Es gibt eine Seite namens Hire2Hack, die auch Anfragen zur „Wiederherstellung“ von Passwörtern akzeptiert. Hier beginnen die Kosten für den Service bei 150 $. Über den Rest weiß ich nichts, aber Sie müssen ihnen Informationen über sich selbst geben, weil Sie sie bezahlen werden. Um sich zu registrieren, müssen Sie einen Benutzernamen, eine E-Mail-Adresse, ein Passwort usw. angeben. Das Lustige ist, dass sie sogar Western Union-Überweisungen akzeptieren.
Es ist erwähnenswert, dass Benutzernamen sehr wertvolle Informationen sind, insbesondere wenn sie mit einer E-Mail-Adresse verknüpft sind. Sagen Sie mir, wer von Ihnen gibt bei der Registrierung eines Postfachs Ihren richtigen Namen an? Niemand, das macht Spaß!
E-Mail-Adressen sind also wertvolle Informationen, insbesondere wenn Sie online einkaufen oder die Affäre Ihres Ehepartners auf einer Dating-Website aufspüren möchten. Wenn Sie Verkäufer sind, können Sie anhand von E-Mail-Adressen überprüfen, welche Ihrer Kunden oder Abonnenten derzeit die Dienste eines Ihrer Konkurrenten nutzen.
Daher zahlen Phishing-Angreifer viel Geld für echte Benutzeradressen. Darüber hinaus nutzen sie Passwort- und Login-Wiederherstellungsfenster, um mithilfe zeitbasierter Angriffe gültige E-Mail-Adressen auszuspionieren. Viele große E-Commerce- und Social-Media-Portale betrachten den Diebstahl gültiger E-Mail-Adressen als ein Problem, das großen Schaden anrichten kann, da in diesem Bereich interessante Studien veröffentlicht wurden. Wir müssen also an zwei Fronten kämpfen – gegen Timing-Attacken und gegen Informationslecks dieser Art.
Wir verwandeln elektronische Gutscheine in Geld
Jeremy Grossman: Wir haben uns drei Möglichkeiten des Online-Betrugs angesehen und legen jetzt noch einen drauf. Der nächste Weg besteht darin, eCoupons in Geld umzuwandeln. Diese Gutscheine werden für Online-Einkäufe verwendet. Der Kunde gibt seine eindeutige ID ein und erhält einen Rabatt auf seinen Einkauf. Große Online-Händler bieten ihren Kunden Rabattprogramme an, die von AmEx unterstützt werden.
Viele von Ihnen wissen, dass Gutscheine Rabatte von einigen bis zu mehreren Hundert Dollar bieten und mit einer 16-stelligen ID versehen sind. Diese Zahlen sind sehr statisch und erscheinen normalerweise der Reihe nach. Anfangs war nur ein Coupon pro Bestellung erlaubt, doch als das Programm dann immer beliebter wurde, wurden diese Einschränkungen aufgehoben, und jetzt können mehr als drei Coupons bei einer Bestellung verwendet werden.
Jemand hat ein Skript entwickelt, das versucht, Tausende möglicher gültiger Rabattcoupons zu identifizieren. Verkäufer kennen Bestellungen im Wert von über 50 Dollar, die mit 200 oder mehr Coupons statt mit Geld bezahlt wurden. Stimmen Sie zu, das ist ein gutes Weihnachtsgeschenk!
Das Problem blieb lange Zeit unbemerkt, da das Programm super funktionierte, alle die Gutscheine nutzten und alle zufrieden waren. Dies dauerte so lange, bis das Lastplanungssystem des Programms einen Anstieg der Prozessorlast um 90 % feststellte, während die Leute durch die ID-Nummern scrollten und diejenigen auswählten, die einen Rabatt gewährten.
Die Händler baten das FBI, diesen Fall zu untersuchen, weil sie vermuteten, dass etwas nicht stimmte. Das Problem war jedoch, dass die Ware an eine nicht existierende Adresse geschickt wurde, was sie verwirrte. Es stellte sich heraus, dass der Angreifer eine Verschwörung mit dem Lieferdienst eingegangen war, der die Ware im Voraus „abgefangen“ hatte.
