Moderaattori: Hyvät naiset ja herrat, tämä puhe on erittäin hauska ja erittäin mielenkiintoinen, tänään aiomme puhua todellisista Internetissä havaittavista asioista. Tämä keskustelu on hieman erilainen kuin ne, joihin olemme tottuneet Black Hat -konferensseissa, koska aiomme puhua siitä, kuinka hyökkääjät ansaitsevat rahaa hyökkäyksillä.
Näytämme sinulle mielenkiintoisia hyökkäyksiä, jotka voivat tuottaa voittoa, ja kerromme hyökkäyksistä, jotka todella tapahtuivat sinä iltana, jolloin kävimme Jägermeisterin yli ja aivoriihimme. Se oli hauskaa, mutta kun raitisimme hieman, keskustelimme SEO-ihmisten kanssa ja saimme itse asiassa tietää, että monet ihmiset tienaavat rahaa näillä hyökkäyksillä.
Olen vain aivoton keskijohtaja, joten luovutan paikkani ja esittelen sinulle Jeremyn ja Treyn, jotka ovat minua paljon älykkäämpiä. Minulla pitäisi olla älykäs ja hauska esittely, mutta en tee, joten näytän sen sijaan nämä diat.
Jeremy Grossmania ja Trey Fordia esittävät diat näkyvät näytöllä.
Jeremy Grossman on WhiteHat Securityn perustaja ja teknologiajohtaja, InfoWorld nimesi vuonna 2007 yhdeksi 25 parhaan CTO:n joukosta, Web Application Security Consortiumin perustajajäsen ja sivustojen välisten komentosarjahyökkäuksien toinen kirjoittaja.
Trey Ford on WhiteHat Securityn arkkitehtuuriratkaisujen johtaja, jolla on 6 vuoden kokemus Fortune 500 -yritysten tietoturvakonsulttina ja yksi PCI DSS -maksukorttitietoturvastandardin kehittäjistä.
Luulen, että nämä kuvat korvaavat huumorin puutteeni. Joka tapauksessa toivon, että pidät heidän esityksestään ja ymmärrät, kuinka näitä hyökkäyksiä käytetään Internetissä rahan ansaitsemiseen.
Jeremy Grossman: Hyvää iltapäivää, kiitos kaikille saapumisesta. Tämä on erittäin hauska keskustelu, vaikka et näe nollapäivän hyökkäyksiä tai upeita uusia tekniikoita. Yritämme vain tehdä siitä viihdyttävän ja puhua todellisista joka päivä tapahtuvista asioista, joiden ansiosta pahikset voivat ansaita paljon rahaa.
Emme yritä tehdä sinuun vaikutusta tällä dialla, vaan yksinkertaisesti selittää, mitä yrityksemme tekee. Joten White Hat Sentinel tai "Guardian White Hat" on:
- rajaton määrä arviointeja – asiakassivustojen valvonta ja asiantunteva hallinta, mahdollisuus skannata sivustoja niiden koosta ja muutostiheydestä riippumatta;
- laaja kattavuus - sivustojen valtuutettu tarkistus teknisten haavoittuvuuksien havaitsemiseksi ja käyttäjätestaus paljastamattomien liiketoiminta-alueiden loogisten virheiden tunnistamiseksi;
- väärien positiivisten tulosten poistaminen – toimintatiimimme tarkistaa tulokset ja määrittää asianmukaisen vakavuus- ja uhkaluokituksen;
- kehitys ja laadunvalvonta - WhiteHat Satellite Appliance -järjestelmä mahdollistaa asiakasjärjestelmien etäpalvelun sisäisen verkon kautta;
- parantaminen ja parantaminen - realistisen skannauksen avulla voit päivittää järjestelmän nopeasti ja tehokkaasti.
Tarkastamme siis jokaisen sivuston maailmassa, meillä on suurin verkkosovellusten testaajien tiimi, teemme 600–700 arviointitestiä joka viikko, ja kaikki tässä esityksessä näkemäsi tiedot ovat peräisin kokemuksestamme tämän tyyppisestä työstä. .
