On olemassa Hire2Hack-sivusto, joka hyväksyy myös salasanojen "palautuspyynnöt". Täällä palvelun hinta alkaa 150 dollarista. En tiedä muista, mutta sinun on annettava heille tietoja itsestäsi, koska aiot maksaa heille. Rekisteröityäksesi sinun on annettava käyttäjätunnus, sähköpostiosoite, salasana ja niin edelleen. Hauska asia on, että he jopa hyväksyvät Western Union -siirrot.
On syytä huomata, että käyttäjätunnukset ovat erittäin arvokasta tietoa, varsinkin kun ne liitetään sähköpostiosoitteeseen. Kerro minulle, kuka teistä ilmoittaa oikean nimesi postilaatikkoa rekisteröidessään? Ei kukaan, tämä on hauskaa!
Joten sähköpostiosoitteet ovat arvokasta tietoa, varsinkin jos teet ostoksia verkossa tai haluat jäljittää puolisosi heiton treffisivustolle. Jos olet myyjä, voit tarkistaa sähköpostiosoitteiden avulla, ketkä asiakkaistasi tai tilaajistasi käyttävät tällä hetkellä jonkun kilpailijasi palveluita.
Siksi phishing-hyökkääjät maksavat paljon rahaa todellisista käyttäjäosoitteista. Lisäksi he käyttävät salasanan ja kirjautumisen palautusikkunoita kelvollisten sähköpostiosoitteiden louhimiseen aikapohjaisilla hyökkäyksillä. Monet suuret verkkokauppa- ja sosiaalisen median portaalit pitävät voimassa olevien sähköpostiosoitteiden varastamista ongelmana, joka voi aiheuttaa paljon vahinkoa, sillä aiheesta on julkaistu mielenkiintoisia tutkimuksia. Meidän on siis taisteltava kahdella rintamalla - ajoitushyökkäyksiä ja tämänkaltaisia tietovuotoja vastaan.
Muutamme sähköiset kupongit rahaksi
Jeremy Grossman: Olemme siis tarkastelleet kolmea tapaa tehdä verkkopetoksia, ja nyt nostamme etua. Seuraava tapa on muuttaa e-kupongit rahaksi. Näitä kuponkeja käytetään verkkokaupoissa. Asiakas syöttää yksilöllisen tunnuksensa ja ostokseen sovelletaan alennusta. Suuret verkkokaupat tarjoavat asiakkaille alennusohjelmia, joita AmEx on tukenut.
Monet teistä tietävät, että kupongit tarjoavat alennuksia muutamasta sataan dollariin ja niiden mukana tulee 16-numeroinen tunnus. Nämä luvut ovat hyvin staattisia ja näkyvät yleensä järjestyksessä. Aluksi tilausta kohti sallittiin vain yksi kuponki, mutta sitten ohjelman suosion kasvaessa näitä rajoituksia poistettiin ja nyt yhdellä tilauksella voi käyttää yli 3 kuponkia.
Joku on kehittänyt skriptin, joka yrittää tunnistaa tuhansia mahdollisia voimassa olevia alennuskuponkeja. Myyjät tietävät yli 50 tuhannen dollarin arvoisia tilauksia, jotka maksettiin 200 tai useammalla kupongilla rahan sijaan. Samaa mieltä, tämä on hyvä joululahja!
Ongelma jäi huomaamatta pitkään, koska ohjelma toimi loistavasti, kaikki käyttivät kuponkeja ja kaikki olivat tyytyväisiä. Tämä jatkui, kunnes ohjelman kuormituksen ajoitusjärjestelmä havaitsi 90 %:n lisäyksen prosessorikuormituksessa, kun ihmiset selailevat tunnusnumeroita ja valitsivat alennuksia antavia numeroita.
Kauppiaat pyysivät FBI:ta tutkimaan tämän tapauksen, koska he epäilivät, että jotain oli vialla. Mutta ongelma oli, että tavarat lähetettiin olemattomaan osoitteeseen, ja tämä hämmensi heidät. Kävi ilmi, että hyökkääjä teki salaliiton toimituspalvelun kanssa, joka "pysäytyi" tavarat etukäteen.
