ブラックハットUSAカンファレンス。 金持ちになるか死ぬか: ブラックハット手法を使用してオンラインでお金を稼ぐ。 パート 2

ブラックハットUSAカンファレンス。 金持ちになるか死ぬか: ブラックハット手法を使用してオンラインでお金を稼ぐ。 パート 1

Hire2Hack というサイトもあり、パスワードの「回復」リクエストも受け付けています。 ここでのサービスの料金は 150 ドルからです。 残りのことは知りませんが、お金を払うのですから、あなた自身についての情報を彼らに提供しなければなりません。 登録するには、ユーザー名、電子メール、パスワードなどを入力する必要があります。 面白いのは、ウエスタンユニオンからの移籍も受け付けていることです。

ユーザー名は、特に電子メール アドレスに関連付けられている場合、非常に貴重な情報であることに注意してください。 教えてください、メールボックスを登録するときに本名を表示するのはどちらですか? 誰も、これは楽しいです！

したがって、電子メール アドレスは、特にオンライン ショッピングをしている場合や、出会い系サイトで配偶者の浮気を追跡したい場合には貴重な情報です。 あなたが販売者の場合は、電子メール アドレスを使用して、どの顧客または加入者が現在競合他社のサービスを使用しているかを確認できます。

したがって、フィッシング攻撃者は実際のユーザー アドレスに多額の費用を支払います。 さらに、パスワードとログイン回復ウィンドウを使用して、時間ベースの攻撃を使用して有効な電子メール アドレスをマイニングします。 この分野では興味深い研究結果が発表されているため、多くの主要な電子商取引およびソーシャル メディア ポータルは、有効な電子メール アドレスの盗難を多大な損害を引き起こす可能性がある問題として検討しています。 したがって、私たちはタイミング攻撃とこの種の情報漏洩に対する XNUMX つの面で戦わなければなりません。

電子クーポンをお金に変えます

ジェレミー・グロスマン: そこで、オンライン詐欺の XNUMX つの手口を検討してきましたが、現在はそのハードルを引き上げています。 次の方法は、eクーポンをお金に変えることです。 このクーポンはオンラインショッピングに使用できます。 顧客が一意の ID を入力すると、購入に割引が適用されます。 大手オンライン小売業者は顧客向けに割引プログラムを提供しており、これはアメックスのサポートを受けています。

クーポンには数ドルから数百ドルの割引があり、16 桁の ID が付いていることをご存知の方も多いでしょう。 これらの数値は非常に静的で、通常は順番に表示されます。 当初は3回の注文につきXNUMX枚のクーポンしか利用できませんでしたが、人気が高まるにつれ制限が撤廃され、XNUMX回の注文でXNUMX枚以上のクーポンが利用できるようになりました。

何千もの有効な割引クーポンを特定しようとするスクリプトを開発した人がいます。 売り手は、お金の代わりに 50 枚以上のクーポンで支払われた 200 万ドル以上の注文を知っています。 同意します、これは良いクリスマスプレゼントです！

プログラムはうまく機能し、全員がクーポンを使用し、全員が満足していたため、この問題は長い間気づかれませんでした。 この状況は、ユーザーが ID 番号をスクロールして割引を提供する ID 番号を選択している間に、プログラムの負荷スケジューリング システムがプロセッサ負荷の 90% 増加を検出するまで続きました。

トレーダーらは、何か問題があるのではないかと考え、FBIにこの事件の調査を依頼した。 しかし問題は、商品が存在しない住所に送られてきたことであり、これが彼らを混乱させた。 攻撃者は配送サービスと共謀し、事前に商品を「横取り」したことが判明した。

この件で興味深いのは、クーポンは通貨ではなく、単なるマーケティングツールであるということです。 しかし、ビジネス ロジックの誤りによりシークレット サービスの関与が必要となり、シークレット サービスもシステムを有利に利用した配送サービスによる詐欺の事実に直面しました。

偽のアカウントからお金を稼ぐ

トレイ・フォード： これは私のお気に入りの物語の一つです。 「実生活: オフィススペースのハッキング」 ハッカーを描いた映画『オフィス・スペース』を見たことがあると思います。 このプロセスを理解しましょう。 オンラインバンキングを利用したことのある人は何人いますか?

