Terkemuka: Saudara sekalian, pembicaraan ini sangat lucu dan menarik, hari ini kita akan berbicara tentang hal-hal nyata yang diamati di Internet. Percakapan ini sedikit berbeda dari percakapan yang biasa kita lakukan di konferensi Black Hat karena kita akan membahas tentang bagaimana penyerang menghasilkan uang dari serangan mereka.
Kami akan menunjukkan kepada Anda beberapa serangan menarik yang dapat menghasilkan keuntungan, dan memberi tahu Anda tentang serangan yang sebenarnya terjadi pada malam kami mengunjungi Jägermeister dan bertukar pikiran. Itu menyenangkan, tetapi ketika kami sedikit sadar, kami berbicara dengan orang-orang SEO dan mengetahui bahwa banyak orang menghasilkan uang dari serangan ini.
Saya hanyalah manajer menengah yang tidak punya otak, jadi saya akan menyerahkan kursi saya dan memperkenalkan Anda kepada Jeremy dan Trey, yang jauh lebih pintar dari saya. Seharusnya saya memiliki perkenalan yang cerdas dan menyenangkan, namun saya tidak melakukannya, jadi saya akan menampilkan slide ini saja.
Slide yang menampilkan Jeremy Grossman dan Trey Ford ditampilkan di layar.
Jeremy Grossman adalah pendiri dan chief technology officer WhiteHat Security, yang dinobatkan sebagai salah satu dari 2007 CTO teratas oleh InfoWorld pada tahun 25, salah satu pendiri Konsorsium Keamanan Aplikasi Web, dan salah satu penulis serangan skrip lintas situs.
Trey Ford adalah Direktur Solusi Arsitektur di WhiteHat Security, yang memiliki pengalaman 6 tahun sebagai konsultan keamanan untuk perusahaan Fortune 500 dan salah satu pengembang standar keamanan data kartu pembayaran PCI DSS.
Saya rasa foto-foto ini menutupi kekurangan humor saya. Bagaimanapun, saya harap Anda menikmati presentasi mereka dan kemudian memahami bagaimana serangan ini digunakan di Internet untuk menghasilkan uang.
Jeremy Grossman: Selamat siang, terima kasih semuanya sudah datang. Ini akan menjadi percakapan yang sangat menyenangkan, meskipun Anda tidak akan melihat serangan zero-day atau teknologi baru yang keren. Kami hanya akan mencoba membuatnya menghibur dan membicarakan hal nyata yang terjadi setiap hari yang memungkinkan orang jahat menghasilkan banyak uang.
Kami tidak mencoba membuat Anda terkesan dengan apa yang ditampilkan pada slide ini, namun hanya menjelaskan apa yang dilakukan perusahaan kami. Jadi, White Hat Sentinel, atau “Guardian White Hat” adalah:
- penilaian dalam jumlah tidak terbatas – kontrol dan manajemen ahli atas situs klien, kemampuan untuk memindai situs terlepas dari ukuran dan frekuensi perubahannya;
- cakupan yang luas - pemindaian situs yang sah untuk mendeteksi kerentanan teknis dan pengujian pengguna untuk mengidentifikasi kesalahan logis di area bisnis yang tidak tercakup;
- menghilangkan kesalahan positif – tim operasional kami meninjau hasilnya dan menetapkan peringkat tingkat keparahan dan ancaman yang sesuai;
- pengembangan dan kendali mutu - sistem WhiteHat Satellite Appliance memungkinkan kami melayani sistem klien dari jarak jauh melalui akses ke jaringan internal;
- peningkatan dan peningkatan - pemindaian realistis memungkinkan Anda memperbarui sistem dengan cepat dan efisien.
Jadi, kami mengaudit setiap situs di dunia, kami memiliki tim pentester aplikasi web terbesar, kami melakukan 600-700 tes penilaian setiap minggunya, dan semua data yang akan Anda lihat dalam presentasi ini berasal dari pengalaman kami melakukan jenis pekerjaan ini. .
