Hire2Hack izeneko gune bat dago, eta pasahitzak "berreskuratzeko" eskaerak ere onartzen ditu. Hemen zerbitzuaren kostua 150 $-tik hasten da. Gainontzekoak ez dakit, baina zuk zeuk eman behar diezu informazioa ordainduko duzulako. Izena emateko, erabiltzaile-izena, posta elektronikoa, pasahitza eta abar eman behar dituzu. Bitxia da Western Unionen transferentziak ere onartzen dituztela.
Azpimarratzekoa da erabiltzaile-izenak informazio oso baliotsua direla, batez ere helbide elektroniko batekin erlazionatuta daudenean. Esadazu, zuetako zeinek adierazten du zure benetako izena postontzi bat erregistratzean? Inor ez, hau dibertigarria da!
Beraz, helbide elektronikoak informazio baliotsua dira, batez ere sarean erosketak egiten ari bazara edo zure ezkontidea datazio gune batean jarraitu nahi baduzu. Saltzailea bazara, helbide elektronikoak erabil ditzakezu zure bezero edo harpidedunen artean zeintzuk diren zure lehiakideen zerbitzuak erabiltzen ari diren egiaztatzeko.
Horregatik, phishing-erasotzaileek diru handia ordaintzen dute benetako erabiltzaileen helbideengatik. Gainera, pasahitza eta saioa berreskuratzeko leihoak erabiltzen dituzte baliozko helbide elektronikoak denboran oinarritutako erasoak erabiliz. Merkataritza elektronikoko eta sare sozialetako atari nagusi askok baliozko helbide elektronikoen lapurreta kalte handia eragin dezakeen arazotzat hartzen dute arlo honetan ikerketa interesgarriak argitaratu direnez. Beraz, bi frontetan borrokatu behar dugu: denborazko erasoen aurka eta mota honetako informazio-filtrazioen aurka.
Kupoi elektronikoak diru bihurtzen ditugu
Jeremy Grossman: Beraz, lineako iruzurra egiteko hiru modu aztertu ditugu eta orain aurrea igotzen ari gara. Hurrengo bidea kupoi elektronikoak diru bihurtzea da. Kupoi hauek lineako erosketak egiteko erabiltzen dira. Bezeroak bere ID bakarra sartzen du eta deskontua aplikatzen zaio erosketari. Lineako merkatari nagusiek deskontu-programak eskaintzen dizkiete bezeroei, AmEx-ek lagunduta.
Askok dakizue kupoiek deskontuak ematen dituztela gutxi batzuetatik ehunka dolar eta 16 digituko ID batekin datozela. Zenbaki hauek oso estatikoak dira eta normalean ordenatuta agertzen dira. Hasieran, eskaera bakoitzeko kupoi bakarra onartzen zen, baina gero, programaren ospea hazi zen heinean, murrizketa horiek kendu egin ziren, eta orain 3 kupoi baino gehiago erabil daitezke eskaera batekin.
Norbaitek baliozko milaka deskontu kupoi posible identifikatzen saiatzen den gidoia garatu du. Saltzaileek 50 mila dolar baino gehiago balio duten eskaerak ezagutzen dituzte, diruaren ordez 200 kupoi edo gehiagorekin ordaindu zirenak. Ados, hau Gabonetako opari ona da!
Arazoa oharkabean igaro zen denbora luzez, programak ondo funtzionatu zuelako, denek erabili zituzten kupoiak eta denak pozik zeuden. Honek jarraitu zuen programaren kargak antolatzeko sistemak prozesadorearen kargaren % 90eko igoera detektatu zuen arte, jendeak ID zenbakiak mugitzen zituen bitartean, deskontua ematen zutenak hautatuz.
Merkatariek FBIri kasu hau ikertzeko eskatu zioten, zerbait gaizki zegoela susmatzen zutelako. Baina arazoa zen salgaiak existitzen ez zen helbide batera bidaltzen ari zirela, eta horrek nahastu egiten zituen. Erasotzaileak bidalketa-zerbitzuarekin konspirazioan sartu zuela, salgaiak aldez aurretik "atzeman" zituen.
