Ada situs bernama Hire2Hack, yang juga menerima permintaan “pemulihan” kata sandi. Di sini biaya layanan mulai dari $150. Saya tidak tahu sisanya, tetapi Anda harus memberi mereka informasi tentang diri Anda karena Anda akan membayar mereka. Untuk mendaftar, Anda perlu memberikan nama pengguna, email, kata sandi, dan sebagainya. Lucunya mereka bahkan menerima transfer Western Union.
Perlu diperhatikan bahwa nama pengguna adalah informasi yang sangat berharga, terutama bila dikaitkan dengan alamat email. Katakan padaku, siapa di antara Anda yang menunjukkan nama asli Anda saat mendaftarkan kotak surat? Tidak ada, ini menyenangkan!
Jadi, alamat email adalah informasi berharga, terutama jika Anda berbelanja online atau ingin melacak hubungan asmara pasangan Anda di situs kencan. Jika Anda seorang penjual, Anda dapat menggunakan alamat email untuk memeriksa pelanggan atau pelanggan mana yang saat ini menggunakan layanan pesaing Anda.
Oleh karena itu, penyerang phishing membayar banyak uang untuk alamat pengguna sebenarnya. Selain itu, mereka menggunakan jendela pemulihan kata sandi dan login untuk menambang alamat email yang valid menggunakan serangan berbasis waktu. Banyak portal e-commerce dan media sosial besar menganggap pencurian alamat email yang valid sebagai masalah yang dapat menyebabkan banyak kerusakan karena penelitian menarik telah dipublikasikan di bidang ini. Jadi kita harus berjuang di dua sisi – melawan serangan waktu dan melawan kebocoran informasi semacam ini.
Kami mengubah kupon elektronik menjadi uang
Jeremy Grossman: Jadi, kami telah melihat tiga cara penipuan online dan sekarang kami meningkatkan taruhannya. Cara selanjutnya adalah mengubah eCoupon menjadi uang. Kupon ini digunakan untuk belanja online. Pelanggan memasukkan ID unik mereka dan diskon diterapkan untuk pembelian mereka. Pengecer online besar menawarkan program diskon kepada pelanggan, yang telah didukung oleh AmEx.
Banyak dari Anda yang mengetahui bahwa kupon memberikan diskon mulai dari beberapa hingga beberapa ratus dolar dan dilengkapi dengan ID 16 digit. Angka-angka ini sangat statis dan biasanya muncul secara berurutan. Pada awalnya, hanya satu kupon yang diperbolehkan per pesanan, namun kemudian, seiring dengan semakin populernya program ini, pembatasan ini dicabut, dan kini lebih dari 3 kupon dapat digunakan dalam satu pesanan.
Seseorang telah mengembangkan skrip yang mencoba mengidentifikasi ribuan kemungkinan kupon diskon yang valid. Penjual mengetahui pesanan senilai lebih dari 50 ribu dolar, yang dibayar dengan 200 kupon atau lebih, bukan uang. Setuju, ini hadiah Natal yang bagus!
Masalahnya tidak diketahui untuk waktu yang lama karena programnya bekerja dengan baik, semua orang menggunakan kupon dan semua orang senang. Hal ini berlanjut hingga sistem penjadwalan beban program mendeteksi peningkatan beban prosesor sebesar 90% saat orang menelusuri nomor ID, memilih nomor yang memberikan diskon.
Para pedagang meminta FBI mengusut kasus ini karena curiga ada yang tidak beres. Namun masalahnya barang tersebut dikirim ke alamat yang tidak ada, dan ini membuat mereka bingung. Ternyata penyerang melakukan konspirasi dengan pihak jasa pengiriman, yang “mencegat” barang terlebih dahulu.
Yang menarik dari kasus ini adalah kupon bukanlah mata uang, melainkan hanya alat pemasaran. Namun, kesalahan dalam logika bisnis menyebabkan perlunya melibatkan Dinas Rahasia, yang juga dihadapkan pada fakta penipuan oleh pihak jasa pengiriman, yang menggunakan sistem tersebut untuk keuntungannya.
