Moderator: Szanowni Państwo, ta rozmowa jest bardzo zabawna i bardzo interesująca, dzisiaj porozmawiamy o prawdziwych rzeczach, które można zaobserwować w Internecie. Ta rozmowa różni się nieco od tych, do których jesteśmy przyzwyczajeni na konferencjach Black Hat, ponieważ będziemy rozmawiać o tym, w jaki sposób napastnicy zarabiają na swoich atakach.
Pokażemy Ci kilka interesujących ataków, które mogą przynieść zysk, i opowiemy o atakach, które faktycznie miały miejsce tej nocy, kiedy przeszliśmy przez Jägermeistera i przeprowadziliśmy burzę mózgów. Było fajnie, ale kiedy trochę otrzeźwieliśmy, porozmawialiśmy z specjalistami od SEO i dowiedzieliśmy się, że wiele osób zarabia na tych atakach.
Jestem po prostu bezmyślnym menedżerem średniego szczebla, więc ustąpię miejsca i przedstawię cię Jeremy’emu i Treyowi, którzy są znacznie mądrzejsi ode mnie. Powinienem mieć inteligentne i zabawne wprowadzenie, ale tak się nie dzieje, więc zamiast tego pokażę te slajdy.
Na ekranie wyświetlane są slajdy przedstawiające Jeremy'ego Grossmana i Treya Forda.
Jeremy Grossman jest założycielem i dyrektorem ds. technologii firmy WhiteHat Security, uznanym przez InfoWorld za jednego z 2007 najlepszych dyrektorów ds. technologii w 25 r., współzałożycielem konsorcjum Web Application Security Consortium i współautorem ataków typu cross-site scripting.
Trey Ford jest dyrektorem ds. rozwiązań architektonicznych w WhiteHat Security, który ma 6 lat doświadczenia jako konsultant ds. bezpieczeństwa dla firm z listy Fortune 500 i jeden z twórców standardu bezpieczeństwa danych kart płatniczych PCI DSS.
Myślę, że te zdjęcia rekompensują mój brak humoru. W każdym razie mam nadzieję, że spodoba Ci się ich prezentacja i zrozumiesz, w jaki sposób te ataki są wykorzystywane w Internecie do zarabiania pieniędzy.
Jeremy Grossman: Dzień dobry, dziękuję wszystkim za przybycie. To będzie bardzo zabawna rozmowa, chociaż nie zobaczysz ataków typu zero-day ani nowych, fajnych technologii. Postaramy się, żeby było zabawnie i porozmawiamy o prawdziwych rzeczach, które dzieją się każdego dnia, a które pozwalają złoczyńcom zarobić dużo pieniędzy.
Nie staramy się zaimponować Ci tym, co jest pokazane na tym slajdzie, ale po prostu wyjaśnimy, czym zajmuje się nasza firma. Zatem Strażnik Białego Kapelusza lub „Biały Kapelusz Strażnika” to:
- nieograniczona ilość ocen – kontrola i fachowe zarządzanie witrynami klientów, możliwość skanowania witryn niezależnie od ich wielkości i częstotliwości zmian;
- szeroki zakres zasięgu - autoryzowane skanowanie witryn w celu wykrycia podatności technicznych oraz testy użytkowników w celu identyfikacji błędów logicznych w nieobjętych obszarach biznesowych;
- eliminowanie fałszywych alarmów – nasz zespół operacyjny przegląda wyniki i przypisuje odpowiednią wagę i ocenę zagrożenia;
- rozwój i kontrola jakości - system WhiteHat Satellite Appliance pozwala nam na zdalną obsługę systemów klienckich poprzez dostęp do sieci wewnętrznej;
- doskonalenie i udoskonalanie - realistyczne skanowanie pozwala szybko i sprawnie aktualizować system.
Dlatego audytujemy każdą witrynę na świecie, mamy największy zespół pentesterów aplikacji internetowych, co tydzień przeprowadzamy 600-700 testów oceniających, a wszystkie dane, które zobaczysz w tej prezentacji, pochodzą z naszego doświadczenia w tego typu pracy .