Kasu honetan interesgarria dena da kupoiak ez direla moneta, marketin tresnak baino ez direla. Hala ere, negozio-logikan izandako akatsek Zerbitzu Sekretua inplikatu beharra ekarri zuten, zeinak ere bidalketa-zerbitzuak iruzur gertakariei aurre egin zien, sistema bere alde erabili baitzuen.
Kontu faltsuetatik dirua irabaztea
Trey Ford: hau da nire ipuin gogokoenetako bat. "Bizitza erreala: bulegoko espazioen hacking". Uste dut "Office Space" hackerrei buruzko filma ikusi duzula. Uler dezagun prozesu hau. Zenbatek erabili duzu online banka?
Bikaina, denek onartu zuten erabili zutela. Gauza interesgarri bat ACH bidez fakturak linean ordaintzeko gaitasuna da. ACH "Automated Clearing House"-k horrela funtzionatzen du. Demagun Jeremy-ri auto bat erosi nahi dudala eta zuzenean nire kontutik bere kontura transferituko dudala dirua. Ordainketa nagusia egin aurretik, nire finantza-erakundeak dena ondo dagoela ziurtatu behar du. Hori dela eta, lehenengo sistemak kopuru txiki bat transferitzen du, zentimo batzuetatik 2 dolarra, alderdien finantza-kontuak eta bideratze-helbideak ondo daudela eta bezeroak dirua jaso duela egiaztatzeko. Transferentzia hori behar bezala burutu dela ziurtatzean, ordainketa osoa bidaltzeko prest daude. Hau legezkoa den ala ez eztabaida dezakegu, erabiltzaile-hitzarmenaren baldintzak betetzen dituen ala ez, baina esaidazu, zuetako zenbatek daukazue PayPal kontua? Zenbat pertsonek dituzte PayPal ID anitz? Ziurrenik guztiz legezkoa da eta Baldintzak eta Baldintzak betetzen ditu.
Orain imajinatu mekanismo hau diru asko irabazteko erabil daitekeela. Script soil bat ezarriz, esaterako, 80 mila kontu sortzearen efektua erabiltzeaz ari gara. Erreparatu behar duzun gauza bakarra da gure istorioa tokiko proxy bat erabiliz, RSnake script-a, dirua irabazten lagundu behar digun beste hacking-tresna bat erabiliz hasi genuela, baina orain itzuliko gara eta hacking-a nola egin askoz errazagoa erakutsiko dugu. , arakatzaile bakarra erabil dezakezu dirua irabazteko.
Eraso berezi honek izaera pertsonala du. Michael Largent, 22 urteko Kaliforniatik, gidoi sinple bat erabili zuen 58 bitartekaritza-kontu faltsuak sortzeko. Schwab, eTrade eta beste batzuen sistemetan ireki zituen, marrazki bizidunetako pertsonaien izenak esleituz kontu horien erabiltzaile faltsuei.
Kontu horietako bakoitzerako, ACH egiaztatzeko transferentzia soilik erabili zuen, funtsen transferentzia osoa egin gabe. Baina kontu bateratu baten jabea zen, non egiaztapen-funts horiek guztiak isurtzen ziren, eta gero bere buruari transferitzen zizkion. Ona dirudi - ez da diru asko, baina guztira diru-sarrera handiak ekarri zizkion. Horrela irabazi zuen dirua, Office Space filmaren ideiari jarraituz. Gauza interesgarria da hemen ez dagoela legez kanpoko ezer: kopuru txiki horiek guztiak bildu zituen, baina oso azkar egin zuen.
8225 $ irabazi zituen Google Checkout sisteman, eta beste 50225 $ eTrade eta Schwab sistemetan. Ondoren, diru hori kreditu-txartel batera atera zuen eta enbarazu egin zuen. Bankuak milaka kontu horiek guztiak pertsona batenak zirela deskubritu zuenean, bankuko langileek deitu zioten eta galdetu zioten zergatik egin zuen hau, ez al du ulertzen dirua lapurtzen ari dela? Michaelek erantzun zion ez zuela ulertzen eta ez zekiela legez kanpoko zerbait egiten ari zela.