Menghasilkan uang dari akun palsu
Trey Ford: ini adalah salah satu cerita favoritku. "Kehidupan Nyata: Peretasan Ruang Kantor." Saya rasa Anda pernah melihat film tentang peretas "Office Space". Mari kita pahami proses ini. Berapa banyak dari Anda yang pernah menggunakan perbankan online?
Hebat, semua orang mengakui bahwa mereka menggunakannya. Satu hal yang menarik adalah kemampuan membayar tagihan secara online melalui ACH. ACH "Lembaga Kliring Otomatis" bekerja seperti ini. Katakanlah saya ingin membeli mobil dari Jeremy dan saya akan mentransfer uang langsung dari rekening saya ke rekeningnya. Sebelum saya melakukan pembayaran utama, lembaga keuangan saya perlu memastikan semuanya beres. Oleh karena itu, pertama-tama sistem mentransfer sejumlah kecil uang, dari beberapa sen hingga 2 dolar, untuk memverifikasi bahwa rekening keuangan dan alamat perutean para pihak sudah beres dan klien telah menerima uangnya. Setelah mereka yakin bahwa transfer ini telah diselesaikan dengan benar, mereka siap meneruskan pembayaran penuh. Kita bisa berdebat tentang apakah ini legal, apakah ini sesuai dengan ketentuan perjanjian pengguna, tapi beritahu saya, berapa banyak dari Anda yang memiliki akun PayPal? Berapa banyak orang yang memiliki banyak ID PayPal? Ini mungkin sepenuhnya legal dan sesuai dengan Syarat & Ketentuan.
Sekarang bayangkan mekanisme ini bisa digunakan untuk menghasilkan banyak uang. Kita berbicara tentang menggunakan efek membuat, katakanlah, 80 ribu akun seperti itu dengan menyiapkan skrip sederhana. Satu-satunya hal yang perlu Anda perhatikan adalah kami memulai cerita kami dengan menggunakan proxy lokal, skrip RSnake, alat peretasan lainnya yang seharusnya membantu kami menghasilkan uang, tetapi sekarang kami akan kembali dan menunjukkan cara membuat peretasan menjadi lebih mudah. , sehingga Anda hanya dapat menggunakan satu browser untuk mendapatkan uang.
Serangan khusus ini bersifat pribadi. Michael Largent, 22, dari California, menggunakan skrip sederhana untuk membuat 58 akun pialang palsu. Dia membukanya di sistem Schwab, eTrade, dan beberapa lainnya, memberikan nama karakter kartun kepada pengguna palsu akun tersebut.
Untuk setiap rekening tersebut, dia hanya menggunakan transfer verifikasi ACH, tanpa melakukan transfer dana secara penuh. Namun dia memiliki rekening bersama yang menjadi tempat mengalirnya semua dana verifikasi tersebut, dan kemudian mentransfernya ke dirinya sendiri. Kedengarannya bagus - uangnya tidak banyak, tetapi secara total itu memberinya penghasilan yang sangat besar. Begitulah cara dia menghasilkan uang, mengikuti ide film Office Space. Hal yang menarik adalah tidak ada yang ilegal di sini - dia hanya mengumpulkan sejumlah kecil ini, tetapi dia melakukannya dengan sangat cepat.
Dia memperoleh $8225 di sistem Google Checkout, dan $50225 lainnya di sistem eTrade dan Schwab. Dia kemudian menarik uang tersebut ke kartu kredit dan menggelapkannya. Ketika bank mengetahui bahwa ribuan rekening ini milik satu orang, pegawai bank meneleponnya dan bertanya mengapa dia melakukan ini, apakah dia tidak mengerti bahwa dia mencuri uang? Michael menjawab bahwa dia tidak mengerti dan tidak tahu bahwa dia melakukan sesuatu yang ilegal.
