Istnieje witryna o nazwie Hire2Hack, która akceptuje również prośby o „odzyskanie” haseł. Tutaj koszt usługi zaczyna się od 150 dolarów. Nie wiem jak reszta, ale musisz im przekazać informacje o sobie, bo im zapłacisz. Aby się zarejestrować, musisz podać nazwę użytkownika, adres e-mail, hasło i tak dalej. Zabawne jest to, że akceptują nawet przelewy Western Union.
Warto zauważyć, że nazwy użytkowników są bardzo cenną informacją, zwłaszcza gdy są powiązane z adresem e-mail. Powiedzcie mi, który z Was podaje swoje prawdziwe imię i nazwisko przy rejestracji skrzynki pocztowej? Nikt, to świetna zabawa!
Adresy e-mail są zatem cenną informacją, szczególnie jeśli robisz zakupy online lub chcesz wyśledzić romans współmałżonka na portalu randkowym. Jeśli jesteś sprzedawcą, możesz za pomocą adresów e-mail sprawdzić, którzy z Twoich klientów lub subskrybentów korzystają obecnie z usług którejkolwiek z Twoich konkurentów.
Dlatego napastnicy phishingowi płacą duże pieniądze za prawdziwe adresy użytkowników. Ponadto wykorzystują okna odzyskiwania hasła i loginu do wydobywania prawidłowych adresów e-mail za pomocą ataków opartych na czasie. Wiele znaczących portali e-commerce i mediów społecznościowych uważa kradzież ważnych adresów e-mail za problem, który może wyrządzić wiele szkód, ponieważ opublikowano ciekawe badania w tym obszarze. Musimy zatem walczyć na dwóch frontach – z atakami na czas i z tego rodzaju wyciekami informacji.
Zamieniamy kupony elektroniczne na pieniądze
Jeremy'ego Grossmana: Przyjrzeliśmy się więc trzem sposobom oszustw internetowych i teraz podnosimy stawkę. Następnym sposobem jest zamiana eKuponów na pieniądze. Kupony te służą do zakupów online. Klient wprowadza swój unikalny identyfikator i na jego zakup zostaje naliczona zniżka. Główni sprzedawcy internetowi oferują klientom programy rabatowe, które są wspierane przez AmEx.
Wielu z Was wie, że kupony zapewniają zniżki od kilku do kilkuset dolarów i są dostarczane z 16-cyfrowym identyfikatorem. Liczby te są bardzo statyczne i zwykle pojawiają się w kolejności. Początkowo na jedno zamówienie dozwolony był tylko jeden kupon, jednak wraz ze wzrostem popularności programu ograniczenia te zostały zniesione i obecnie w jednym zamówieniu można wykorzystać więcej niż 3 kupony.
Ktoś opracował skrypt, który próbuje zidentyfikować tysiące możliwych ważnych kuponów rabatowych. Sprzedawcy znają zamówienia o wartości ponad 50 tysięcy dolarów, za które zamiast pieniędzy płacono 200 lub więcej kuponami. Zgadzam się, to dobry prezent na Boże Narodzenie!
Problem przez długi czas pozostawał niezauważony, ponieważ program działał świetnie, wszyscy korzystali z kuponów i wszyscy byli zadowoleni. Trwało to do czasu, gdy system planowania obciążenia programu wykrył 90% wzrost obciążenia procesora, podczas gdy ludzie przeglądali numery identyfikacyjne i wybierali te, które zapewniały zniżkę.
Handlarze zwrócili się do FBI o zbadanie tej sprawy, ponieważ podejrzewali, że coś jest nie tak. Problem polegał jednak na tym, że towary były wysyłane na nieistniejący adres, co ich dezorientowało. Okazało się, że napastnik wszedł w spisek z firmą kurierską, która z wyprzedzeniem „przechwyciła” towar.
Interesujące w tym przypadku jest to, że kupony nie są walutą, są jedynie narzędziem marketingowym. Błędy w logice biznesowej spowodowały jednak konieczność zaangażowania Secret Service, która również zetknęła się z faktami dotyczącymi oszustw ze strony firmy kurierskiej, która wykorzystała system na swoją korzyść.