Inguruan jarraitzen zaituen eta zutaz ahalik eta gehien jakin nahi duten Zerbitzu Sekretuekin harreman berriak sortzeko modu oso ona da. Berriro errepikatzen dut: eskema honen gauzarik dibertigarriena da hemen ez zegoela legez kanpoko ezer. Patriot Legearen arabera atxilotu zuten. Nork daki zer den Patriot Act?
Hori bai, terrorismoaren kontrako inteligentzia zerbitzuen eskumenak zabaltzen dituen legea da. Mutil honek marrazki bizidunetako eta komikietako izenak erabiltzen zituen, beraz, erabiltzaile-izen faltsuak erabiltzeagatik leporatu ahal izan zuten. Beraz, euren postontzietarako fikziozko izenak erabiltzen dituztenek kontuz ibili beharko lukete - hori legez kanpokotzat jo daiteke!
Zerbitzu Sekretuen akusazioa lau kontutan oinarritzen zen: iruzurra informatikoa, Interneteko iruzurra eta posta-iruzurra, baina dirua jasotzea guztiz legezkoa zela ikusi zen, benetako kontu bat erabiltzen zuelako. Ezin dut esan behar bezala egin den ala ez, etikoki edo ez, baina, funtsean, Michael-ek egin zuen guztia webguneetan zerrendatutako Baldintzak eta Baldintzak betetzen zituen, beraz, agian ezaugarri gehigarri bat besterik ez zen.
Bankuak Hacking ASP bidez
Jeremy Grossman: badakizu, asko bidaiatzen dut eta teknikoki aditua den edo, aitzitik, teknologian batere trebea ez den jendea ezagutzen dut. Eta bizitzaz hitz egiten dugunean, non lan egiten dudan galdetzen dute. Informazioaren segurtasuna egiten dudala erantzuten dudanean, hori zer den galdetzen dute. Azaltzen dut, eta orduan esaten dute: "oh, banku bat pirateatu dezazun"!
Beraz, banku bat nola pirateatu daitekeen azaltzen hasten zarenean, ASP finantza-aplikazioen hornitzaileen bidez hacking-ari buruz ari zara. Aplikazio-zerbitzuen hornitzaileak beren bezeroei softwarea eta hardwarea alokatzen dieten enpresak dira: bankuak, kreditu-kooperatibak eta beste finantza-enpresa batzuk.
Beraien zerbitzuak banku txikiek eta antzeko enpresek erabiltzen dituzte, zeinentzat ez baita errentagarria ekonomikoki beren softwarea eta hardwarea edukitzea. Beraz, ASP gaitasuna alokatzen dute, hilero edo urtero ordainduz.
ASPek arreta handia jasotzen dute hackerengandik, banku bat pirateatu beharrean 600 edo mila banku pirateatu ditzakete aldi berean. Beraz, ASPek gaiztoentzako helburu oso interesgarria aurkezten dute.
Beraz, ASP enpresek banku sorta bat zerbitzatzen dute hiru URL parametro garrantzitsuetan oinarrituta: bezero ID client_ID, banku ID bank_ID eta kontu ID acct_ID. ASP bezero bakoitzak bere identifikatzaile bakarra du, eta potentzialki hainbat banku gunetan erabil daiteke. Banku bakoitzak edozein erabiltzaile-kontu izan ditzake finantza-aplikazio bakoitzerako - aurrezki-sistema, kontuak egiaztatzeko sistema, ordainketa-sistema, etab., eta finantza-aplikazio bakoitzak bere ID propioa du. Gainera, aplikazio-sistema honetako bezero-kontu bakoitzak bere ID propioa du. Beraz, hiru kontu sistema ditugu.