Mielenkiintoista tässä tapauksessa on, että kupongit eivät ole valuuttaa, ne ovat vain markkinointityökaluja. Liiketoiminnan logiikan virheet johtivat kuitenkin tarpeeseen ottaa mukaan salainen palvelu, joka myös kohtasi järjestelmää hyväkseen käyttäneen jakelupalvelun tekemiä petoksia.
Rahan ansaitseminen väärennetyiltä tileiltä
Trey Ford: tämä on yksi suosikkitarinoistani. "Tosielämä: Toimistotilan hakkerointi." Luulen, että olet nähnyt elokuvan hakkereista "Office Space". Ymmärretään tämä prosessi. Kuinka moni teistä on käyttänyt verkkopankkia?
Hienoa, kaikki myönsivät käyttäneensä sitä. Yksi mielenkiintoinen asia on mahdollisuus maksaa laskuja verkossa ACH:n kautta. ACH "Automated Clearing House" toimii näin. Oletetaan, että haluan ostaa auton Jeremyltä ja siirrän rahaa suoraan tililtäni hänen tililleen. Ennen kuin suoritan päämaksun, rahoituslaitokseni on varmistettava, että kaikki on kunnossa. Siksi järjestelmä siirtää ensin pienen summan, muutamasta sentistä kahteen dollariin varmistaakseen, että osapuolten taloustilit ja reititysosoitteet ovat kunnossa ja asiakas on saanut rahat. Kun he ovat vakuuttuneita siitä, että tämä siirto on suoritettu oikein, he ovat valmiita välittämään koko maksun. Voimme kiistellä siitä, onko tämä laillista, onko se käyttösopimuksen ehtojen mukainen, mutta kerro minulle, kuinka monella teistä on PayPal-tili? Kuinka monella ihmisellä on useita PayPal-tunnuksia? Tämä on luultavasti täysin laillista ja noudattaa käyttöehtoja.
Kuvittele nyt, että tällä mekanismilla voidaan ansaita paljon rahaa. Puhumme esimerkiksi 80 XNUMX tällaisen tilin luomisen vaikutuksesta asettamalla yksinkertainen komentosarja. Ainoa asia, johon sinun on kiinnitettävä huomiota, on se, että aloitimme tarinamme käyttämällä paikallista välityspalvelinta, RSnake-skriptiä, muuta hakkerointityökalua, jonka pitäisi auttaa meitä tienaamaan rahaa, mutta nyt aiomme palata ja näyttää kuinka hakkerointi tehdään paljon helpommaksi. , jotta voit ansaita rahaa vain yhdellä selaimella.
Tämä hyökkäys on luonteeltaan henkilökohtainen. Michael Largent, 22, Kaliforniasta, loi yksinkertaisella käsikirjoituksella 58 XNUMX väärennettyä välitystiliä. Hän avasi ne Schwabin, eTraden ja joidenkin muiden järjestelmissä ja antoi sarjakuvahahmojen nimet näiden tilien väärennetyille käyttäjille.
Kullekin näistä tileistä hän käytti vain ACH-vahvistussiirtoa suorittamatta täyttä varojen siirtoa. Mutta hän omisti yhteisen tilin, jolle kaikki nämä varmistusvarat virtasivat, ja siirsi ne sitten itselleen. Se kuulostaa hyvältä - se ei ole paljon rahaa, mutta kaiken kaikkiaan se toi hänelle erittäin huomattavia tuloja. Näin hän ansaitsi rahaa seuraten Office Space -elokuvan ideaa. Mielenkiintoista on, että täällä ei ole mitään laitonta - hän vain keräsi kaikki nämä pienet summat, mutta teki sen hyvin nopeasti.
Hän ansaitsi 8225 50225 dollaria Google Checkout -järjestelmästä ja toiset XNUMX XNUMX dollaria eTrade- ja Schwab-järjestelmistä. Sitten hän nosti nämä rahat luottokortille ja kavalsi sen. Kun pankki huomasi, että kaikki nämä tuhannet tilit kuuluivat yhdelle henkilölle, pankin työntekijät soittivat hänelle ja kysyivät, miksi hän teki niin, eikö hän ymmärrä, että hän varastaa rahaa? Siihen Michael vastasi, ettei hän ymmärtänyt eikä tiennyt tekevänsä jotain laitonta.