Das Interessante an diesem Fall ist, dass Coupons keine Währung, sondern lediglich Marketinginstrumente sind. Fehler in der Geschäftslogik führten jedoch dazu, dass der Geheimdienst eingeschaltet werden musste, der ebenfalls mit Betrugsfällen durch den Lieferdienst konfrontiert wurde, der das System zu seinen Gunsten nutzte.
Mit gefälschten Konten Geld verdienen
Trey Ford: das ist eine meiner Lieblingsgeschichten. „Echtes Leben: Büroraum-Hacking.“ Ich denke, Sie haben den Film über Hacker „Office Space“ gesehen. Lassen Sie uns diesen Prozess verstehen. Wie viele von Ihnen haben Online-Banking genutzt?
Großartig, alle haben zugegeben, dass sie es benutzt haben. Eine interessante Sache ist die Möglichkeit, Rechnungen online über ACH zu bezahlen. Das ACH „Automated Clearing House“ funktioniert so. Nehmen wir an, ich möchte ein Auto von Jeremy kaufen und überweise Geld direkt von meinem Konto auf sein Konto. Bevor ich die Hauptzahlung tätige, muss mein Finanzinstitut sicherstellen, dass alles in Ordnung ist. Daher überweist das System zunächst einen kleinen Betrag, von einigen Cent bis zu 2 Dollar, um zu überprüfen, ob die Finanzkonten und Routing-Adressen der Parteien in Ordnung sind und der Kunde das Geld erhalten hat. Sobald sie davon überzeugt sind, dass diese Überweisung korrekt durchgeführt wurde, können sie die vollständige Zahlung weiterleiten. Wir können darüber streiten, ob das legal ist, ob es den Bedingungen der Nutzungsvereinbarung entspricht, aber sagen Sie mir, wie viele von Ihnen haben ein PayPal-Konto? Wie viele Personen haben mehrere PayPal-IDs? Dies ist wahrscheinlich völlig legal und entspricht den Allgemeinen Geschäftsbedingungen.
Stellen Sie sich nun vor, dass man mit diesem Mechanismus viel Geld verdienen kann. Wir sprechen davon, den Effekt der Erstellung von beispielsweise 80 solcher Konten durch die Einrichtung eines einfachen Skripts zu nutzen. Das Einzige, worauf Sie achten müssen, ist, dass wir unsere Geschichte mit der Verwendung eines lokalen Proxys, eines RSnake-Skripts oder eines anderen Hacking-Tools begonnen haben, das uns helfen sollte, Geld zu verdienen, aber jetzt kommen wir zurück und zeigen, wie wir das Hacken viel einfacher machen können , sodass Sie mit nur einem Browser Geld verdienen können.
Dieser besondere Angriff ist persönlicher Natur. Michael Largent, 22, aus Kalifornien, nutzte ein einfaches Skript, um 58 gefälschte Brokerkonten zu erstellen. Er öffnete sie in den Systemen von Schwab, eTrade und einigen anderen und ordnete den gefälschten Benutzern dieser Konten die Namen von Comicfiguren zu.
Für jedes dieser Konten nutzte er lediglich eine ACH-Verifizierungsüberweisung, ohne eine vollständige Überweisung vorzunehmen. Aber er besaß ein Gemeinschaftskonto, auf das alle diese Verifizierungsgelder flossen, und überwies sie dann an sich selbst. Es hört sich gut an – es ist nicht viel Geld, aber insgesamt hat es ihm ein sehr beachtliches Einkommen beschert. So verdiente er Geld, indem er der Idee des Films „Office Space“ folgte. Das Interessante ist, dass es hier nichts Illegales gibt – er hat nur all diese winzigen Beträge gesammelt, aber er hat es sehr schnell getan.
Er verdiente 8225 US-Dollar mit dem Google Checkout-System und weitere 50225 US-Dollar mit den Systemen eTrade und Schwab. Anschließend hob er dieses Geld auf eine Kreditkarte ab und veruntreute es. Als die Bank herausfand, dass all diese Tausenden Konten einer Person gehörten, riefen ihn die Bankangestellten an und fragten, warum er das getan habe. Versteht er nicht, dass er Geld stiehlt? Darauf antwortete Michael, dass er nicht verstehe und nicht wisse, dass er etwas Illegales tue.