Na kolejnym slajdzie przedstawiamy 10 najczęstszych rodzajów ataków na globalne strony internetowe. Pokazuje procent podatności na określone ataki. Jak widać, 65% wszystkich witryn jest podatnych na ataki typu cross-site scripting, 40% umożliwia wyciek informacji, a 23% jest podatnych na fałszowanie treści. Oprócz skryptów między witrynami powszechne są zastrzyki SQL i notoryczne fałszowanie żądań między witrynami, które nie znajdują się w naszej dziesiątce najlepszych. Lista ta zawiera jednak ataki o ezoterycznych nazwach, które są opisane przy użyciu niejasnego języka i których specyfika polega na tym, że są skierowane przeciwko określonym firmom.
Są to błędy w uwierzytelnianiu, błędy w procesie autoryzacji, wycieki informacji i tak dalej.
Następny slajd mówi o atakach na logikę biznesową. Zespoły QA zajmujące się zapewnianiem jakości zwykle nie zwracają na nie uwagi. Testują to, co oprogramowanie powinno robić, a nie to, co może zrobić, a następnie możesz zobaczyć, co chcesz. Skanery, wszystkie te białe/czarne/szare skrzynki, wszystkie te wielokolorowe skrzynki w większości przypadków nie są w stanie wykryć tych rzeczy, ponieważ po prostu skupiają się na kontekście tego, czym może być atak lub co dzieje się podobnie, kiedy to nastąpi. Brakuje im inteligencji i nie wiedzą, czy coś w ogóle zadziałało, czy nie.
To samo dotyczy zapór aplikacyjnych IDS i WAF, które również nie wykrywają błędów logiki biznesowej, ponieważ żądania HTTP wyglądają zupełnie normalnie. Pokażemy Ci, że ataki związane z wadami logiki biznesowej powstają całkowicie naturalnie, nie ma w nich hakerów, metaznaków ani innych dziwactw, wyglądają jak naturalnie zachodzące procesy. Najważniejsze jest to, że oszuści uwielbiają te rzeczy, ponieważ błędy w logice biznesowej przynoszą im pieniądze. Używają XSS, SQL, CSRF, ale tego typu ataki są coraz trudniejsze do przeprowadzenia, a my zaobserwowaliśmy, że w ciągu ostatnich 3-5 lat ich liczba spadła. Ale nie znikną same z siebie, tak jak nie zniknie przepełnienie bufora. Jednakże przestępcy zastanawiają się, jak zastosować bardziej wyrafinowane ataki, ponieważ wierzą, że „prawdziwi przestępcy” zawsze chcą zarobić na swoich atakach.
Chcę pokazać Ci prawdziwe triki, które możesz zastosować i wykorzystać we właściwy sposób, aby chronić swój biznes. Kolejnym celem naszej prezentacji jest to, że być może zastanawiasz się nad etyką.
Ankiety internetowe i głosowanie
Aby rozpocząć dyskusję na temat wad logiki biznesowej, porozmawiajmy o ankietach online. Sondaże internetowe to najczęstszy sposób poznania opinii publicznej lub wpływania na nią. Zaczniemy od zysku wynoszącego 0 USD, a następnie przyjrzymy się wynikom oszukańczych programów trwających 5, 6 i 7 miesięcy. Zacznijmy od bardzo, bardzo prostej ankiety. Wiesz, że każda nowa strona internetowa, każdy blog, każdy portal informacyjny prowadzi ankiety online. To powiedziawszy, żadna nisza nie jest zbyt duża ani zbyt wąska, ale chcemy poznać opinię publiczną w konkretnych obszarach.
