Existe um site chamado Hire2Hack, que também aceita pedidos de “recuperação” de senhas. Aqui o custo do serviço começa em $ 150. Não sei o resto, mas você tem que dar informações sobre você porque vai pagá-los. Para se registrar, você precisa fornecer um nome de usuário, e-mail, senha e assim por diante. O engraçado é que eles aceitam até transferências Western Union.
Vale ressaltar que nomes de usuário são informações muito valiosas, principalmente quando associados a um endereço de e-mail. Diga-me, qual de vocês indica seu nome verdadeiro ao registrar uma caixa de correio? Ninguém, isso é divertido!
Portanto, endereços de e-mail são informações valiosas, especialmente se você estiver fazendo compras on-line ou quiser rastrear a aventura de seu cônjuge em um site de namoro. Se você é um vendedor, pode usar endereços de e-mail para verificar quais de seus clientes ou assinantes estão usando atualmente os serviços de algum de seus concorrentes.
Portanto, os invasores de phishing pagam muito dinheiro por endereços de usuários reais. Além disso, eles usam janelas de recuperação de senha e login para extrair endereços de e-mail válidos usando ataques baseados em tempo. Muitos dos principais portais de comércio eletrônico e de mídia social estão considerando o roubo de endereços de e-mail válidos como um problema que pode causar muitos danos, uma vez que estudos interessantes foram publicados nesta área. Por isso, temos de lutar em duas frentes: contra os ataques de cronometragem e contra as fugas de informação deste tipo.
Transformamos cupons eletrônicos em dinheiro
Jeremy Grossman: Então, analisamos três formas de fraude on-line e agora estamos aumentando a aposta. A próxima maneira é transformar eCoupons em dinheiro. Esses cupons são usados para compras online. O cliente insere seu ID exclusivo e um desconto é aplicado à compra. Os principais varejistas online oferecem programas de descontos aos clientes, que são apoiados pela AmEx.
Muitos de vocês sabem que os cupons oferecem descontos que variam de algumas a algumas centenas de dólares e vêm com um ID de 16 dígitos. Esses números são muito estáticos e geralmente aparecem em ordem. No início, apenas um cupom era permitido por pedido, mas depois, à medida que a popularidade do programa cresceu, essas restrições foram suspensas e agora mais de 3 cupons podem ser usados em um pedido.
Alguém desenvolveu um script que tenta identificar milhares de possíveis cupons de desconto válidos. Os vendedores conhecem pedidos de valor superior a 50 mil dólares, que foram pagos com 200 ou mais cupons em vez de dinheiro. Concordo, este é um bom presente de Natal!
O problema passou despercebido por muito tempo porque o programa funcionou muito bem, todos usaram os cupons e todos ficaram felizes. Isso continuou até que o sistema de agendamento de carga do programa detectou um aumento de 90% na carga do processador enquanto as pessoas percorriam os números de identificação, selecionando aqueles que ofereciam desconto.
Os comerciantes pediram ao FBI que investigasse o caso porque suspeitavam que algo estava errado. Mas o problema era que a mercadoria estava sendo enviada para um endereço inexistente e isso os confundia. Descobriu-se que o agressor conspirou com o serviço de entrega, que “interceptou” a mercadoria antecipadamente.
O interessante neste caso é que os cupons não são moeda, são apenas ferramentas de marketing. No entanto, erros na lógica de negócio levaram à necessidade de envolver o Serviço Secreto, que também se deparou com factos de fraude por parte do serviço de entregas, que utilizou o sistema a seu favor.
Ganhar dinheiro com contas falsas
Trey Ford: esta é uma das minhas histórias favoritas. "Vida real: invasão de escritórios." Acho que você já viu o filme sobre hackers "Office Space". Vamos entender esse processo. Quantos de vocês já usaram serviços bancários online?
Ótimo, todos admitiram que usaram. Uma coisa interessante é a capacidade de pagar contas online via ACH. A ACH “Automated Clearing House” funciona assim. Digamos que eu queira comprar um carro de Jeremy e vou transferir dinheiro diretamente da minha conta para a conta dele. Antes de efetuar o pagamento principal, minha instituição financeira precisa ter certeza de que tudo está em ordem. Portanto, primeiro o sistema transfere uma pequena quantia, de alguns centavos a 2 dólares, para verificar se as contas financeiras e os endereços de roteamento das partes estão em ordem e se o cliente recebeu o dinheiro. Assim que estiverem convencidos de que a transferência foi concluída corretamente, eles estarão prontos para encaminhar o pagamento integral. Podemos discutir se isso é legal, se está em conformidade com os termos do contrato do usuário, mas diga-me, quantos de vocês têm uma conta no PayPal? Quantas pessoas têm vários IDs do PayPal? Provavelmente, isso é totalmente legal e está em conformidade com os Termos e Condições.
