Það er síða sem heitir Hire2Hack, sem tekur einnig við beiðnum um „endurheimt“ lykilorða. Hér byrjar kostnaður við þjónustuna frá $150. Ég veit ekki með restina en þú verður að gefa þeim upplýsingar um sjálfan þig því þú ætlar að borga þeim. Til að skrá þig þarftu að gefa upp notendanafn, netfang, lykilorð og svo framvegis. Það fyndna er að þeir samþykkja meira að segja Western Union millifærslur.
Þess má geta að notendanöfn eru mjög dýrmætar upplýsingar, sérstaklega þegar þær eru tengdar netfangi. Segðu mér, hver ykkar gefur til kynna rétta nafnið þitt þegar þú skráir pósthólf? Enginn, þetta er gaman!
Svo, netföng eru dýrmætar upplýsingar, sérstaklega ef þú ert að versla á netinu eða vilt elta uppi fling maka þíns á stefnumótasíðu. Ef þú ert seljandi geturðu notað netföng til að athuga hver af viðskiptavinum þínum eða áskrifendum er að nota þjónustu einhvers af samkeppnisaðilum þínum.
Þess vegna borga vefveiðarárásarmenn stórfé fyrir raunveruleg netföng notenda. Að auki nota þeir lykilorð og endurheimtarglugga fyrir innskráningu til að grafa út gild netföng með því að nota tímabundnar árásir. Margar helstu rafræn viðskipti og samfélagsmiðla gáttir líta á þjófnað á gildum netföngum sem vandamál sem getur valdið miklu tjóni þar sem áhugaverðar rannsóknir hafa verið birtar á þessu sviði. Þannig að við verðum að berjast á tveimur vígstöðvum - gegn tímasetningarárásum og gegn upplýsingaleka af þessu tagi.
Við breytum rafrænum afsláttarmiðum í peninga
Jeremy Grossman: Þannig að við höfum skoðað þrjár leiðir til að svindla á netinu og nú erum við að auka sóknina. Næsta leið er að breyta rafrænum afsláttarmiðum í peninga. Þessir afsláttarmiðar eru notaðir til að versla á netinu. Viðskiptavinur slær inn einstakt auðkenni sitt og afsláttur er veittur á kaupum hans. Helstu söluaðilar á netinu bjóða viðskiptavinum afsláttarprógramm sem AmEx hefur stutt.
Mörg ykkar vita að afsláttarmiðar veita afslátt á bilinu frá nokkrum til nokkur hundruð dollara og koma með 16 stafa auðkenni. Þessar tölur eru mjög fastar og birtast venjulega í röð. Í fyrstu var aðeins einn afsláttarmiði leyfður í hverri pöntun, en síðan, þegar forritið jókst vinsældir, var þessum takmörkunum aflétt og nú er hægt að nota fleiri en 3 afsláttarmiða með einni pöntun.
Einhver hefur þróað handrit sem reynir að bera kennsl á þúsundir mögulegra gilda afsláttarmiða. Seljendur vita um pantanir að verðmæti yfir 50 þúsund dollara, sem greiddar voru með 200 eða fleiri afsláttarmiðum í stað peninga. Sammála, þetta er góð jólagjöf!
Vandamálið fór óséður í langan tíma því forritið virkaði frábærlega, allir notuðu afsláttarmiða og allir voru ánægðir. Þetta hélt áfram þar til álagsáætlunarkerfi forritsins fann 90% aukningu á álagi örgjörva á meðan fólk var að fletta í gegnum kennitölur og velja þær sem veittu afslátt.
Kaupmennirnir báðu FBI að rannsaka þetta mál vegna þess að þeir grunuðu að eitthvað væri að. En vandamálið var að vörurnar voru sendar á heimilisfang sem ekki var til og þetta ruglaði þá. Í ljós kom að árásarmaðurinn gerði samsæri við sendingarþjónustuna sem „hlerraði“ vörurnar fyrirfram.