Pada slide berikutnya Anda melihat 10 jenis serangan paling umum terhadap situs web global. Hal ini menunjukkan persentase kerentanan terhadap serangan tertentu. Seperti yang Anda lihat, 65% dari semua situs rentan terhadap skrip lintas situs, 40% mengizinkan kebocoran informasi, dan 23% rentan terhadap spoofing konten. Selain skrip lintas situs, injeksi SQL dan pemalsuan permintaan lintas situs yang terkenal, yang tidak termasuk dalam sepuluh besar kami, adalah hal biasa. Namun daftar ini berisi serangan dengan nama esoteris, yang dijelaskan dengan menggunakan bahasa yang tidak jelas dan spesifiknya ditujukan terhadap perusahaan tertentu.
Ini adalah kelemahan otentikasi, kelemahan proses otorisasi, kebocoran informasi, dan sebagainya.
Slide berikutnya membahas tentang serangan terhadap logika bisnis. Tim QA yang terlibat dalam penjaminan mutu biasanya tidak memperhatikannya. Mereka menguji apa yang harus dilakukan oleh perangkat lunak, bukan apa yang dapat dilakukannya, dan kemudian Anda dapat melihat apa pun yang Anda inginkan. Pemindai, semua Kotak Putih/Hitam/Abu-abu ini, semua kotak warna-warni ini tidak dapat mendeteksi hal-hal ini dalam banyak kasus, karena mereka hanya terpaku pada konteks serangan yang mungkin terjadi atau apa yang terjadi jika hal itu terjadi. Mereka kurang cerdas dan tidak tahu apakah ada yang berhasil atau tidak.
Hal yang sama berlaku untuk firewall aplikasi IDS dan WAF, yang juga gagal mendeteksi kelemahan logika bisnis karena permintaan HTTP terlihat normal. Kami akan menunjukkan kepada Anda bahwa serangan yang terkait dengan kelemahan logika bisnis muncul sepenuhnya secara alami, tidak ada peretas, tidak ada metakarakter atau keanehan lainnya, semuanya tampak seperti proses yang terjadi secara alami. Hal utama adalah orang-orang jahat menyukai hal-hal ini karena kelemahan dalam logika bisnis menghasilkan uang bagi mereka. Mereka menggunakan XSS, SQL, CSRF, namun jenis serangan ini menjadi semakin sulit untuk dilakukan, dan kami telah melihat bahwa serangan tersebut telah menurun selama 3-5 tahun terakhir. Tapi mereka tidak akan hilang dengan sendirinya, seperti halnya buffer overflow yang tidak akan hilang. Namun, pelaku kejahatan memikirkan cara menggunakan serangan yang lebih canggih karena mereka percaya bahwa "penjahat sebenarnya" selalu mencari keuntungan dari serangan mereka.
Saya ingin menunjukkan kepada Anda trik nyata yang dapat Anda terapkan dan gunakan dengan cara yang benar untuk melindungi bisnis Anda. Tujuan lain dari presentasi kami adalah agar Anda bertanya-tanya tentang etika.
Jajak pendapat dan pemungutan suara online
Jadi, untuk memulai pembahasan kita tentang kekurangan logika bisnis, mari kita bicara tentang survei online. Jajak pendapat online adalah cara paling umum untuk mengetahui atau mempengaruhi opini publik. Kami akan mulai dengan keuntungan $0 dan kemudian melihat hasil dari skema penipuan selama 5, 6, 7 bulan. Mari kita mulai dengan melakukan survei yang sangat sederhana. Anda tahu bahwa setiap situs web baru, setiap blog, setiap portal berita melakukan survei online. Meskipun demikian, tidak ada ceruk pasar yang terlalu besar atau terlalu sempit, namun kami ingin melihat opini publik di bidang tertentu.