Tämä on erittäin hyvä tapa rakentaa uusia suhteita salaisen palvelun ihmisten kanssa, jotka seuraavat sinua ympärilläsi ja haluavat tietää sinusta mahdollisimman paljon. Toistan vielä kerran - hauskin asia tässä järjestelmässä on, että täällä ei ollut mitään laitonta. Hänet pidätettiin Patriot Actin nojalla. Kuka tietää, mikä Patriot Act on?
Aivan oikein, tämä on laki, joka laajentaa tiedustelupalvelujen toimivaltaa terrorismin torjunnan alalla. Tämä kaveri käytti nimiä sarjakuvista ja sarjakuvista, joten he pystyivät pidättämään hänet väärennettyjen käyttäjänimien käytöstä. Joten läsnä olevien, jotka käyttävät kuvitteellisia nimiä postilaatikossaan, kannattaa olla varovainen - tätä voidaan pitää laittomana!
Salaisen palvelun syyte perustui neljään kohtaan: tietokonepetokseen, verkkopetokseen ja postipetokseen, mutta rahan vastaanottaminen todettiin täysin lailliseksi, koska hän käytti oikeaa tiliä. En osaa sanoa, tehtiinkö se oikein vai ei, eettisesti vai ei, mutta periaatteessa kaikki Michaelin tekemä noudatti verkkosivustoilla lueteltuja ehtoja, joten ehkä se oli vain lisäominaisuus.
Pankkien hakkerointi ASP:n kautta
Jeremy Grossman: Tiedätkö, matkustan paljon ja tapaan ihmisiä, jotka ovat teknisesti taitavia tai päinvastoin, eivät ollenkaan tekniikkaan perehtyneitä. Ja kun puhumme elämästä, he kysyvät, missä olen töissä. Kun vastaan, että teen tietoturvaa, he kysyvät, mitä se on. Selitän, ja sitten he sanovat: "Voi, voitko hakkeroida pankin"!
Joten kun alat selittää, kuinka pankki voidaan todella hakkeroida, puhut ASP-rahoitussovellusten tarjoajien hakkeroinnista. Sovelluspalveluntarjoajat ovat yrityksiä, jotka vuokraavat omia ohjelmistojaan ja laitteistojaan asiakkailleen - pankeille, luottoyhtiöille ja muille rahoitusyhtiöille.
Heidän palveluitaan käyttävät pienet pankit ja vastaavat yritykset, joille ei ole taloudellisesti kannattavaa omaa ohjelmistoa ja laitteistoa. Joten he vuokraavat ASP-kapasiteettia maksamalla heille kuukausittain tai vuosittain.
ASP:t saavat paljon huomiota hakkereilta, koska yhden pankin hakkeroinnin sijaan he voivat hakkeroida 600 tai tuhat pankkia kerralla. Joten ASP:t ovat erittäin mielenkiintoinen kohde pahiksia varten.
ASP-yritykset palvelevat siis koko joukko pankkeja kolmen tärkeän URL-parametrin perusteella: asiakastunnus client_ID, pankkitunnus bank_ID ja tilitunnus acct_ID. Jokaisella ASP-asiakkaalla on oma yksilöllinen tunniste, jota voidaan mahdollisesti käyttää useilla pankkisivustoilla. Jokaisella pankilla voi olla jokaiselle taloussovellukselle - säästöjärjestelmä, tilinvarmistusjärjestelmä, maksujärjestelmä jne. - mikä tahansa määrä käyttäjätilejä ja jokaisella taloussovelluksella on oma tunnus. Lisäksi jokaisella asiakastilillä tässä sovellusjärjestelmässä on myös oma tunnus. Meillä on siis kolme tilijärjestelmää.
Miten sitten hakkeroidaan 600 pankkia kerralla? Ensin tarkastellaan URL-merkkijonon loppua näin: ja yritä korvata acct_id mielivaltaisella arvolla #X, jonka jälkeen saamme suuren punaisen virheilmoituksen, jonka sisältö on seuraava: "Tili #X kuuluu pankkiin #Y" (tili #X kuuluu pankkiin #Y). Seuraavaksi otamme bank_id:n, muutamme sen selaimessa arvoksi #Y ja saamme viestin: "Pankki #Y kuuluu asiakkaalle #Z" (pankki #Y kuuluu asiakkaalle #Z).
