سایتی به نام Hire2Hack وجود دارد که درخواست های "بازیابی" رمز عبور را نیز می پذیرد. در اینجا هزینه خدمات از 150 دلار شروع می شود. بقیه رو نمی دونم ولی باید اطلاعات خودت رو بهشون بدی چون قراره بهشون پول بدی. برای ثبت نام باید نام کاربری، ایمیل، رمز عبور و ... را وارد کنید. نکته خنده دار این است که حتی نقل و انتقالات وسترن یونیون را هم قبول می کنند.
شایان ذکر است که نام های کاربری اطلاعات بسیار ارزشمندی هستند، به خصوص زمانی که با آدرس ایمیل مرتبط باشند. به من بگویید، کدام یک از شما نام واقعی خود را هنگام ثبت نام صندوق پستی نشان می دهد؟ هیچ کس، این سرگرم کننده است!
بنابراین، آدرسهای ایمیل اطلاعات ارزشمندی هستند، به خصوص اگر به صورت آنلاین خرید میکنید یا میخواهید رد کردن همسرتان را در یک سایت دوستیابی دنبال کنید. اگر فروشنده هستید، می توانید از آدرس های ایمیل برای بررسی اینکه کدام یک از مشتریان یا مشترکین شما در حال حاضر از خدمات هر یک از رقبای شما استفاده می کنند استفاده کنید.
بنابراین، مهاجمان فیشینگ پول زیادی برای آدرسهای کاربر واقعی میپردازند. علاوه بر این، آنها از پنجره های بازیابی رمز عبور و ورود به سیستم برای استخراج آدرس های ایمیل معتبر با استفاده از حملات مبتنی بر زمان استفاده می کنند. بسیاری از پرتالهای بزرگ تجارت الکترونیک و رسانههای اجتماعی سرقت آدرسهای ایمیل معتبر را مشکلی میدانند که میتواند آسیبهای زیادی به بار آورد زیرا مطالعات جالبی در این زمینه منتشر شده است. بنابراین ما باید در دو جبهه مبارزه کنیم - در برابر حملات زمان بندی و در برابر نشت اطلاعات از این نوع.
کوپن های الکترونیکی را به پول تبدیل می کنیم
جرمی گروسمن: بنابراین، ما به سه روش کلاهبرداری آنلاین نگاه کردهایم و اکنون در حال بالا بردن سطح پیشبینی هستیم. راه بعدی تبدیل کوپن های الکترونیکی به پول است. این کوپن ها برای خرید آنلاین استفاده می شوند. مشتری شناسه منحصر به فرد خود را وارد می کند و برای خریدش تخفیف اعمال می شود. خرده فروشان آنلاین عمده برنامه های تخفیفی را به مشتریان ارائه می دهند که توسط AmEx پشتیبانی می شود.
بسیاری از شما میدانید که کوپنها تخفیفهایی از چند تا چند صد دلار را ارائه میکنند و دارای شناسه ۱۶ رقمی هستند. این اعداد بسیار ثابت هستند و معمولاً به ترتیب ظاهر می شوند. در ابتدا به ازای هر سفارش فقط یک کوپن مجاز بود، اما بعد با افزایش محبوبیت برنامه، این محدودیت ها برداشته شد و اکنون با یک سفارش می توان از بیش از 16 کوپن استفاده کرد.
شخصی اسکریپتی ایجاد کرده است که سعی می کند هزاران کوپن تخفیف معتبر احتمالی را شناسایی کند. فروشندگان سفارش هایی به ارزش بیش از 50 هزار دلار را می شناسند که به جای پول با 200 کوپن یا بیشتر پرداخت شده است. موافقم، این یک هدیه کریسمس خوب است!
مشکل برای مدت طولانی بدون توجه بود زیرا برنامه عالی کار کرد، همه از کوپن ها استفاده کردند و همه راضی بودند. این تا زمانی ادامه یافت که سیستم زمانبندی بار برنامه افزایش 90 درصدی در بار پردازنده را در حالی که مردم در حال پیمایش شمارههای شناسایی بودند و مواردی را که تخفیف ارائه میدادند، تشخیص داد.
معامله گران از FBI خواستند که این پرونده را بررسی کند زیرا آنها مشکوک بودند چیزی اشتباه است. اما مشکل این بود که کالاها به آدرسی که وجود نداشت ارسال می شد و این باعث سردرگمی آنها می شد. معلوم شد که مهاجم با سرویس تحویل وارد یک توطئه شده است که از قبل کالا را "رهگیری" کرده است.
