Estas retejo nomata Hire2Hack, kiu ankaŭ akceptas petojn por "reakiro" de pasvortoj. Ĉi tie la kosto de la servo komenciĝas de $150. Mi ne scias pri la ceteraj, sed vi devas doni al ili informojn pri vi, ĉar vi pagos ilin. Por registriĝi, vi devas provizi uzantnomon, retpoŝton, pasvorton ktp. La amuza afero estas, ke ili eĉ akceptas transigojn de Western Union.
Indas noti, ke uzantnomoj estas tre valoraj informoj, precipe kiam ligite kun retadreso. Diru al mi, kiu el vi indikas vian veran nomon kiam registras leterkeston? Neniu, ĉi tio estas amuza!
Do, retpoŝtadresoj estas valoraj informoj, precipe se vi aĉetas interrete aŭ volas spuri la amon de via edzino en rendevua retejo. Se vi estas vendisto, vi povas uzi retadresojn por kontroli, kiuj el viaj klientoj aŭ abonantoj nuntempe uzas la servojn de iu el viaj konkurantoj.
Tial, phishing atakantoj pagas grandan monon por realaj uzant-adresoj. Aldone, ili uzas pasvortojn kaj ensalutajn reakirajn fenestrojn por minigi validajn retadresojn uzante tempbazitajn atakojn. Multaj ĉefaj portaloj de retkomerco kaj sociaj amaskomunikiloj konsideras la ŝtelon de validaj retadresoj kiel problemon, kiu povas kaŭzi multan damaĝon, ĉar interesaj studoj estis publikigitaj en ĉi tiu areo. Do ni devas batali sur du frontoj - kontraŭ tempaj atakoj kaj kontraŭ informfuĝoj de ĉi tiu speco.
Ni transformas elektronikajn kuponojn en monon
Jeremy Grossman: Do, ni rigardis tri manierojn de interreta fraŭdo kaj nun ni altigas la antaŭon. La sekva maniero estas igi eKuponojn en monon. Ĉi tiuj kuponoj estas uzataj por interreta butikumado. La kliento enigas sian unikan identigilon kaj rabato estas aplikata al ilia aĉeto. Gravaj interretaj podetalistoj ofertas rabatajn programojn al klientoj, kiuj estis subtenataj de AmEx.
Multaj el vi scias, ke kuponoj provizas rabatojn de kelkaj ĝis kelkaj cent dolaroj kaj venas kun 16-cifera identigilo. Ĉi tiuj nombroj estas tre senmovaj kaj kutime aperas en ordo. Komence, nur unu kupono estis permesita per mendo, sed tiam, ĉar la programo kreskis en populareco, ĉi tiuj limigoj estis nuligitaj, kaj nun pli ol 3 kuponoj povas esti uzataj per unu mendo.
Iu evoluigis skripton, kiu provas identigi milojn da eblaj validaj rabatkuponoj. Vendistoj scias pri mendoj valorantaj pli ol 50 mil dolarojn, kiuj estis pagitaj per 200 aŭ pli da kuponoj anstataŭ mono. Konsentu, ĉi tio estas bona Kristnaska donaco!
La problemo pasis nerimarkita dum longa tempo ĉar la programo bonege funkciis, ĉiuj uzis la kuponojn kaj ĉiuj estis feliĉaj. Tio daŭris ĝis la ŝarĝoplanadsistemo de la programo detektis 90% pliiĝon en procesorŝarĝo dum homoj rulumis tra ID-nombroj, selektante tiujn kiuj disponigis rabaton.
La komercistoj petis al la FBI esplori ĉi tiun kazon ĉar ili suspektis, ke io estas malĝusta. Sed la problemo estis, ke la varoj estis senditaj al neekzistanta adreso, kaj tio konfuzis ilin. Montriĝis, ke la atakanto eniris konspiron kun la liverservo, kiu anticipe "kaptis" la varojn.
Kio estas interesa pri ĉi tiu kazo estas ke kuponoj ne estas valuto, ili estas nur merkataj iloj. Tamen, eraroj en komerca logiko kondukis al la bezono impliki la Sekretan Servon, kiu ankaŭ estis alfrontita kun faktoj de fraŭdo de la liverservo, kiu uzis la sistemon en sia favoro.
