سرب: خانم ها و آقایان، این صحبت بسیار خنده دار و بسیار جالب است، امروز قصد داریم در مورد چیزهای واقعی که در اینترنت مشاهده می شود صحبت کنیم. این مکالمه کمی متفاوت از آن چیزی است که ما در کنفرانس های کلاه سیاه به آن عادت کرده ایم، زیرا قصد داریم در مورد چگونگی کسب درآمد مهاجمان از حملات خود صحبت کنیم.
ما چند حمله جالب را به شما نشان خواهیم داد که میتوانند سودآور باشند، و در مورد حملاتی که واقعاً در شبی که به Jägermeister رفتیم و طوفان فکری کردیم، به شما خواهیم گفت. جالب بود، اما وقتی کمی هوشیار شدیم، با افراد سئو صحبت کردیم و در واقع متوجه شدیم که افراد زیادی از این حملات پول در می آورند.
من فقط یک مدیر میانی بی مغز هستم، بنابراین صندلی خود را رها می کنم و جرمی و تری را به شما معرفی می کنم که بسیار باهوش تر از من هستند. من باید یک معرفی هوشمندانه و سرگرم کننده داشته باشم، اما ندارم، بنابراین در عوض این اسلایدها را نشان خواهم داد.
اسلایدهایی که جرمی گروسمن و تری فورد را نشان می دهد روی صفحه نمایش داده می شود.
جرمی گراسمن موسس و مدیر ارشد فناوری WhiteHat Security است که در سال 2007 توسط InfoWorld به عنوان یکی از 25 CTO برتر معرفی شد، یکی از بنیانگذاران کنسرسیوم امنیت برنامه های کاربردی وب و یکی از نویسندگان حملات اسکریپت بین سایتی.
Trey Ford مدیر راه حل های معماری WhiteHat Security است که دارای 6 سال تجربه به عنوان مشاور امنیتی برای شرکت های Fortune 500 و یکی از توسعه دهندگان استاندارد امنیت داده کارت پرداخت PCI DSS است.
فکر می کنم این عکس ها کمبود شوخ طبعی من را جبران می کند. در هر صورت، امیدوارم از ارائه آنها لذت ببرید و سپس متوجه شوید که چگونه از این حملات در اینترنت برای کسب درآمد استفاده می شود.
جرمی گروسمن: ظهر بخیر، از همه شما برای آمدن متشکرم. این یک مکالمه بسیار سرگرم کننده خواهد بود، اگرچه حملات روز صفر یا فناوری های جدید جالب را نخواهید دید. ما فقط سعی می کنیم آن را سرگرم کننده کنیم و در مورد چیزهای واقعی که هر روز اتفاق می افتد صحبت می کنیم و به افراد بد اجازه می دهد تا پول زیادی به دست آورند.
ما سعی نمی کنیم شما را با آنچه در این اسلاید نشان داده شده تحت تاثیر قرار دهیم، بلکه به سادگی توضیح می دهیم که شرکت ما چه می کند. بنابراین، نگهبان کلاه سفید یا "کلاه سفید نگهبان" عبارت است از:
- تعداد نامحدود ارزیابی - کنترل و مدیریت کارشناسانه سایت های مشتری، امکان اسکن سایت ها بدون توجه به اندازه و تعداد تغییرات آنها.
- دامنه گسترده ای از پوشش - اسکن مجاز سایت ها برای شناسایی آسیب پذیری های فنی و آزمایش کاربر برای شناسایی خطاهای منطقی در مناطق تجاری کشف نشده؛
- حذف موارد مثبت کاذب - تیم عملیاتی ما نتایج را بررسی می کند و درجه بندی شدت و تهدید مناسب را تعیین می کند.
- توسعه و کنترل کیفیت - سیستم WhiteHat Satellite Appliance به ما امکان می دهد از راه دور به سیستم های مشتری از طریق دسترسی به شبکه داخلی سرویس دهیم.
