt werden, um Geld zu verdienen.
Jeremy Grossman: Guten Tag, vielen Dank an alle fürs Kommen. Das wird ein sehr unterhaltsames Gespräch, auch wenn Sie keine Zero-Day-Angriffe oder coole neue Technologien sehen werden. Wir werden einfach versuchen, es unterhaltsam zu gestalten und über die realen Dinge zu sprechen, die jeden Tag passieren und es den Bösewichten ermöglichen, viel Geld zu verdienen.
Wir versuchen nicht, Sie mit dem, was auf dieser Folie gezeigt wird, zu beeindrucken, sondern erklären lediglich, was unser Unternehmen tut. White Hat Sentinel oder „Guardian White Hat“ ist also:
- unbegrenzte Anzahl von Bewertungen – Kontrolle und fachmännische Verwaltung von Kundenstandorten, Möglichkeit zum Scannen von Standorten unabhängig von ihrer Größe und Häufigkeit von Änderungen;
- großer Abdeckungsumfang – autorisiertes Scannen von Websites zur Erkennung technischer Schwachstellen und Benutzertests zur Identifizierung logischer Fehler in nicht abgedeckten Geschäftsbereichen;
- Eliminierung falsch positiver Ergebnisse – unser operatives Team überprüft die Ergebnisse und weist den entsprechenden Schweregrad und die Bedrohungsbewertung zu;
- Entwicklung und Qualitätskontrolle – das WhiteHat Satellite Appliance-System ermöglicht uns die Fernwartung von Client-Systemen durch Zugriff auf das interne Netzwerk;
- Verbesserung und Verbesserung - Durch realistisches Scannen können Sie das System schnell und effizient aktualisieren.
Deshalb prüfen wir jede Website auf der Welt, wir haben das größte Team von Pentestern für Webanwendungen, wir führen jede Woche 600–700 Beurteilungstests durch und alle Daten, die Sie in dieser Präsentation sehen, stammen aus unserer Erfahrung mit dieser Art von Arbeit .
Auf der nächsten Folie sehen Sie die 10 häufigsten Angriffsarten auf globale Websites. Dies zeigt den Prozentsatz der Anfälligkeit für bestimmte Angriffe. Wie Sie sehen, sind 65 % aller Websites anfällig für Cross-Site-Scripting, 40 % ermöglichen Informationslecks und 23 % sind anfällig für Content-Spoofing. Neben Cross-Site-Scripting sind SQL-Injections und der berüchtigte Cross-Site-Request-Forgery, der nicht in unseren Top Ten enthalten ist, weit verbreitet. Aber diese Liste enthält Angriffe mit esoterischen Namen, die in einer vagen Sprache beschrieben werden und deren Besonderheit darin besteht, dass sie sich gegen bestimmte Unternehmen richten.
Dabei handelt es sich um Authentifizierungsfehler, Fehler im Autorisierungsprozess, Informationslecks usw.
Auf der nächsten Folie geht es um Angriffe auf die Geschäftslogik. QA-Teams, die an der Qualitätssicherung beteiligt sind, schenken ihnen in der Regel keine Beachtung. Sie testen, was die Software tun soll, nicht, was sie kann, und dann können Sie sehen, was Sie wollen. Scanner, all diese weißen/schwarzen/grauen Kästchen, all diese mehrfarbigen Kästchen sind in den meisten Fällen nicht in der Lage, diese Dinge zu erkennen, weil sie einfach auf den Kontext fixiert sind, was der Angriff sein könnte oder was ähnlich passiert, wenn er passiert. Ihnen mangelt es an Intelligenz und sie wissen nicht, ob überhaupt etwas funktioniert hat oder nicht.
То же самое касается систем обнаружения вторжений IDS и файрволов уровня приложений WAF, которые также не в состоянии обнаружить недостатки бизнес-логики, потому что HTTP-запросы выглядят совершенно нормально. Мы покажем вам, что атаки, связанные с недостатками бизнес-логики, возникают совершенно закономерно, здесь нет никаких хакеров, никаких метасимволов и прочих странностей, они выглядят закономерно протекающими процессами. Самое главное в том, что плохие парни любят такие вещи, потому что недостатки бизнес-логики приносят им деньги. Они используют XSS, SQL, CSRF, но осуществлять атаки такого типа становится всё сложнее, и мы видим, что за последние 3-5 лет их стало меньше. Но они не исчезнут сами собой, как никуда не денется переполнение буфера. Однако плохие парни думают, как использовать более изощрённые атаки, потому что считают, что «реально плохие парни» всегда стремятся заработать на своих атаках.