Dies ist eine sehr gute Möglichkeit, neue Beziehungen zu den Leuten des Secret Service aufzubauen, die Ihnen folgen und so viel wie möglich über Sie wissen möchten. Ich wiederhole es noch einmal: Das Lustigste an diesem Plan ist, dass es hier nichts Illegales gab. Er wurde nach dem Patriot Act inhaftiert. Wer weiß, was der Patriot Act ist?
Richtig, es handelt sich um ein Gesetz, das die Befugnisse der Geheimdienste im Bereich der Terrorismusbekämpfung erweitert. Dieser Typ benutzte Namen aus Cartoons und Comics, sodass sie ihn wegen der Verwendung gefälschter Benutzernamen festnehmen konnten. Daher sollten Anwesende, die fiktive Namen für ihre Postfächer verwenden, vorsichtig sein – dies kann als illegal angesehen werden!
Die Anklage gegen den Secret Service basierte auf vier Anklagepunkten: Computerbetrug, Internetbetrug und Postbetrug. Der Akt des Geldempfangs erwies sich jedoch als völlig legal, da er ein echtes Konto benutzte. Ich kann nicht sagen, ob es richtig gemacht wurde oder nicht, ob es ethisch vertretbar war oder nicht, aber im Grunde entsprach alles, was Michael tat, den auf den Websites aufgeführten Allgemeinen Geschäftsbedingungen, also war es vielleicht nur eine zusätzliche Funktion.
Hacken von Banken über ASP
Jeremy Grossman: Wissen Sie, ich reise viel und treffe Menschen, die technisch versiert oder im Gegenteil überhaupt nicht technikaffin sind. Und wenn wir über das Leben reden, fragen sie, wo ich arbeite. Wenn ich antworte, dass ich Informationssicherheit betreibe, fragen sie, was das ist. Ich erkläre es, und dann sagen sie: „Oh, also kann man eine Bank hacken“!
Wenn Sie also erklären, wie eine Bank tatsächlich gehackt werden kann, sprechen Sie von Hackerangriffen über ASP-Anbieter von Finanzanwendungen. Anwendungsdienstleister sind Unternehmen, die ihre eigene Software und Hardware an ihre Kunden vermieten – Banken, Kreditgenossenschaften und andere Finanzunternehmen.
Ihre Dienste werden von kleinen Banken und ähnlichen Unternehmen genutzt, für die es finanziell nicht rentabel ist, über eigene Soft- und Hardware zu verfügen. Sie mieten also ASP-Kapazität und zahlen diese monatlich oder jährlich.
ASPs erhalten viel Aufmerksamkeit von Hackern, da sie statt einer Bank 600 oder tausend Banken gleichzeitig hacken können. ASPs stellen also ein sehr interessantes Ziel für Bösewichte dar.
ASP-Unternehmen bedienen also eine ganze Reihe von Banken auf der Grundlage von drei wichtigen URL-Parametern: Kunden-ID client_ID, Bank-ID bank_ID und Konto-ID acct_ID. Jeder ASP-Kunde verfügt über eine eigene eindeutige Kennung, die möglicherweise auf mehreren Bankseiten verwendet werden kann. Jede Bank kann für jede Finanzanwendung – Sparsystem, Kontoverifizierungssystem, Zahlungssystem usw. – beliebig viele Benutzerkonten haben, und jede Finanzanwendung verfügt über eine eigene ID. Darüber hinaus verfügt jedes Kundenkonto in diesem Bewerbungssystem über eine eigene ID. Wir haben also drei Kontosysteme.
Wie hacken wir also 600 Banken auf einmal? Zuerst schauen wir uns das Ende einer URL-Zeichenfolge wie folgt an: und versuchen, acct_id durch einen beliebigen Wert #X zu ersetzen, woraufhin wir eine große, rote Fehlermeldung mit folgendem Inhalt erhalten: „Konto #X gehört zur Bank #Y“ (Konto #X gehört zur Bank #Y). Als nächstes nehmen wir bank_id, ändern sie im Browser in #Y und erhalten die Meldung: „Bank #Y gehört zu Kunde #Z“ (Bank #Y gehört zu Kunde #Z).