Chciałbym zwrócić Państwa uwagę na jedno badanie przeprowadzone w Austin w Teksasie. Ponieważ beagle z Austin wygrał wystawę psów w Westminster, Austin American Statesman zdecydował się przeprowadzić internetową ankietę Austin's Best in Show wśród właścicieli psów w środkowym Teksasie. Tysiące właścicieli przesłało zdjęcia i głosowało na swoich faworytów. Podobnie jak w przypadku wielu innych ankiet, nie było innej nagrody niż przechwalanie się swoim zwierzakiem.
Do głosowania wykorzystano aplikację systemu Web 2.0. Kliknąłeś „tak”, jeśli pies Ci się podobał i dowiedziałeś się, czy był to najlepszy pies w rasie, czy nie. Zatem oddaliście głos na kilkaset psów zamieszczonych w serwisie jako kandydatów na zwycięzcę wystawy.
Dzięki tej metodzie głosowania możliwe były 3 rodzaje oszukiwania. Pierwszym z nich jest głosowanie niekończące się, podczas którego głosujesz na tego samego psa w kółko. To jest bardzo proste. Drugą metodą jest wielokrotne głosowanie negatywne, w którym głosujesz ogromną liczbę razy przeciwko konkurującemu psu. Trzeci sposób polegał na tym, że dosłownie w ostatniej chwili konkursu wystawiłeś nowego psa, oddałeś na niego głos, tak aby możliwość otrzymania głosów negatywnych była minimalna i wygrałeś, otrzymując 100% głosów pozytywnych.
Co więcej, zwycięstwo określano procentowo, a nie na podstawie ogólnej liczby głosów, czyli nie można było określić, który pies otrzymał maksymalną liczbę pozytywnych ocen, a jedynie obliczono procent pozytywnych i negatywnych ocen dla konkretnego psa . Wygrał pies z najlepszym stosunkiem punktów pozytywnych do negatywnych.
Kolega Robert „RSnake” przyjaciel Hansena poprosił go, aby pomógł jej Chihuahua Tiny wygrać konkurs. Znasz Roberta, on jest z Austin. On, niczym super haker, naprawił proxy Burp i poszedł ścieżką najmniejszego oporu. Zastosował technikę oszukiwania nr 1, przepuszczając ją przez pętlę beknięć składającą się z kilkuset lub tysięcy żądań, co zapewniło psu 2000 głosów pozytywnych i zapewniło mu 1. miejsce.
Następnie użył techniki oszukiwania nr 2 przeciwko konkurentowi Tiny'ego, zwanemu Chuchu. W ostatnich minutach konkursu oddał na Chuchu 450 głosów, co jeszcze bardziej umocniło Tiny'ego na 1. miejscu ze stosunkiem głosów większym niż 2:1, ale pod względem odsetka pozytywnych i negatywnych recenzji Tiny i tak przegrał. Na tym slajdzie widać nową twarz cyberprzestępcy, zniechęconego takim wynikiem.
Tak, to był ciekawy scenariusz, ale myślę, że mojemu koledze nie spodobał się ten występ. Chciałeś po prostu wygrać zawody Chihuahua w Austin, ale ktoś próbował cię zhakować i zrobił to samo. Cóż, teraz przekazuję rozmowę Treyowi.
Tworzenie sztucznego popytu i zarabianie na nim
Trey Ford: Pojęcie „sztucznego DoS” odnosi się do kilku różnych ciekawych scenariuszy, gdy kupujemy bilety online. Na przykład podczas rezerwacji specjalnego miejsca w samolocie. Może to dotyczyć każdego rodzaju biletu, na przykład wydarzenia sportowego lub koncertu.
Aby zapobiec wielokrotnym zakupom rzadkich przedmiotów, takich jak miejsca w samolotach, przedmioty fizyczne, nazwy użytkowników itp., aplikacja blokuje przedmiot na pewien okres czasu, aby zapobiec konfliktom. I tu pojawia się luka związana z możliwością zarezerwowania czegoś z wyprzedzeniem.