すごい、誰もがそれを使用したことを認めました。 興味深い点の 2 つは、ACH を介してオンラインで請求書を支払う機能です。 ACH「自動手形交換所」は次のように機能します。 ジェレミーから車を購入したいので、私の口座から彼の口座に直接送金するとします。 主な支払いを行う前に、金融機関はすべてが順調であることを確認する必要があります。 したがって、システムは最初に、数セントから XNUMX ドルまでの少額の金額を転送し、当事者の金融口座とルーティング アドレスが適切であり、クライアントがお金を受け取ったことを確認します。 この送金が正しく完了したことに満足したら、全額を送金する準備が整います。 これが合法かどうか、ユーザー契約の条項に準拠しているかどうかについては議論することはできますが、PayPal アカウントを持っている人は何人いますか? 複数の PayPal ID を持っている人は何人いますか? これはおそらく完全に合法であり、利用規約に準拠しています。

このメカニズムを利用して多額のお金を稼ぐことができると想像してください。 私たちは、単純なスクリプトを設定することで、たとえば 80 個のそのようなアカウントを作成する効果を利用することについて話しています。 注意する必要がある唯一のことは、ローカル プロキシ、RSnake スクリプト、その他のお金を稼ぐのに役立つはずのハッキング ツールを使用して話を始めましたが、ここで戻ってきて、ハッキングをより簡単にする方法を示します。 , そのため、XNUMX つのブラウザだけを使用して収益を得ることができます。

この特定の攻撃は本質的に個人的なものです。 カリフォルニア出身のマイケル・ラージェントさん（22）は、簡単なスクリプトを使用して58万XNUMXの偽の証券口座を作成した。 彼はそれらを Schwab や eTrade などのシステムで公開し、これらのアカウントの偽ユーザーに漫画のキャラクターの名前を割り当てました。

これらの各口座について、彼は資金の完全な送金を行わずに、ACH 検証送金のみを使用しました。 しかし、彼はこれらすべての検証資金が流入する共同口座を所有し、それを自分に送金しました。 それは良いことのように聞こえますが、それは大した金額ではありませんが、合計すると、それは彼に非常に多額の収入をもたらしました。 映画『オフィス・スペース』のアイデアに従い、そうして彼はお金を稼いだのです。 興味深いのは、ここには違法なものは何もないということです。彼はこれらすべてのわずかな金額を集めただけですが、それを非常に迅速に行いました。

彼は Google Checkout システムで 8225 ドルを稼ぎ、さらに eTrade と Schwab システムで 50225 ドルを稼ぎました。 その後、彼はこのお金をクレジットカードに引き出して横領しました。 これらの数千の口座がすべて XNUMX 人の人物のものであることが銀行で判明したとき、銀行員たちは彼に電話して、なぜこんなことをしたのかと尋ねました。彼はお金を盗んでいるということを理解していないのですか? これに対してマイケルは、自分が違法なことをしていることは理解できず、知らなかったと答えた。

これは、あなたをフォローし、あなたのことをできる限り知りたがるシークレットサービスの人々と新しい関係を築くための非常に良い方法です。 もう一度繰り返しますが、この計画の最も面白い点は、ここには違法なものが何もなかったということです。 彼は愛国者法に基づいて拘留された。 愛国者法が何なのか誰が知っていますか?

そう、これはテロ対策分野における諜報機関の権限を拡大する法律だ。 この男は漫画やコミックの名前を使用していたので、偽のユーザー名を使用したとして逮捕することができました。 したがって、メールボックスに架空の名前を使用する出席者は注意する必要があります。これは違法とみなされる可能性があります。

シークレットサービスによる起訴は、コンピュータ詐欺、インターネット詐欺、郵便詐欺のXNUMXつの罪名に基づいていたが、実際のアカウントを使用していたため、金銭を受け取る行為は完全に合法であることが判明した。 それが正しく行われたかどうか、倫理的に行われたかどうかはわかりませんが、基本的にマイケルが行ったことはすべて、Web サイトに記載されている利用規約に準拠していたので、おそらくこれは単なる追加機能でした。

ASP経由で銀行をハッキングする

ジェレミー・グロスマン: ご存知のとおり、私はよく旅行しますが、技術的に精通している人や、逆にテクノロジーにまったく精通していない人に出会います。 そして、私たちが人生について話すとき、彼らは私がどこで働いているかを尋ねます。 情報セキュリティをやっていると答えると、それは何ですかと聞かれます。 私が説明すると、彼らはこう言います、「ああ、銀行をハッキングできるんですね」！

したがって、銀行が実際にどのようにハッキングされるかを説明し始めると、ASP 金融アプリケーション プロバイダーを介したハッキン​​グについて話していることになります。 アプリケーション サービス プロバイダーは、銀行、信用組合、その他の金融会社などの顧客に独自のソフトウェアとハ​​ードウェアをリースする会社です。