Schließlich nehmen wir die client_id, weisen ihr #Z zu – und schon gelangen wir zu dem Konto, auf das wir ursprünglich zugreifen wollten. Nachdem wir das System erfolgreich gehackt haben, können wir auf dem gleichen Weg auf jedes andere Bankkonto, Bankkonto oder Kundenkonto zugreifen. Wir können jedes Konto im System erreichen. Von einer Autorisierung ist hier überhaupt nicht die Rede. Das Einzige, was überprüft wird, ist, dass Sie mit Ihrem Ausweis eingeloggt sind und nun frei Geld abheben, eine Überweisung tätigen usw. können.
Eines Tages leitete einer unserer Nicht-ASP-Kunden unsere Informationen über diese Schwachstelle an einen anderen Kunden weiter, der ASP nutzte, und teilte ihm mit, dass es ein Problem gäbe, das behoben werden müsse. Wir sagten ihnen, dass wir wahrscheinlich den gesamten Antrag neu schreiben müssten, um eine Autorisierung einzuführen, und dass das System prüfen würde, ob der Kunde berechtigt sei, Finanztransaktionen durchzuführen, und dass dies einige Zeit dauern würde.
Zwei Tage später schickten sie uns eine Antwort, dass sie bereits alles selbst behoben hätten – sie hätten die URL so korrigiert, dass die Fehlermeldung nicht mehr erschien. Natürlich war es cool und wir beschlossen, uns den Quellcode anzusehen, um zu sehen, was sie mit ihrer „großartigen“ Hacking-Technik gemacht haben. Sie haben also lediglich die Anzeige einer Fehlermeldung im HTML-Format eingestellt. Insgesamt hatten wir ein sehr interessantes Gespräch mit diesem Kunden. Da sie dieses Problem nicht schnell lösen konnten, sagten sie, dass sie beschlossen hätten, dies vorerst zu tun, in der Hoffnung, die Schwachstelle langfristig vollständig zu beheben.
Geldtransfer rückgängig machen
Eine weitere Betrugsmethode, auf die ich ganz kurz eingehen möchte, ist die Rücküberweisung. Dieser Vorgang wird in vielen Bankanwendungen durchgeführt. Bei der Überweisung von 10000 US-Dollar von Konto A auf Konto B sollte die Vorgangsformel logischerweise wie folgt funktionieren:
A = A – (10,000 $)
B = B + (10,000 $)
Das heißt, 10000 US-Dollar werden von Konto A abgehoben und dem Konto B gutgeschrieben.
Das Interessante ist, dass die Bank nicht prüft, ob Sie den korrekten Überweisungsbetrag eingeben. Sie können beispielsweise eine positive Zahl durch eine negative ersetzen, also 10000 $ von Konto A auf Konto B überweisen. Die Transaktionsformel sieht folgendermaßen aus:
A = A – (-10,000 $)
B = B + (-10,000 $)
Das heißt, anstatt Gelder von Konto A abzubuchen, werden sie von Konto B abgebucht und Konto A gutgeschrieben. Dies kommt von Zeit zu Zeit vor und bringt interessante Ergebnisse. Unten auf dieser Folie sehen Sie einen Link zu einem Forschungsartikel .
Es beschreibt ähnliche Dinge, die bei Rundungsfehlern passieren. Dieser Artikel von Corsaire enthält viele interessante Informationen, die uns Material für einige unserer eigenen Lösungen lieferten.
Aber kehren wir zum vorherigen Problem zurück. Wir kontaktierten ASP Security und erhielten die folgende Antwort: „Interne Geschäftskontrollen werden solche Probleme verhindern.“ Wir sagten: „Okay, schauen wir uns ihre Website an.“ Ein paar Wochen später, als wir weiter mit unserem Kunden zusammenarbeiteten, erhielten wir diesen Scheck per Post von ihm:
Hier steht, dass es sich um eine Gebühr von 2 US-Dollar für von unserer Firma WH durchgeführte Tests handelt. So verdienen wir Geld!
Ich habe diese Quittung immer noch auf meinem Schreibtisch. Für zwei solcher Tests können wir bis zu 4 Dollar bekommen!