Wszyscy wiemy o przekroczeniu limitu czasu, wszyscy wiemy o zakończeniu sesji. Jednak ta szczególna luka logiczna pozwala nam wybrać miejsce w samolocie, a następnie wrócić i ponownie dokonać wyboru, nie płacąc nic. Na pewno wielu z Was często wyjeżdża w podróże służbowe, ale dla mnie jest to istotna część pracy. Przetestowaliśmy ten algorytm w wielu miejscach: wybierasz lot, wybierasz miejsce i dopiero wtedy, gdy jesteś gotowy, podajesz dane do płatności. Oznacza to, że po wybraniu miejsca jest ono dla Ciebie zarezerwowane na określony czas - od kilku minut do kilku godzin i w tym czasie nikt inny nie może zarezerwować tego miejsca. Ze względu na ten okres oczekiwania masz realną możliwość zarezerwowania wszystkich miejsc w samolocie, po prostu wracając na stronę internetową i rezerwując wybrane miejsca.
W ten sposób pojawia się opcja ataku DoS: automatycznie powtórz ten cykl dla każdego miejsca w samolocie.
Przetestowaliśmy to w co najmniej dwóch głównych liniach lotniczych. Tę samą lukę można znaleźć w przypadku każdej innej rezerwacji. To świetna okazja na podniesienie cen biletów dla tych, którzy chcą je odsprzedać. Aby to zrobić, spekulanci muszą po prostu zarezerwować pozostałe bilety bez ryzyka straty pieniężnej. W ten sposób możesz „załamać” handel elektroniczny sprzedający produkty, na które jest duży popyt – gry wideo, konsole do gier, iPhone'y i tak dalej. Oznacza to, że istniejąca luka w rezerwacji online lub systemie rezerwacji pozwala atakującemu na zarobienie pieniędzy lub wyrządzenie szkody konkurencji.
Odszyfrowanie Captcha
Jeremy'ego Grossmana: Porozmawiajmy teraz o captcha. Każdy zna te irytujące zdjęcia, które zaśmiecają Internet i służą do zwalczania spamu. Potencjalnie możesz także zarabiać na captcha. Captcha to w pełni zautomatyzowany test Turinga, który pozwala odróżnić prawdziwą osobę od bota. Badając zastosowanie captcha, odkryłem wiele interesujących rzeczy.
Captcha została po raz pierwszy użyta około 2000-2001. Spamerzy chcą wyeliminować captcha, aby zarejestrować się w bezpłatnych usługach e-mail Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook itp. i wysyłaj spam. Ponieważ captcha jest dość powszechnie stosowana, pojawił się cały rynek usług oferujących ominięcie wszechobecnej captcha. Ostatecznie przynosi to zysk – przykładem może być wysyłanie spamu. Istnieją 3 sposoby na ominięcie captcha, spójrzmy na nie.
Pierwsza to wady w realizacji pomysłu, czyli niedociągnięcia w wykorzystaniu captcha.
Zatem odpowiedzi na pytania zawierają zbyt małą entropię, np. „napisz, ile wynosi 4+1”. Te same pytania mogą być powtarzane wiele razy, a zakres możliwych odpowiedzi jest niewielki.
Skuteczność captcha sprawdza się w następujący sposób:
- test powinien być przeprowadzony w warunkach, w których osoba i serwer są od siebie oddalone,
test nie powinien być trudny dla danej osoby; - pytanie powinno być takie, aby można było na nie odpowiedzieć w ciągu kilku sekund,
Odpowiedzi powinien udzielić tylko ten, któremu zadano pytanie; - udzielenie odpowiedzi na pytanie musi być trudne dla komputera;
- znajomość poprzednich pytań, odpowiedzi lub ich kombinacji nie powinna wpływać na przewidywalność kolejnego testu;
- test nie może dyskryminować osób z wadami wzroku lub słuchu;
- test nie może mieć stronniczości geograficznej, kulturowej ani językowej.
Jak się okazuje, stworzenie „poprawnego” captcha jest dość trudne.