Gajni monon el falsaj kontoj
Trey Ford: ĉi tiu estas unu el miaj plej ŝatataj rakontoj. "Reala Vivo: Office Space Hacking." Mi pensas, ke vi vidis la filmon pri hackers "Oficejo-Spaco". Ni komprenu ĉi tiun procezon. Kiom da vi uzis interretan bankadon?
Bonege, ĉiuj konfesis, ke ili uzis ĝin. Unu interesa afero estas la kapablo pagi fakturojn interrete per ACH. La ACH "Aŭtomatigita Clearing House" funkcias tiel. Ni diru, ke mi volas aĉeti aŭton de Jeremy kaj mi translokos monon rekte de mia konto al lia konto. Antaŭ ol mi faras la ĉefan pagon, mia financa institucio devas certigi, ke ĉio estas en ordo. Sekve, unue la sistemo transdonas etan kvanton, de kelkaj cendoj ĝis 2 dolaroj, por kontroli, ke la financaj kontoj kaj direktaj adresoj de la partioj estas en ordo kaj la kliento ricevis la monon. Post kiam ili estas kontentigitaj, ke ĉi tiu translokigo estis ĝuste kompletigita, ili pretas plusendi la plenan pagon. Ni povas diskuti ĉu tio estas laŭleĝa, ĉu ĝi konformas al la kondiĉoj de la uzantinterkonsento, sed diru al mi, kiom da vi havas PayPal-konton? Kiom da homoj havas plurajn PayPal-IDojn? Ĉi tio verŝajne estas tute laŭleĝa kaj konformas al la Kondiĉoj kaj Kondiĉoj.
Nun imagu, ke ĉi tiu mekanismo povas esti uzata por gajni multe da mono. Ni parolas pri uzado de la efiko krei, ekzemple, 80 mil tiajn kontojn per agordo de simpla skripto. La nura afero, kiun vi devas atenti, estas, ke ni komencis nian rakonton uzante lokan prokurilon, RSnake-skripton, alian hakan ilon, kiu devus helpi nin gajni monon, sed nun ni revenos kaj montros kiel fari hakadon multe pli facila. , por ke vi povu uzi nur unu retumilon por gajni monon.
Ĉi tiu aparta atako estas persona en naturo. Michael Largent, 22, el Kalifornio, uzis simplan skripton por krei 58 falsajn kurtaĝajn kontojn. Li malfermis ilin en la sistemoj de Schwab, eTrade kaj iuj aliaj, asignante la nomojn de bildstrioj al la falsaj uzantoj de ĉi tiuj kontoj.
Por ĉiu el ĉi tiuj kontoj, li nur uzis ACH-kontrolan translokigon, sen fari plenan translokigon de financoj. Sed li posedis komunan konton, en kiun fluis ĉiuj tiuj kontrolaj fondusoj, kaj poste transdonis ilin al si. Ĝi sonas bone - ĝi ne estas multe da mono, sed entute ĝi alportis al li tre grandan enspezon. Tiel li gajnis monon, laŭ la ideo de la filmo Office Space. La interesa afero estas, ke ĉi tie estas nenio kontraŭleĝa - li ĵus kolektis ĉiujn ĉi etajn kvantojn, sed li faris tion tre rapide.
Li gajnis 8225 50225 USD per la sistemo Google Checkout, kaj pliajn XNUMX XNUMX USD per la sistemoj eTrade kaj Schwab. Li tiam retiris ĉi tiun monon al kreditkarto kaj defraŭdis ĝin. Kiam la banko malkovris, ke ĉiuj ĉi tiuj miloj da kontoj apartenas al unu persono, la bankoficistoj vokis lin kaj demandis, kial li faris tion, ĉu li ne komprenas, ke li ŝtelas monon? Al kio Mikaelo respondis, ke li ne komprenas kaj ne scias, ke li faras ion kontraŭleĝan.