Zarabianie pieniędzy na fałszywych kontach
Trey Ford: to jedna z moich ulubionych historii. „Prawdziwe życie: hakowanie przestrzeni biurowej”. Chyba widziałeś film o hakerach „Przestrzeń biurowa”. Rozumiemy ten proces. Ilu z Was korzystało z bankowości internetowej?
Świetnie, wszyscy przyznali, że z tego korzystali. Ciekawostką jest możliwość płacenia rachunków online za pośrednictwem ACH. Tak działa „Automatyczna Izba Rozliczeniowa” ACH. Załóżmy, że chcę kupić samochód od Jeremy'ego i zamierzam przelać pieniądze bezpośrednio z mojego konta na jego konto. Zanim dokonam płatności głównej, moja instytucja finansowa musi się upewnić, że wszystko jest w porządku. Dlatego najpierw system przesyła niewielką kwotę, od kilku centów do 2 dolarów, aby sprawdzić, czy rachunki finansowe i adresy rozliczeniowe stron są prawidłowe, a klient otrzymał pieniądze. Gdy upewnią się, że przelew został poprawnie zrealizowany, mogą przekazać pełną płatność. Możemy się spierać, czy jest to zgodne z prawem, czy jest zgodne z warunkami umowy użytkownika, ale powiedzcie mi, ilu z Was ma konto PayPal? Ile osób ma wiele identyfikatorów PayPal? Jest to prawdopodobnie całkowicie legalne i zgodne z Regulaminem.
Teraz wyobraź sobie, że za pomocą tego mechanizmu można zarobić dużo pieniędzy. Mówimy o wykorzystaniu efektu utworzenia powiedzmy 80 tysięcy takich kont poprzez ustawienie prostego skryptu. Jedyne, na co musisz zwrócić uwagę, to to, że rozpoczęliśmy naszą historię od użycia lokalnego serwera proxy, skryptu RSnake i innego narzędzia hakerskiego, które powinno pomóc nam zarabiać pieniądze, ale teraz wrócimy i pokażemy, jak znacznie ułatwić hakowanie , dzięki czemu możesz zarabiać pieniądze za pomocą tylko jednej przeglądarki.
Ten konkretny atak ma charakter osobisty. Michael Largent (22 l.) z Kalifornii za pomocą prostego skryptu utworzył 58 XNUMX fałszywych kont maklerskich. Otwierał je w systemach Schwab, eTrade i kilku innych, przypisując imiona postaci z kreskówek fałszywym użytkownikom tych kont.
Dla każdego z tych rachunków korzystał jedynie z przelewu weryfikacyjnego ACH, bez dokonywania pełnego przelewu środków. Ale miał wspólne konto, na które wpływały wszystkie te środki weryfikacyjne, a następnie przekazywał je sobie. Brzmi nieźle – nie są to duże pieniądze, ale w sumie przyniosły mu bardzo pokaźny dochód. W ten sposób zarobił pieniądze, kierując się ideą filmu Przestrzeń biurowa. Co ciekawe, nie ma tu nic nielegalnego – po prostu zebrał te wszystkie drobne kwoty, ale zrobił to bardzo szybko.
Zarobił 8225 dolarów w systemie Google Checkout i kolejne 50225 XNUMX dolarów w systemach eTrade i Schwab. Następnie wypłacił te pieniądze na kartę kredytową i zdefraudował ją. Kiedy bank odkrył, że te wszystkie tysiące kont należy do jednej osoby, pracownicy banku zadzwonili do niego i zapytali, dlaczego to zrobił, czy on nie rozumie, że kradnie pieniądze? Na co Michael odpowiedział, że nie rozumie i nie wie, że robi coś nielegalnego.