Seuraavalla dialla näet 10 yleisintä hyökkäystyyppiä maailmanlaajuisia verkkosivustoja vastaan. Tämä osoittaa haavoittuvuuden prosenttiosuuden tietyille hyökkäyksille. Kuten näet, 65 % kaikista sivustoista on alttiita sivustojen väliselle komentosarjalle, 40 % sallii tietojen vuotamisen ja 23 % on alttiina sisällön huijaukselle. Sivustonvälisten komentosarjojen lisäksi yleisiä ovat SQL-injektiot ja pahamaineinen cross-site request väärennös, joka ei sisälly kymmenen parhaan joukkoon. Mutta tämä luettelo sisältää hyökkäykset esoteerisilla nimillä, jotka on kuvattu epämääräisellä kielellä ja joiden erityispiirre on, että ne on suunnattu tiettyjä yrityksiä vastaan.
Nämä ovat todennusvirheitä, valtuutusprosessin puutteita, tietovuotoja ja niin edelleen.
Seuraavassa diassa puhutaan hyökkäyksistä liikelogiikkaa vastaan. Laadunvarmistukseen osallistuvat laadunvarmistustiimit eivät yleensä kiinnitä niihin huomiota. He testaavat, mitä ohjelmiston pitäisi tehdä, ei mitä se voi tehdä, ja sitten voit nähdä mitä haluat. Skannerit, kaikki nämä valkoiset/mustat/harmaat laatikot, kaikki nämä moniväriset laatikot eivät pysty havaitsemaan näitä asioita useimmissa tapauksissa, koska ne ovat yksinkertaisesti kiinnittyneet kontekstiin, mikä hyökkäys voisi olla tai mitä tapahtuu vastaavasti, kun se tapahtuu. Heiltä puuttuu älykkyyttä, eivätkä he tiedä, toimiko mikään vai ei.
Sama koskee IDS- ja WAF-sovellusten palomuureja, jotka eivät myöskään pysty havaitsemaan liiketoimintalogiikkavirheitä, koska HTTP-pyynnöt näyttävät täysin normaaleilta. Näytämme sinulle, että liikelogiikan puutteisiin liittyvät hyökkäykset syntyvät täysin luonnollisesti, ei ole hakkereita, ei metahahmoja tai muita kummallisuuksia, ne näyttävät luonnossa esiintyviltä prosesseilta. Pääasia on, että pahikset rakastavat näitä asioita, koska liikelogiikan puutteet tekevät heistä rahaa. He käyttävät XSS:ää, SQL:ää, CSRF:ää, mutta tämän tyyppiset hyökkäykset ovat yhä vaikeampia toteuttaa, ja olemme nähneet, että ne ovat vähentyneet viimeisen 3-5 vuoden aikana. Mutta ne eivät katoa itsestään, aivan kuten puskurin ylivuoto ei häviä. Pahat pojat kuitenkin miettivät, kuinka käyttää kehittyneempiä hyökkäyksiä, koska he uskovat, että "oikeat pahikset" haluavat aina ansaita rahaa hyökkäyksillä.
Haluan näyttää sinulle todellisia temppuja, jotka voit ottaa käyttöön ja käyttää niitä oikealla tavalla suojellaksesi liiketoimintaasi. Toinen esityksemme tarkoitus on, että saatat ihmetellä etiikkaa.
Nettiäänestykset ja -äänestys
Joten aloittaaksemme keskustelumme liiketoimintalogiikan puutteista puhukaamme online-kyselyistä. Verkkokyselyt ovat yleisin tapa saada selville yleinen mielipide tai vaikuttaa siihen. Aloitamme 0 dollarin voitolla ja tarkastelemme sitten 5, 6, 7 kuukauden petollisten järjestelmien tuloksia. Aloitetaan tekemällä hyvin, hyvin yksinkertainen kysely. Tiedät, että jokainen uusi verkkosivusto, jokainen blogi ja jokainen uutisportaali suorittaa online-kyselyjä. Mikään markkinarako ei kuitenkaan ole liian suuri tai liian kapea, mutta haluamme nähdä yleisen mielipiteen tietyillä alueilla.