Það sem er áhugavert við þetta mál er að afsláttarmiðar eru ekki gjaldmiðill, þeir eru aðeins markaðstæki. Hins vegar leiddu villur í viðskiptarökfræði til þess að leyniþjónustan þurfti að taka þátt í, sem einnig stóð frammi fyrir staðreyndum um svik af hálfu sendiþjónustunnar, sem notaði kerfið sér í hag.
Að græða peninga á fölsuðum reikningum
Trey Ford: þetta er ein af mínum uppáhalds sögum. "Real Life: Office Space Hacking." Ég held að þú hafir séð myndina um tölvuþrjóta "Office Space". Við skulum skilja þetta ferli. Hversu mörg ykkar hafa notað netbanka?
Frábært, allir viðurkenndu að þeir notuðu það. Eitt áhugavert er hæfileikinn til að greiða reikninga á netinu í gegnum ACH. ACH "Automated Clearing House" virkar svona. Segjum að ég vilji kaupa bíl af Jeremy og ég ætla að millifæra peninga beint af reikningnum mínum á reikninginn hans. Áður en ég greiði aðalgreiðsluna þarf fjármálastofnunin mín að ganga úr skugga um að allt sé í lagi. Þess vegna flytur kerfið fyrst smá upphæð, frá nokkrum sentum í 2 dollara, til að sannreyna að fjárhagsreikningar og leiðarheimilisföng aðila séu í lagi og viðskiptavinurinn hafi fengið peningana. Þegar þeir eru sannfærðir um að þessari millifærslu hafi verið lokið á réttan hátt eru þeir tilbúnir til að framsenda alla greiðsluna. Við getum deilt um hvort þetta sé löglegt, hvort það sé í samræmi við skilmála notendasamningsins, en segðu mér, hversu mörg ykkar eru með PayPal reikning? Hversu margir eru með mörg PayPal auðkenni? Þetta er líklega algjörlega löglegt og samræmist skilmálum og skilyrðum.
Ímyndaðu þér nú að þetta kerfi er hægt að nota til að vinna sér inn fullt af peningum. Við erum að tala um að nota áhrif þess að búa til til dæmis 80 þúsund slíka reikninga með því að setja upp einfalt handrit. Það eina sem þú þarft að borga eftirtekt til er að við byrjuðum söguna okkar með því að nota staðbundið umboð, RSnake skriftu, annað reiðhestur tól sem ætti að hjálpa okkur að græða peninga, en nú ætlum við að koma aftur og sýna hvernig á að gera reiðhestur miklu auðveldara , þannig að þú getur notað aðeins einn vafra til að vinna sér inn peninga.
Þessi tiltekna árás er persónuleg í eðli sínu. Michael Largent, 22, frá Kaliforníu, notaði einfalt handrit til að búa til 58 falsa miðlunarreikninga. Hann opnaði þær í kerfum Schwab, eTrade og nokkurra annarra og úthlutaði nöfnum teiknimyndapersóna til falsa notenda þessara reikninga.
Fyrir hvern þessara reikninga notaði hann aðeins ACH sannprófunarmillifærslu, án þess að gera fulla millifærslu fjármuna. En hann átti sameiginlegan reikning sem allir þessir sannprófunarsjóðir runnu inn á og færði þá til sín. Það hljómar vel - þetta eru ekki miklir peningar, en samtals færði það honum mjög verulegar tekjur. Þannig græddi hann peninga eftir hugmyndinni um myndina Office Space. Það áhugaverða er að hér er ekkert ólöglegt - hann safnaði bara öllum þessum pínulitlu upphæðum, en hann gerði það mjög fljótt.
Hann þénaði $8225 á Google Checkout kerfinu og aðra $50225 fyrir eTrade og Schwab kerfin. Þessa peninga dró hann síðan út á kreditkort og svikaði þá. Þegar bankinn uppgötvaði að allir þessir þúsundir reikninga tilheyrðu einum aðila hringdu bankastarfsmenn í hann og spurðu hvers vegna hann gerði þetta, skilur hann ekki að hann sé að stela peningum? Því svaraði Michael að hann skildi ekki og vissi ekki að hann væri að gera eitthvað ólöglegt.