To bardzo dobry sposób na budowanie nowych relacji z ludźmi z Secret Service, którzy śledzą Cię i chcą wiedzieć o Tobie jak najwięcej. Powtarzam jeszcze raz – najzabawniejsze w tym schemacie jest to, że nie było tu nic nielegalnego. Został zatrzymany na mocy ustawy Patriot Act. Kto wie, czym jest Patriot Act?
Zgadza się, to ustawa rozszerzająca uprawnienia służb wywiadowczych w zakresie zwalczania terroryzmu. Ten facet używał imion z kreskówek i komiksów, więc udało im się go przyłapać za używanie fałszywych nazw użytkowników. Dlatego obecni, którzy używają fikcyjnych nazw swoich skrzynek pocztowych, powinni zachować ostrożność – może to zostać uznane za nielegalne!
Akt oskarżenia Secret Service opierał się na czterech zarzutach: oszustwie komputerowym, oszustwie internetowym i oszustwie pocztowym, ale uznano, że otrzymanie pieniędzy było całkowicie legalne, ponieważ korzystał z prawdziwego konta. Nie mogę powiedzieć, czy zostało to zrobione poprawnie, czy nie, etycznie czy nie, ale w zasadzie wszystko, co Michael zrobił, było zgodne z Regulaminem podanym na stronach internetowych, więc być może była to tylko dodatkowa funkcja.
Włamywanie się do banków za pośrednictwem ASP
Jeremy'ego Grossmana: wiesz, dużo podróżuję i spotykam ludzi, którzy są obeznani technicznie lub wręcz przeciwnie, w ogóle nie obeznani z technologią. A kiedy rozmawiamy o życiu, pytają, gdzie pracuję. Kiedy odpowiadam, że zajmuję się bezpieczeństwem informacji, pytają, co to jest. Wyjaśniam, a oni mówią: „aha, żeby można było włamać się do banku”!
Zatem kiedy zaczynasz wyjaśniać, w jaki sposób można włamać się do banku, masz na myśli włamanie się za pośrednictwem dostawców aplikacji finansowych ASP. Dostawcy usług aplikacji to firmy, które dzierżawią własne oprogramowanie i sprzęt swoim klientom – bankom, spółdzielczym kasom oszczędnościowo-kredytowym i innym firmom finansowym.
Z ich usług korzystają małe banki i podobne firmy, dla których posiadanie własnego oprogramowania i sprzętu nie jest opłacalne finansowo. Wynajmują więc pojemność ASP, płacąc miesięcznie lub rocznie.
ASP cieszą się dużym zainteresowaniem hakerów, ponieważ zamiast włamać się do jednego banku, mogą zhakować 600 lub tysiąc banków na raz. Zatem ASP stanowią bardzo interesujący cel dla złoczyńców.
Tak więc firmy ASP obsługują całą masę banków w oparciu o trzy ważne parametry adresu URL: identyfikator klienta Client_ID, identyfikator banku bank_ID i identyfikator konta acct_ID. Każdy klient ASP ma swój własny, unikalny identyfikator, który może być potencjalnie używany w wielu witrynach bankowych. Każdy bank może posiadać dowolną liczbę kont użytkowników dla każdej aplikacji finansowej – systemu oszczędnościowego, systemu weryfikacji konta, systemu płatności itp., a każda aplikacja finansowa posiada swój własny identyfikator. Co więcej, każde konto klienta w tym systemie aplikacyjnym ma również swój własny identyfikator. Mamy więc trzy systemy kont.
Jak więc zhakować 600 banków na raz? Najpierw patrzymy na koniec ciągu adresu URL w następujący sposób: i spróbuj zastąpić acct_id dowolną wartością #X, po czym otrzymamy duży, czerwony komunikat o błędzie o następującej treści: „Konto #X należy do banku #Y” (konto #X należy do banku #Y). Następnie bierzemy bank_id, zmieniamy go w przeglądarce na #Y i otrzymujemy komunikat: „Bank #Y należy do Klienta #Z” (bank #Y należy do klienta #Z).