Haluaisin kiinnittää huomionne yhteen tutkimukseen, joka tehtiin Austinissa, Texasissa. Koska Austinin beagle voitti Westminsterin koiranäyttelyn, Austin American Statesman päätti suorittaa verkossa Austin's Best in Show -kyselyn Keski-Texasin koiranomistajille. Tuhannet omistajat lähettivät kuvia ja äänestivät suosikkiaan. Kuten monissa muissakin tutkimuksissa, lemmikkillesi ei myönnetty muuta palkintoa kuin kerskaus.
Äänestykseen käytettiin Web 2.0 -järjestelmäsovellusta. Klikkasit "kyllä", jos pidit koirasta ja sait selville, oliko se rodun paras koira vai ei. Äänestit siis useita satoja sivustolle lähetettyjä koiria ehdokkaina näyttelyn voittajaksi.
Tällä äänestysmenetelmällä 3 pettämistä oli mahdollista. Ensimmäinen on loputon äänestys, jossa äänestät samaa koiraa yhä uudelleen ja uudelleen. Se on hyvin yksinkertaista. Toinen tapa on negatiivinen moniäänestys, jossa äänestät valtavan määrän kertoja kilpailevaa koiraa vastaan. Kolmas tapa oli se, että kirjaimellisesti kilpailun viimeisellä minuutilla sijoitit uuden koiran, äänestit sitä niin, että mahdollisuus saada negatiivisia ääniä oli minimaalinen ja voitit saamalla 100 % positiivisia ääniä.
Lisäksi voitto määritettiin prosentteina, ei äänten kokonaismäärän perusteella, eli et voinut määrittää, mikä koira sai suurimman määrän positiivisia arvioita, laskettiin vain tietyn koiran positiivisten ja negatiivisten arvioiden prosenttiosuus . Koira, jolla oli paras positiivinen/negatiivinen pistemäärä, voitti.
Kollegani Robert "RSnake" Hansenin ystävä pyysi häntä auttamaan Chihuahua Tinyään voittamaan kilpailun. Tiedätkö Robertin, hän on kotoisin Austinista. Hän, kuten superhakkeri, korjasi Burp-välityspalvelimen ja seurasi pienimmän vastuksen polkua. Hän käytti huijaustekniikkaa #1, suoritti sen useiden satojen tai tuhansien pyyntöjen Burp-silmukan läpi, ja tämä toi koiralle 2000 plus-ääntä ja toi hänet 1. sijalle.
Seuraavaksi hän käytti huijaustekniikkaa nro 2 Tinyn kilpailijaa, lempinimeltään Chuchua vastaan. Kilpailun viimeisillä minuuteilla hän antoi 450 ääntä Chuchua vastaan, mikä vahvisti entisestään Tinyn asemaa 1. sijalla äänisuhteella yli 2:1, mutta positiivisten ja negatiivisten arvostelujen prosenttiosuudella Tiny hävisi silti. Tällä dialla näet kyberrikollisen uudet kasvot, jotka ovat masentuneet tästä tuloksesta.
Kyllä, se oli mielenkiintoinen skenaario, mutta luulen, että ystäväni ei pitänyt tästä esityksestä. Halusit vain voittaa Chihuahua-kilpailun Austinissa, mutta joku yritti hakkeroida sinut ja tehdä saman asian. No, nyt siirrän puhelun Treylle.
Keinotekoisen kysynnän luominen ja rahan ansaitseminen sillä
Trey Ford: Käsite "keinotekoinen DoS" viittaa useisiin erilaisiin mielenkiintoisiin skenaarioihin, kun ostamme lippuja verkosta. Esimerkiksi kun varaat erikoispaikan lennolle. Tämä voi koskea mitä tahansa lipputyyppiä, kuten urheilutapahtumaa tai konserttia.
Sovellus lukitsee tuotteen tietyksi ajaksi ristiriitojen estämiseksi, jotta estetään toistuvien niukkojen tavaroiden, kuten lentopaikkojen, fyysisten tuotteiden, käyttäjänimien jne., ostaminen. Ja tässä tulee haavoittuvuus, joka liittyy mahdollisuuteen varata jotain etukäteen.