Saya ingin menarik perhatian Anda pada salah satu survei yang dilakukan di Austin, Texas. Karena seekor anjing beagle Austin memenangkan Westminster Dog Show, Austin American Statesman memutuskan untuk melakukan jajak pendapat Austin's Best in Show online untuk pemilik anjing Texas Tengah. Ribuan pemilik mengirimkan foto dan memilih favorit mereka. Seperti banyak survei lainnya, tidak ada hadiah selain hak untuk menyombongkan hewan peliharaan Anda.
Aplikasi sistem Web 2.0 digunakan untuk pemungutan suara. Anda mengklik "ya" jika Anda menyukai anjing tersebut dan mengetahui apakah itu anjing terbaik di rasnya atau tidak. Jadi, Anda memilih beberapa ratus anjing yang diposting di situs sebagai kandidat pemenang pertunjukan.
Dengan metode voting ini, ada 3 jenis kecurangan yang mungkin terjadi. Yang pertama adalah pemungutan suara tanpa akhir, di mana Anda memilih anjing yang sama berulang kali. Ini sangat sederhana. Metode kedua adalah pemungutan suara berganda negatif, di mana Anda memberikan suara berkali-kali terhadap anjing pesaing. Cara ketiga adalah, pada menit-menit terakhir kompetisi, Anda menempatkan seekor anjing baru, memilihnya, sehingga kemungkinan menerima suara negatif minimal, dan Anda menang dengan menerima 100% suara positif.
Selain itu, kemenangan ditentukan sebagai persentase, dan bukan berdasarkan jumlah total suara, yaitu, Anda tidak dapat menentukan anjing mana yang menerima jumlah peringkat positif maksimum, hanya persentase peringkat positif dan negatif untuk anjing tertentu yang dihitung. . Anjing dengan rasio skor positif/negatif terbaik menang.
Teman rekan kerja Robert "RSnake" Hansen memintanya untuk membantunya Chihuahua Tiny memenangkan kompetisi. Anda tahu Robert, dia dari Austin. Dia, seperti seorang peretas super, memperbaiki proksi Burp dan mengikuti jalur yang paling sedikit perlawanannya. Dia menggunakan teknik curang #1, menjalankannya melalui loop Burp yang terdiri dari beberapa ratus atau ribuan permintaan, dan ini menghasilkan 2000 suara positif bagi anjing tersebut dan membawanya ke posisi pertama.
Selanjutnya, ia menggunakan teknik curang No. 2 melawan pesaing Tiny yang dijuluki Chuchu. Di menit-menit terakhir kompetisi, ia memberikan 450 suara melawan Chuchu, yang semakin memperkuat posisi Tiny di peringkat 1 dengan rasio suara lebih dari 2:1, namun dari segi persentase ulasan positif dan negatif, Tiny masih kalah. Pada slide ini Anda melihat wajah baru penjahat dunia maya, yang putus asa dengan hasil ini.
Ya, itu adalah skenario yang menarik, tapi menurut saya teman saya tidak menyukai pertunjukan ini. Anda hanya ingin memenangkan kompetisi Chihuahua di Austin, tetapi ada seseorang yang mencoba meretas Anda dan melakukan hal yang sama. Nah, sekarang saya mengalihkan telepon ke Trey.
Menciptakan permintaan buatan dan menghasilkan uang darinya
Trey Ford: Konsep "DoS buatan" mengacu pada beberapa skenario menarik yang berbeda ketika kita membeli tiket secara online. Misalnya saja saat memesan kursi khusus dalam sebuah penerbangan. Hal ini dapat berlaku untuk semua jenis tiket, seperti acara olahraga atau konser.
Untuk mencegah pembelian berulang atas barang langka seperti kursi maskapai, barang fisik, nama pengguna, dll., aplikasi mengunci barang tersebut selama jangka waktu tertentu untuk mencegah konflik. Dan inilah kerentanan yang terkait dengan kemampuan untuk memesan sesuatu terlebih dahulu.