Ĉi tio estas tre bona maniero por konstrui novajn rilatojn kun la homoj de la Sekreta Servo, kiuj sekvas vin kaj volas scii kiel eble plej multe pri vi. Mi ripetas denove - la plej amuza afero pri ĉi tiu skemo estas ke estis nenio kontraŭleĝa ĉi tie. Li estis arestita sub la Patriot Act. Kiu scias kio estas la Patriot Act?
Ĝuste, ĉi tio estas leĝo, kiu pligrandigas la povojn de spionservoj en la kampo de kontraŭado de terorismo. Ĉi tiu ulo uzis nomojn de bildstrioj kaj bildstrioj, do ili povis rompi lin pro uzado de falsaj uzantnomoj. Do la ĉeestantoj, kiuj uzas fikciajn nomojn por siaj leterkestoj, estu singardaj – tio povas esti konsiderata kontraŭleĝa!
La akuzo de la Sekreta Servo baziĝis sur kvar kalkuloj: komputilfraŭdo, interreta fraŭdo kaj poŝtfraŭdo, sed la ago ricevi monon estis trovita tute laŭleĝa, ĉar li uzis realan konton. Mi ne povas diri ĉu ĝi estis farita ĝuste aŭ ne, etike aŭ ne, sed esence ĉio, kion Mikaelo faris, plenumis la Kondiĉojn kaj Kondiĉojn listigitajn en la retejoj, do eble ĝi estis nur plia trajto.
Hacking bankoj per ASP
Jeremy Grossman: vi scias, mi multe vojaĝas kaj renkontas homojn teknike lertajn aŭ, male, tute ne spertajn pri teknologio. Kaj kiam ni parolas pri vivo, ili demandas kie mi laboras. Kiam mi respondas, ke mi faras informan sekurecon, ili demandas, kio tio estas. Mi klarigas, kaj tiam ili diras: "ho, do vi povas haki bankon"!
Do, kiam vi komencas klarigi kiel banko efektive povas esti hakita, vi parolas pri hakado per ASP-financaj aplikaĵprovizantoj. Provizantoj de Aplikaĵoj estas kompanioj, kiuj luas sian propran programaron kaj aparataron al siaj klientoj - bankoj, kreditasocioj kaj aliaj financaj kompanioj.
Iliaj servoj estas uzataj de malgrandaj bankoj kaj similaj kompanioj, por kiuj ne estas finance profite havi propran programaron kaj aparataron. Do ili luas ASP-kapaciton, pagante ilin monate aŭ ĉiujare.
ASP-oj ricevas multe da atento de retpiratoj ĉar anstataŭ haki unu bankon, ili povas haki 600 aŭ mil bankojn samtempe. Do ASP-oj prezentas tre interesan celon por malbonuloj.
Do, ASP-kompanioj servas tutan aron da bankoj surbaze de tri gravaj URL-parametroj: kliento ID client_ID, banko ID bank_ID kaj konto ID acct_ID. Ĉiu ASP-kliento havas sian propran unikan identigilon, kiu eble povas esti uzata tra pluraj bankejoj. Ĉiu banko povas havi ajnan nombron da uzantkontoj por ĉiu financa aplikaĵo - ŝparsistemo, konta kontrola sistemo, pagsistemo ktp., kaj ĉiu financa aplikaĵo havas sian propran identigilon. Krome, ĉiu klientkonto en ĉi tiu aplika sistemo ankaŭ havas sian propran identigilon. Do ni havas tri kontajn sistemojn.
Do kiel ni hakas 600 bankojn samtempe? Unue ni rigardas la finon de URL-ĉeno jene: kaj provu anstataŭigi acct_id per arbitra valoro #X, post kio ni ricevas grandan, ruĝan, erarmesaĝon kun jena enhavo: “Konto #X apartenas al Banko #Y” (konto #X apartenas al banko #Y). Poste, ni prenas bank_id, ŝanĝas ĝin en la retumilo al #Y kaj ricevas la mesaĝon: "Banko #Y apartenas al Kliento #Z" (banko #Y apartenas al kliento #Z).
