کنفرانس کلاه سیاه آمریکا. ثروتمند شوید یا بمیرید: کسب درآمد آنلاین با استفاده از روش های کلاه سیاه. قسمت 2

کنفرانس کلاه سیاه آمریکا. ثروتمند شوید یا بمیرید: کسب درآمد آنلاین با استفاده از روش های کلاه سیاه. قسمت 1

سایتی به نام Hire2Hack وجود دارد که درخواست های "بازیابی" رمز عبور را نیز می پذیرد. در اینجا هزینه خدمات از 150 دلار شروع می شود. بقیه رو نمی دونم ولی باید اطلاعات خودت رو بهشون بدی چون قراره بهشون پول بدی. برای ثبت نام باید نام کاربری، ایمیل، رمز عبور و ... را وارد کنید. نکته خنده دار این است که حتی نقل و انتقالات وسترن یونیون را هم قبول می کنند.

شایان ذکر است که نام های کاربری اطلاعات بسیار ارزشمندی هستند، به خصوص زمانی که با آدرس ایمیل مرتبط باشند. به من بگویید، کدام یک از شما نام واقعی خود را هنگام ثبت نام صندوق پستی نشان می دهد؟ هیچ کس، این سرگرم کننده است!

بنابراین، آدرس‌های ایمیل اطلاعات ارزشمندی هستند، به خصوص اگر به صورت آنلاین خرید می‌کنید یا می‌خواهید رد کردن همسرتان را در یک سایت دوستیابی دنبال کنید. اگر فروشنده هستید، می توانید از آدرس های ایمیل برای بررسی اینکه کدام یک از مشتریان یا مشترکین شما در حال حاضر از خدمات هر یک از رقبای شما استفاده می کنند استفاده کنید.

بنابراین، مهاجمان فیشینگ پول زیادی برای آدرس‌های کاربر واقعی می‌پردازند. علاوه بر این، آنها از پنجره های بازیابی رمز عبور و ورود به سیستم برای استخراج آدرس های ایمیل معتبر با استفاده از حملات مبتنی بر زمان استفاده می کنند. بسیاری از پرتال‌های بزرگ تجارت الکترونیک و رسانه‌های اجتماعی سرقت آدرس‌های ایمیل معتبر را مشکلی می‌دانند که می‌تواند آسیب‌های زیادی به بار آورد زیرا مطالعات جالبی در این زمینه منتشر شده است. بنابراین ما باید در دو جبهه مبارزه کنیم - در برابر حملات زمان بندی و در برابر نشت اطلاعات از این نوع.

کوپن های الکترونیکی را به پول تبدیل می کنیم

جرمی گروسمن: بنابراین، ما به سه روش کلاهبرداری آنلاین نگاه کرده‌ایم و اکنون در حال بالا بردن سطح پیش‌بینی هستیم. راه بعدی تبدیل کوپن های الکترونیکی به پول است. این کوپن ها برای خرید آنلاین استفاده می شوند. مشتری شناسه منحصر به فرد خود را وارد می کند و برای خریدش تخفیف اعمال می شود. خرده فروشان آنلاین عمده برنامه های تخفیفی را به مشتریان ارائه می دهند که توسط AmEx پشتیبانی می شود.

بسیاری از شما می‌دانید که کوپن‌ها تخفیف‌هایی از چند تا چند صد دلار را ارائه می‌کنند و دارای شناسه ۱۶ رقمی هستند. این اعداد بسیار ثابت هستند و معمولاً به ترتیب ظاهر می شوند. در ابتدا به ازای هر سفارش فقط یک کوپن مجاز بود، اما بعد با افزایش محبوبیت برنامه، این محدودیت ها برداشته شد و اکنون با یک سفارش می توان از بیش از 16 کوپن استفاده کرد.

شخصی اسکریپتی ایجاد کرده است که سعی می کند هزاران کوپن تخفیف معتبر احتمالی را شناسایی کند. فروشندگان سفارش هایی به ارزش بیش از 50 هزار دلار را می شناسند که به جای پول با 200 کوپن یا بیشتر پرداخت شده است. موافقم، این یک هدیه کریسمس خوب است!