Kita semua tahu tentang batas waktu, kita semua tahu tentang mengakhiri sesi. Namun kelemahan logika khusus ini memungkinkan kita memilih kursi dalam penerbangan dan kemudian kembali membuat pilihan lagi tanpa membayar apa pun. Pasti banyak dari Anda yang sering melakukan perjalanan bisnis, tapi bagi saya ini adalah bagian penting dari pekerjaan. Kami telah menguji algoritme ini di banyak tempat: Anda memilih penerbangan, memilih kursi, dan hanya jika Anda siap barulah Anda memasukkan informasi pembayaran. Artinya, setelah Anda memilih suatu tempat, tempat itu disediakan untuk Anda untuk jangka waktu tertentu - dari beberapa menit hingga beberapa jam, dan selama waktu ini tidak ada orang lain yang dapat memesan tempat ini. Karena masa tunggu ini, Anda memiliki peluang nyata untuk memesan semua kursi di pesawat hanya dengan kembali ke situs web dan memesan kursi yang Anda inginkan.
Dengan demikian, opsi serangan DoS muncul: ulangi siklus ini secara otomatis untuk setiap kursi di pesawat.
Kami telah mengujinya pada setidaknya dua maskapai besar. Anda dapat menemukan kerentanan yang sama pada pemesanan lainnya. Ini adalah peluang bagus untuk menaikkan harga tiket Anda bagi mereka yang ingin menjualnya kembali. Untuk melakukan ini, spekulan hanya perlu memesan sisa tiket tanpa risiko kerugian moneter. Dengan cara ini, Anda dapat “menghancurkan” e-commerce yang menjual produk dengan permintaan tinggi - video game, konsol game, iPhone, dan sebagainya. Artinya, kelemahan yang ada pada sistem pemesanan atau reservasi online memungkinkan penyerang mendapatkan uang darinya atau menyebabkan kerugian pada pesaing.
Dekripsi captcha
Jeremy Grossman: Sekarang mari kita bicara tentang captcha. Semua orang tahu gambar-gambar menjengkelkan yang mengotori Internet dan digunakan untuk memerangi spam. Potensinya, Anda juga bisa mendapat untung dari captcha. Captcha adalah tes Turing otomatis yang memungkinkan Anda membedakan orang sungguhan dari bot. Saya menemukan banyak hal menarik saat meneliti penggunaan captcha.
Captcha pertama kali digunakan sekitar tahun 2000-2001. Pelaku spam ingin menghilangkan captcha untuk mendaftar layanan email gratis Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, dll. dan mengirim spam. Karena captcha digunakan cukup luas, seluruh pasar layanan telah muncul yang menawarkan untuk melewati captcha yang ada di mana-mana. Pada akhirnya, hal ini mendatangkan keuntungan - contohnya adalah pengiriman spam. Ada 3 cara untuk melewati captcha, yuk kita simak.
Yang pertama adalah kekurangan dalam implementasi ide, atau kekurangan dalam penggunaan captcha.
Oleh karena itu, jawaban atas pertanyaan mengandung terlalu sedikit entropi, seperti “tuliskan apa yang setara dengan 4+1”. Pertanyaan yang sama dapat diulang berkali-kali, dan rentang jawaban yang mungkin cukup kecil.
Efektivitas captcha diperiksa dengan cara ini:
- pengujian harus dilakukan dalam kondisi di mana orang dan server berjauhan satu sama lain,
ujiannya tidak boleh sulit bagi individu; - pertanyaannya harus sedemikian rupa sehingga seseorang dapat menjawabnya dalam beberapa detik,
Hanya orang yang ditanyai yang boleh menjawab; - menjawab pertanyaan itu pasti sulit bagi komputer;
- pengetahuan tentang pertanyaan sebelumnya, jawaban atau kombinasinya tidak boleh mempengaruhi prediktabilitas tes berikutnya;
- tes tersebut tidak boleh mendiskriminasi penyandang disabilitas penglihatan atau pendengaran;
- tes tersebut tidak boleh bias secara geografis, budaya atau bahasa.
Ternyata, membuat captcha yang “benar” cukup sulit.