Lopuksi otamme asiakastunnuksen, annamme sille #Z - ja siinä kaikki, pääsemme tilille, jolle alun perin halusimme päästä. Järjestelmän onnistuneen hakkeroinnin jälkeen pääsemme samalla tavalla mille tahansa muulle pankkitilille tai pankki- tai asiakastilille. Voimme tavoittaa kaikki järjestelmän tilit. Tässä ei ole minkäänlaista viittausta valtuutukseen. Ainoa asia, jonka he tarkistavat, on, että olet kirjautunut sisään tunnuksellasi, ja nyt voit vapaasti nostaa rahaa, tehdä siirron ja niin edelleen.
Eräänä päivänä yksi ei-ASP-asiakkaamme välitti tietomme tästä haavoittuvuudesta toiselle ASP:tä käyttävälle asiakkaalle ja kertoi heille, että ongelma oli korjattava. Kerroimme heille, että meidän on luultavasti kirjoitettava koko hakemus uudelleen, jotta valtuutus otetaan käyttöön ja järjestelmä tarkistaa, onko asiakkaalla valtuutus tehdä rahoitustapahtumia, ja tämä vie jonkin aikaa.
Kaksi päivää myöhemmin he lähettivät meille vastauksen, jossa sanottiin, että he olivat jo korjanneet kaiken itse - he olivat korjanneet URL-osoitteen niin, ettei virheilmoitusta enää näkynyt. Tietysti se oli siistiä, ja päätimme katsoa lähdekoodia nähdäksemme, mitä he tekivät "suurella" hakkerointitekniikallaan. Joten he lopettivat virheilmoituksen näyttämisen HTML-muodossa. Kaiken kaikkiaan meillä oli erittäin mielenkiintoinen keskustelu tämän asiakkaan kanssa. He sanoivat, että koska he eivät pystyneet ratkaisemaan tätä ongelmaa nopeasti, he päättivät tehdä niin toistaiseksi toivoen, että haavoittuvuus korjataan kokonaan pitkällä aikavälillä.
Käänteinen rahansiirto
Toinen petostapa, josta puhun hyvin lyhyesti, on käänteinen rahansiirto. Tämä toiminto suoritetaan monissa pankkisovelluksissa. Kun siirretään 10000 XNUMX dollaria tililtä A tilille B, toimintakaavan pitäisi toimia loogisesti seuraavasti:
A = A - (10,000 XNUMX dollaria)
B = B + (10,000 XNUMX $)
Eli 10000 XNUMX dollaria nostetaan tililtä A ja lisätään tilille B.
Mielenkiintoista on, että pankki ei tarkista, syötätkö oikean siirtosumman. Voit esimerkiksi korvata positiivisen luvun negatiivisella, eli siirtää 10000 XNUMX dollaria tililtä A tilille B. Tapahtumakaava näyttää tältä:
A = A – (-10,000 XNUMX dollaria)
B = B + (-10,000 XNUMX $)
Toisin sanoen sen sijaan, että varoja veloitetaan tililtä A, ne veloitetaan tililtä B ja hyvitetään tilille A. Tätä tapahtuu aika ajoin ja tuo mielenkiintoisia tuloksia. Tämän dian alaosassa on linkki tutkimusartikkeliin .
Se kuvaa samanlaisia asioita, joita tapahtuu pyöristysvirheiden kanssa. Tässä Corsairen artikkelissa on paljon mielenkiintoisia asioita, jotka tarjosivat meille materiaalia joihinkin omiin ratkaisuihimme.
Mutta palataanpa edelliseen ongelmaan. Otimme yhteyttä ASP Securityen ja saimme seuraavan vastauksen: "Sisäinen liiketoiminnan valvonta estää tällaiset ongelmat." Sanoimme: "Okei, katsotaanpa heidän verkkosivustoaan." Muutamaa viikkoa myöhemmin, kun jatkoimme työskentelyä asiakkaamme kanssa, saimme heiltä postissa seuraavan sekin:
Tässä lukee, että tämä on 2 dollarin maksu yrityksemme WH:n suorittamasta testauksesta. Näin teemme rahaa!
Minulla on edelleen se kuitti pöydälläni. Kahdesta tällaisesta testistä voimme saada jopa 4 taalaa!