Na koniec bierzemy client_id, przypisujemy mu #Z - i gotowe, wchodzimy na konto, na które pierwotnie chcieliśmy się dostać. Po udanym włamaniu się do systemu, możemy w ten sam sposób dostać się na każde inne konto bankowe, bankowe lub konto klienta. Jesteśmy w stanie dotrzeć do każdego konta w systemie. Nie ma tu żadnej wzmianki o autoryzacji. Jedyne, co sprawdzają, to to, że jesteś zalogowany swoim identyfikatorem i teraz możesz swobodnie wypłacać pieniądze, dokonywać przelewów i tak dalej.
Pewnego dnia jeden z naszych klientów spoza ASP przekazał naszą informację o tej luce innemu klientowi korzystającemu z ASP i powiedział mu, że istnieje problem, który należy naprawić. Powiedzieliśmy im, że prawdopodobnie będziemy musieli przepisać cały wniosek, aby wprowadzić autoryzację, a system sprawdzi, czy klient ma uprawnienia do dokonywania transakcji finansowych, i że zajmie to trochę czasu.
Dwa dni później przesłali nam odpowiedź, że sami już wszystko naprawili – poprawili adres URL, tak że komunikat o błędzie już się nie pojawiał. Oczywiście było fajnie i postanowiliśmy zajrzeć do kodu źródłowego, aby zobaczyć, co zrobili ze swoją „świetną” techniką hakowania. Zatem jedyne, co zrobili, to przestali wyświetlać komunikat o błędzie w formacie HTML. Ogólnie rzecz biorąc, odbyliśmy bardzo interesującą rozmowę z tym klientem. Powiedzieli, że ponieważ nie byli w stanie szybko rozwiązać tego problemu, postanowili to zrobić na razie, mając nadzieję na całkowite naprawienie luki w dłuższej perspektywie.
Odwrócony transfer pieniędzy
Inną metodą oszustwa, o której opowiem bardzo krótko, jest zwrot pieniędzy. Operację tę wykonuje się w wielu aplikacjach bankowych. W przypadku przelewu 10000 XNUMX dolarów z konta A na konto B formuła operacji powinna logicznie działać w następujący sposób:
A = A - (10,000 XNUMX USD)
B = B + (10,000 XNUMX dolarów)
Oznacza to, że 10000 XNUMX dolarów jest pobierane z konta A i dodawane do konta B.
Co ciekawe, bank nie sprawdza, czy wpisałeś prawidłową kwotę przelewu. Można na przykład zamienić liczbę dodatnią na ujemną, czyli przelać 10000 XNUMX dolarów z konta A na konto B. Formuła transakcji będzie wyglądać następująco:
A = A — (-10,000 XNUMX USD)
B = B + (-10,000 XNUMX USD)
Oznacza to, że zamiast pobierać środki z konta A, zostaną one pobrane z konta B i zaksięgowane na koncie A. Dzieje się tak od czasu do czasu i przynosi ciekawe rezultaty. Na dole tego slajdu znajduje się link do artykułu badawczego .
Opisuje podobne zdarzenia, które mają miejsce w przypadku błędów zaokrągleń. W tym artykule Corsaire'a znajduje się wiele interesujących rzeczy, które dostarczyły nam materiału do niektórych naszych własnych rozwiązań.
Wróćmy jednak do poprzedniego problemu. Skontaktowaliśmy się z ASP Security i otrzymaliśmy następującą odpowiedź: „Wewnętrzne kontrole biznesowe zapobiegną takim problemom”. Powiedzieliśmy: „OK, zajrzyjmy na ich stronę internetową”. Kilka tygodni później, gdy kontynuowaliśmy współpracę z naszym klientem, otrzymaliśmy od niego pocztą następujący czek:
Tutaj jest napisane, że jest to opłata w wysokości 2 dolarów za testy wykonane przez naszą firmę WH. W ten sposób zarabiamy pieniądze!
Nadal mam ten paragon na biurku. Za dwa takie badania możemy dostać aż 4 dolary!