同社のサービスは、独自のソフトウェアやハードウェアを持つことが経済的に利益にならない小規模銀行や同様の企業によって使用されています。 そのため、彼らは ASP の容量を借りて、月ごとまたは年ごとに料金を支払います。

ASP は、600 つの銀行をハッキングするのではなく、一度に XNUMX または XNUMX の銀行をハッキングできるため、ハッカーから大きな注目を集めています。 したがって、ASP は悪者にとって非常に興味深いターゲットとなります。

そのため、ASP 会社は、クライアント ID client_ID、銀行 ID Bank_ID、アカウント ID acct_ID という XNUMX つの重要な URL パラメーターに基づいて、多数の銀行にサービスを提供しています。 各 ASP クライアントには独自の一意の識別子があり、複数の銀行サイトで使用できる可能性があります。 各銀行は、貯蓄システム、口座確認システム、支払いシステムなどの金融アプリケーションごとに任意の数のユーザー アカウントを持つことができ、各金融アプリケーションは独自の ID を持ちます。 さらに、このアプリケーション システムの各クライアント アカウントも独自の ID を持ちます。 したがって、XNUMX つのアカウント システムがあります。

では、600 の銀行を一度にハッキングするにはどうすればよいでしょうか? まず、次のように URL 文字列の末尾を確認します。 website/app.cgi?client_id=10&bank_id=100&acct_id=1000 acct_id を任意の値 #X に置き換えようとすると、「口座 #X は銀行 #Y に属します」(口座 #X は銀行 #Y に属します) という内容の大きな赤色のエラー メッセージが表示されます。 次に、bank_id を取得し、ブラウザでそれを #Y に変更すると、次のメッセージが表示されます。「銀行 #Y はクライアント #Z に属します」(銀行 #Y はクライアント #Z に属します)。

最後に、client_id を取得して #Z を割り当てます。これで、当初入りたかったアカウントにアクセスできます。 システムのハッキングに成功すると、同じ方法で他の銀行口座、銀行口座、または顧客口座に侵入できます。 システム内のすべてのアカウントにアクセスできます。 ここには認可のヒントはまったくありません。 チェックされるのはIDでログインしていることだけで、これで自由に出金や送金などができるようになります。

ある日、当社の非 ASP 顧客の XNUMX 人が、この脆弱性に関する当社の情報を ASP を使用している別の顧客に転送し、修正する必要がある問題があると伝えました。 私たちは、認可を導入するにはおそらくアプリケーション全体を書き直す必要があり、クライアントが金融取引を行う権限があるかどうかをシステムがチェックすることになり、これには時間がかかるだろうと伝えました。

XNUMX 日後、彼らは私たちに、すでにすべてを自分たちで修正した、つまりエラー メッセージが表示されなくなるように URL を修正したという返答を私たちに送ってきました。 もちろん、それは素晴らしかったので、私たちは彼らが「素晴らしい」ハッキング技術で何をしたかを知るためにソースコードを調べることにしました。 そこで彼らが行ったのは、HTML 形式でのエラー メッセージの表示を停止することだけでした。 全体として、私たちはこのクライアントと非常に興味深い会話をすることができました。 この問題をすぐに解決できなかったため、長期的には脆弱性を完全に修正することを期待して、当面はそうすることにしたと述べています。

逆送金

もう 10000 つの詐欺の手口については、非常に簡単に説明しますが、逆送金です。 この操作は多くの銀行アプリケーションで実行されます。 アカウント A からアカウント B に $XNUMX を送金する場合、演算式は論理的に次のように機能します。

A = A - (10,000 ドル)
B = B + (10,000 ドル)

つまり、10000 ドルがアカウント A から引き出され、アカウント B に追加されます。

興味深いのは、銀行は正しい送金額を入力したかどうかを確認しないことです。 たとえば、正の数値を負の数値に置き換えることができます。つまり、アカウント A からアカウント B に $10000 を送金することができます。トランザクションの式は次のようになります。

A = A — (-10,000 ドル)
B = B + (-10,000 ドル)

つまり、資金はアカウント A から引き落とされるのではなく、アカウント B から引き落とされ、アカウント A に入金されます。これは時々発生し、興味深い結果をもたらします。 このスライドの下部に研究論文へのリンクがあります。 Breaking the Bank (金融アプリケーション内の数値処理の脆弱性).