Ich möchte Ihnen echte Tricks zeigen, die Sie annehmen und richtig einsetzen können, um Ihr Unternehmen zu schützen. Ein weiterer Zweck unserer Präsentation besteht darin, dass Sie sich vielleicht Gedanken über Ethik machen.
Онлайн-опросы и голосования
Um unsere Diskussion über die Mängel der Geschäftslogik zu beginnen, sprechen wir zunächst über Online-Umfragen. Online-Umfragen sind die häufigste Möglichkeit, die öffentliche Meinung herauszufinden oder zu beeinflussen. Wir beginnen mit einem Gewinn von 0 $ und schauen uns dann das Ergebnis von 5, 6, 7 Monaten betrügerischer Machenschaften an. Beginnen wir mit einer sehr, sehr einfachen Umfrage. Sie wissen, dass jede neue Website, jeder Blog, jedes Nachrichtenportal Online-Umfragen durchführt. Allerdings ist keine Nische zu groß oder zu eng, aber wir wollen die öffentliche Meinung in bestimmten Bereichen sehen.
Ich möchte Ihre Aufmerksamkeit auf eine Umfrage lenken, die in Austin, Texas, durchgeführt wurde. Da ein Austin-Beagle die Westminster Dog Show gewann, beschloss der Austin American Statesman, eine Online-Umfrage zu „Austin's Best in Show“ für Hundebesitzer in Zentral-Texas durchzuführen. Tausende Besitzer haben Fotos eingereicht und für ihre Favoriten gestimmt. Wie bei so vielen anderen Umfragen gab es keinen anderen Preis als die Ehre, mit Ihrem Haustier zu prahlen.
Für die Abstimmung wurde eine Web 2.0-Systemanwendung verwendet. Sie haben auf „Ja“ geklickt, wenn Ihnen der Hund gefallen hat und Sie herausgefunden haben, ob es der beste Hund der Rasse ist oder nicht. Sie haben also über mehrere Hundert Hunde abgestimmt, die auf der Website als Kandidaten für den Gewinner der Show veröffentlicht wurden.
При таком способе голосования были возможны 3 вида читерства. Первый – это бесчисленное голосование, когда вы снова и снова голосуете за одну и ту же собаку. Это очень просто. Второй способ – это отрицательное многократное голосование, когда вы голосуете огромное число раз против собаки-конкурента. Третий способ заключался в том, что буквально в последнюю минуту конкурса вы размещали новую собаку, голосовали за неё, так что возможность получить негативные голоса была минимальной, и вы выигрывали, получив 100% положительных голосов.
Darüber hinaus wurde der Sieg als Prozentsatz und nicht anhand der Gesamtzahl der Stimmen ermittelt, d. h. es konnte nicht ermittelt werden, welcher Hund die maximale Anzahl positiver Bewertungen erhielt, es wurde lediglich der Prozentsatz positiver und negativer Bewertungen für einen bestimmten Hund berechnet . Der Hund mit dem besten positiven/negativen Bewertungsverhältnis hat gewonnen.
Подруга коллеги Роберта «RSnake» Хансена попросила его помочь её чихуахуа Тайни выиграть конкурс. Вы знаете Роберта, он из Остина. Он, как супер-хакер, заделал Burp-прокси и пошёл путём наименьшего сопротивления. Он использовал технику читерства №1, прогнав это через цикл Burp несколько сотен или тысяч запросов, и это принесло собачке 2000 положительных голосов и вывело её на 1 место.
Als nächstes wandte er die Betrugstechnik Nr. 2 gegen Tinys Konkurrenten mit dem Spitznamen Chuchu an. In den letzten Minuten des Wettbewerbs gab er 450 Stimmen gegen Chuchu ab, was Tinys Position auf Platz 1 mit einem Stimmenverhältnis von mehr als 2:1 weiter festigte, aber in Bezug auf den Prozentsatz an positiven und negativen Bewertungen verlor Tiny immer noch. Auf dieser Folie sehen Sie das neue Gesicht eines Cyberkriminellen, der von diesem Ergebnis entmutigt ist.
Ja, es war ein interessantes Szenario, aber ich glaube, dass meinem Freund dieser Auftritt nicht gefallen hat. Du wolltest eigentlich nur den Chihuahua-Wettbewerb in Austin gewinnen, aber da war jemand, der versucht hat, dich zu hacken und das Gleiche zu tun. Nun, jetzt übergebe ich den Anruf an Trey.