نکته جالب در این مورد این است که کوپن ها ارز نیستند و فقط ابزار بازاریابی هستند. با این حال، اشتباهات در منطق تجاری منجر به نیاز به دخالت سرویس مخفی شد، که همچنین با حقایق تقلب توسط سرویس تحویل مواجه شد، که از سیستم به نفع خود استفاده کرد.
کسب درآمد از حساب های جعلی
تری فورد: این یکی از داستان های مورد علاقه من است "زندگی واقعی: هک فضای اداری." فکر می کنم فیلم «فضای اداری» درباره هکرها را دیده باشید. بیایید این روند را درک کنیم. چند نفر از شما از بانکداری آنلاین استفاده کرده اید؟
عالی، همه اعتراف کردند که از آن استفاده کردند. یک چیز جالب، امکان پرداخت آنلاین صورتحساب از طریق ACH است. ACH "Automated Clearing House" مانند این کار می کند. فرض کنید من می خواهم از جرمی یک ماشین بخرم و قرار است مستقیماً از حسابم به حساب او پول منتقل کنم. قبل از پرداخت اصلی، موسسه مالی من باید مطمئن شود که همه چیز مرتب است. بنابراین، ابتدا سیستم مقداری ناچیز را از چند سنت به 2 دلار منتقل می کند تا تأیید کند که حساب های مالی و آدرس های مسیریابی طرفین مرتب است و مشتری پول را دریافت کرده است. پس از اطمینان از اینکه این انتقال به درستی انجام شده است، آماده فوروارد پرداخت کامل هستند. ما می توانیم در مورد قانونی بودن این موضوع بحث کنیم، آیا با شرایط قرارداد کاربر مطابقت دارد یا خیر، اما به من بگویید، چند نفر از شما یک حساب پی پال دارید؟ چند نفر چند شناسه پی پال دارند؟ این احتمالاً کاملاً قانونی است و با شرایط و ضوابط مطابقت دارد.
حال تصور کنید که می توان از این مکانیسم برای کسب درآمد زیاد استفاده کرد. ما در مورد استفاده از افکت ایجاد مثلاً 80 هزار حساب کاربری با راه اندازی یک اسکریپت ساده صحبت می کنیم. تنها چیزی که باید به آن توجه کنید این است که ما داستان خود را با استفاده از یک پروکسی محلی، اسکریپت RSnake، ابزار هک دیگری که باید به ما در کسب درآمد کمک کند، شروع کردیم، اما اکنون میخواهیم برگردیم و نشان دهیم که چگونه هک کردن را بسیار آسانتر کنیم. ، به طوری که می توانید تنها از یک مرورگر برای کسب درآمد استفاده کنید.
این حمله خاص ماهیت شخصی دارد. مایکل لارجنت، 22 ساله، اهل کالیفرنیا، از یک اسکریپت ساده برای ایجاد 58 حساب کارگزاری جعلی استفاده کرد. او آنها را در سیستم های شواب، تجارت الکترونیک و برخی دیگر باز کرد و نام شخصیت های کارتونی را به کاربران جعلی این حساب ها اختصاص داد.
برای هر یک از این حسابها، او فقط از انتقال تأییدیه ACH استفاده کرد، بدون اینکه انتقال کامل وجه انجام دهد. اما او صاحب یک حساب مشترک بود که تمام این وجوه تأیید به آن سرازیر می شد و سپس آنها را به خودش منتقل می کرد. خوب به نظر می رسد - پول زیادی نیست، اما در کل درآمد بسیار قابل توجهی برای او به ارمغان آورد. او از این طریق به دنبال ایده فیلم فضای اداری درآمد. نکته جالب این است که هیچ چیز غیرقانونی در اینجا وجود ندارد - او فقط تمام این مبالغ ناچیز را جمع آوری کرد، اما این کار را خیلی سریع انجام داد.
او 8225 دلار در سیستم Google Checkout و 50225 دلار دیگر در سیستم های eTrade و Schwab به دست آورد. سپس این پول را به کارت اعتباری برداشت و آن را اختلاس کرد. وقتی بانک متوجه شد که این هزاران حساب متعلق به یک نفر است، کارمندان بانک با او تماس گرفتند و پرسیدند چرا این کار را کردی، آیا او نمی فهمد که دارد پول می دزدد؟ که مایکل پاسخ داد که نمیفهمد و نمیدانست که کار غیرقانونی انجام میدهد.