مشکل برای مدت طولانی بدون توجه بود زیرا برنامه عالی کار کرد، همه از کوپن ها استفاده کردند و همه راضی بودند. این تا زمانی ادامه یافت که سیستم زمان‌بندی بار برنامه افزایش 90 درصدی در بار پردازنده را در حالی که مردم در حال پیمایش شماره‌های شناسایی بودند و مواردی را که تخفیف ارائه می‌دادند، تشخیص داد.

معامله گران از FBI خواستند که این پرونده را بررسی کند زیرا آنها مشکوک بودند چیزی اشتباه است. اما مشکل این بود که کالاها به آدرسی که وجود نداشت ارسال می شد و این باعث سردرگمی آنها می شد. معلوم شد که مهاجم با سرویس تحویل وارد یک توطئه شده است که از قبل کالا را "رهگیری" کرده است.

نکته جالب در این مورد این است که کوپن ها ارز نیستند و فقط ابزار بازاریابی هستند. با این حال، اشتباهات در منطق تجاری منجر به نیاز به دخالت سرویس مخفی شد، که همچنین با حقایق تقلب توسط سرویس تحویل مواجه شد، که از سیستم به نفع خود استفاده کرد.

کسب درآمد از حساب های جعلی

تری فورد: این یکی از داستان های مورد علاقه من است "زندگی واقعی: هک فضای اداری." فکر می کنم فیلم «فضای اداری» درباره هکرها را دیده باشید. بیایید این روند را درک کنیم. چند نفر از شما از بانکداری آنلاین استفاده کرده اید؟

عالی، همه اعتراف کردند که از آن استفاده کردند. یک چیز جالب، امکان پرداخت آنلاین صورتحساب از طریق ACH است. ACH "Automated Clearing House" مانند این کار می کند. فرض کنید من می خواهم از جرمی یک ماشین بخرم و قرار است مستقیماً از حسابم به حساب او پول منتقل کنم. قبل از پرداخت اصلی، موسسه مالی من باید مطمئن شود که همه چیز مرتب است. بنابراین، ابتدا سیستم مقداری ناچیز را از چند سنت به 2 دلار منتقل می کند تا تأیید کند که حساب های مالی و آدرس های مسیریابی طرفین مرتب است و مشتری پول را دریافت کرده است. پس از اطمینان از اینکه این انتقال به درستی انجام شده است، آماده فوروارد پرداخت کامل هستند. ما می توانیم در مورد قانونی بودن این موضوع بحث کنیم، آیا با شرایط قرارداد کاربر مطابقت دارد یا خیر، اما به من بگویید، چند نفر از شما یک حساب پی پال دارید؟ چند نفر چند شناسه پی پال دارند؟ این احتمالاً کاملاً قانونی است و با شرایط و ضوابط مطابقت دارد.

حال تصور کنید که می توان از این مکانیسم برای کسب درآمد زیاد استفاده کرد. ما در مورد استفاده از افکت ایجاد مثلاً 80 هزار حساب کاربری با راه اندازی یک اسکریپت ساده صحبت می کنیم. تنها چیزی که باید به آن توجه کنید این است که ما داستان خود را با استفاده از یک پروکسی محلی، اسکریپت RSnake، ابزار هک دیگری که باید به ما در کسب درآمد کمک کند، شروع کردیم، اما اکنون می‌خواهیم برگردیم و نشان دهیم که چگونه هک کردن را بسیار آسان‌تر کنیم. ، به طوری که می توانید تنها از یک مرورگر برای کسب درآمد استفاده کنید.

این حمله خاص ماهیت شخصی دارد. مایکل لارجنت، 22 ساله، اهل کالیفرنیا، از یک اسکریپت ساده برای ایجاد 58 حساب کارگزاری جعلی استفاده کرد. او آنها را در سیستم های شواب، تجارت الکترونیک و برخی دیگر باز کرد و نام شخصیت های کارتونی را به کاربران جعلی این حساب ها اختصاص داد.