Künstliche Nachfrage schaffen und damit Geld verdienen
Trey Ford: Das Konzept des „künstlichen DoS“ bezieht sich auf verschiedene interessante Szenarien beim Online-Kauf von Tickets. Zum Beispiel bei der Reservierung eines speziellen Sitzplatzes auf einem Flug. Dies kann für jede Art von Ticket gelten, beispielsweise für eine Sportveranstaltung oder ein Konzert.
Для того, чтобы предотвратить неоднократную покупку дефицитных вещей, типа мест в самолёте, физических предметов, имён пользователей и т.д., приложение блокирует объект в течение некоторого периода времени для предотвращения конфликтов. И здесь возникает уязвимость, связанная с возможностью заранее что-либо зарезервировать.
Wir alle kennen das Problem der Zeitüberschreitung, wir alle wissen, wie man die Sitzung beendet. Aber dieser besondere logische Fehler ermöglicht es uns, einen Sitzplatz auf einem Flug auszuwählen und dann zurückzukehren, um die Auswahl erneut zu treffen, ohne etwas zu bezahlen. Sicherlich gehen viele von euch oft auf Geschäftsreisen, aber für mich ist das ein wesentlicher Teil des Jobs. Wir haben diesen Algorithmus an vielen Orten getestet: Sie wählen einen Flug aus, wählen einen Sitzplatz und geben erst dann Ihre Zahlungsinformationen ein, wenn Sie bereit sind. Das heißt, nachdem Sie einen Platz ausgewählt haben, wird dieser für einen bestimmten Zeitraum – von einigen Minuten bis zu mehreren Stunden – für Sie reserviert und während dieser Zeit kann niemand sonst diesen Platz buchen. Aufgrund dieser Wartezeit haben Sie eine echte Chance, alle Sitzplätze im Flugzeug zu reservieren, indem Sie einfach zur Website zurückkehren und die gewünschten Sitzplätze buchen.
Somit erscheint eine DoS-Angriffsoption: Dieser Zyklus wird automatisch für jeden Sitzplatz im Flugzeug wiederholt.
Мы проверили это минимум на двух крупнейших авиакомпаниях. Ту же самую уязвимость вы можете обнаружить при любом другом бронировании. Это прекрасная возможность задрать цены на свои билеты для тех, кто хочет их перепродать. Для этого спекулянтам просто достаточно забронировать остальные билеты без всякого риска денежных потерь. Вы можете таким образом «обвалить» электронную коммерцию, продающую продукты повышенного спроса — видеоигры, игровые консоли, «Айфоны» и так далее. То есть имеющийся недостаток онлайн-системы бронирования или резервирования даёт возможность злоумышленнику заработать на этом деньги или нанести ущерб конкурентам.
Captcha-Entschlüsselung
Jeremy Grossman: Lassen Sie uns nun über Captcha sprechen. Jeder kennt diese lästigen Bilder, die das Internet verunreinigen und der Spam-Bekämpfung dienen. Potenziell können Sie mit Captcha auch einen Gewinn erzielen. Captcha ist ein vollautomatischer Turing-Test, der es ermöglicht, eine echte Person von einem Bot zu unterscheiden. Bei meiner Recherche zum Einsatz von Captcha habe ich viele interessante Dinge entdeckt.
Captcha wurde erstmals zwischen 2000 und 2001 verwendet. Spammer möchten das Captcha entfernen, um sich für die kostenlosen E-Mail-Dienste Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook usw. zu registrieren. und Spam versenden. Da Captcha weit verbreitet ist, ist ein ganzer Markt von Diensten entstanden, die eine Umgehung des allgegenwärtigen Captchas anbieten. Letztendlich bringt dies Gewinn – ein Beispiel wäre das Versenden von Spam. Es gibt drei Möglichkeiten, das Captcha zu umgehen. Sehen wir uns diese an.
Das erste sind die Mängel bei der Umsetzung der Idee oder die Mängel bei der Verwendung von Captcha.
Daher enthalten die Antworten auf Fragen zu wenig Entropie, wie zum Beispiel „Schreiben Sie, was 4+1 gleich ist“. Dieselben Fragen können viele Male wiederholt werden und die Bandbreite möglicher Antworten ist recht gering.