- بهبود و بهبود - اسکن واقع بینانه به شما امکان می دهد تا به سرعت و کارآمد سیستم را به روز کنید.
بنابراین، ما همه سایتها را در جهان ممیزی میکنیم، ما بزرگترین تیم نفوذگر برنامههای وب را داریم، هر هفته 600 تا 700 تست ارزیابی انجام میدهیم، و تمام دادههایی که در این ارائه خواهید دید، از تجربه ما در انجام این نوع کار میآیند. .
در اسلاید بعدی 10 نوع رایج حمله به وب سایت های جهانی را مشاهده می کنید. این نشان دهنده درصد آسیب پذیری در برابر حملات خاص است. همانطور که می بینید، 65٪ از همه سایت ها در برابر اسکریپت های متقابل آسیب پذیر هستند، 40٪ اجازه نشت اطلاعات را می دهند و 23٪ در برابر جعل محتوا آسیب پذیر هستند. علاوه بر اسکریپت نویسی بین سایتی، تزریق SQL و جعل درخواست های متقابل معروف، که در ده مورد برتر ما گنجانده نشده است، رایج هستند. اما این فهرست شامل حملاتی با نامهای باطنی است که با زبانی مبهم توصیف شدهاند و ویژگی آن این است که علیه شرکتهای خاصی انجام میشود.
اینها نقصهای احراز هویت، نقصهای فرآیند مجوز، نشت اطلاعات و غیره هستند.
اسلاید بعدی در مورد حملات به منطق تجاری صحبت می کند. تیم های QA درگیر در تضمین کیفیت معمولاً به آنها توجه نمی کنند. آنها آزمایش می کنند که نرم افزار چه کاری را باید انجام دهد، نه اینکه چه کاری می تواند انجام دهد، و سپس شما می توانید هر آنچه را که می خواهید ببینید. اسکنرها، همه این جعبههای سفید/سیاه/خاکستری، همه این جعبههای چند رنگی در بیشتر موارد قادر به تشخیص این چیزها نیستند، زیرا آنها به سادگی بر روی زمینهای که حمله میتواند باشد یا اتفاقی که در هنگام وقوع آن مشابه میافتد تثبیت میشوند. آنها فاقد هوش هستند و نمیدانند که آیا اصلاً چیزی کار کرده است یا نه.
همین امر در مورد فایروالهای برنامه IDS و WAF نیز صدق میکند، که در تشخیص نقصهای منطق تجاری نیز ناکام هستند زیرا درخواستهای HTTP کاملاً عادی به نظر میرسند. ما به شما نشان خواهیم داد که حملات مربوط به نقصهای منطق کسبوکار کاملاً طبیعی به وجود میآیند، هیچ هکر، هیچ متاکاراکتر یا چیزهای عجیب دیگری وجود ندارد، آنها شبیه فرآیندهای طبیعی هستند. نکته اصلی این است که افراد بد این چیزها را دوست دارند زیرا نقص در منطق تجارت آنها را به پول می رساند. آنها از XSS، SQL، CSRF استفاده میکنند، اما انجام این نوع حملات به طور فزایندهای دشوار میشود و ما شاهد بودهایم که در طول 3-5 سال گذشته کاهش یافته است. اما آنها به خودی خود ناپدید نمی شوند، همانطور که سرریز بافر از بین نمی رود. با این حال، آدمهای بد به این فکر میکنند که چگونه از حملات پیچیدهتر استفاده کنند، زیرا معتقدند که «افراد بد واقعی» همیشه به دنبال کسب درآمد از حملات خود هستند.
من می خواهم ترفندهای واقعی را به شما نشان دهم که می توانید از آنها استفاده کنید و از آنها به روشی درست برای محافظت از کسب و کار خود استفاده کنید. یکی دیگر از اهداف ارائه ما این است که ممکن است در مورد اخلاق تعجب کنید.