丸め誤差で発生する同様の現象について説明します。 Corsaire のこの記事には興味深い内容がたくさんあり、私たち自身のソリューションのいくつかに材料を提供してくれました。

しかし、前の問題に戻りましょう。 ASP Security に問い合わせたところ、「社内の業務管理によってこのような問題は防止できます。」という返答が得られました。 私たちは「よし、ウェブサイトを見てみよう」と言いました。 数週間後、クライアントとの作業を続けていると、クライアントから次のような小切手がメールで届きました。

ここには、これは当社 WH が行うテストの料金として 2 ドルかかると記載されています。 これが私たちがお金を稼ぐ方法です！

その領収書は今でも私の机の上にあります。 このようなテストを 4 回行うと、最大 XNUMX ドルを得ることができます。

しかし数か月後、特定の顧客から、70000万ドルが東ヨーロッパ諸国のXNUMXつに違法に送金されたと聞きました。 時すでに遅し、ASP がクライアントを失ったため、お金は返せませんでした。 このようなことは起こりますが、私たちは法医学者ではないため、他の何人の顧客がこの脆弱性の影響を受けたのかはわかりませんでした。 このスキームのすべてが再び完全に合法に見えるため、URL の外観を変更しているだけです。

テレショッピングからのショッピング

トレイ・フォード： これから本当に技術的なハックについて説明するので、よく聞いてください。 私たちは皆、QVC という小さなテレビ局を知っています。きっと、あなたもこのテレビ店で何かを買うことがあると思います。

オンラインで何かを購入するときは、サイトに関係なく、どこもクリックしないでください。注文の処理がすぐに開始されるためです。 すぐに気が変わり、取引を停止することができます。 しかし、数日後、大量の迷惑メールがメールで届き、すぐに料金を支払わなければなりません。

ノースカロライナ州グリーンズボロ出身の 33 歳の認定ハッカー、クアンティナ ムーアペリーの登場です。 彼女が以前に何をして生計を立てていたのかは分かりませんが、彼女が行ったとされるランダムな取引の後、サイト上での取引をすぐにキャンセルしたにもかかわらず、どのようにしてお金を稼ぎ始めたのかはわかります。

女性用ハンドバッグ、家電製品、宝飾品、電子機器など、これらすべての「注文した」ものが QVC から彼女のメールアドレスに届き始めました。 あなたが注文していないものが誰かから郵便で送られてきたらどうしますか? そうです、何もありません！ 私たちの人々が...

ただし、送料は無料です。送料無料はメリットです。 結局のところ、荷物はすでに郵便に入っているので、どこにも送る必要はありません。 これが標準的なビジネス プロセスである場合、どのように使用できますか? 1800 月から 412000 月にかけて彼女の住所に届いた XNUMX 個の小包はどうすればよいでしょうか? そこで、この女性はこれらすべてのものを eBay でオークションに出品し、これらすべてのガラクタを販売した結果、彼女の利益は XNUMX ドルでした。 彼女がこれを行った方法は非常に簡単です。 彼女は郵便局に、誰かが QVC から彼女の住所宛てにこれらすべての荷物を注文したと言いましたが、再梱包して受取人に送るのに苦労しているので、必ず元の QVC の梱包で送ってください。

ご覧のとおり、これは非常に技術的なソリューションです。 しかし、eBay で商品を購入した 2 人が QVC のパッケージで商品を受け取ったことから、QVC はこの問題を懸念するようになりました。 連邦裁判所は女性に郵便詐欺の罪で有罪判決を下した。

したがって、発注した注文をキャンセルするという単純な技術的問題によって、この女性は巨額のお金を稼ぐことができました。

37:40分

ブラックハットUSAカンファレンス。 金持ちになるか死ぬか: ブラックハット手法を使用してオンラインでお金を稼ぐ。 パート 3

いくつかの広告 🙂

いつもご宿泊いただきありがとうございます。 私たちの記事が気に入っていますか? もっと興味深いコンテンツを見たいですか? 注文したり、友人に勧めたりして私たちをサポートしてください。 開発者向けのクラウド VPS は 4.99 ドルから, Habr ユーザーは、当社があなたのために発明した、エントリーレベルのサーバーに似たユニークな製品を 30% 割引でご利用いただけます。 VPS (KVM) E5-2650 v4 (6 コア) 10GB DDR4 240GB SSD 1Gbps 20 ドルからの真実、またはサーバーを共有する方法? (RAID1 および RAID10、最大 24 コア、最大 40GB DDR4 で利用可能)。

Dell R730xdは2倍安い？ ここだけ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV 199 ドルから オランダで！ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 ドルから! について読む インフラストラクチャー企業を構築する方法730 ペニーで 5 ユーロの価値がある Dell R2650xd E4-9000 vXNUMX サーバーを使用したクラスですか?

出所： habr.com