Kerugian kedua dari captcha adalah kemungkinan menggunakan pengenalan karakter optik OCR. Sepotong kode mampu membaca gambar captcha tidak peduli berapa banyak gangguan visual yang dikandungnya, melihat huruf atau angka apa yang membentuknya, dan mengotomatiskan proses pengenalan. Penelitian telah menunjukkan bahwa sebagian besar captcha dapat dengan mudah dibobol.
Saya akan memberikan kutipan dari para ahli dari School of Computer Science di University of Newcastle, Inggris. Mereka berbicara tentang kemudahan memecahkan captcha Microsoft: “serangan kami mampu mencapai tingkat keberhasilan segmentasi sebesar 92%, yang berarti bahwa skema captcha MSN dapat diretas dalam 60% kasus dengan mensegmentasi gambar dan kemudian mengenalinya. ” Memecahkan captcha Yahoo juga sama mudahnya: “serangan kedua kami mencapai keberhasilan segmentasi sebesar 33,4%. Dengan demikian, sekitar 25,9% captcha dapat dibobol. Penelitian kami menunjukkan bahwa pelaku spam tidak boleh menggunakan tenaga kerja murah untuk menerobos captcha Yahoo, melainkan mengandalkan serangan otomatis berbiaya rendah."
Metode ketiga untuk melewati captcha disebut “Mechanical Turk”, atau “Turk”. Kami mengujinya terhadap captcha Yahoo segera setelah dipublikasikan, dan hingga hari ini kami tidak tahu, dan tidak ada yang tahu, bagaimana cara melindungi diri dari serangan semacam itu.
Ini adalah kasus ketika Anda memiliki orang jahat yang akan menjalankan situs "dewasa" atau game online tempat pengguna meminta beberapa konten. Sebelum mereka dapat melihat gambar berikutnya, situs milik peretas akan membuat permintaan back-end ke sistem online yang Anda kenal, misalnya Yahoo atau Google, ambil captcha dari sana dan berikan ke pengguna. Dan segera setelah pengguna menjawab pertanyaan tersebut, peretas akan mengirimkan tebakan captcha ke situs target dan menampilkan gambar yang diminta dari situsnya kepada pengguna. Jika Anda memiliki situs yang sangat populer dengan banyak konten menarik, Anda dapat memobilisasi banyak orang yang secara otomatis akan mengisi captcha orang lain untuk Anda. Ini adalah hal yang sangat kuat.
Namun, tidak hanya orang yang mencoba melewati captcha; bisnis juga menggunakan teknik ini. Robert “RSnake” Hansen pernah berbicara di blognya dengan “pemecah captcha” Rumania yang mengatakan bahwa dia dapat memecahkan 300 hingga 500 captcha per jam dengan tarif 9 hingga 15 dolar per seribu captcha yang diselesaikan.
Dia secara langsung mengatakan bahwa anggota timnya bekerja 12 jam sehari, menyelesaikan sekitar 4800 captcha selama waktu tersebut, dan bergantung pada seberapa sulit captcha tersebut, mereka dapat menerima hingga $50 per hari untuk pekerjaan mereka. Ini adalah postingan yang menarik, namun yang lebih menarik lagi adalah komentar yang ditinggalkan pengguna blog di bawah postingan ini. Sebuah pesan segera muncul dari Vietnam, di mana Quang Hung melaporkan tentang kelompoknya yang terdiri dari 20 orang, yang setuju untuk bekerja dengan upah $4 per 1000 captcha yang dapat ditebak.
Pesan berikutnya datang dari Bangladesh: “Halo! Semoga kamu baik-baik saja! Kami adalah perusahaan pemrosesan terkemuka dari Bangladesh. Saat ini, 30 operator kami mampu menyelesaikan lebih dari 100000 captcha per hari. Kami menawarkan kondisi yang sangat baik dan tarif rendah - $2 untuk 1000 tebakan captcha dari situs Yahoo, Hotmail, Mayspace, Gmail, Facebook, dll. Kami menantikan kerja sama lebih lanjut."