Tiedämme kaikki aikakatkaisun, me kaikki tiedämme istunnon päättymisestä. Mutta tämä erityinen looginen virhe mahdollistaa sen, että voimme valita paikan lennolle ja sitten palata tekemään valinnan uudelleen maksamatta mitään. Varmasti monet teistä käyvät usein työmatkoilla, mutta minulle tämä on olennainen osa työtä. Olemme testanneet tätä algoritmia monissa paikoissa: valitset lennon, valitset paikan ja annat maksutietosi vasta kun olet valmis. Eli kun olet valinnut paikan, se on varattu sinulle tietyksi ajaksi - useista minuuteista useisiin tunteihin, eikä kukaan muu voi varata tätä paikkaa tänä aikana. Tämän odotusajan vuoksi sinulla on todellinen mahdollisuus varata kaikki paikat koneeseen yksinkertaisesti palaamalla verkkosivustolle ja varaamalla haluamasi paikat.
Siten näkyviin tulee DoS-hyökkäysvaihtoehto: toista tämä sykli automaattisesti jokaiselle koneen istuimelle.
Olemme testanneet tätä ainakin kahdella suurella lentoyhtiöllä. Löydät saman haavoittuvuuden mistä tahansa muusta varauksesta. Tämä on loistava tilaisuus nostaa lippujesi hintoja niille, jotka haluavat myydä ne edelleen. Tätä varten keinottajien on yksinkertaisesti varattava jäljellä olevat liput ilman rahallisten menetysten riskiä. Tällä tavalla voit kaataa sähköisen kaupankäynnin, joka myy suuren kysynnän tuotteita - videopelejä, pelikonsoleita, iPhoneja ja niin edelleen. Toisin sanoen online-varaus- tai varausjärjestelmän olemassa oleva virhe antaa hyökkääjän ansaita siitä rahaa tai aiheuttaa vahinkoa kilpailijoille.
Captcha-salauksen purku
Jeremy Grossman: Puhutaanpa nyt captchasta. Kaikki tietävät ne ärsyttävät kuvat, jotka roskaavat Internetiä ja joita käytetään roskapostin torjuntaan. Voit myös ansaita voittoa captchasta. Captcha on täysin automatisoitu Turing-testi, jonka avulla voit erottaa oikean henkilön robotista. Löysin paljon mielenkiintoisia asioita tutkiessani captchan käyttöä.
Captchaa käytettiin ensimmäisen kerran vuosina 2000-2001. Roskapostittajat haluavat poistaa captcha-koodin voidakseen rekisteröityä ilmaisiin sähköpostipalveluihin Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook jne. ja lähettää roskapostia. Koska captchaa käytetään melko laajalti, on ilmestynyt kokonaiset palvelumarkkinat, jotka tarjoavat mahdollisuuden ohittaa kaikkialla esiintyvä captcha. Loppujen lopuksi tämä tuo voittoa – esimerkiksi roskapostin lähettäminen. On 3 tapaa ohittaa captcha, katsotaanpa niitä.
Ensimmäinen on puutteet idean toteutuksessa tai puutteet captchan käytössä.
Siten vastaukset kysymyksiin sisältävät liian vähän entropiaa, kuten "kirjoita mikä on 4+1". Samat kysymykset voidaan toistaa monta kertaa, ja mahdollisten vastausten valikoima on melko pieni.
Captchan tehokkuus tarkistetaan seuraavasti:
- testi tulee suorittaa olosuhteissa, joissa henkilö ja palvelin ovat etäällä toisistaan,
testi ei saa olla vaikea yksilölle; - kysymyksen tulee olla sellainen, että henkilö voi vastata siihen muutamassa sekunnissa,
Vain sen, jolle kysymys esitetään, tulee vastata; - kysymykseen vastaamisen täytyy olla vaikeaa tietokoneelle;
- aikaisempien kysymysten, vastausten tai niiden yhdistelmän tunteminen ei saa vaikuttaa seuraavan kokeen ennustettavuuteen;
- testi ei saa syrjiä näkö- tai kuulovammaisia ihmisiä;
- testi ei saa olla maantieteellisesti, kulttuurisesti tai kielellisesti puolueellinen.
Kuten käy ilmi, "oikean" captchan luominen on melko vaikeaa.