Mutta muutamaa kuukautta myöhemmin kuulimme tietyltä asiakkaalta, että 70000 XNUMX dollaria oli siirretty laittomasti yhteen Itä-Euroopan maista. Rahaa ei voitu palauttaa, koska oli liian myöhäistä ja ASP menetti asiakkaansa. Näitä asioita tapahtuu, mutta emme koskaan saaneet selville, koska emme ole rikosteknisiä tutkijoita, kuinka moniin muihin asiakkaisiin tämä haavoittuvuus vaikutti. Koska kaikki tässä järjestelmässä näyttää jälleen täysin lailliselta - muutat vain URL-osoitteen ulkoasua.
Ostoksia teleostoksista
Trey Ford: Nyt aion kertoa sinulle todella teknisestä hakkerista, joten kuuntele tarkkaan. Me kaikki tunnemme pienen televisioaseman nimeltä QVC. Olen varma, että ostat joskus jotain tästä TV-kaupasta.
Tiedä, että kun ostat jotain verkosta, sivustosta riippumatta, älä napsauta mitään, koska tilauksesi käsittely alkaa välittömästi sen jälkeen! Voit välittömästi muuttaa mieltäsi ja keskeyttää kaupan. Mutta muutaman päivän kuluttua saat postissa kasan roskaa, josta sinun on maksettava heti.
Tule Quantina Moore-Perry, 33-vuotias sertifioitu hakkeri Greensborosta, Pohjois-Carolinasta. En tiedä, mitä hän teki elantonsa ennen, mutta voin kertoa sinulle, kuinka hän alkoi ansaita rahaa väitetysti tekemänsä satunnaisen tapahtuman jälkeen, vaikka hän melkein välittömästi peruutti tapahtuman sivustolla.
Kaikki nämä "tilatut" tavarat alkoivat saapua hänen postiosoitteeseen QVC:ltä - naisten käsilaukut, kodinkoneet, korut, elektroniikka. Mitä tekisit, jos joku lähettäisi sinulle postissa jotain, jota et ole tilannut? Aivan oikein, ei mitään! On heti selvää, että kansamme...
Saat kuitenkin ilmaisen toimituksen, ja ilmainen toimitus on etu! Paketithan ovat jo postissa, niitä ei tarvitse lähettää minnekään. Jos tämä on tavallinen liiketoimintaprosessi, miten voit käyttää sitä? Mitä tehdä 1800 412000 paketille, jotka saapuivat hänen postiosoitteeseen toukokuusta marraskuuhun? Joten tämä nainen huutokaupattiin kaikki nämä asiat eBayssa, ja kaiken tämän roskan myymisen seurauksena hänen voittonsa oli XNUMX XNUMX dollaria! Kuinka hän teki tämän, on hyvin yksinkertaista! Hän kertoi postille, että joku tilasi kaikki nämä paketit QVC:ltä hänen osoitteeseen, mutta hänellä on vaikeuksia pakata niitä uudelleen ja lähettää ne vastaanottajille, joten varmista, että ne lähetetään alkuperäisessä QVC-pakkauksessa!
Kuten näette, tämä on erittäin tekninen ratkaisu! QVC kuitenkin huolestui tästä ongelmasta sen jälkeen, kun 2 tuotteen eBaysta ostanutta henkilöä sai sen QVC-pakkauksessa. Liittovaltion tuomioistuin katsoi naisen syylliseksi postipetokseen.
Siten yksinkertainen tekninen vika tehtyjen tilausten peruuttamisessa antoi tälle naiselle mahdollisuuden ansaita valtavasti rahaa.
37:40 min
Muutamia mainoksia 🙂
Kiitos, että pysyt kanssamme. Pidätkö artikkeleistamme? Haluatko nähdä mielenkiintoisempaa sisältöä? Tue meitä tekemällä tilauksen tai suosittelemalla ystäville, , 30 %:n alennus Habr-käyttäjille ainutlaatuisesta lähtötason palvelimien analogista, jonka me keksimme sinulle: (saatavana RAID1:n ja RAID10:n kanssa, jopa 24 ydintä ja jopa 40 Gt DDR4-muistia).
Dell R730xd 2 kertaa halvempi? Vain täällä Alankomaissa! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - alkaen 99 dollaria! Lukea
Lähde: will.com