این یک راه بسیار خوب برای ایجاد روابط جدید با افراد سرویس مخفی است که شما را دنبال می کنند و می خواهند تا حد امکان درباره شما بدانند. یک بار دیگر تکرار می کنم - جالب ترین چیز در مورد این طرح این است که هیچ چیز غیرقانونی در اینجا وجود نداشت. او بر اساس قانون میهن پرستان بازداشت شد. چه کسی می داند قانون میهن پرستی چیست؟
درست است، این قانونی است که اختیارات سرویس های اطلاعاتی را در زمینه مقابله با تروریسم گسترش می دهد. این مرد از اسامی کارتون ها و کمیک ها استفاده می کرد، بنابراین آنها توانستند او را به دلیل استفاده از نام های کاربری جعلی دستگیر کنند. بنابراین کسانی که از نام های ساختگی برای صندوق پست خود استفاده می کنند باید مراقب باشند - این ممکن است غیرقانونی تلقی شود!
کیفرخواست سرویس مخفی بر اساس چهار اتهام بود: کلاهبرداری رایانه ای، کلاهبرداری اینترنتی و کلاهبرداری از طریق پست، اما دریافت پول کاملاً قانونی بود، زیرا او از یک حساب واقعی استفاده می کرد. من نمی توانم بگویم که آیا این کار به درستی انجام شده است یا نه، از نظر اخلاقی یا نه، اما اساساً هر کاری که مایکل انجام داد با شرایط و ضوابط فهرست شده در وب سایت ها مطابقت داشت، بنابراین شاید این فقط یک ویژگی اضافی بود.
هک بانک ها از طریق ASP
جرمی گروسمن: میدانید، من زیاد سفر میکنم و با افرادی ملاقات میکنم که از نظر فنی باهوش هستند یا برعکس، اصلاً در فنآوری بلد نیستند. و وقتی از زندگی صحبت می کنیم، می پرسند کجا کار می کنم. وقتی من پاسخ می دهم که امنیت اطلاعات را انجام می دهم، می پرسند این چیست. من توضیح می دهم و بعد می گویند: "اوه، پس می توانید یک بانک را هک کنید"!
بنابراین، وقتی شروع به توضیح می کنید که چگونه یک بانک واقعاً هک می شود، در مورد هک کردن از طریق ارائه دهندگان برنامه های مالی ASP صحبت می کنید. ارائه دهندگان خدمات کاربردی شرکت هایی هستند که نرم افزار و سخت افزار خود را به مشتریان خود - بانک ها، اتحادیه های اعتباری و سایر شرکت های مالی اجاره می دهند.
خدمات آنها توسط بانک های کوچک و شرکت های مشابه استفاده می شود که داشتن نرم افزار و سخت افزار مخصوص به آنها از نظر مالی به صرفه نیست. بنابراین آنها ظرفیت ASP را اجاره می کنند و به آنها ماهانه یا سالانه پرداخت می کنند.
ASP ها بسیار مورد توجه هکرها قرار می گیرند زیرا به جای هک یک بانک، می توانند 600 یا هزار بانک را به طور همزمان هک کنند. بنابراین ASP ها یک هدف بسیار جالب برای افراد بد ارائه می دهند.
بنابراین، شرکتهای ASP به مجموعه کاملی از بانکها بر اساس سه پارامتر URL مهم خدمات میدهند: شناسه مشتری client_ID، شناسه بانک bank_ID و شناسه حساب acct_ID. هر مشتری ASP شناسه منحصر به فرد خود را دارد که به طور بالقوه می تواند در چندین سایت بانکی استفاده شود. هر بانک می تواند برای هر اپلیکیشن مالی هر تعداد حساب کاربری داشته باشد – سیستم پس انداز، سیستم تایید حساب، سیستم پرداخت و غیره و هر اپلیکیشن مالی شناسه مخصوص به خود را دارد. علاوه بر این، هر حساب مشتری در این سیستم برنامه دارای شناسه مخصوص به خود است. بنابراین ما سه سیستم حساب داریم.