Drugą wadą captcha jest możliwość wykorzystania optycznego rozpoznawania znaków OCR. Kawałek kodu jest w stanie odczytać obraz captcha niezależnie od tego, ile zawiera szumu wizualnego, zobaczyć, jakie litery lub cyfry go tworzą, i zautomatyzować proces rozpoznawania. Badania wykazały, że większość captcha można łatwo złamać.
Podam cytaty ze specjalistów ze Szkoły Informatyki Uniwersytetu w Newcastle w Wielkiej Brytanii. Mówią o łatwości złamania captcha Microsoftu: „nasz atak zakończył się sukcesem segmentacji na poziomie 92%, co oznacza, że schemat captcha MSN można złamać w 60% przypadków poprzez segmentację obrazu, a następnie jego rozpoznanie. ” Złamanie captcha Yahoo było równie łatwe: „nasz drugi atak osiągnął sukces w segmentacji na poziomie 33,4%. Zatem około 25,9% captcha można złamać. Nasze badania sugerują, że spamerzy nigdy nie powinni wykorzystywać taniej siły roboczej do ominięcia captcha Yahoo, lecz raczej polegać na tanim, automatycznym ataku”.
Trzecia metoda ominięcia captcha nazywa się „Mechanical Turk” lub „Turk”. Natychmiast po publikacji przetestowaliśmy go pod kątem captcha Yahoo i do dziś nie wiemy i nikt nie wie, jak uchronić się przed takim atakiem.
Dzieje się tak w przypadku, gdy masz złego faceta, który będzie prowadził witrynę lub grę online „dla dorosłych”, z której użytkownicy żądają treści. Zanim haker będzie mógł zobaczyć następne zdjęcie, witryna należąca do hakera wyśle żądanie do znanego Ci systemu online, na przykład Yahoo lub Google, pobierze stamtąd captcha i przekaże je użytkownikowi. Gdy tylko użytkownik odpowie na pytanie, haker wyśle odgadnięty captcha do witryny docelowej i pokaże użytkownikowi żądany obraz ze swojej witryny. Jeśli masz bardzo popularną witrynę z dużą ilością ciekawych treści, możesz zmobilizować całą armię ludzi, którzy automatycznie wypełnią za Ciebie captcha innych osób. To bardzo potężna rzecz.
Jednak nie tylko ludzie próbują ominąć captcha, firmy również korzystają z tej techniki. Robert „RSnake” Hansen rozmawiał kiedyś na swoim blogu z rumuńskim „solerem captcha”, który powiedział, że jest w stanie rozwiązać od 300 do 500 captcha na godzinę przy stawce od 9 do 15 dolarów za tysiąc rozwiązanych captcha.
Mówi wprost, że członkowie jego zespołu pracują 12 godzin dziennie, rozwiązując w tym czasie około 4800 captcha i w zależności od tego, jak trudne są captcha, mogą otrzymać za swoją pracę nawet 50 dolarów dziennie. To był ciekawy post, ale jeszcze ciekawsze są komentarze, które użytkownicy blogów zostawili pod tym postem. Natychmiast nadeszła wiadomość z Wietnamu, gdzie niejaki Quang Hung doniósł o swojej grupie 20 osób, które zgodziły się pracować za 4 dolary za 1000 odgadniętych captcha.
Następna wiadomość pochodziła z Bangladeszu: „Witajcie! Mam nadzieję, że u ciebie wszystko w porządku! Jesteśmy wiodącą firmą przetwórczą z Bangladeszu. Obecnie naszych 30 operatorów jest w stanie rozwiązać ponad 100000 2 captcha dziennie. Oferujemy doskonałe warunki i niską stawkę - 1000 USD za XNUMX odgadniętych captcha z witryn Yahoo, Hotmail, Mayspace, Gmail, Facebook itp. Nie możemy się doczekać dalszej współpracy.”
Inną ciekawą wiadomość przesłał niejaki Babu: „Jestem zainteresowany tą pracą, proszę o kontakt telefoniczny”.