نظرسنجی و رای گیری آنلاین
بنابراین، برای شروع بحث ما در مورد کاستی های منطق تجاری، اجازه دهید در مورد نظرسنجی های آنلاین صحبت کنیم. نظرسنجی های آنلاین رایج ترین راه برای کشف یا تأثیرگذاری بر افکار عمومی است. ما با سود 0 دلار شروع می کنیم و سپس به نتیجه 5، 6، 7 ماه طرح های کلاهبرداری نگاه می کنیم. بیایید با انجام یک نظرسنجی بسیار بسیار ساده شروع کنیم. می دانید که هر وب سایت جدید، هر وبلاگ، هر پورتال خبری، نظرسنجی آنلاین انجام می دهد. با این حال، هیچ جایگاهی خیلی بزرگ یا خیلی باریک نیست، اما ما می خواهیم افکار عمومی را در زمینه های خاص ببینیم.
من می خواهم توجه شما را به یک نظرسنجی که در آستین، تگزاس انجام شده است جلب کنم. از آنجایی که یک بیگل آستین برنده نمایشگاه سگ وست مینستر شد، استیتمن آمریکایی آستین تصمیم گرفت تا نظرسنجی آنلاین آستین بهترین در نمایش را برای صاحبان سگ های تگزاس مرکزی انجام دهد. هزاران مالک عکس ارسال کردند و به موارد دلخواه خود رای دادند. مانند بسیاری از نظرسنجی های دیگر، هیچ جایزه ای جز لاف زدن برای حیوان خانگی شما وجود نداشت.
برای رای گیری از یک برنامه سیستمی Web 2.0 استفاده شد. اگر سگ را دوست داشتید روی "بله" کلیک کردید و متوجه شدید که آیا این سگ بهترین سگ در این نژاد است یا خیر. بنابراین شما به چند صد سگ ارسال شده در سایت به عنوان کاندیدای برنده نمایش رای دادید.
با این روش رای گیری 3 نوع تقلب امکان پذیر بود. اولین رای بی پایان است، جایی که شما بارها و بارها به همان سگ رای می دهید. خیلی ساده است. روش دوم، رای گیری چندگانه منفی است، که در آن تعداد زیادی رای به یک سگ رقیب می دهید. راه سوم این بود که به معنای واقعی کلمه در آخرین دقایق مسابقه، سگ جدیدی قرار دادید، به آن رای دادید، به طوری که امکان دریافت رای منفی به حداقل رسید و با کسب رای 100% مثبت برنده شدید.
علاوه بر این، پیروزی به صورت درصد تعیین شد، و نه با تعداد کل آرا، یعنی شما نمی توانید تعیین کنید که کدام سگ بیشترین تعداد رتبه های مثبت را دریافت کرده است، فقط درصد امتیازات مثبت و منفی برای یک سگ خاص محاسبه شده است. . سگ با بهترین نسبت نمره مثبت/منفی برنده شد.
همکار رابرت "RSnake" دوست هنسن از او خواست تا به Chihuahua Tiny او کمک کند تا در یک مسابقه برنده شود. می دانی رابرت، او اهل آستین است. او مانند یک ابر هکر، پروکسی Burp را تعمیر کرد و مسیر کمترین مقاومت را در پیش گرفت. او از تکنیک تقلب شماره 1 استفاده کرد و آن را از طریق یک حلقه Burp از چندین صد یا هزار درخواست اجرا کرد، و این باعث شد سگ 2000 رای مثبت داشته باشد و او را به جایگاه اول برساند.
سپس از تکنیک تقلب شماره 2 در مقابل رقیب تینی ملقب به چوچو استفاده کرد. او در دقایق پایانی مسابقه 450 رای مقابل چوچو به صندوق انداخت که با نسبت رای بیش از 1 به 2 جایگاه تینی را در جایگاه اول تقویت کرد اما از نظر درصد نقدهای مثبت و منفی، تینی باز هم شکست خورد. در این اسلاید شما چهره جدید یک مجرم سایبری را می بینید که از این نتیجه دلسرد شده است.