Pesan menarik lainnya dikirimkan oleh seorang Babu: “Saya tertarik dengan pekerjaan ini, silakan hubungi saya melalui telepon.”
Jadi ini cukup menarik. Kita dapat memperdebatkan seberapa legal atau ilegal aktivitas ini, namun faktanya adalah orang-orang benar-benar menghasilkan uang dari aktivitas tersebut.
Mendapatkan akses ke akun orang lain
Trey Ford: Skenario selanjutnya yang akan kita bicarakan adalah menghasilkan uang dengan mengambil alih akun orang lain.
Semua orang lupa kata sandi, dan untuk pengujian keamanan aplikasi, pengaturan ulang kata sandi dan pendaftaran online mewakili dua proses bisnis yang berbeda dan terfokus. Ada kesenjangan besar antara kemudahan mengatur ulang kata sandi dan kemudahan mendaftar, jadi Anda harus berusaha untuk membuat proses pengaturan ulang kata sandi sesederhana mungkin. Namun jika kita coba sederhanakan, timbul masalah karena semakin sederhana melakukan reset password maka semakin tidak aman.
Salah satu kasus yang paling menonjol adalah pendaftaran online menggunakan layanan verifikasi pengguna Sprint. Dua anggota tim White Hat menggunakan Sprint untuk pendaftaran online. Ada beberapa hal yang harus Anda konfirmasi untuk membuktikan bahwa Anda adalah Anda, dimulai dengan sesuatu yang sederhana seperti nomor ponsel Anda. Anda memerlukan pendaftaran online untuk hal-hal seperti mengelola rekening bank Anda, membayar layanan, dan sebagainya. Membeli telepon sangat mudah jika Anda dapat melakukannya dari akun orang lain dan kemudian melakukan pembelian dan melakukan lebih banyak lagi. Salah satu opsi penipuan adalah mengubah alamat pembayaran, memesan pengiriman sejumlah ponsel ke alamat Anda, dan korban akan dipaksa untuk membayarnya. Para maniak penguntit juga memimpikan peluang ini: menambahkan fungsi pelacakan GPS ke ponsel korbannya dan melacak setiap gerakan mereka dari komputer mana pun.
Jadi, Sprint menawarkan beberapa pertanyaan paling sederhana untuk memverifikasi identitas Anda. Seperti yang kita ketahui, keamanan dapat dijamin dengan rentang entropi yang sangat luas, atau dengan isu-isu yang sangat terspesialisasi. Saya akan membacakan Anda bagian dari proses pendaftaran Sprint karena entropinya sangat rendah. Misalnya ada pertanyaan: “pilih merek mobil yang terdaftar di alamat berikut”, dan pilihan mereknya adalah Lotus, Honda, Lamborghini, Fiat, dan “tidak satu pun di atas”. Katakan padaku, siapa di antara kalian yang memiliki salah satu gejala di atas? Seperti yang Anda lihat, teka-teki yang menantang ini hanyalah peluang besar bagi seorang mahasiswa untuk mendapatkan ponsel murah.
Pertanyaan kedua: “Siapakah di antara orang berikut yang tinggal bersama Anda atau tinggal di alamat di bawah”? Sangat mudah untuk menjawab pertanyaan ini, meskipun Anda tidak mengenal orang tersebut sama sekali. Jerry Stifliin - nama belakang ini memiliki tiga "ays" di dalamnya, kita akan membahasnya sebentar lagi - Ralph Argen, Jerome Ponicki, dan John Pace. Yang menarik dari daftar ini adalah nama-nama yang diberikan benar-benar acak, dan semuanya mengikuti pola yang sama. Jika dihitung, maka Anda tidak akan kesulitan dalam mengidentifikasi nama aslinya, karena berbeda dengan nama yang dipilih secara acak pada suatu ciri, dalam hal ini tiga huruf “i”. Jadi, Stayfliin jelas bukan nama sembarangan, dan mudah ditebak, orang inilah yang menjadi incaran Anda. Ini sangat, sangat sederhana.