Ini adalah cara yang sangat baik untuk membangun hubungan baru dengan orang-orang Dinas Rahasia yang mengikuti Anda kemana-mana dan ingin mengetahui sebanyak mungkin tentang Anda. Saya ulangi sekali lagi - hal yang paling lucu tentang skema ini adalah tidak ada yang ilegal di sini. Dia ditahan berdasarkan Undang-Undang Patriot. Siapa yang tahu apa itu UU Patriot?
Betul, ini undang-undang yang memperluas kewenangan badan intelijen di bidang pemberantasan terorisme. Orang ini menggunakan nama dari kartun dan komik, sehingga mereka dapat menangkapnya karena menggunakan nama pengguna palsu. Jadi mereka yang hadir yang menggunakan nama fiktif untuk kotak suratnya harus berhati-hati - ini mungkin dianggap ilegal!
Dakwaan Dinas Rahasia didasarkan pada empat tuduhan: penipuan komputer, penipuan internet, dan penipuan surat, namun tindakan menerima uang ternyata sepenuhnya sah, karena ia menggunakan akun nyata. Saya tidak bisa mengatakan apakah itu dilakukan dengan benar atau tidak, secara etis atau tidak, tapi pada dasarnya semua yang dilakukan Michael mematuhi Syarat & Ketentuan yang tercantum di website, jadi mungkin itu hanya fitur tambahan saja.
Meretas bank melalui ASP
Jeremy Grossman: Anda tahu, saya sering bepergian dan bertemu orang-orang yang paham teknologi atau, sebaliknya, sama sekali tidak ahli dalam teknologi. Dan ketika kami berbicara tentang kehidupan, mereka bertanya di mana saya bekerja. Ketika saya menjawab bahwa saya melakukan keamanan informasi, mereka bertanya apa itu. Saya jelaskan, lalu mereka berkata: “oh, jadi kamu bisa meretas bank”!
Jadi, ketika Anda mulai menjelaskan bagaimana bank sebenarnya dapat diretas, Anda sedang berbicara tentang peretasan melalui penyedia aplikasi keuangan ASP. Penyedia Layanan Aplikasi adalah perusahaan yang menyewakan perangkat lunak dan perangkat keras mereka sendiri kepada klien mereka - bank, credit unions, dan perusahaan keuangan lainnya.
Layanan mereka digunakan oleh bank-bank kecil dan perusahaan serupa yang tidak menguntungkan secara finansial untuk memiliki perangkat lunak dan perangkat keras sendiri. Jadi mereka menyewa kapasitas ASP, membayarnya bulanan atau tahunan.
ASP mendapat banyak perhatian dari para hacker karena alih-alih meretas satu bank, mereka bisa meretas 600 atau seribu bank sekaligus. Jadi ASP menyajikan target yang sangat menarik bagi orang-orang jahat.
Jadi, perusahaan ASP melayani sejumlah bank berdasarkan tiga parameter URL penting: ID klien client_ID, ID bank bank_ID, dan ID akun acct_ID. Setiap klien ASP memiliki pengenal uniknya sendiri, yang berpotensi digunakan di beberapa situs perbankan. Setiap bank dapat memiliki sejumlah rekening pengguna untuk setiap aplikasi keuangan - sistem tabungan, sistem verifikasi rekening, sistem pembayaran, dll., dan setiap aplikasi keuangan memiliki ID sendiri. Apalagi setiap akun klien di sistem aplikasi ini juga memiliki ID masing-masing. Jadi kami memiliki tiga sistem akun.
Lalu bagaimana cara meretas 600 bank sekaligus? Pertama kita melihat akhir string URL seperti ini: dan coba ganti acct_id dengan nilai arbitrer #X, setelah itu kita mendapatkan pesan kesalahan besar berwarna merah dengan konten berikut: “Rekening #X milik Bank #Y” (rekening #X milik bank #Y). Selanjutnya kita ambil bank_id, ubah di browser menjadi #Y dan dapatkan pesan: “Bank #Y milik Klien #Z” (bank #Y milik klien #Z).