پس چگونه 600 بانک را همزمان هک کنیم؟ ابتدا به انتهای یک رشته URL مانند زیر نگاه می کنیم:
در نهایت، شناسه_client را میگیریم، آن را #Z اختصاص میدهیم - و تمام، وارد حسابی میشویم که در ابتدا میخواستیم وارد شویم. پس از اینکه سیستم را با موفقیت هک کردیم، میتوانیم به هر حساب بانکی، یا حساب بانکی یا مشتری دیگری به همین روش وارد شویم. ما می توانیم به هر حساب در سیستم دسترسی پیدا کنیم. در اینجا اصلاً اشاره ای به مجوز وجود ندارد. تنها چیزی که چک می کنند این است که شما با ID خود وارد شده اید و اکنون می توانید آزادانه پول برداشت کنید، انتقال و ... انجام دهید.
یک روز یکی از مشتریان غیرASP ما اطلاعات ما در مورد این آسیب پذیری را برای مشتری دیگری که از ASP استفاده می کرد، ارسال کرد و به آنها گفت که مشکلی وجود دارد که باید برطرف شود. ما به آنها گفتیم که احتمالاً برای معرفی مجوز باید کل برنامه را بازنویسی کنیم و سیستم بررسی می کند که آیا مشتری مجاز به انجام تراکنش های مالی است یا خیر و این مدتی طول می کشد.
دو روز بعد آنها پاسخی برای ما ارسال کردند و گفتند که قبلاً همه چیز را خودشان درست کرده اند - URL را تصحیح کردند تا دیگر پیام خطا ظاهر نشود. البته، عالی بود، و ما تصمیم گرفتیم به کد منبع نگاه کنیم تا ببینیم آنها با تکنیک هک "عالی" خود چه کردند. بنابراین، تمام کاری که آنها انجام دادند این بود که نمایش یک پیام خطا در قالب HTML را متوقف کنند. در کل با این مشتری گفتگوی بسیار جالبی داشتیم. آنها گفتند که از آنجایی که نتوانستند این مشکل را به سرعت حل کنند، تصمیم گرفتند فعلا این کار را انجام دهند، به امید اینکه در دراز مدت آسیب پذیری را به طور کامل برطرف کنند.
انتقال پول معکوس
یکی دیگر از روش های کلاهبرداری که به طور خلاصه در مورد آن صحبت خواهم کرد، انتقال پول معکوس است. این عملیات در بسیاری از برنامه های بانکی انجام می شود. هنگام انتقال 10000 دلار از حساب A به حساب B، فرمول عملیات به طور منطقی باید به صورت زیر عمل کند:
A = A - (10,000 دلار)
B = B + (10,000 دلار)
یعنی 10000 دلار از حساب A برداشت می شود و به حساب B اضافه می شود.
نکته جالب این است که بانک بررسی نمی کند که آیا مبلغ حواله را صحیح وارد کرده اید یا خیر. به عنوان مثال، می توانید یک عدد مثبت را با یک عدد منفی جایگزین کنید، یعنی 10000 دلار از حساب A به حساب B منتقل کنید. فرمول تراکنش به این صورت خواهد بود:
A = A - (-10,000 دلار)
B = B + (-10,000 دلار)
یعنی به جای برداشت وجه از حساب الف، از حساب ب برداشت می شود و به حساب الف واریز می شود، این اتفاق هر از چند گاهی می افتد و نتایج جالبی به همراه دارد. در پایین این اسلاید می توانید پیوندی به یک مقاله تحقیقاتی را مشاهده کنید
موارد مشابهی را که با خطاهای گرد کردن اتفاق میافتند، توصیف میکند. مطالب جالب زیادی در این مقاله از Corsaire وجود دارد که مطالبی را برای برخی از راه حل های خودمان در اختیار ما قرار داده است.
اما به مشکل قبلی برگردیم. ما با ASP Security تماس گرفتیم و پاسخ زیر را دریافت کردیم: "کنترل های داخلی کسب و کار از چنین مشکلاتی جلوگیری می کند." گفتیم باشه بیا وب سایتشون رو ببینیم. چند هفته بعد، همانطور که ما به کار با مشتری خود ادامه دادیم، این چک را از طریق پست از آنها دریافت کردیم:
اینجا می گوید که این هزینه 2 دلاری برای آزمایش انجام شده توسط شرکت ما WH است. اینجوری پول در میاریم!