Toinen captchan haittapuoli on mahdollisuus käyttää OCR:n optista merkintunnistusta. Koodinpätkä pystyy lukemaan captcha-kuvan riippumatta siitä, kuinka paljon visuaalista kohinaa se sisältää, nähdä, mitä kirjaimia tai numeroita se muodostaa, ja automatisoida tunnistusprosessin. Tutkimukset ovat osoittaneet, että useimmat captchat voidaan murtaa helposti.
Annan lainauksia Newcastlen yliopiston tietotekniikan korkeakoulun asiantuntijoilta Yhdistyneessä kuningaskunnassa. He puhuvat Microsoftin captchan murtamisen helppoudesta: "Hyökkäyksemme onnistui saavuttamaan 92 %:n segmentoinnin onnistumisprosentin, mikä tarkoittaa, että MSN captcha -järjestelmä voidaan murtaa 60 %:ssa tapauksista segmentoimalla kuva ja sitten tunnistamalla se. ” Yahoon captchan murtaminen oli yhtä helppoa: ”toinen hyökkäys saavutti 33,4 %:n segmentoinnin onnistumisen. Näin ollen noin 25,9 % captchoista voidaan murtaa. Tutkimuksemme viittaa siihen, että roskapostittajien ei tulisi koskaan käyttää halpaa ihmistyövoimaa ohittaakseen Yahoon captchan, vaan pikemminkin luottaa edulliseen automatisoituun hyökkäykseen."
Kolmas tapa ohittaa captcha on nimeltään "Mechanical Turk" tai "Turk". Testasimme sen Yahoon captchaa vastaan heti julkaisemisen jälkeen, emmekä vieläkään tiedä, eikä kukaan tiedä, kuinka suojautua sellaiselta hyökkäykseltä.
Tämä on tapaus, jossa sinulla on pahis, joka johtaa "aikuisille tarkoitettua" sivustoa tai online-peliä, josta käyttäjät pyytävät sisältöä. Ennen kuin he näkevät seuraavan kuvan, hakkerin omistama verkkosivusto tekee taustapyynnön sinulle tutulle online-järjestelmälle, esimerkiksi Yahoolle tai Googlelle, nappaa sieltä captcha ja sujauttaa sen käyttäjälle. Ja heti kun käyttäjä vastaa kysymykseen, hakkeri lähettää arvatun captchan kohdesivustolle ja näyttää käyttäjälle pyydetyn kuvan hänen sivustostaan. Jos sinulla on erittäin suosittu sivusto, jossa on paljon mielenkiintoista sisältöä, voit mobilisoida koko armeijan ihmisiä, jotka täyttävät automaattisesti muiden ihmisten captchat puolestasi. Tämä on erittäin voimakas asia.
Ihmiset eivät kuitenkaan yritä ohittaa captchoja, vaan myös yritykset käyttävät tätä tekniikkaa. Robert "RSnake" Hansen puhui kerran blogissaan romanialaisen "captcha-ratkaisijan" kanssa, joka sanoi pystyvänsä ratkaisemaan 300-500 captchaa tunnissa nopeudella 9-15 dollaria tuhatta ratkaistua captchaa kohden.
Hän sanoo suoraan, että hänen tiiminsä työskentelevät 12 tuntia päivässä ja ratkaisevat noin 4800 50 captchaa tänä aikana, ja riippuen siitä, kuinka vaikeita captchat ovat, he voivat saada jopa 20 dollaria päivässä työstään. Tämä oli mielenkiintoinen postaus, mutta vielä mielenkiintoisempia ovat kommentit, jotka blogin käyttäjät jättivät tämän postauksen alle. Viesti ilmestyi välittömästi Vietnamista, jossa tietty Quang Hung raportoi 4 hengen ryhmästään, joka suostui työskentelemään 1000 dollarilla per XNUMX arvattua captchaa.
Seuraava viesti oli Bangladeshista: "Hei! Toivottavasti olet kunnossa! Olemme johtava jalostusyritys Bangladeshista. Tällä hetkellä 30 operaattoriamme pystyvät ratkaisemaan yli 100000 2 captchaa päivässä. Tarjoamme erinomaiset ehdot ja alhaisen hinnan - 1000 dollaria XNUMX arvatusta captchasta Yahoo, Hotmail, Mayspace, Gmail, Facebook jne. sivustoilta. Odotamme innolla jatkoyhteistyötä."