Jednak kilka miesięcy później usłyszeliśmy od konkretnego klienta, że 70000 XNUMX dolarów zostało nielegalnie przelane do jednego z krajów Europy Wschodniej. Pieniądze nie mogły zostać zwrócone, ponieważ było już za późno i ASP straciła klienta. Takie rzeczy się zdarzają, ale nigdy nie dowiedzieliśmy się, ponieważ nie jesteśmy specjalistami medycyny sądowej, jak wielu innych klientów zostało dotkniętych tą luką. Ponieważ wszystko w tym schemacie znów wygląda całkowicie legalnie - zmieniasz tylko wygląd adresu URL.
Zakupy poprzez telezakupy
Trey Ford: Teraz opowiem Ci o naprawdę technicznym hacku, więc słuchaj uważnie. Wszyscy znamy małą stację telewizyjną o nazwie QVC, jestem pewien, że czasami kupujesz coś w tym sklepie telewizyjnym.
Wiedz, że kupując coś online, niezależnie od strony, nie klikaj nigdzie, bo realizacja Twojego zamówienia rozpocznie się natychmiast! Możesz natychmiast zmienić zdanie i przerwać transakcję. Ale kilka dni później dostajesz pocztą mnóstwo śmieci, za które musisz natychmiast zapłacić.
Wchodzi Quantina Moore-Perry, 33-letnia certyfikowana hakerka z Greensboro w Północnej Karolinie. Nie wiem, czym wcześniej się zajmowała, ale mogę opowiedzieć, jak zaczęła zarabiać po rzekomo przypadkowej transakcji, którą rzekomo przeprowadziła, choć niemal natychmiast anulowała transakcję na stronie.
Wszystkie te „zamówione” rzeczy zaczęły docierać na jej adres pocztowy z QVC - torebki damskie, sprzęt AGD, biżuteria, elektronika. Co byś zrobił, gdyby ktoś wysłał Ci pocztą coś, czego nie zamówiłeś? Zgadza się, nic! Od razu widać, że nasi ludzie...
Otrzymujesz jednak bezpłatną wysyłkę, a bezpłatna wysyłka to korzyść! W końcu paczki są już wysłane pocztą, nie trzeba ich nigdzie wysyłać. Jeśli jest to standardowy proces biznesowy, jak możesz z niego skorzystać? Co zrobić z 1800 przesyłkami, które docierały na jej adres pocztowy od maja do listopada? Tak więc ta kobieta wystawiła wszystkie te rzeczy na aukcji w serwisie eBay i w wyniku sprzedaży tych wszystkich śmieci jej zysk wyniósł 412000 XNUMX dolarów! Jak ona tego dokonała, jest bardzo proste! Powiedziała na poczcie, że ktoś zamówił wszystkie te paczki od QVC na jej adres, ale ma trudności z ich przepakowaniem i wysłaniem do adresatów, więc upewnijcie się, że zostały wysłane w oryginalnym opakowaniu QVC!
Jak widać jest to bardzo techniczne rozwiązanie! Jednak firma QVC zaniepokoiła się tym problemem, gdy dwie osoby, które kupiły przedmiot w serwisie eBay, otrzymały go w opakowaniu QVC. Sąd federalny uznał kobietę za winną oszustw pocztowych.
Zatem prosty techniczny problem z anulowaniem złożonych zamówień pozwolił tej kobiecie zarobić ogromną sumę pieniędzy.
37:40 min
Kilka reklam 🙂
Dziękujemy za pobyt z nami. Podobają Ci się nasze artykuły? Chcesz zobaczyć więcej ciekawych treści? Wesprzyj nas składając zamówienie lub polecając znajomym, , 30% zniżki dla użytkowników Habr na unikalny odpowiednik serwerów klasy podstawowej, który został przez nas wymyślony dla Ciebie: (dostępne z RAID1 i RAID10, do 24 rdzeni i do 40 GB DDR4).
Dell R730xd 2 razy tańszy? Tylko tutaj w Holandii! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gb/s 100 TB — od 99 USD! Czytać o
Źródło: www.habr.com