برای هر یک از این حساب‌ها، او فقط از انتقال تأییدیه ACH استفاده کرد، بدون اینکه انتقال کامل وجه انجام دهد. اما او صاحب یک حساب مشترک بود که تمام این وجوه تأیید به آن سرازیر می شد و سپس آنها را به خودش منتقل می کرد. خوب به نظر می رسد - پول زیادی نیست، اما در کل درآمد بسیار قابل توجهی برای او به ارمغان آورد. او از این طریق به دنبال ایده فیلم فضای اداری درآمد. نکته جالب این است که هیچ چیز غیرقانونی در اینجا وجود ندارد - او فقط تمام این مبالغ ناچیز را جمع آوری کرد، اما این کار را خیلی سریع انجام داد.

او 8225 دلار در سیستم Google Checkout و 50225 دلار دیگر در سیستم های eTrade و Schwab به دست آورد. سپس این پول را به کارت اعتباری برداشت و آن را اختلاس کرد. وقتی بانک متوجه شد که این هزاران حساب متعلق به یک نفر است، کارمندان بانک با او تماس گرفتند و پرسیدند چرا این کار را کردی، آیا او نمی فهمد که دارد پول می دزدد؟ که مایکل پاسخ داد که نمی‌فهمد و نمی‌دانست که کار غیرقانونی انجام می‌دهد.

این یک راه بسیار خوب برای ایجاد روابط جدید با افراد سرویس مخفی است که شما را دنبال می کنند و می خواهند تا حد امکان درباره شما بدانند. یک بار دیگر تکرار می کنم - جالب ترین چیز در مورد این طرح این است که هیچ چیز غیرقانونی در اینجا وجود نداشت. او بر اساس قانون میهن پرستان بازداشت شد. چه کسی می داند قانون میهن پرستی چیست؟

درست است، این قانونی است که اختیارات سرویس های اطلاعاتی را در زمینه مقابله با تروریسم گسترش می دهد. این مرد از اسامی کارتون ها و کمیک ها استفاده می کرد، بنابراین آنها توانستند او را به دلیل استفاده از نام های کاربری جعلی دستگیر کنند. بنابراین کسانی که از نام های ساختگی برای صندوق پست خود استفاده می کنند باید مراقب باشند - این ممکن است غیرقانونی تلقی شود!

کیفرخواست سرویس مخفی بر اساس چهار اتهام بود: کلاهبرداری رایانه ای، کلاهبرداری اینترنتی و کلاهبرداری از طریق پست، اما دریافت پول کاملاً قانونی بود، زیرا او از یک حساب واقعی استفاده می کرد. من نمی توانم بگویم که آیا این کار به درستی انجام شده است یا نه، از نظر اخلاقی یا نه، اما اساساً هر کاری که مایکل انجام داد با شرایط و ضوابط فهرست شده در وب سایت ها مطابقت داشت، بنابراین شاید این فقط یک ویژگی اضافی بود.

هک بانک ها از طریق ASP

جرمی گروسمن: می‌دانید، من زیاد سفر می‌کنم و با افرادی ملاقات می‌کنم که از نظر فنی باهوش هستند یا برعکس، اصلاً در فن‌آوری بلد نیستند. و وقتی از زندگی صحبت می کنیم، می پرسند کجا کار می کنم. وقتی من پاسخ می دهم که امنیت اطلاعات را انجام می دهم، می پرسند این چیست. من توضیح می دهم و بعد می گویند: "اوه، پس می توانید یک بانک را هک کنید"!

بنابراین، وقتی شروع به توضیح می کنید که چگونه یک بانک واقعاً هک می شود، در مورد هک کردن از طریق ارائه دهندگان برنامه های مالی ASP صحبت می کنید. ارائه دهندگان خدمات کاربردی شرکت هایی هستند که نرم افزار و سخت افزار خود را به مشتریان خود - بانک ها، اتحادیه های اعتباری و سایر شرکت های مالی اجاره می دهند.