Terakhir, kami mengambil client_id, menetapkannya #Z - dan hanya itu, kami masuk ke akun yang awalnya ingin kami masuki. Setelah kita berhasil meretas sistem, kita bisa masuk ke rekening bank lain, atau bank, atau rekening klien dengan cara yang sama. Kami dapat menjangkau setiap akun di sistem. Tidak ada tanda-tanda otorisasi sama sekali di sini. Satu-satunya hal yang mereka periksa adalah Anda login dengan ID Anda, dan sekarang Anda dapat dengan bebas menarik uang, melakukan transfer, dan sebagainya.
Suatu hari salah satu pelanggan non-ASP kami meneruskan informasi kami tentang kerentanan ini ke pelanggan lain yang menggunakan ASP dan memberi tahu mereka bahwa ada masalah yang perlu diperbaiki. Kami memberi tahu mereka bahwa kami mungkin harus menulis ulang seluruh aplikasi untuk memperkenalkan otorisasi dan sistem akan memeriksa apakah klien diberi wewenang untuk melakukan transaksi keuangan, dan ini akan memakan waktu.
Dua hari kemudian mereka mengirimi kami tanggapan yang mengatakan bahwa mereka telah memperbaiki semuanya sendiri - mereka telah memperbaiki URL sehingga pesan kesalahan tidak lagi muncul. Tentu saja, itu keren, dan kami memutuskan untuk melihat kode sumbernya untuk melihat apa yang mereka lakukan dengan teknik peretasan “hebat” mereka. Jadi, yang mereka lakukan hanyalah berhenti menampilkan pesan kesalahan dalam format HTML. Secara keseluruhan, kami melakukan percakapan yang sangat menarik dengan klien ini. Mereka mengatakan bahwa karena mereka tidak dapat menyelesaikan masalah ini dengan cepat, mereka memutuskan untuk melakukannya sekarang, dengan harapan dapat memperbaiki kerentanan sepenuhnya dalam jangka panjang.
Membalikkan transfer uang
Metode penipuan lain yang akan saya bahas secara singkat adalah transfer uang terbalik. Operasi ini dilakukan di banyak aplikasi perbankan. Saat mentransfer $10000 dari akun A ke akun B, rumus operasinya seharusnya bekerja seperti ini:
SEBUAH = SEBUAH - ($10,000)
B = B + ($10,000)
Artinya, $10000 ditarik dari akun A dan ditambahkan ke akun B.
Menariknya, bank tidak memeriksa apakah Anda memasukkan jumlah transfer yang benar. Misalnya, Anda bisa mengganti angka positif dengan angka negatif, yaitu mentransfer $10000 dari akun A ke akun B. Rumus transaksinya akan terlihat seperti ini:
SEBUAH = SEBUAH — (-$10,000)
B = B + (-$10,000)
Artinya, alih-alih mendebit dana dari rekening A, dana tersebut akan didebet dari rekening B dan dikreditkan ke rekening A. Hal ini terjadi dari waktu ke waktu dan membawa hasil yang menarik. Di bagian bawah slide ini Anda dapat melihat link ke artikel penelitian .
Ini menjelaskan hal serupa yang terjadi dengan kesalahan pembulatan. Ada banyak hal menarik dalam artikel dari Corsaire ini yang memberi kami bahan untuk beberapa solusi kami.
Tapi mari kita kembali ke masalah sebelumnya. Kami menghubungi Keamanan ASP dan menerima tanggapan berikut: “Kontrol bisnis internal akan mencegah masalah seperti itu.” Kami berkata, "oke, mari kita lihat situs web mereka." Beberapa minggu kemudian, saat kami terus bekerja dengan klien kami, kami menerima cek ini melalui pos dari mereka:
Di sini tertulis bahwa ini adalah biaya $2 untuk pengujian yang dilakukan oleh perusahaan kami WH. Inilah cara kami menghasilkan uang!