Toisen mielenkiintoisen viestin lähetti eräs Babu: "Olen kiinnostunut tästä työstä, soita minulle puhelimessa."
Se on siis varsin mielenkiintoinen. Voimme keskustella siitä, kuinka laillista tai laitonta tämä toiminta on, mutta tosiasia on, että ihmiset todella tienaavat siitä rahaa.
Pääsy muiden ihmisten tileille
Trey Ford: Seuraava skenaario, josta puhumme, on rahan ansaitseminen ottamalla haltuunsa jonkun toisen tili.
Kaikki unohtavat salasanat, ja sovellusten tietoturvatestauksessa salasanan palautus ja online-rekisteröinti edustavat kahta erillistä, kohdennettua liiketoimintaprosessia. Salasanan nollauksen helppouden ja kirjautumisen helppouden välillä on suuri ero, joten sinun tulee pyrkiä tekemään salasanan palautusprosessista mahdollisimman yksinkertainen. Mutta jos yritämme yksinkertaistaa sitä, syntyy ongelma, koska mitä yksinkertaisempaa salasanan nollaus on, sitä vähemmän turvallinen se on.
Yksi näkyvimmistä tapauksista koski online-rekisteröintiä Sprintin käyttäjävarmennuspalvelulla. Kaksi White Hat -tiimin jäsentä käytti Sprintiä online-rekisteröintiin. Sinun on vahvistettava muutama asia todistaaksesi, että olet sinä, alkaen jostain niin yksinkertaisesta kuin matkapuhelinnumerostasi. Tarvitset online-rekisteröinnin esimerkiksi pankkitilin hallintaan, palveluiden maksamiseen ja niin edelleen. Puhelimen ostaminen on erittäin kätevää, jos voit tehdä sen jonkun muun tililtä ja sitten tehdä ostoksia ja tehdä paljon muuta. Yksi huijausvaihtoehdoista on vaihtaa maksuosoitetta, tilata kokonaisen matkapuhelimien toimitus osoitteeseesi, jolloin uhri joutuu maksamaan niistä. Stalking-maniakit haaveilevat myös tästä mahdollisuudesta: GPS-seurantatoiminnon lisäämisestä uhriensa puhelimiin ja heidän jokaisen liikkeensä seuraamisesta miltä tahansa tietokoneelta.
Joten Sprint tarjoaa joitain yksinkertaisimmista kysymyksistä henkilöllisyytesi vahvistamiseksi. Kuten tiedämme, turvallisuus voidaan taata joko hyvin laajalla entropialla tai erittäin erikoistuneilla asioilla. Luen sinulle osan Sprintin rekisteröintiprosessista, koska entropia on hyvin alhainen. Esimerkiksi on kysymys: "valitse automerkki, joka on rekisteröity seuraavaan osoitteeseen", ja merkkivaihtoehdot ovat Lotus, Honda, Lamborghini, Fiat ja "ei mikään yllä olevista". Kerro minulle, kenellä teistä on jokin edellä mainituista? Kuten näet, tämä haastava palapeli on vain loistava tilaisuus opiskelijalle saada halpoja puhelimia.
Toinen kysymys: "Kuka seuraavista ihmisistä asuu kanssasi tai asuu alla olevassa osoitteessa"? Tähän kysymykseen on erittäin helppo vastata, vaikka et tunne tätä henkilöä ollenkaan. Jerry Stifliini - tässä sukunimessä on kolme "ays" -kohtaa, pääsemme siihen hetkessä - Ralph Argen, Jerome Ponicki ja John Pace. Mielenkiintoista tässä listauksessa on, että annetut nimet ovat täysin satunnaisia ja ne ovat kaikki saman kaavan alaisia. Jos lasket sen, sinulla ei ole vaikeuksia tunnistaa oikeaa nimeä, koska se eroaa satunnaisesti valituista nimistä jollakin ominaisuudella, tässä tapauksessa kolmella kirjaimella "i". Näin ollen Stayfliin ei selvästikään ole satunnainen nimi, ja on helppo arvata, tämä henkilö on kohde. Se on hyvin, hyvin yksinkertaista.