Þetta er mjög góð leið til að byggja upp ný tengsl við leyniþjónustufólkið sem fylgist með þér og vill vita eins mikið og mögulegt er um þig. Ég endurtek enn og aftur - það fyndnasta við þetta uppátæki er að hér var ekkert ólöglegt. Hann var í haldi samkvæmt Patriot Act. Hver veit hvað Patriot Act er?
Það er rétt, þetta eru lög sem víkka út völd leyniþjónustunnar á sviði baráttu gegn hryðjuverkum. Þessi gaur notaði nöfn úr teiknimyndum og teiknimyndasögum, svo þeir gátu rænt hann fyrir að nota fölsuð notendanöfn. Þannig að viðstaddir sem nota gervinöfn á pósthólf sín ættu að fara varlega - þetta getur talist ólöglegt!
Ákæran á leyniþjónustunni var byggð á fjórum liðum: tölvusvikum, netsvindli og póstsvindli, en aðgerðin að taka við peningum reyndist fullkomlega lögleg þar sem hann notaði raunverulegan reikning. Ég get ekki sagt til um hvort það hafi verið gert rétt eða ekki, siðferðilega eða ekki, en í rauninni var allt sem Michael gerði í samræmi við skilmála og skilyrði sem skráðir eru á vefsíðunum, svo kannski var þetta bara aukaatriði.
Að hakka banka í gegnum ASP
Jeremy Grossman: þú veist, ég ferðast mikið og hitti fólk sem er tæknilega kunnugt eða þvert á móti alls ekki í tækni. Og þegar við tölum um lífið spyrja þeir hvar ég vinn. Þegar ég svara að ég geri upplýsingaöryggi spyrja þeir hvað það sé. Ég útskýri, og þá segja þeir: "ó, svo þú getur hakkað banka"!
Svo, þegar þú byrjar að útskýra hvernig hægt er að brjótast inn í banka, þá ertu að tala um að hakka í gegnum ASP fjármálaforritaveitur. Umsóknarþjónustuveitendur eru fyrirtæki sem leigja sinn eigin hugbúnað og vélbúnað til viðskiptavina sinna - banka, lánafélaga og annarra fjármálafyrirtækja.
Þjónusta þeirra er nýtt af litlum bönkum og sambærilegum fyrirtækjum sem ekki er fjárhagslega hagkvæmt að hafa eigin hugbúnað og vélbúnað. Svo þeir leigja ASP getu, borga þá mánaðarlega eða árlega.
ASPs fá mikla athygli frá tölvuþrjótum því í stað þess að hakka einn banka geta þeir hakkað 600 eða þúsund banka í einu. Svo ASPs bjóða upp á mjög áhugavert skotmark fyrir vonda krakka.
Svo, ASP fyrirtæki þjóna heilum hópi af bönkum byggt á þremur mikilvægum vefslóð færibreytum: auðkenni viðskiptavinar client_ID, bankakenni banka_ID og reikningskenni acct_ID. Hver ASP viðskiptavinur hefur sitt einstaka auðkenni, sem hugsanlega er hægt að nota á mörgum bankasíðum. Hver banki getur haft hvaða fjölda notendareikninga sem er fyrir hvert fjárhagsforrit - sparnaðarkerfi, reikningsstaðfestingarkerfi, greiðslukerfi o.s.frv., og hvert fjárhagsforrit hefur sitt auðkenni. Þar að auki hefur hver viðskiptavinareikningur í þessu forritakerfi einnig sitt eigið auðkenni. Þannig að við erum með þrjú reikningskerfi.
Svo hvernig hökkum við inn 600 banka í einu? Fyrst lítum við á enda vefslóðarstrengs svona: og reyndu að skipta út acct_id fyrir handahófskennt gildi #X, eftir það fáum við stór, rauð, villuboð með eftirfarandi innihaldi: „Reikningur #X tilheyrir banka #Y“ (reikningur #X tilheyrir banka #Y). Næst tökum við bank_id, breytum því í vafranum í #Y og fáum skilaboðin: "Bank #Y belong to Client #Z" (banki #Y tilheyrir viðskiptavin #Z).