بله، سناریوی جالبی بود، اما فکر می کنم دوستم این اجرا را دوست نداشت. شما فقط می خواستید در مسابقه چیهواهوا در آستین برنده شوید، اما شخصی بود که سعی کرد شما را هک کند و همین کار را انجام دهد. خب، حالا تماس را به تری می سپرم.
ایجاد تقاضای مصنوعی و کسب درآمد از آن
تری فورد: مفهوم "DoS مصنوعی" به چندین سناریو جالب مختلف هنگام خرید بلیط به صورت آنلاین اشاره دارد. به عنوان مثال، هنگام رزرو یک صندلی ویژه در یک پرواز. این می تواند برای هر نوع بلیطی مانند یک رویداد ورزشی یا یک کنسرت اعمال شود.
به منظور جلوگیری از خرید مکرر اقلام کمیاب مانند صندلی هواپیما، اقلام فیزیکی، نام کاربری و غیره، برنامه برای جلوگیری از درگیری، کالا را برای مدت زمان مشخصی قفل می کند. و در اینجا آسیب پذیری مربوط به توانایی رزرو چیزی از قبل می آید.
همه ما درباره تایم اوت می دانیم، همه ما از پایان جلسه اطلاع داریم. اما این نقص منطقی خاص به ما این امکان را می دهد که یک صندلی را در یک پرواز انتخاب کنیم و سپس بدون پرداخت هزینه دوباره برای انتخاب مجدد برگردیم. مطمئناً بسیاری از شما اغلب به سفرهای کاری می روید، اما برای من این یک بخش اساسی از کار است. ما این الگوریتم را در مکانهای زیادی آزمایش کردهایم: شما یک پرواز را انتخاب میکنید، یک صندلی را انتخاب میکنید و تنها زمانی که آماده باشید اطلاعات پرداخت خود را وارد میکنید. یعنی بعد از اینکه مکانی را انتخاب کردید، برای مدت معینی - از چند دقیقه تا چند ساعت - برای شما رزرو می شود و در این مدت هیچ کس دیگری نمی تواند این مکان را رزرو کند. به دلیل این دوره انتظار، شما یک فرصت واقعی برای رزرو تمام صندلی های هواپیما به سادگی با بازگشت به وب سایت و رزرو صندلی های مورد نظر خود دارید.
بنابراین، یک گزینه حمله DoS ظاهر می شود: به طور خودکار این چرخه را برای هر صندلی در هواپیما تکرار کنید.
ما این را در حداقل دو شرکت هواپیمایی بزرگ آزمایش کرده ایم. با هر رزرو دیگری می توانید همین آسیب پذیری را پیدا کنید. این یک فرصت عالی برای افزایش قیمت بلیط های خود برای کسانی است که می خواهند آنها را دوباره بفروشند. برای انجام این کار، سفته بازان فقط باید بلیط های باقی مانده را بدون هیچ گونه خطر ضرر مالی رزرو کنند. به این ترتیب، میتوانید تجارت الکترونیکی را که محصولات پرتقاضا را میفروشد - بازیهای ویدیویی، کنسولهای بازی، آیفونها و غیره «خراش» کنید. یعنی نقص موجود در سیستم رزرو یا رزرو آنلاین به مهاجم این امکان را می دهد که از آن درآمد کسب کند یا به رقبا آسیب برساند.
رمزگشایی کپچا
جرمی گروسمن: حالا بیایید در مورد کپچا صحبت کنیم. همه آن تصاویر مزاحم را می شناسند که اینترنت را پر کرده و برای مبارزه با هرزنامه استفاده می شود. به طور بالقوه، می توانید از کپچا نیز سود ببرید. کپچا یک تست تورینگ کاملاً خودکار است که به شما امکان می دهد یک شخص واقعی را از یک ربات تشخیص دهید. هنگام تحقیق در مورد استفاده از کپچا، چیزهای جالب زیادی کشف کردم.