من هنوز آن رسید را روی میزم دارم. برای دو تست از این دست ما می توانیم تا 4 دلار دریافت کنیم!
اما چند ماه بعد از یک مشتری خاص شنیدیم که 70000 دلار به صورت غیرقانونی به یکی از کشورهای اروپای شرقی منتقل شده است. پول برگشت داده نشد زیرا خیلی دیر شده بود و ASP مشتری خود را از دست داد. این چیزها اتفاق میافتد، اما چیزی که ما هرگز متوجه نشدیم، زیرا ما دانشمند پزشکی قانونی نیستیم، این است که چند مشتری دیگر تحت تأثیر این آسیبپذیری قرار گرفتند. از آنجا که همه چیز در این طرح دوباره کاملاً قانونی به نظر می رسد - شما فقط ظاهر URL را تغییر می دهید.
خرید از تله شاپینگ
تری فورد: اکنون می خواهم در مورد یک هک واقعاً فنی به شما بگویم، پس با دقت گوش دهید. همه ما ایستگاه تلویزیونی کوچکی به نام QVC را می شناسیم، مطمئنم گاهی اوقات چیزی از این فروشگاه تلویزیونی می خرید.
بدانید که وقتی چیزی را به صورت آنلاین خریداری می کنید، صرف نظر از سایت، در جایی کلیک نکنید زیرا بلافاصله پس از آن پردازش سفارش شما شروع می شود! می توانید بلافاصله نظر خود را تغییر دهید و معامله را متوقف کنید. اما چند روز بعد شما یک دسته آشغال از طریق پست دریافت می کنید که باید بلافاصله هزینه آن را بپردازید.
Quantina Moore-Perry، یک هکر 33 ساله دارای گواهینامه از گرینزبورو، کارولینای شمالی وارد شوید. نمیدانم او قبلاً چه کار میکرد، اما میتوانم به شما بگویم که چگونه پس از یک معامله تصادفی که ظاهراً انجام داده بود، شروع به کسب درآمد کرد، اگرچه تقریباً بلافاصله معامله در سایت را لغو کرد.
همه این چیزهای "سفارش داده شده" از QVC به آدرس پستی او رسید - کیف های دستی زنانه، لوازم خانگی، جواهرات، لوازم الکترونیکی. اگر کسی چیزی را از طریق نامه برای شما بفرستد که شما سفارش نداده اید، چه می کنید؟ درسته، هیچی! بلافاصله آشکار است که مردم ما ...
با این حال، شما ارسال رایگان دریافت می کنید، و ارسال رایگان یک مزیت است! از این گذشته ، بسته ها قبلاً در پست هستند ، لازم نیست آنها را به جایی ارسال کنید. اگر این یک فرآیند تجاری استاندارد است، چگونه می توانید از آن استفاده کنید؟ با 1800 بسته ای که از ماه می تا نوامبر به آدرس پستی او رسیده است چه باید کرد؟ بنابراین، این زن همه این چیزها را در eBay به حراج گذاشت و در نتیجه فروش این همه آشغال، سود او 412000 دلار شد! نحوه انجام این کار بسیار ساده است! او به اداره پست گفت که شخصی تمام این بسته ها را از QVC به آدرس او سفارش داده است، اما او برای بسته بندی مجدد آنها و ارسال آنها برای گیرندگان مشکل دارد، بنابراین مطمئن شوید که آنها در بسته بندی اصلی QVC ارسال می شوند!
همانطور که می بینید، این یک راه حل بسیار فنی است! اما QVC پس از اینکه 2 نفر که این کالا را در eBay خریدند آن را در بسته بندی QVC دریافت کردند، نگران این موضوع شد. دادگاه فدرال این زن را به اتهام کلاهبرداری از طریق پست مجرم تشخیص داد.
بنابراین، یک مشکل فنی ساده با لغو سفارشات انجام شده به این زن اجازه داد تا مقدار زیادی پول به دست آورد.
37:40 دقیقه
چند تبلیغ 🙂
از اینکه با ما ماندید متشکرم آیا مقالات ما را دوست دارید؟ آیا می خواهید مطالب جالب تری ببینید؟ با ثبت سفارش یا معرفی به دوستان از ما حمایت کنید
Dell R730xd 2 برابر ارزان تر است؟ فقط اینجا
منبع: www.habr.com