Að lokum tökum við client_id, úthlutum því #Z - og það er það, við komumst inn á reikninginn sem við vildum upphaflega komast inn á. Eftir að við höfum hakkað inn í kerfið getum við komist inn á hvaða annan bankareikning sem er, eða banka eða viðskiptavinareikning á sama hátt. Við getum náð í alla reikninga í kerfinu. Hér er alls ekki um heimild að ræða. Það eina sem þeir athuga er að þú sért skráður inn með skilríkjunum þínum og nú geturðu tekið frjálst út peninga, millifært og svo framvegis.
Einn daginn sendi einn af viðskiptavinum okkar sem ekki eru ASP upplýsingar okkar um þennan varnarleysi til annars viðskiptavinar sem notaði ASP og sagði þeim að það væri vandamál sem þyrfti að laga. Við sögðum þeim að við þyrftum líklega að endurskrifa alla umsóknina til að innleiða heimild og kerfið myndi athuga hvort viðskiptavinurinn hefði heimild til að gera fjárhagsfærslur og það myndi taka nokkurn tíma.
Tveimur dögum síðar sendu þeir okkur svar um að þeir væru búnir að laga allt sjálfir - þeir hefðu leiðrétt slóðina þannig að villuboðin birtust ekki lengur. Auðvitað var það flott og við ákváðum að skoða frumkóðann til að sjá hvað þeir gerðu með „frábæru“ reiðhesturtækni sinni. Svo allt sem þeir gerðu var að hætta að birta villuboð á HTML sniði. Á heildina litið áttum við mjög áhugavert samtal við þennan viðskiptavin. Þeir sögðu að þar sem þeir gátu ekki leyst þetta vandamál fljótt, ákváðu þeir að gera það í bili, í von um að laga varnarleysið alveg til lengri tíma litið.
Öfug peningaflutningur
Önnur aðferð við svik, sem ég mun tala um mjög stuttlega, er öfug peningamillifærsla. Þessi aðgerð er framkvæmd í mörgum bankaforritum. Þegar þú flytur $10000 frá reikningi A yfir á reikning B ætti aðgerðaformúlan rökrétt að virka svona:
A = A - ($10,000)
B = B + ($10,000)
Það er, $10000 eru teknir af reikningi A og bætt við reikning B.
Það áhugaverða er að bankinn athugar ekki hvort þú slærð inn rétta millifærsluupphæð. Til dæmis geturðu skipt út jákvæðri tölu fyrir neikvæða, það er að flytja $10000 af reikningi A yfir á reikning B. Færsluformúlan mun líta svona út:
A = A — (-$10,000)
B = B + (-$10,000)
Það er að segja að í stað þess að skuldfæra fjármuni af reikningi A verða þeir skuldfærðir af reikningi B og færðir inn á reikning A. Þetta gerist af og til og skilar áhugaverðum árangri. Neðst á þessari glæru má sjá hlekk á rannsóknargrein .
Það lýsir svipuðum hlutum sem gerast við námundunarvillur. Það er margt áhugavert í þessari grein frá Corsaire sem gaf okkur efni fyrir sumar okkar eigin lausnir.
En snúum okkur aftur að fyrra vandamálinu. Við höfðum samband við ASP Security og fengum eftirfarandi svar: "Innra viðskiptaeftirlit mun koma í veg fyrir slík vandamál." Við sögðum, "allt í lagi, við skulum skoða vefsíðuna þeirra." Nokkrum vikum síðar, þegar við héldum áfram að vinna með viðskiptavini okkar, fengum við þessa ávísun í pósti frá þeim:
Það segir hér að þetta sé $ 2 gjald fyrir prófanir sem gerðar eru af fyrirtækinu okkar WH. Svona græðum við peninga!
Ég er enn með kvittunina á borðinu mínu. Fyrir tvö slík próf getum við fengið allt að 4 dollara!