Aku masih menyimpan tanda terima itu di mejaku. Untuk dua tes seperti itu kita bisa mendapatkan sebanyak 4 dolar!
Namun beberapa bulan kemudian kami mendengar dari pelanggan tertentu bahwa $70000 telah ditransfer secara ilegal ke salah satu negara Eropa Timur. Uang tidak dapat dikembalikan karena terlambat dan ASP kehilangan kliennya. Hal-hal ini terjadi, namun yang tidak pernah kami ketahui, karena kami bukan ilmuwan forensik, adalah berapa banyak pelanggan lain yang terkena dampak kerentanan ini. Karena semua yang ada dalam skema ini terlihat sepenuhnya legal lagi - Anda hanya mengubah tampilan URL.
Belanja dari teleshopping
Trey Ford: Sekarang saya akan memberi tahu Anda tentang peretasan yang sangat teknis, jadi dengarkan baik-baik. Kita semua tahu stasiun televisi kecil bernama QVC, saya yakin Anda kadang-kadang membeli sesuatu dari toko TV ini.
Ketahuilah bahwa ketika Anda membeli sesuatu secara online, apa pun situsnya, jangan klik di mana pun karena pesanan Anda akan segera diproses setelah itu! Anda mungkin akan segera berubah pikiran dan menghentikan transaksi. Namun beberapa hari kemudian Anda menerima banyak sampah melalui pos yang harus segera Anda bayar.
Masukkan Quantina Moore-Perry, seorang peretas bersertifikat berusia 33 tahun dari Greensboro, North Carolina. Saya tidak tahu apa pekerjaannya sebelumnya, tetapi saya dapat memberi tahu Anda bagaimana dia mulai menghasilkan uang setelah transaksi acak yang diduga dia lakukan, meskipun dia segera membatalkan transaksi di situs tersebut.
Semua barang yang "dipesan" ini mulai berdatangan ke alamat suratnya dari QVC - tas wanita, peralatan rumah tangga, perhiasan, elektronik. Apa yang akan Anda lakukan jika seseorang mengirimi Anda sesuatu melalui pos yang tidak Anda pesan? Benar, tidak ada apa-apa! Jelas terlihat bahwa orang-orang kami...
Namun, Anda mendapatkan pengiriman gratis, dan pengiriman gratis adalah keuntungannya! Lagi pula, paket sudah dikirim melalui pos, Anda tidak perlu mengirimnya ke mana pun. Jika ini adalah proses bisnis standar, bagaimana Anda bisa menggunakannya? Apa hubungannya dengan 1800 parsel yang sampai di alamat posnya dari Mei hingga November? Jadi, wanita ini melelang semua barang tersebut di eBay, dan sebagai hasil dari menjual semua barang rongsokan ini, keuntungannya adalah $412000! Cara dia melakukan ini sangat sederhana! Dia mengatakan kepada kantor pos bahwa seseorang memesan semua paket ini dari QVC ke alamatnya, tetapi dia kesulitan mengemasnya kembali dan mengirimkannya ke penerima, jadi pastikan paket tersebut dikirim dalam kemasan QVC asli!
Seperti yang Anda lihat, ini adalah solusi yang sangat teknis! Namun, QVC menjadi prihatin dengan masalah ini setelah 2 orang yang membeli barang tersebut di eBay menerimanya dalam kemasan QVC. Pengadilan federal memutuskan wanita itu bersalah atas penipuan surat.
Jadi, kendala teknis sederhana dengan pembatalan pesanan memungkinkan wanita ini mendapatkan banyak uang.
37:40 menit
Beberapa iklan 🙂
Terima kasih untuk tetap bersama kami. Apakah Anda menyukai artikel kami? Ingin melihat konten yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikan kepada teman, , Diskon 30% untuk pengguna Habr pada analog unik dari server level awal, yang kami ciptakan untuk Anda: (tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya disini di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mulai $99! Membaca tentang
Sumber: www.habr.com