Beraz, nola pirateatzen ditugu 600 banku aldi berean? Lehenik eta behin, honelako URL kate baten amaieran ikusiko dugu: eta saiatu acct_id #X balio arbitrario batekin ordezkatzen, eta ondoren, errore-mezu handi eta gorri bat jasoko dugu eduki hau duena: "#X kontua #Y bankuari dagokio" (#X kontua #Y bankuari dagokio). Jarraian, bank_id hartuko dugu, nabigatzailean aldatu #Y eta mezua jasoko dugu: "Bankua #Y bezeroarena da #Z" (#Y bankua #Z bezeroarena da).
Azkenik, client_id-a hartzen dugu, #Z esleitu eta kitto, hasieran sartu nahi genuen kontuan sartzen gara. Sistema arrakastaz hackeatu ondoren, beste edozein banku-kontu, banku edo bezero-kontu batera sartu gaitezke modu berean. Sistemako kontu guztietara irits gaitezke. Hemen ez dago inolako baimenik. Egiaztatzen duten gauza bakarra da zure NANarekin saioa hasi duzula, eta orain dirua libreki atera dezakezula, transferentzia bat egin eta abar.
Egun batean, ASP ez zen gure bezeroetako batek ahultasun horri buruzko informazioa helarazi zion ASP erabiltzen ari zen beste bezero bati eta konpondu behar zen arazo bat zegoela esan zien. Esan genien ziurrenik aplikazio osoa berridatzi beharko genuela baimena sartzeko eta sistemak egiaztatuko zuela bezeroak finantza-eragiketak egiteko baimenik ote zuen, eta horrek denbora pixka bat beharko zuela.
Handik bi egunera erantzun bat bidali ziguten esanez dena beraiek konpondu zutela jadanik - URLa zuzendu zuten, errore-mezua gehiago agertu ez zedin. Noski, polita izan zen, eta iturburu-kodea aztertzea erabaki genuen haien hacking teknika "handia"rekin zer egin zuten ikusteko. Beraz, egin zuten guztia HTML formatuan errore-mezu bat bistaratzeari uztea izan zen. Orokorrean, oso elkarrizketa interesgarria izan dugu bezero honekin. Esan zutenez, arazo hori azkar konpondu ezin izan zutenez, oraingoz egitea erabaki zuten, epe luzera ahultasuna guztiz konpontzeko asmoz.
Alderantzizko diru-transferentzia
Iruzurra egiteko beste metodo bat, laburki hitz egingo dudana, alderantzizko diru-transferentzia bat da. Eragiketa hau banku-aplikazio askotan egiten da. 10000 $ A kontutik B kontura transferitzean, eragiketa-formulak honela funtzionatu beharko luke logikoki:
A = A - ($10,000)
B = B + ($10,000)
Hau da, 10000 $ A kontutik atera eta B kontura gehitzen dira.
Interesgarria da bankuak ez duela egiaztatzen transferentzia kopuru zuzena sartzen duzun ala ez. Adibidez, zenbaki positibo bat negatibo batekin ordezkatu dezakezu, hau da, 10000 $ transferitu A kontutik B kontura. Transakzio-formula honela izango da:
A = A β (-$ 10,000)
B = B + (-$ 10,000)
Hau da, A kontuko funtsak zorduntzeko ordez, B kontutik zordunduko dira eta A kontuan abonatuko dira. Hori noizean behin gertatzen da eta emaitza interesgarriak ekartzen ditu. Diapositiba honen behealdean ikerketa-artikulu baterako esteka ikus dezakezu .
Biribilketa akatsekin gertatzen diren antzeko gauzak deskribatzen ditu. Corsaire-ren artikulu honetan gauza interesgarri asko dago gure soluzio batzuetarako materiala eskaini diguna.
Baina itzul gaitezen aurreko arazora. ASP Segurtasunarekin harremanetan jarri ginen eta erantzun hau jaso genuen: "Enpresaren barne-kontrolek horrelako arazoak saihestuko dituzte". Esan genuen, "ados, ikus dezagun haien webgunea". Aste batzuk geroago, gure bezeroarekin lanean jarraitu genuenez, txeke hau jaso genuen postaz:
Hemen dio hau gure WH enpresak egindako probetarako $ 2 kuota dela. Horrela irabazten dugu dirua!
Oraindik ordainagiri hori mahai gainean daukat. Horrelako bi probetarako 4 dolar lortu ditzakegu!