Fine, ni prenas la client_id, asignas ĝin #Z - kaj jen ĝi, ni eniras la konton, kiun ni origine volis eniri. Post kiam ni sukcese hakis la sistemon, ni povas eniri en ajnan alian bankkonton, aŭ bankon aŭ klientan konton en la sama maniero. Ni povas atingi ĉiun konton en la sistemo. Ĉi tie tute ne estas sugesto de rajtigo. La nura afero, kiun ili kontrolas, estas, ke vi estas ensalutinta kun via identigilo, kaj nun vi povas libere eltiri monon, fari translokigon, ktp.
Iun tagon unu el niaj ne-ASP-klientoj plusendis niajn informojn pri ĉi tiu vundebleco al alia kliento, kiu uzis ASP, kaj diris al ili, ke estas problemo, kiun oni devas ripari. Ni diris al ili, ke ni verŝajne devos reverki la tutan aplikaĵon por enkonduki rajtigon kaj la sistemo kontrolos ĉu la kliento estas rajtigita fari financajn transakciojn, kaj ke tio daŭros iom da tempo.
Du tagojn poste ili sendis al ni respondon dirante, ke ili jam mem riparis ĉion - ili korektis la URL, por ke la erarmesaĝo ne plu aperu. Kompreneble, ĝi estis mojosa, kaj ni decidis rigardi la fontkodon por vidi kion ili faris per sia "bonega" haka tekniko. Do, ĉio, kion ili faris, estis ĉesi montri erarmesaĝon en HTML-formato. Ĝenerale, ni havis tre interesan konversacion kun ĉi tiu kliento. Ili diris, ke ĉar ili ne povis solvi ĉi tiun problemon rapide, ili decidis fari tion nuntempe, esperante tute ripari la vundeblecon longtempe.
Inversa montransigo
Alia metodo de fraŭdo, pri kiu mi parolos tre mallonge, estas inversa montransigo. Ĉi tiu operacio estas farita en multaj bankaj aplikoj. Dum transdono de $10000 de konto A al konto B, la operacia formulo devus logike funkcii tiel:
A = A - ($10,000)
B = B + ($10,000)
Tio estas, $10000 estas retiritaj de konto A kaj aldonitaj al konto B.
La interesa afero estas, ke la banko ne kontrolas ĉu vi enigas la ĝustan transigan kvanton. Ekzemple, vi povas anstataŭigi pozitivan nombron per negativa, tio estas, translokigi $10000 de konto A al konto B. La transakcia formulo aspektos jene:
A = A — (-$10,000)
B = B + (-$10,000)
Tio estas, anstataŭ ŝuldi fondusojn de konto A, ili estos ŝulditaj de konto B kaj kredititaj al konto A. Ĉi tio okazas de tempo al tempo kaj alportas interesajn rezultojn. Malsupre de ĉi tiu glito vi povas vidi ligilon al esplora artikolo .
Ĝi priskribas similajn aferojn, kiuj okazas kun rondigaj eraroj. Estas multaj interesaj aferoj en ĉi tiu artikolo de Corsaire, kiuj provizis al ni materialon por iuj niaj propraj solvoj.
Sed ni revenu al la antaŭa problemo. Ni kontaktis ASP-Sekurecon kaj ricevis la sekvan respondon: "Internaj komercaj kontroloj malhelpos tiajn problemojn." Ni diris, "bone, ni rigardu ilian retejon." Kelkajn semajnojn poste, dum ni daŭre laboris kun nia kliento, ni ricevis ĉi tiun ĉekon en la poŝto de ili:
Ĝi diras ĉi tie, ke ĉi tio estas $2-kotizo por testado farita de nia kompanio WH. Jen kiel ni gajnas monon!
Mi ankoraŭ havas tiun kvitancon sur mia skribotablo. Por du tiaj provoj ni povas ricevi eĉ 4 dolarojn!