کپچا برای اولین بار در حدود 2000-2001 مورد استفاده قرار گرفت. هرزنامهها میخواهند کپچا را حذف کنند تا برای سرویسهای ایمیل رایگان Gmail، Yahoo Mail، Windows Live Mail، MySpace، FaceBook و غیره ثبت نام کنند. و ارسال هرزنامه از آنجایی که کپچا به طور گسترده مورد استفاده قرار می گیرد، بازار کاملی از خدمات ظاهر شده است که پیشنهاد دور زدن کپچای همه جا حاضر را دارد. در نهایت، این باعث سود می شود - یک مثال می تواند ارسال هرزنامه باشد. 3 راه برای دور زدن کپچا وجود دارد، بیایید به آنها نگاه کنیم.
اولین مورد، نقص در اجرای ایده یا کاستی در استفاده از کپچا است.
بنابراین، پاسخ به سوالات حاوی آنتروپی بسیار کمی است، مانند "بنویسید 4+1 برابر است." ممکن است سوالات یکسان بارها تکرار شوند و دامنه پاسخ های ممکن بسیار کم است.
اثربخشی کپچا به این صورت بررسی می شود:
- آزمایش باید در شرایطی انجام شود که شخص و سرور از یکدیگر دور باشند،
آزمون نباید برای فرد سخت باشد. - سوال باید به گونه ای باشد که فرد بتواند در عرض چند ثانیه به آن پاسخ دهد،
فقط کسی که سوال از او پرسیده می شود باید پاسخ دهد. - پاسخ دادن به سؤال باید برای رایانه دشوار باشد.
- دانش سؤالات، پاسخ ها یا ترکیب آنها نباید بر قابلیت پیش بینی آزمون بعدی تأثیر بگذارد.
- این آزمایش نباید بین افراد دارای اختلالات بینایی یا شنوایی تبعیض قائل شود.
- آزمون نباید از نظر جغرافیایی، فرهنگی یا زبانی مغرضانه باشد.
همانطور که مشخص است، ایجاد یک کپچای "درست" بسیار دشوار است.
دومین عیب کپچا امکان استفاده از تشخیص کاراکتر نوری OCR است. یک قطعه کد قادر است یک تصویر کپچا را بدون توجه به نویز بصری آن بخواند، ببیند چه حروف یا اعدادی از آن تشکیل شده است و فرآیند تشخیص را خودکار می کند. تحقیقات نشان داده است که اکثر کپچاها را می توان به راحتی کرک کرد.
من نقل قول هایی از متخصصان دانشکده علوم کامپیوتر در دانشگاه نیوکاسل، انگلستان خواهم داد. آنها در مورد سهولت شکستن کپچای مایکروسافت صحبت می کنند: "حمله ما توانست به نرخ موفقیت بخش بندی 92٪ دست یابد که به این معنی است که طرح کپچای MSN را می توان در 60٪ موارد با بخش بندی تصویر و سپس شناسایی آن کرک کرد. ” شکستن کپچای یاهو به همین سادگی بود: «حمله دوم ما موفقیتی در تقسیم بندی 33,4 درصد داشت. بنابراین، حدود 25,9 درصد از کپچاها را می توان کرک کرد. تحقیقات ما نشان میدهد که ارسالکنندگان هرزنامه هرگز نباید از نیروی انسانی ارزان برای دور زدن کپچای یاهو استفاده کنند، بلکه باید به یک حمله خودکار کمهزینه تکیه کنند.
سومین روش دور زدن کپچا "Turk مکانیکی" یا "Turk" نام دارد. ما بلافاصله پس از انتشار آن را در برابر کپچای یاهو آزمایش کردیم و تا به امروز نمی دانیم و هیچ کس نمی داند چگونه در برابر چنین حمله ای محافظت کنیم.