Baina hilabete batzuk geroago bezero zehatz bati entzun genion 70000 dolar legez kanpoko Europako ekialdeko herrialde batera eraman zirela. Dirua ezin izan da itzuli beranduegi zelako eta ASPk bezeroa galdu zuelako. Gauza hauek gertatzen dira, baina inoiz jakin ez duguna, forentseak ez garelako, ahultasun horrek beste bezeroei zenbateraino eragin dien. Eskema honetan dena guztiz legezkoa dirudielako berriro - URLaren itxura besterik ez duzu aldatzen.
Erosketak telesaldatik
Trey Ford: Orain benetan hack tekniko baten berri emango dizut, beraz, entzun arretaz. Denok ezagutzen dugu QVC izeneko telebista txikia, ziur nago telebista denda honetan zerbait erosten duzula batzuetan.
Jakin ezazu Interneten zerbait erosten duzunean, gunea edozein dela ere, ez egin klik inon, zure eskaera berehala prozesatzen hasiko delako! Berehala iritziz alda dezakezu eta transakzioa geldiarazi. Baina egun batzuk geroago zabor mordoa jasotzen duzu postaz, berehala ordaindu behar duzuna.
Sartu Quantina Moore-Perry, Greensboro-ko (Ipar Carolina) 33 urteko hacker ziurtatua. Aurretik ez dakit zer egiten zuen bizimodua, baina esan dezaket nola hasi zen dirua irabazten ustez egin zuen ausazko transakzio baten ondoren, nahiz eta ia berehala bertan behera utzi zuen transakzioa webgunean.
"Ordenatutako" gauza horiek guztiak QVC-tik bere posta helbidera iristen hasi ziren - emakumeen poltsak, etxetresna elektrikoak, bitxiak, elektronika. Zer egingo zenuke norbaitek zuk eskatu ez duzun zerbait postaz bidaliko bazenu? Hori bai, ezer ez! Berehala nabaritzen da gure herria...
Hala ere, doako bidalketa lortzen duzu, eta doako bidalketa abantaila bat da! Azken finean, paketeak posta elektronikoan daude jada, ez duzu inora bidali beharrik. Hau negozio-prozesu estandarra bada, nola erabil dezakezu? Zer egin maiatzetik azarora bere posta helbidera iritsitako 1800 fardelekin? Beraz, emakume honek gauza horiek guztiak enkantean jarri zituen eBay-n, eta zabor hori guztia saltzearen ondorioz, bere irabazia 412000 $ izan zen! Nola egin zuen hau oso erraza da! Posta-bulegoan esan zuen norbaitek QVC-tik pakete horiek guztiak bere helbidera eskatu zituela, baina zaila egiten ari zaiola berriro ontziratzea eta hartzaileei bidaltzea, beraz, ziurtatu QVC jatorrizko ontzian bidaltzen direla!
Ikusten duzunez, hau oso irtenbide teknikoa da! Hala ere, QVC arazo honekin kezkatu zen eBay-n elementua erosi zuten 2 pertsonek QVC ontzian jaso ondoren. Auzitegi federal batek emakumea posta iruzurra egitearen erruduntzat jo zuen.
Horrela, egindako eskaerak bertan behera uztearekin izandako oztopo tekniko sinple bati esker, emakume honek diru kopuru handia irabazten zuen.
37:40 min
Iragarki batzuk π
Eskerrik asko gurekin geratzeagatik. Gustuko dituzu gure artikuluak? Eduki interesgarri gehiago ikusi nahi? Lagun iezaguzu eskaera bat eginez edo lagunei gomendatuz, , % 30eko deskontua Habr erabiltzaileentzat sarrera-mailako zerbitzarien analogo berezi batean, guk zuk asmatu duguna: (RAID1 eta RAID10-ekin erabilgarri, 24 nukleoraino eta 40 GB DDR4 arte).
Dell R730xd 2 aldiz merkeagoa? Hemen bakarrik Herbehereetan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 $-tik aurrera! Irakurri buruz
Iturria: www.habr.com