خدمات آنها توسط بانک های کوچک و شرکت های مشابه استفاده می شود که داشتن نرم افزار و سخت افزار مخصوص به آنها از نظر مالی به صرفه نیست. بنابراین آنها ظرفیت ASP را اجاره می کنند و به آنها ماهانه یا سالانه پرداخت می کنند.

ASP ها بسیار مورد توجه هکرها قرار می گیرند زیرا به جای هک یک بانک، می توانند 600 یا هزار بانک را به طور همزمان هک کنند. بنابراین ASP ها یک هدف بسیار جالب برای افراد بد ارائه می دهند.

بنابراین، شرکت‌های ASP به مجموعه کاملی از بانک‌ها بر اساس سه پارامتر URL مهم خدمات می‌دهند: شناسه مشتری client_ID، شناسه بانک bank_ID و شناسه حساب acct_ID. هر مشتری ASP شناسه منحصر به فرد خود را دارد که به طور بالقوه می تواند در چندین سایت بانکی استفاده شود. هر بانک می تواند برای هر اپلیکیشن مالی هر تعداد حساب کاربری داشته باشد – سیستم پس انداز، سیستم تایید حساب، سیستم پرداخت و غیره و هر اپلیکیشن مالی شناسه مخصوص به خود را دارد. علاوه بر این، هر حساب مشتری در این سیستم برنامه دارای شناسه مخصوص به خود است. بنابراین ما سه سیستم حساب داریم.

پس چگونه 600 بانک را همزمان هک کنیم؟ ابتدا به انتهای یک رشته URL مانند زیر نگاه می کنیم: website/app.cgi?client_id=10&bank_id=100&acct_id=1000 و سعی کنید acct_id را با مقدار دلخواه #X جایگزین کنید، پس از آن یک پیغام خطای بزرگ قرمز رنگ با محتوای زیر دریافت می کنیم: "حساب #X متعلق به بانک #Y است" (حساب #X متعلق به بانک #Y است). بعد، bank_id را می گیریم، آن را در مرورگر به #Y تغییر می دهیم و این پیام را دریافت می کنیم: "بانک #Y متعلق به مشتری #Z است" (بانک #Y متعلق به مشتری #Z است).

در نهایت، شناسه_client را می‌گیریم، آن را #Z اختصاص می‌دهیم - و تمام، وارد حسابی می‌شویم که در ابتدا می‌خواستیم وارد شویم. پس از اینکه سیستم را با موفقیت هک کردیم، می‌توانیم به هر حساب بانکی، یا حساب بانکی یا مشتری دیگری به همین روش وارد شویم. ما می توانیم به هر حساب در سیستم دسترسی پیدا کنیم. در اینجا اصلاً اشاره ای به مجوز وجود ندارد. تنها چیزی که چک می کنند این است که شما با ID خود وارد شده اید و اکنون می توانید آزادانه پول برداشت کنید، انتقال و ... انجام دهید.

یک روز یکی از مشتریان غیرASP ما اطلاعات ما در مورد این آسیب پذیری را برای مشتری دیگری که از ASP استفاده می کرد، ارسال کرد و به آنها گفت که مشکلی وجود دارد که باید برطرف شود. ما به آنها گفتیم که احتمالاً برای معرفی مجوز باید کل برنامه را بازنویسی کنیم و سیستم بررسی می کند که آیا مشتری مجاز به انجام تراکنش های مالی است یا خیر و این مدتی طول می کشد.