این مورد زمانی است که شما پسر بدی دارید که یک سایت "بزرگسال" یا بازی آنلاین را اجرا می کند که در آن کاربران محتوایی را درخواست می کنند. قبل از اینکه آنها بتوانند تصویر بعدی را ببینند، سایتی که هکر مالک آن است، یک درخواست back-end را به یک سیستم آنلاینی که با آن آشنا هستید، مثلاً یاهو یا گوگل، ارسال می کند، کپچا را از آنجا می گیرد و به کاربر می دهد. و به محض اینکه کاربر به سوال پاسخ داد، هکر کپچای حدس زده شده را به سایت مورد نظر ارسال می کند و تصویر درخواستی از سایت خود را به کاربر نشان می دهد. اگر یک سایت بسیار محبوب با محتوای جالب زیاد دارید، می توانید یک ارتش کامل از مردم را بسیج کنید که به طور خودکار کپچاهای دیگران را برای شما پر می کنند. این یک چیز بسیار قدرتمند است.
با این حال، نه تنها مردم سعی می کنند از کپچاها عبور کنند، بلکه مشاغل نیز از این تکنیک استفاده می کنند. رابرت "RSnake" هانسن یک بار در وبلاگ خود با یک "حل کننده کپچا" رومانیایی صحبت کرد که گفت می تواند از 300 تا 500 کپچا در ساعت با نرخ 9 تا 15 دلار در هر هزار کپچای حل شده حل کند.
او مستقیماً می گوید که اعضای تیمش 12 ساعت در روز کار می کنند و در این مدت حدود 4800 کپچا را حل می کنند و بسته به سختی کپچاها می توانند تا 50 دلار در روز برای کار خود دریافت کنند. این یک پست جالب بود، اما نظراتی که کاربران وبلاگ در زیر این پست گذاشتند جالب تر است. بلافاصله پیامی از ویتنام ظاهر شد، جایی که یک کوانگ هونگ در مورد گروه 20 نفره خود گزارش داد که موافقت کردند برای هر 4 کپچای حدس زده 1000 دلار کار کنند.
پیام بعدی از بنگلادش بود: «سلام! امیدوارم حالت خوب باشه ما یک شرکت پردازش پیشرو از بنگلادش هستیم. در حال حاضر، 30 اپراتور ما قادر به حل بیش از 100000 کپچا در روز هستند. ما شرایط عالی و نرخ پایین را ارائه می دهیم - 2 دلار برای 1000 کپچای حدس زده از سایت های Yahoo، Hotmail، Mayspace، Gmail، Facebook و غیره. ما مشتاقانه منتظر همکاری بیشتر هستیم."
پیام جالب دیگری توسط فلان بابو فرستاده شد: «من به این کار علاقه دارم، لطفاً با من تماس بگیرید.»
بنابراین کاملاً جالب است. ما میتوانیم درباره قانونی یا غیرقانونی بودن این فعالیت بحث کنیم، اما واقعیت این است که مردم در واقع از آن درآمد کسب میکنند.
دسترسی به حساب های دیگران
تری فورد: سناریوی بعدی که در مورد آن صحبت خواهیم کرد، کسب درآمد از طریق تصاحب حساب شخص دیگری است.
همه گذرواژهها را فراموش میکنند و برای تست امنیت برنامه، بازنشانی رمز عبور و ثبتنام آنلاین نشاندهنده دو فرآیند تجاری متمایز و متمرکز است. فاصله زیادی بین سهولت بازنشانی رمز عبور و سهولت ثبت نام وجود دارد، بنابراین باید تلاش کنید تا فرآیند بازنشانی رمز عبور را تا حد امکان ساده کنید. اما اگر بخواهیم آن را ساده کنیم، مشکلی پیش می آید زیرا هرچه بازنشانی رمز عبور ساده تر باشد، امنیت آن کمتر است.