En nokkrum mánuðum síðar heyrðum við frá tilteknum viðskiptavinum að $70000 hefðu verið fluttir ólöglega til eins af Austur-Evrópu löndum. Ekki var hægt að skila peningunum þar sem það var of seint og ASP missti viðskiptavin sinn. Þessir hlutir gerast, en það sem við komumst aldrei að, vegna þess að við erum ekki réttarfræðingar, er hversu margir aðrir viðskiptavinir urðu fyrir áhrifum af þessum varnarleysi. Vegna þess að allt í þessu kerfi lítur aftur algjörlega löglegt út - þú ert bara að breyta útliti vefslóðarinnar.
Innkaup frá fjarverslun
Trey Ford: Nú ætla ég að segja þér frá virkilega tæknilegu hakki, svo hlustaðu vel. Við þekkjum öll litlu sjónvarpsstöðina sem heitir QVC, ég er viss um að þú kaupir stundum eitthvað í þessari sjónvarpsverslun.
Vita að þegar þú kaupir eitthvað á netinu, burtséð frá síðu, skaltu ekki smella neins staðar því pöntunin þín mun byrja að vinna strax eftir það! Þú getur strax skipt um skoðun og stöðvað viðskiptin. En nokkrum dögum seinna færðu fullt af drasli í pósti sem þú þarft að borga fyrir strax.
Sláðu inn Quantina Moore-Perry, 33 ára löggiltur tölvuþrjótur frá Greensboro, Norður-Karólínu. Ég veit ekki hvað hún gerði fyrir lífsviðurværi áður, en ég get sagt þér hvernig hún byrjaði að græða peninga eftir handahófskennd viðskipti sem hún átti að hafa gert, þó hún hafi næstum strax hætt við viðskiptin á síðunni.
Allir þessir „pantuðu“ hlutir fóru að berast á póstfangið hennar frá QVC - handtöskur fyrir konur, heimilistæki, skartgripi, raftæki. Hvað myndir þú gera ef einhver sendi þér eitthvað í pósti sem þú pantaðir ekki? Það er rétt, ekkert! Það er strax augljóst að okkar fólk...
Hins vegar færðu ókeypis sendingu og ókeypis sendingarkostnaður er ávinningur! Þegar öllu er á botninn hvolft eru pakkarnir þegar í pósti, þú þarft ekki að senda þá hvert sem er. Ef þetta er staðlað viðskiptaferli, hvernig geturðu notað það? Hvað á að gera við 1800 böggla sem bárust á póstfang hennar frá maí til nóvember? Svo, þessi kona bauð alla þessa hluti upp á eBay, og vegna þess að hún seldi allt þetta drasl var hagnaður hennar $412000! Hvernig hún gerði þetta er mjög einfalt! Hún sagði pósthúsinu að einhver hefði pantað alla þessa pakka frá QVC á heimilisfangið hennar, en hún á í erfiðleikum með að endurpakka þeim og senda til viðtakenda, svo vertu viss um að þeir séu sendir í upprunalegum QVC umbúðum!
Eins og þú sérð er þetta mjög tæknileg lausn! QVC varð hins vegar áhyggjur af þessu máli eftir að 2 sem keyptu hlutinn á eBay fengu hann í QVC umbúðum. Alríkisdómstóll fann konuna seka um póstsvik.
Þannig að einfalt tæknilegt áfall með afturköllun pantana gerði þessari konu kleift að vinna sér inn mikla peninga.
37:40 mín
Nokkrar auglýsingar 🙂
Þakka þér fyrir að vera hjá okkur. Líkar þér við greinarnar okkar? Viltu sjá meira áhugavert efni? Styðjið okkur með því að leggja inn pöntun eða mæla með því við vini, , 30% afsláttur fyrir Habr notendur á einstökum hliðstæðum upphafsþjónum, sem var fundið upp af okkur fyrir þig: (fáanlegt með RAID1 og RAID10, allt að 24 kjarna og allt að 40GB DDR4).
Dell R730xd 2 sinnum ódýrari? Aðeins hér í Hollandi! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - frá $99! Lestu um
Heimild: www.habr.com