دو روز بعد آنها پاسخی برای ما ارسال کردند و گفتند که قبلاً همه چیز را خودشان درست کرده اند - URL را تصحیح کردند تا دیگر پیام خطا ظاهر نشود. البته، عالی بود، و ما تصمیم گرفتیم به کد منبع نگاه کنیم تا ببینیم آنها با تکنیک هک "عالی" خود چه کردند. بنابراین، تمام کاری که آنها انجام دادند این بود که نمایش یک پیام خطا در قالب HTML را متوقف کنند. در کل با این مشتری گفتگوی بسیار جالبی داشتیم. آنها گفتند که از آنجایی که نتوانستند این مشکل را به سرعت حل کنند، تصمیم گرفتند فعلا این کار را انجام دهند، به امید اینکه در دراز مدت آسیب پذیری را به طور کامل برطرف کنند.

انتقال پول معکوس

یکی دیگر از روش های کلاهبرداری که به طور خلاصه در مورد آن صحبت خواهم کرد، انتقال پول معکوس است. این عملیات در بسیاری از برنامه های بانکی انجام می شود. هنگام انتقال 10000 دلار از حساب A به حساب B، فرمول عملیات به طور منطقی باید به صورت زیر عمل کند:

A = A - (10,000 دلار)
B = B + (10,000 دلار)

یعنی 10000 دلار از حساب A برداشت می شود و به حساب B اضافه می شود.

نکته جالب این است که بانک بررسی نمی کند که آیا مبلغ حواله را صحیح وارد کرده اید یا خیر. به عنوان مثال، می توانید یک عدد مثبت را با یک عدد منفی جایگزین کنید، یعنی 10000 دلار از حساب A به حساب B منتقل کنید. فرمول تراکنش به این صورت خواهد بود:

A = A - (-10,000 دلار)
B = B + (-10,000 دلار)

یعنی به جای برداشت وجه از حساب الف، از حساب ب برداشت می شود و به حساب الف واریز می شود، این اتفاق هر از چند گاهی می افتد و نتایج جالبی به همراه دارد. در پایین این اسلاید می توانید پیوندی به یک مقاله تحقیقاتی را مشاهده کنید شکستن بانک (آسیب پذیری در پردازش عددی در برنامه های مالی).

موارد مشابهی را که با خطاهای گرد کردن اتفاق می‌افتند، توصیف می‌کند. مطالب جالب زیادی در این مقاله از Corsaire وجود دارد که مطالبی را برای برخی از راه حل های خودمان در اختیار ما قرار داده است.

اما به مشکل قبلی برگردیم. ما با ASP Security تماس گرفتیم و پاسخ زیر را دریافت کردیم: "کنترل های داخلی کسب و کار از چنین مشکلاتی جلوگیری می کند." گفتیم باشه بیا وب سایتشون رو ببینیم. چند هفته بعد، همانطور که ما به کار با مشتری خود ادامه دادیم، این چک را از طریق پست از آنها دریافت کردیم:

اینجا می گوید که این هزینه 2 دلاری برای آزمایش انجام شده توسط شرکت ما WH است. اینجوری پول در میاریم!

من هنوز آن رسید را روی میزم دارم. برای دو تست از این دست ما می توانیم تا 4 دلار دریافت کنیم!

اما چند ماه بعد از یک مشتری خاص شنیدیم که 70000 دلار به صورت غیرقانونی به یکی از کشورهای اروپای شرقی منتقل شده است. پول برگشت داده نشد زیرا خیلی دیر شده بود و ASP مشتری خود را از دست داد. این چیزها اتفاق می‌افتد، اما چیزی که ما هرگز متوجه نشدیم، زیرا ما دانشمند پزشکی قانونی نیستیم، این است که چند مشتری دیگر تحت تأثیر این آسیب‌پذیری قرار گرفتند. از آنجا که همه چیز در این طرح دوباره کاملاً قانونی به نظر می رسد - شما فقط ظاهر URL را تغییر می دهید.

خرید از تله شاپینگ

تری فورد: اکنون می خواهم در مورد یک هک واقعاً فنی به شما بگویم، پس با دقت گوش دهید. همه ما ایستگاه تلویزیونی کوچکی به نام QVC را می شناسیم، مطمئنم گاهی اوقات چیزی از این فروشگاه تلویزیونی می خرید.