Sed kelkajn monatojn poste ni aŭdis de specifa kliento, ke 70000 XNUMX USD estis kontraŭleĝe translokigitaj al unu el la orienteŭropaj landoj. La mono ne povis esti resendita ĉar estis tro malfrue kaj ASP perdis sian klienton. Ĉi tiuj aferoj okazas, sed kion ni neniam eksciis, ĉar ni ne estas krimmedicinaj sciencistoj, estas kiom da aliaj klientoj estis tuŝitaj de ĉi tiu vundebleco. Ĉar ĉio en ĉi tiu skemo denove aspektas tute laŭleĝa - vi nur ŝanĝas la aspekton de la URL.
Butikumado de televendado
Trey Ford: Nun mi rakontos al vi pri vere teknika hako, do atente aŭskultu. Ni ĉiuj konas la etan televidstacion nomatan QVC, mi certas, ke vi foje aĉetas ion de ĉi tiu televida vendejo.
Sciu, ke kiam vi aĉetas ion interrete, sendepende de la retejo, ne alklaku ie ajn ĉar via mendo komencos esti procesita tuj post tio! Vi povas tuj ŝanĝi vian opinion kaj ĉesigi la transakcion. Sed kelkajn tagojn poste vi ricevas amason da rubaĵoj en la poŝto, por kiuj vi devas tuj pagi.
Eniru Quantina Moore-Perry, 33-jaraĝa atestita retpirato el Greensboro, Norda Karolino. Mi ne scias, kion ŝi vivis antaŭe, sed mi povas rakonti al vi kiel ŝi komencis gajni monon post hazarda transakcio, kiun ŝi supozeble faris, kvankam ŝi preskaŭ tuj nuligis la transakcion en la retejo.
Ĉiuj ĉi tiuj "menditaj" aferoj komencis alveni al ŝia poŝta adreso de QVC - virinaj mansakoj, hejmaj aparatoj, juvelaĵoj, elektroniko. Kion vi farus se iu sendis al vi ion per la poŝto, kiun vi ne mendis? Ĝuste, nenio! Estas tuj evidente, ke nia popolo...
Tamen, vi ricevas senpagan sendadon, kaj senpaga sendado estas avantaĝo! Post ĉio, la pakaĵoj jam estas en la poŝto, vi ne bezonas sendi ilin ie ajn. Se ĉi tio estas norma komerca procezo, kiel vi povas uzi ĝin? Kion fari kun la 1800 412000 pakaĵoj, kiuj alvenis al ŝia poŝta adreso de majo ĝis novembro? Do, ĉi tiu virino aŭkciis ĉiujn ĉi tiujn aferojn sur eBay, kaj kiel rezulto de vendado de ĉiuj ĉi rubaĵoj, ŝia profito estis $XNUMX! Kiel ŝi faris tion, estas tre simpla! Ŝi diris al la poŝtoficejo, ke iu mendis ĉiujn ĉi tiujn pakaĵojn de QVC al ŝia adreso, sed ŝi malfacile repakigas ilin kaj sendas ilin al la ricevantoj, do certigu, ke ili estas senditaj en la originala QVC-pakaĵo!
Kiel vi povas vidi, ĉi tio estas tre teknika solvo! Tamen, QVC maltrankviliĝis pri ĉi tiu afero post kiam 2 homoj, kiuj aĉetis la objekton sur eBay, ricevis ĝin en QVC-pakaĵo. Federacia tribunalo trovis la virinon kulpa de poŝtfraŭdo.
Tiel, simpla teknika problemo kun la nuligo de faritaj mendoj permesis al ĉi tiu virino gajni grandegan kvanton da mono.
37:40 min
Kelkaj reklamoj 🙂
Dankon pro restado ĉe ni. Ĉu vi ŝatas niajn artikolojn? Ĉu vi volas vidi pli interesan enhavon? Subtenu nin farante mendon aŭ rekomendante al amikoj, , 30% rabato por uzantoj de Habr sur unika analogo de enirnivelaj serviloj, kiu estis inventita de ni por vi: (havebla kun RAID1 kaj RAID10, ĝis 24 kernoj kaj ĝis 40GB DDR4).
Dell R730xd 2 fojojn pli malmultekosta? Nur ĉi tie en Nederlando! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ekde $99! Legu pri
fonto: www.habr.com