Die Wirksamkeit von Captcha wird folgendermaßen überprüft:
- Der Test sollte unter Bedingungen durchgeführt werden, bei denen die Person und der Server weit voneinander entfernt sind.
der Test sollte für den Einzelnen nicht schwierig sein; - die Frage sollte so beschaffen sein, dass eine Person sie innerhalb weniger Sekunden beantworten kann,
Nur derjenige, dem die Frage gestellt wird, sollte antworten; - die Beantwortung der Frage muss für den Computer schwierig sein;
- Das Wissen über frühere Fragen, Antworten oder deren Kombination sollte die Vorhersagbarkeit des nächsten Tests nicht beeinträchtigen.
- тест не должен дискриминировать людей с нарушениями зрения или слуха;
- Der Test darf nicht geografisch, kulturell oder sprachlich voreingenommen sein.
Wie sich herausstellt, ist es ziemlich schwierig, ein „richtiges“ Captcha zu erstellen.
Der zweite Nachteil von Captcha ist die Möglichkeit der optischen Zeichenerkennung OCR. Ein Code ist in der Lage, ein Captcha-Bild zu lesen, egal wie viel visuelles Rauschen es enthält, zu sehen, aus welchen Buchstaben oder Zahlen es besteht, und den Erkennungsprozess zu automatisieren. Untersuchungen haben gezeigt, dass die meisten Captchas leicht geknackt werden können.
Ich werde Zitate von Spezialisten der School of Computer Science der University of Newcastle, Großbritannien, zitieren. Sie sprechen über die Leichtigkeit, das Microsoft-Captcha zu knacken: „Unser Angriff konnte eine Segmentierungserfolgsrate von 92 % erreichen, was bedeutet, dass das MSN-Captcha-Schema in 60 % der Fälle geknackt werden kann, indem das Bild segmentiert und dann erkannt wird.“ ” Ebenso einfach war das Knacken des Yahoo-Captchas: „Unser zweiter Angriff erzielte einen Segmentierungserfolg von 33,4 %.“ Somit können etwa 25,9 % der Captchas geknackt werden. Unsere Untersuchungen legen nahe, dass Spammer niemals billige menschliche Arbeitskräfte einsetzen sollten, um das Captcha von Yahoo zu umgehen, sondern sich stattdessen auf einen kostengünstigen automatisierten Angriff verlassen sollten.“
Die dritte Methode zur Umgehung von Captcha heißt „Mechanical Turk“ oder „Turk“. Wir haben es unmittelbar nach der Veröffentlichung mit dem Captcha von Yahoo getestet und wissen bis heute nicht und niemand weiß, wie wir uns vor einem solchen Angriff schützen können.
Это случай, когда у вас есть плохой парень, который будет вести сайт «для взрослых» или онлайн-игру, откуда пользователи запрашивают какой-то контент. Прежде чем они смогут увидеть следующую картину, сайт, которым владеет хакер, сделает бэк-энд запрос к знакомой вам онлайн системе, скажем, Yahoo или Google, захватит оттуда капчу и подсунет её пользователю. И как только пользователь ответит на вопрос, хакер отправит отгаданную капчу на целевой сайт и покажет пользователю запрошенную картинку со своего сайта. Если у вас очень популярный сайт с большим количеством интересного контента, вы можете мобилизовать целую армию людей, которые автоматически станут заполнять для вас чужие капчи. Это очень мощная вещь.
Allerdings versuchen nicht nur Menschen, Captchas zu umgehen, auch Unternehmen nutzen diese Technik. Robert „RSnake“ Hansen sprach einmal in seinem Blog mit einem rumänischen „Captcha-Löser“, der sagte, dass er 300 bis 500 Captchas pro Stunde lösen könne, bei einer Rate von 9 bis 15 Dollar pro tausend gelöste Captchas.
Er sagt direkt, dass seine Teammitglieder 12 Stunden am Tag arbeiten und in dieser Zeit etwa 4800 Captchas lösen. Je nachdem, wie schwierig die Captchas sind, können sie für ihre Arbeit bis zu 50 US-Dollar pro Tag erhalten. Das war ein interessanter Beitrag, aber noch interessanter sind die Kommentare, die Blog-Benutzer unter diesem Beitrag hinterlassen haben. Sofort tauchte eine Nachricht aus Vietnam auf, wo ein gewisser Quang Hung von seiner Gruppe von 20 Leuten berichtete, die sich bereit erklärten, für 4 Dollar pro 1000 erratene Captchas zu arbeiten.