Jest to więc całkiem interesujące. Możemy debatować, jak legalna lub nielegalna jest ta działalność, ale faktem jest, że ludzie faktycznie na tym zarabiają.
Uzyskiwanie dostępu do kont innych osób
Trey Ford: Następnym scenariuszem, o którym porozmawiamy, jest zarabianie pieniędzy poprzez przejęcie cudzego konta.
Wszyscy zapominają hasła, a w przypadku testowania bezpieczeństwa aplikacji resetowanie haseł i rejestracja online stanowią dwa odrębne, ukierunkowane procesy biznesowe. Istnieje duża rozbieżność pomiędzy łatwością resetowania hasła a łatwością rejestracji, dlatego należy dążyć do tego, aby proces resetowania hasła był jak najprostszy. Jeśli jednak spróbujemy to uprościć, pojawia się problem, ponieważ im prostsze jest zresetowanie hasła, tym jest ono mniej bezpieczne.
Jedna z najgłośniejszych spraw dotyczyła rejestracji online przy użyciu usługi weryfikacji użytkowników firmy Sprint. Dwóch członków zespołu White Hat wykorzystało Sprint do rejestracji online. Jest kilka rzeczy, które musisz potwierdzić, aby udowodnić, że to ty, zaczynając od czegoś tak prostego, jak numer telefonu komórkowego. Rejestracja online jest konieczna do zarządzania kontem bankowym, płacenia za usługi i tak dalej. Kupowanie telefonów jest bardzo wygodne, jeśli można to zrobić z konta innej osoby, a następnie dokonać zakupów i zrobić znacznie więcej. Jedną z opcji oszustwa jest zmiana adresu płatności, zamówienie dostawy całej masy telefonów komórkowych na Twój adres, a ofiara będzie zmuszona za nie zapłacić. Maniacy stalkingu również marzą o takiej możliwości: dodaniu funkcji śledzenia GPS do telefonów swoich ofiar i śledzeniu każdego ich ruchu z dowolnego komputera.
Dlatego Sprint oferuje jedne z najprostszych pytań w celu sprawdzenia Twojej tożsamości. Jak wiemy, bezpieczeństwo można zapewnić albo poprzez bardzo szeroki zakres entropii, albo poprzez wysoce wyspecjalizowane zagadnienia. Przeczytam ci część procesu rejestracji w Sprint, ponieważ entropia jest bardzo niska. Na przykład pojawia się pytanie: „wybierz markę samochodu zarejestrowaną pod następującym adresem”, a opcje marki to Lotus, Honda, Lamborghini, Fiat i „żadna z powyższych”. Powiedzcie mi, który z Was ma któreś z powyższych? Jak widać, ta wymagająca łamigłówka jest po prostu świetną okazją dla studenta do zdobycia tanich telefonów.
Pytanie drugie: „Która z poniższych osób mieszka z Tobą lub mieszka pod poniższym adresem”? Bardzo łatwo jest odpowiedzieć na to pytanie, nawet jeśli w ogóle nie znasz tej osoby. Jerry Stifliin – w tym nazwisku są trzy „ay”, do tego dojdziemy za chwilę – Ralph Argen, Jerome Ponicki i John Pace. Interesujące w tym wykazie jest to, że podane imiona są całkowicie przypadkowe i wszystkie podlegają temu samemu wzorowi. Jeśli to obliczysz, nie będziesz miał trudności z rozpoznaniem prawdziwego imienia, ponieważ różni się ono od losowo wybranych imion czymś charakterystycznym, w tym przypadku trzema literami „i”. Zatem Stayfliin z pewnością nie jest przypadkowym imieniem i łatwo zgadnąć, że ta osoba jest Twoim celem. To bardzo, bardzo proste.