Pertanyaan ketiga: “di kota manakah Anda belum pernah tinggal atau pernah menggunakan kota ini sebagai alamat Anda?” — Longmont, Hollywood Utara, Genoa atau Butte? Kami memiliki tiga kawasan padat penduduk di sekitar Washington DC, jadi jawaban yang jelas adalah Hollywood Utara.
Ada beberapa hal yang perlu Anda perhatikan dengan pendaftaran online Sprint. Seperti yang saya katakan sebelumnya, Anda bisa sangat dirugikan jika penyerang dapat mengubah alamat pengiriman pembelian di informasi pembayaran Anda. Yang benar-benar menakutkan adalah kami memiliki layanan Mobile Locator.
Dengan itu, Anda dapat melacak pergerakan karyawan Anda, saat orang-orang menggunakan ponsel dan GPS, dan Anda dapat melihat di peta di mana mereka berada. Jadi ada beberapa hal menarik lainnya yang terjadi dalam proses ini.
Seperti yang Anda ketahui, saat menyetel ulang kata sandi, alamat email diutamakan dibandingkan metode verifikasi pengguna dan pertanyaan keamanan lainnya. Slide berikutnya menunjukkan banyak layanan yang menawarkan untuk menunjukkan alamat email Anda jika pengguna mengalami kesulitan masuk ke akunnya.
Kita tahu bahwa kebanyakan orang menggunakan email dan memiliki akun email. Tiba-tiba orang ingin mencari cara menghasilkan uang darinya. Anda akan selalu mengetahui alamat email korban, memasukkannya ke dalam formulir, dan Anda akan memiliki kesempatan untuk mengatur ulang kata sandi untuk akun yang ingin Anda manipulasi. Anda kemudian menggunakannya di jaringan Anda, dan kotak surat itu menjadi brankas emas Anda, tempat utama Anda dapat mencuri semua akun korban lainnya. Anda akan menerima seluruh langganan korban hanya dengan memiliki satu kotak surat. Berhentilah tersenyum, ini serius!
Slide berikutnya menunjukkan berapa juta orang yang menggunakan layanan email terkait. Orang-orang secara aktif menggunakan Gmail, Yahoo Mail, Hotmail, AOL Mail, tetapi Anda tidak harus menjadi peretas super untuk mengambil alih akun mereka, Anda dapat menjaga kebersihan tangan Anda dengan melakukan outsourcing. Anda selalu dapat mengatakan bahwa itu tidak ada hubungannya dengan itu, Anda tidak melakukan hal seperti itu.
Jadi, layanan online “Pemulihan Kata Sandi” berbasis di Tiongkok, di mana Anda membayar mereka untuk meretas akun “Anda”. Dengan 300 yuan, yaitu sekitar $43, Anda dapat mencoba mengatur ulang kata sandi kotak surat asing dengan tingkat keberhasilan 85%. Dengan 200 yuan, atau $29, Anda akan mendapatkan 90% keberhasilan dalam menyetel ulang kata sandi kotak surat layanan email rumah Anda. Dibutuhkan biaya seribu yuan, atau $143, untuk meretas kotak surat perusahaan mana pun, namun keberhasilan tidak dijamin. Anda juga dapat melakukan outsourcing layanan peretasan kata sandi untuk 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, dll.
Konferensi BLACK HAT AS. Menjadi kaya atau mati: hasilkan uang secara online menggunakan metode Black Hat. Bagian 2 (tautan akan tersedia besok)
Beberapa iklan 🙂
Terima kasih untuk tetap bersama kami. Apakah Anda menyukai artikel kami? Ingin melihat konten yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikan kepada teman, , Diskon 30% untuk pengguna Habr pada analog unik dari server level awal, yang kami ciptakan untuk Anda: (tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya disini di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mulai $99! Membaca tentang
Sumber: www.habr.com