یکی از پرمخاطب ترین موارد مربوط به ثبت نام آنلاین با استفاده از سرویس تأیید کاربر Sprint است. دو عضو تیم کلاه سفید برای ثبت نام آنلاین از اسپرینت استفاده کردند. چند چیز وجود دارد که باید تأیید کنید تا ثابت کنید که شما هستید، با چیزی به سادگی شماره تلفن همراه خود شروع کنید. برای مواردی مانند مدیریت حساب بانکی خود، پرداخت هزینه خدمات و غیره به ثبت نام آنلاین نیاز دارید. خرید گوشی بسیار راحت است اگر بتوانید آن را از حساب شخص دیگری انجام دهید و سپس خرید کنید و کارهای بیشتری انجام دهید. یکی از گزینه های کلاهبرداری این است که آدرس پرداخت را تغییر دهید، سفارش تحویل یک دسته کامل تلفن همراه به آدرس خود را بدهید و قربانی مجبور به پرداخت هزینه آنها می شود. دیوانه های تعقیب کننده نیز رویای این فرصت را در سر می پرورانند: افزودن قابلیت ردیابی GPS به تلفن های قربانیان خود و ردیابی هر حرکت آنها از هر رایانه ای.
بنابراین، Sprint برخی از ساده ترین سوالات را برای تأیید هویت شما ارائه می دهد. همانطور که می دانیم، امنیت را می توان با طیف بسیار گسترده ای از آنتروپی یا با مسائل بسیار تخصصی تضمین کرد. من بخشی از فرآیند ثبت نام Sprint را برای شما می خوانم زیرا آنتروپی بسیار پایین است. به عنوان مثال، یک سوال وجود دارد: "مارک خودروی ثبت شده در آدرس زیر را انتخاب کنید" و گزینه های مارک لوتوس، هوندا، لامبورگینی، فیات و "هیچ کدام از موارد بالا" هستند. به من بگویید، کدام یک از شما بچه ها یکی از موارد بالا را دارید؟ همانطور که می بینید، این پازل چالش برانگیز فقط یک فرصت عالی برای یک دانشجو است تا گوشی های ارزان قیمتی را تهیه کند.
سوال دوم: "کدام یک از افراد زیر با شما زندگی می کند یا در آدرس زیر زندگی می کند"؟ پاسخ به این سوال بسیار آسان است، حتی اگر اصلاً این شخص را نشناسید. جری استیفلین - این نام خانوادگی سه "آی" در خود دارد، ما در یک ثانیه به آن خواهیم رسید - رالف آرگن، جروم پونیکی و جان پیس. نکته جالب در مورد این لیست این است که اسامی داده شده کاملا تصادفی هستند و همه آنها تابع یک الگو هستند. اگر آن را محاسبه کنید، در تشخیص نام واقعی هیچ مشکلی نخواهید داشت، زیرا با نام هایی که به طور تصادفی انتخاب شده اند در یک ویژگی، در این مورد سه حرف "i" متفاوت است. بنابراین، Stayfliin به وضوح یک نام تصادفی نیست، و به راحتی می توان حدس زد که این شخص هدف شماست. خیلی خیلی ساده است.
سوال سوم: "در کدام یک از شهرهای ذکر شده هرگز زندگی نکرده اید یا هرگز از این شهر در آدرس خود استفاده نکرده اید؟" - لانگمونت، هالیوود شمالی، جنوا یا بوت؟ ما سه منطقه پرجمعیت در اطراف واشنگتن دی سی داریم، بنابراین پاسخ واضح هالیوود شمالی است.
چند نکته وجود دارد که باید در ثبت نام آنلاین Sprint مراقب باشید. همانطور که قبلاً گفتم، اگر مهاجمی بتواند آدرس حمل و نقل را برای خرید در اطلاعات پرداخت شما تغییر دهد، ممکن است آسیب جدی ببیند. چیزی که واقعاً ترسناک است این است که ما یک سرویس موبایل یاب داریم.