Pytanie trzecie: „w którym z wymienionych miast nigdy nie mieszkałeś lub nigdy nie używałeś tego miasta w swoim adresie?” — Longmont, North Hollywood, Genua czy Butte? Mamy trzy gęsto zaludnione obszary wokół Waszyngtonu, więc oczywistą odpowiedzią jest North Hollywood.
Jest kilka rzeczy, na które należy zwrócić uwagę podczas rejestracji online w Sprint. Jak powiedziałem wcześniej, możesz odnieść poważne obrażenia, jeśli osoba atakująca będzie mogła zmienić adres wysyłki zakupów w Twoich informacjach o płatności. Naprawdę przerażające jest to, że mamy usługę Mobile Locator.
Dzięki niemu możesz śledzić przemieszczanie się swoich pracowników, ponieważ ludzie korzystają z telefonów komórkowych i GPS, a także możesz zobaczyć na mapie, gdzie się znajdują. Jest więc kilka innych całkiem interesujących rzeczy, które dzieją się w tym procesie.
Jak wiadomo, podczas resetowania hasła adres e-mail ma pierwszeństwo przed innymi metodami weryfikacji użytkownika i pytaniami zabezpieczającymi. Następny slajd pokazuje wiele usług, które oferują wskazanie Twojego adresu e-mail, jeśli użytkownik ma trudności z zalogowaniem się na swoje konto.
Wiemy, że większość ludzi korzysta z poczty e-mail i ma konto e-mail. Nagle ludzie zaczęli szukać sposobu na zarobienie na tym pieniędzy. Zawsze dowiesz się, jaki jest adres e-mail ofiary, wpiszesz go w formularzu i będziesz mieć możliwość zresetowania hasła do konta, którym chcesz manipulować. Następnie używasz go w swojej sieci, a ta skrzynka pocztowa staje się Twoim złotym skarbcem, głównym miejscem, z którego możesz ukraść wszystkie inne konta ofiary. Otrzymasz całą subskrypcję ofiary, przejmując w posiadanie tylko jedną skrzynkę pocztową. Przestań się uśmiechać, to poważna sprawa!
Następny slajd pokazuje, ile milionów ludzi korzysta z odpowiednich usług e-mail. Ludzie aktywnie korzystają z Gmaila, Yahoo Mail, Hotmaila, AOL Mail, ale nie musisz być super hakerem, żeby przejąć ich konta, możesz zachować czyste ręce, outsourcingując. Zawsze możesz powiedzieć, że to nie ma z tym nic wspólnego, nic takiego nie zrobiłeś.
Tak więc usługa online „Odzyskiwanie hasła” ma siedzibę w Chinach, gdzie płacisz za włamanie się na „Twoje” konto. Za 300 juanów, czyli około 43 dolarów, możesz spróbować zresetować hasło do zagranicznej skrzynki pocztowej ze skutecznością 85%. Za 200 juanów, czyli 29 dolarów, zresetujesz hasło do domowej skrzynki pocztowej z 90% skutecznością. Włamanie się do skrzynki pocztowej dowolnej firmy kosztuje tysiąc juanów, czyli 143 dolarów, ale nie gwarantuje sukcesu. Możesz także zlecić usługi łamania haseł dla numerów 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN itp.
Konferencja BLACK HAT USA. Bogać się lub umrzyj: zarabiaj pieniądze w Internecie, korzystając z metod Black Hat. Część 2 (link będzie dostępny jutro)
Kilka reklam 🙂
Dziękujemy za pobyt z nami. Podobają Ci się nasze artykuły? Chcesz zobaczyć więcej ciekawych treści? Wesprzyj nas składając zamówienie lub polecając znajomym, , 30% zniżki dla użytkowników Habr na unikalny odpowiednik serwerów klasy podstawowej, który został przez nas wymyślony dla Ciebie: (dostępne z RAID1 i RAID10, do 24 rdzeni i do 40 GB DDR4).
Dell R730xd 2 razy tańszy? Tylko tutaj w Holandii! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gb/s 100 TB — od 99 USD! Czytać o
Źródło: www.habr.com