Die nächste Nachricht kam aus Bangladesch: „Hallo! Ich hoffe, es geht dir gut! Wir sind ein führendes Verarbeitungsunternehmen aus Bangladesch. Derzeit sind unsere 30 Mitarbeiter in der Lage, mehr als 100000 Captchas pro Tag zu lösen. Wir bieten hervorragende Konditionen und einen niedrigen Preis – 2 $ für 1000 erratene Captchas von Yahoo, Hotmail, Mayspace, Gmail, Facebook usw. Wir freuen uns auf die weitere Zusammenarbeit.“
Eine weitere interessante Nachricht wurde von einem gewissen Babu gesendet: „Ich interessiere mich für diese Arbeit, bitte rufen Sie mich an.“
Es ist also ziemlich interessant. Wir können darüber diskutieren, wie legal oder illegal diese Aktivität ist, aber Tatsache ist, dass die Leute damit tatsächlich Geld verdienen.
Zugriff auf die Konten anderer Personen erhalten
Trey Ford: Das nächste Szenario, über das wir sprechen werden, ist das Geldverdienen durch die Übernahme des Kontos einer anderen Person.
Все забывают пароли, и для тестирования безопасности приложений сброс паролей и онлайн-регистрация представляют собой два разных целенаправленных бизнес-процесса. Существует большой разрыв между простотой сброса пароля и простотой регистрации, поэтому нужно стремиться к максимальному упрощению процесса сброса пароля. Но если мы пытаемся упростить его, возникает проблема, потому что чем проще сбросить пароль, тем меньше безопасности.
Einer der bekanntesten Fälle betraf die Online-Registrierung mithilfe des Benutzerverifizierungsdienstes von Sprint. Zwei Mitglieder des White Hat-Teams nutzten Sprint für die Online-Registrierung. Es gibt ein paar Dinge, die Sie bestätigen müssen, um zu beweisen, dass Sie Sie selbst sind, angefangen bei etwas so Einfachem wie Ihrer Handynummer. Sie benötigen eine Online-Registrierung für Dinge wie die Verwaltung Ihres Bankkontos, die Bezahlung von Dienstleistungen usw. Der Kauf von Telefonen ist sehr praktisch, wenn Sie dies über das Konto einer anderen Person tun und dann Einkäufe tätigen und noch viel mehr tun können. Eine der Betrugsmöglichkeiten besteht darin, die Zahlungsadresse zu ändern, die Lieferung einer ganzen Reihe von Mobiltelefonen an Ihre Adresse zu bestellen und das Opfer dann zur Bezahlung dieser zu zwingen. Auch Stalking-Maniacs träumen von dieser Möglichkeit: Sie möchten die Telefone ihrer Opfer mit GPS-Tracking-Funktionen ausstatten und jede ihrer Bewegungen von jedem Computer aus verfolgen.
Daher bietet Sprint einige der einfachsten Fragen zur Überprüfung Ihrer Identität. Wie wir wissen, kann Sicherheit entweder durch ein sehr breites Spektrum an Entropie oder durch hochspezialisierte Probleme gewährleistet werden. Ich lese Ihnen einen Teil des Sprint-Registrierungsprozesses vor, da die Entropie sehr niedrig ist. Es gibt beispielsweise eine Frage: „Wählen Sie eine Automarke aus, die unter der folgenden Adresse registriert ist“, und die Markenoptionen sind Lotus, Honda, Lamborghini, Fiat und „keine der oben genannten“. Sag mir, wer von euch hat eines der oben genannten Dinge? Wie Sie sehen, ist dieses herausfordernde Rätsel einfach eine großartige Gelegenheit für einen Studenten, an günstige Telefone zu kommen.
Zweite Frage: „Welche der folgenden Personen wohnt bei Ihnen oder wohnt unter der unten angegebenen Adresse?“ Diese Frage lässt sich ganz einfach beantworten, auch wenn man diese Person überhaupt nicht kennt. Jerry Stifliin – dieser Nachname enthält drei „Ays“, dazu kommen wir gleich – Ralph Argen, Jerome Ponicki und John Pace. Das Interessante an dieser Auflistung ist, dass die vergebenen Namen absolut zufällig sind und alle dem gleichen Muster unterliegen. Wenn Sie es berechnen, werden Sie keine Schwierigkeiten haben, den richtigen Namen zu identifizieren, da er sich von den zufällig ausgewählten Namen durch etwas Charakteristisches unterscheidet, in diesem Fall durch die drei Buchstaben „i“. Somit ist Stayfliin eindeutig kein zufälliger Name und es ist leicht zu erraten, dass diese Person Ihr Ziel ist. Es ist sehr, sehr einfach.