با استفاده از آن میتوانید حرکات کارمندان خود را ردیابی کنید، زیرا مردم از تلفن همراه و GPS استفاده میکنند و میتوانید روی نقشه ببینید که کجا هستند. بنابراین موارد بسیار جالب دیگری نیز در این فرآیند رخ می دهد.
همانطور که می دانید، هنگام تنظیم مجدد رمز عبور، آدرس ایمیل بر سایر روش های تایید کاربر و سوالات امنیتی اولویت دارد. اسلاید بعدی بسیاری از سرویسها را نشان میدهد که اگر کاربر برای ورود به حساب کاربری خود مشکل داشته باشد، آدرس ایمیل شما را نشان میدهد.
ما می دانیم که اکثر مردم از ایمیل استفاده می کنند و یک حساب ایمیل دارند. ناگهان مردم می خواستند راهی برای کسب درآمد از آن بیابند. شما همیشه آدرس ایمیل قربانی را پیدا می کنید، آن را در فرم وارد می کنید و این فرصت را خواهید داشت که رمز عبور حسابی را که می خواهید دستکاری کنید، تنظیم مجدد کنید. سپس از آن در شبکه خود استفاده می کنید، و آن صندوق پستی تبدیل به طاق طلایی شما می شود، مکانی اصلی که می توانید تمام حساب های دیگر قربانی را از آنجا بدزدید. تنها با در اختیار داشتن یک صندوق پستی، کل اشتراک قربانی را دریافت خواهید کرد. لبخند نزن، این جدی است!
اسلاید بعدی نشان می دهد که چند میلیون نفر از خدمات ایمیل مربوطه استفاده می کنند. مردم به طور فعال از Gmail، Yahoo Mail، Hotmail، AOL Mail استفاده می کنند، اما برای تسلط بر حساب های آنها لازم نیست یک هکر فوق العاده باشید، می توانید با برون سپاری دستان خود را تمیز نگه دارید. شما همیشه می توانید بگویید که ربطی به آن ندارد، شما چنین کاری انجام نداده اید.
بنابراین، سرویس آنلاین "بازیابی رمز عبور" در چین مستقر است، جایی که شما برای هک حساب "شما" هزینه آن را پرداخت می کنید. با 300 یوان، که حدود 43 دلار است، می توانید سعی کنید رمز عبور صندوق پست خارجی را با نرخ موفقیت 85 درصد بازنشانی کنید. با 200 یوان یا 29 دلار، 90 درصد موفقیت در تنظیم مجدد رمز عبور صندوق پستی سرویس ایمیل خانه خود خواهید داشت. هک کردن صندوق پستی هر شرکتی هزار یوان یا 143 دلار هزینه دارد، اما موفقیت تضمین نشده است. همچنین می توانید خدمات شکستن رمز عبور را برای 163، 126، QQ، Yahoo، Sohu، Sina، TOM، Hotmail، MSN و غیره برون سپاری کنید.
کنفرانس کلاه سیاه آمریکا. پولدار شوید یا بمیرید: با استفاده از روش های کلاه سیاه به صورت آنلاین درآمد کسب کنید. قسمت دوم (لینک فردا در دسترس خواهد بود)
چند تبلیغ 🙂
از اینکه با ما ماندید متشکرم آیا مقالات ما را دوست دارید؟ آیا می خواهید مطالب جالب تری ببینید؟ با ثبت سفارش یا معرفی به دوستان از ما حمایت کنید , 30٪ تخفیف برای کاربران Habr در آنالوگ منحصر به فرد سرورهای سطح ورودی که توسط ما برای شما اختراع شده است: (در دسترس با RAID1 و RAID10، حداکثر 24 هسته و حداکثر 40 گیگابایت DDR4).
Dell R730xd 2 برابر ارزان تر است؟ فقط اینجا در هلند! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - از 99 دلار! در مورد بخوانید
منبع: www.habr.com