Kolmas kysymys: "Missä luetelluista kaupungeista et ole koskaan asunut tai käyttänyt tätä kaupunkia osoitteessasi?" — Longmont, North Hollywood, Genova vai Butte? Meillä on kolme tiheästi asuttua aluetta Washington DC:n ympärillä, joten ilmeinen vastaus on Pohjois-Hollywood.
Sinun tulee olla varovainen Sprintin online-rekisteröinnin yhteydessä muutamassa asiassa. Kuten sanoin aiemmin, voit loukkaantua vakavasti, jos hyökkääjä pystyy muuttamaan maksutiedoissasi olevien ostosten toimitusosoitetta. Todella pelottavaa on, että meillä on mobiilipaikannuspalvelu.
Sen avulla voit seurata työntekijöiden liikkeitä, kun ihmiset käyttävät matkapuhelimia ja GPS:ää, ja näet kartalta missä he ovat. Joten tässä prosessissa tapahtuu joitain muita melko mielenkiintoisia asioita.
Kuten tiedät, salasanaa nollattaessa sähköpostiosoite on etusijalla muihin käyttäjän vahvistusmenetelmiin ja turvakysymyksiin nähden. Seuraava dia näyttää monia palveluita, jotka tarjoavat sähköpostiosoitteesi ilmoittamisen, jos käyttäjällä on vaikeuksia kirjautua tililleen.
Tiedämme, että useimmat ihmiset käyttävät sähköpostia ja heillä on sähköpostitili. Yhtäkkiä ihmiset halusivat löytää tavan ansaita siitä rahaa. Saat aina selville uhrin sähköpostiosoitteen, syötät sen lomakkeeseen ja sinulla on mahdollisuus nollata salasana sille tilille, jota haluat käsitellä. Käytät sitä sitten verkossasi, ja siitä postilaatikosta tulee kultainen holvi, pääpaikka, josta voit varastaa kaikki uhrin muut tilit. Saat uhrin koko tilauksen ottamalla haltuunsa vain yhden postilaatikon. Lopeta hymyily, tämä on vakavaa!
Seuraava dia näyttää kuinka monta miljoonaa ihmistä käyttää vastaavia sähköpostipalveluita. Ihmiset käyttävät aktiivisesti Gmailia, Yahoo Mailia, Hotmailia, AOL Mailia, mutta sinun ei tarvitse olla superhakkeri ottaaksesi heidän tilinsä haltuunsa, vaan voit pitää kätesi puhtaina ulkoistamalla. Voit aina sanoa, että sillä ei ole mitään tekemistä sen kanssa, et ole tehnyt mitään sellaista.
Joten verkkopalvelu "Password Recovery" sijaitsee Kiinassa, jossa maksat siitä, että he hakkeroivat "tilisi". 300 yuanilla, mikä on noin 43 dollaria, voit yrittää nollata ulkomaisen postilaatikon salasanan 85 prosentin onnistumisprosentilla. 200 yuania eli 29 $:lla onnistut 90 % kotisi sähköpostipalvelun postilaatikon salasanan nollaamisessa. Minkä tahansa yrityksen postilaatikkoon murtautuminen maksaa tuhat yuania eli 143 dollaria, mutta menestystä ei voida taata. Voit myös ulkoistaa salasanojen murtopalvelut 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN jne.
Konferenssi BLACK HAT USA. Rikastu tai kuole: ansaitse rahaa verkossa Black Hat -menetelmillä. Osa 2 (linkki tulee huomenna)
Muutamia mainoksia 🙂
Kiitos, että pysyt kanssamme. Pidätkö artikkeleistamme? Haluatko nähdä mielenkiintoisempaa sisältöä? Tue meitä tekemällä tilauksen tai suosittelemalla ystäville, , 30 %:n alennus Habr-käyttäjille ainutlaatuisesta lähtötason palvelimien analogista, jonka me keksimme sinulle: (saatavana RAID1:n ja RAID10:n kanssa, jopa 24 ydintä ja jopa 40 Gt DDR4-muistia).
Dell R730xd 2 kertaa halvempi? Vain täällä Alankomaissa! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - alkaen 99 dollaria! Lukea
Lähde: will.com