Die dritte Frage: „In welcher der aufgeführten Städte haben Sie nie gelebt oder diese Stadt nie in Ihrer Adresse genutzt?“ – Longmont, North Hollywood, Genua oder Butte? Wir haben drei dicht besiedelte Gebiete rund um Washington DC, daher ist North Hollywood die offensichtliche Antwort.
Bei der Sprint-Online-Registrierung müssen Sie einige Dinge beachten. Wie ich bereits sagte, könnten Sie ernsthaft geschädigt werden, wenn ein Angreifer in der Lage wäre, die Lieferadresse für Einkäufe in Ihren Zahlungsinformationen zu ändern. Was wirklich beängstigend ist, ist, dass wir einen mobilen Ortungsdienst haben.
Damit können Sie die Bewegungen Ihrer Mitarbeiter verfolgen, da diese Mobiltelefone und GPS nutzen, und Sie können auf der Karte sehen, wo sie sich befinden. Es gibt also noch einige andere ziemlich interessante Dinge, die in diesem Prozess passieren.
Wie Sie wissen, hat die E-Mail-Adresse beim Zurücksetzen eines Passworts Vorrang vor anderen Methoden zur Benutzerüberprüfung und Sicherheitsfragen. Die nächste Folie zeigt viele Dienste, die die Angabe Ihrer E-Mail-Adresse anbieten, wenn der Benutzer Schwierigkeiten hat, sich in sein Konto einzuloggen.
Wir wissen, dass die meisten Menschen E-Mail verwenden und ein E-Mail-Konto haben. Plötzlich wollten die Leute einen Weg finden, damit Geld zu verdienen. Sie erfahren immer die E-Mail-Adresse des Opfers, geben diese in das Formular ein und haben die Möglichkeit, das Passwort für das Konto, das Sie manipulieren möchten, zurückzusetzen. Sie verwenden es dann in Ihrem Netzwerk und dieses Postfach wird zu Ihrem goldenen Tresor, dem Hauptort, von dem aus Sie alle anderen Konten des Opfers stehlen können. Sie erhalten das gesamte Abonnement des Opfers, indem Sie nur einen Briefkasten in Besitz nehmen. Hör auf zu lächeln, das ist ernst!
Die nächste Folie zeigt, wie viele Millionen Menschen die entsprechenden E-Mail-Dienste nutzen. Die Leute nutzen aktiv Gmail, Yahoo Mail, Hotmail und AOL Mail, aber Sie müssen kein Superhacker sein, um ihre Konten zu übernehmen, Sie können Ihre Hände sauber halten, indem Sie sie auslagern. Man kann immer sagen, dass es nichts damit zu tun hat, man hat so etwas nicht gemacht.
So hat der Online-Dienst „Password Recovery“ seinen Sitz in China, wo Sie dafür bezahlen, dass er „Ihr“ Konto hackt. Für 300 Yuan, also etwa 43 US-Dollar, können Sie versuchen, das Passwort eines fremden Postfachs mit einer Erfolgsquote von 85 % zurückzusetzen. Für 200 Yuan oder 29 US-Dollar können Sie das Passwort für Ihr privates E-Mail-Postfach zu 90 % zurücksetzen. Es kostet tausend Yuan oder 143 US-Dollar, sich in das Postfach eines Unternehmens zu hacken, aber der Erfolg ist nicht garantiert. Sie können auch Dienste zum Knacken von Passwörtern für 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN usw. auslagern.
Konferenz BLACK HAT USA. Werden Sie reich oder sterben Sie: Verdienen Sie online Geld mit Black-Hat-Methoden. Teil 2 (Link wird morgen verfügbar sein)
Einige Anzeigen 🙂
Vielen Dank, dass Sie bei uns geblieben sind. Gefallen Ihnen unsere Artikel? Möchten Sie weitere interessante Inhalte sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder an Freunde weiterempfehlen. , 30 % Rabatt für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das von uns für Sie erfunden wurde: (verfügbar mit RAID1 und RAID10, bis zu 24 Kerne und bis zu 40 GB DDR4).
Dell R730xd 2-mal günstiger? Nur hier in den Niederlanden! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbit/s 100 TB – ab 99 $! Lesen über
Source: habr.com