Doch einige Monate später erfuhren wir von einem konkreten Kunden, dass 70000 US-Dollar illegal in eines der osteuropäischen Länder überwiesen worden seien. Das Geld konnte nicht zurückgegeben werden, da es zu spät war und ASP seinen Kunden verlor. Solche Dinge passieren, aber was wir nie herausgefunden haben, weil wir keine Forensiker sind, ist, wie viele andere Kunden von dieser Sicherheitslücke betroffen waren. Denn alles in diesem Schema sieht wieder völlig legal aus – Sie ändern lediglich das Erscheinungsbild der URL.
Einkaufen per Teleshopping
Trey Ford: Jetzt erzähle ich Ihnen von einem wirklich technischen Hack, also hören Sie gut zu. Wir alle kennen den kleinen Fernsehsender namens QVC, ich bin mir sicher, dass Sie manchmal etwas in diesem Fernsehgeschäft kaufen.
Seien Sie sich darüber im Klaren, dass Sie, wenn Sie etwas online kaufen, unabhängig von der Website, nirgendwo klicken sollten, da die Bearbeitung Ihrer Bestellung unmittelbar danach beginnt! Sie können Ihre Meinung sofort ändern und die Transaktion stoppen. Doch ein paar Tage später erhält man eine Menge Müll per Post, den man sofort bezahlen muss.
Da kommt Quantina Moore-Perry ins Spiel, eine 33-jährige zertifizierte Hackerin aus Greensboro, North Carolina. Ich weiß nicht, womit sie zuvor ihren Lebensunterhalt verdiente, aber ich kann Ihnen erzählen, wie sie nach einer angeblich zufälligen Transaktion, die sie angeblich getätigt hatte, anfing, Geld zu verdienen, obwohl sie die Transaktion auf der Website fast sofort stornierte.
All diese „bestellten“ Dinge kamen von QVC an ihre Postanschrift an – Damenhandtaschen, Haushaltsgeräte, Schmuck, Elektronik. Was würden Sie tun, wenn Ihnen jemand per Post etwas schickt, das Sie nicht bestellt haben? Genau, nichts! Es ist sofort klar, dass unsere Leute...
Sie erhalten jedoch kostenlosen Versand, und kostenloser Versand ist ein Vorteil! Schließlich sind die Pakete bereits in der Post, Sie müssen sie nicht irgendwohin schicken. Wenn es sich um einen Standardgeschäftsprozess handelt, wie können Sie ihn nutzen? Wohin mit den 1800 Paketen, die von Mai bis November an ihrer Postadresse eintrafen? Also versteigerte diese Frau all diese Dinge bei eBay und als Ergebnis des Verkaufs dieses ganzen Schrotts belief sich ihr Gewinn auf 412000 US-Dollar! Wie sie das gemacht hat, ist ganz einfach! Sie teilte der Post mit, dass jemand alle diese Pakete bei QVC an ihre Adresse bestellt habe, es ihr aber schwerfällt, sie neu zu verpacken und an die Empfänger zu versenden. Stellen Sie daher sicher, dass sie in der Originalverpackung von QVC verschickt werden!
Wie Sie sehen, ist dies eine sehr technische Lösung! Allerdings machte sich QVC über dieses Problem Sorgen, nachdem zwei Personen, die den Artikel bei eBay gekauft hatten, ihn in einer QVC-Verpackung erhalten hatten. Ein Bundesgericht befand die Frau des Postbetrugs für schuldig.
So konnte diese Frau durch eine einfache technische Panne mit der Stornierung aufgegebener Bestellungen eine Menge Geld verdienen.
37:40 min
Einige Anzeigen 🙂
Vielen Dank, dass Sie bei uns geblieben sind. Gefallen Ihnen unsere Artikel? Möchten Sie weitere interessante Inhalte sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder an Freunde weiterempfehlen. , 30 % Rabatt für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das von uns für Sie erfunden wurde: (verfügbar mit RAID1 und RAID10, bis zu 24 Kerne und bis zu 40 GB DDR4).
Dell R730xd 2-mal günstiger? Nur hier in den Niederlanden! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbit/s 100 TB – ab 99 $! Lesen über
Source: habr.com