بدانید که وقتی چیزی را به صورت آنلاین خریداری می کنید، صرف نظر از سایت، در جایی کلیک نکنید زیرا بلافاصله پس از آن پردازش سفارش شما شروع می شود! می توانید بلافاصله نظر خود را تغییر دهید و معامله را متوقف کنید. اما چند روز بعد شما یک دسته آشغال از طریق پست دریافت می کنید که باید بلافاصله هزینه آن را بپردازید.

Quantina Moore-Perry، یک هکر 33 ساله دارای گواهینامه از گرینزبورو، کارولینای شمالی وارد شوید. نمی‌دانم او قبلاً چه کار می‌کرد، اما می‌توانم به شما بگویم که چگونه پس از یک معامله تصادفی که ظاهراً انجام داده بود، شروع به کسب درآمد کرد، اگرچه تقریباً بلافاصله معامله در سایت را لغو کرد.

همه این چیزهای "سفارش داده شده" از QVC به آدرس پستی او رسید - کیف های دستی زنانه، لوازم خانگی، جواهرات، لوازم الکترونیکی. اگر کسی چیزی را از طریق نامه برای شما بفرستد که شما سفارش نداده اید، چه می کنید؟ درسته، هیچی! بلافاصله آشکار است که مردم ما ...

با این حال، شما ارسال رایگان دریافت می کنید، و ارسال رایگان یک مزیت است! از این گذشته ، بسته ها قبلاً در پست هستند ، لازم نیست آنها را به جایی ارسال کنید. اگر این یک فرآیند تجاری استاندارد است، چگونه می توانید از آن استفاده کنید؟ با 1800 بسته ای که از ماه می تا نوامبر به آدرس پستی او رسیده است چه باید کرد؟ بنابراین، این زن همه این چیزها را در eBay به حراج گذاشت و در نتیجه فروش این همه آشغال، سود او 412000 دلار شد! نحوه انجام این کار بسیار ساده است! او به اداره پست گفت که شخصی تمام این بسته ها را از QVC به آدرس او سفارش داده است، اما او برای بسته بندی مجدد آنها و ارسال آنها برای گیرندگان مشکل دارد، بنابراین مطمئن شوید که آنها در بسته بندی اصلی QVC ارسال می شوند!

همانطور که می بینید، این یک راه حل بسیار فنی است! اما QVC پس از اینکه 2 نفر که این کالا را در eBay خریدند آن را در بسته بندی QVC دریافت کردند، نگران این موضوع شد. دادگاه فدرال این زن را به اتهام کلاهبرداری از طریق پست مجرم تشخیص داد.

بنابراین، یک مشکل فنی ساده با لغو سفارشات انجام شده به این زن اجازه داد تا مقدار زیادی پول به دست آورد.

37:40 دقیقه

کنفرانس کلاه سیاه آمریکا. ثروتمند شوید یا بمیرید: کسب درآمد آنلاین با استفاده از روش های کلاه سیاه. قسمت 3

چند تبلیغ 🙂

از اینکه با ما ماندید متشکرم آیا مقالات ما را دوست دارید؟ آیا می خواهید مطالب جالب تری ببینید؟ با ثبت سفارش یا معرفی به دوستان از ما حمایت کنید ابر VPS برای توسعه دهندگان از 4.99 دلار, 30٪ تخفیف برای کاربران Habr در آنالوگ منحصر به فرد سرورهای سطح ورودی که توسط ما برای شما اختراع شده است: تمام حقیقت در مورد VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps از 20 دلار یا چگونه سرور را به اشتراک بگذاریم؟ (در دسترس با RAID1 و RAID10، حداکثر 24 هسته و حداکثر 40 گیگابایت DDR4).

Dell R730xd 2 برابر ارزان تر است؟ فقط اینجا 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV از 199 دلار در هلند! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - از 99 دلار! در مورد بخوانید نحوه ساخت شرکت زیرساخت کلاس با استفاده از سرورهای Dell R730xd E5-2650 v4 به ارزش 9000 یورو برای یک پنی؟

منبع: www.habr.com