Agora imagine que esse mecanismo pode ser usado para ganhar muito dinheiro. Estamos falando sobre usar o efeito de criar, digamos, 80 mil dessas contas configurando um script simples. A única coisa que você precisa prestar atenção é que começamos nossa história usando um proxy local, script RSnake, outra ferramenta de hacking que deve nos ajudar a ganhar dinheiro, mas agora vamos voltar e mostrar como tornar o hacking muito mais fácil , para que você possa usar apenas um navegador para ganhar dinheiro.
Este ataque específico é de natureza pessoal. Michael Largent, 22 anos, da Califórnia, usou um script simples para criar 58 mil contas falsas de corretagem. Ele os abriu nos sistemas da Schwab, eTrade e alguns outros, atribuindo nomes de personagens de desenhos animados aos falsos usuários dessas contas.
Para cada uma dessas contas, ele utilizou apenas uma transferência de verificação ACH, sem fazer uma transferência total de fundos. Mas ele possuía uma conta conjunta para a qual fluíam todos esses fundos de verificação e depois os transferia para si mesmo. Parece bom - não é muito dinheiro, mas no total trouxe-lhe uma renda muito substancial. Foi assim que ganhou dinheiro, seguindo a ideia do filme Office Space. O interessante é que não há nada de ilegal aqui - ele apenas coletou todas essas pequenas quantias, mas fez isso muito rapidamente.
Ele ganhou US$ 8225 no sistema Google Checkout e outros US$ 50225 nos sistemas eTrade e Schwab. Ele então retirou esse dinheiro para um cartão de crédito e o desviou. Quando o banco descobriu que todas essas milhares de contas pertenciam a uma pessoa, os funcionários do banco ligaram para ele e perguntaram por que ele fez isso, ele não entende que está roubando dinheiro? Ao que Michael respondeu que não entendia e não sabia que estava fazendo algo ilegal.
Это очень хороший способ наладить новые отношения с людьми из Секретной Службы, которые следуют за вами повсюду и хотят узнать о вас как можно больше. Ещё раз повторю – самое смешное в этой схеме то, что здесь не было ничего противозаконного. Его задержали на основании Patriot Act, «Патриотического Акта». Кто знает, что такое «Патриотический Акт»?
É isso mesmo, esta é uma lei que amplia os poderes dos serviços de inteligência na área de combate ao terrorismo. Esse cara usava nomes de desenhos animados e quadrinhos, então eles conseguiram prendê-lo por usar nomes de usuário falsos. Portanto, os presentes que usam nomes fictícios em suas caixas de correio devem ter cuidado - isso pode ser considerado ilegal!
A acusação do Serviço Secreto baseou-se em quatro acusações: fraude informática, fraude na Internet e fraude postal, mas o acto de receber dinheiro foi considerado totalmente legal, uma vez que utilizou uma conta real. Não posso dizer se foi feito corretamente ou não, eticamente ou não, mas basicamente tudo o que Michael fez cumpriu os Termos e Condições listados nos sites, então talvez tenha sido apenas um recurso adicional.
Hackeando bancos via ASP
Jeremy Grossman: você sabe, eu viajo muito e conheço pessoas que são tecnicamente experientes ou, pelo contrário, nada versadas em tecnologia. E quando falamos de vida perguntam onde trabalho. Quando eu respondo que faço segurança da informação, eles perguntam o que é isso. Eu explico, e aí eles falam: “ah, então você pode hackear um banco”!
Então, quando você começa a explicar como um banco pode realmente ser hackeado, você está falando sobre hackear provedores de aplicativos financeiros ASP. Provedores de serviços de aplicativos são empresas que alugam seu próprio software e hardware para seus clientes – bancos, cooperativas de crédito e outras empresas financeiras.
Os seus serviços são utilizados por pequenos bancos e empresas similares para as quais não é financeiramente rentável ter software e hardware próprios. Então eles alugam capacidade ASP, pagando mensalmente ou anualmente.
ASP пользуются повышенным вниманием хакеров, потому что вместо того, чтобы взломать один банк, они могут сразу взломать 600 или тысячу банков. Так что ASP представляют для плохих парней очень интересную цель.
Portanto, as empresas ASP atendem vários bancos com base em três parâmetros de URL importantes: ID do cliente client_ID, ID do banco bank_ID e ID da conta acct_ID. Cada cliente ASP possui seu próprio identificador exclusivo, que pode ser potencialmente usado em vários sites bancários. Cada banco pode ter qualquer número de contas de usuário para cada aplicação financeira - sistema de poupança, sistema de verificação de conta, sistema de pagamento, etc., e cada aplicação financeira possui seu próprio ID. Além disso, cada conta de cliente neste sistema aplicativo também possui seu próprio ID. Portanto, temos três sistemas de contas.
Então, como hackeamos 600 bancos de uma vez? Primeiro, olhamos para o final de uma string de URL assim: и пытаемся заменить acct_id произвольным значением #X, после чего получаем большое, выделенное красным цветом, сообщение об ошибке такого содержания: “Account #X belongs to Bank #Y” (счёт #X принадлежит банку #Y). Далее мы берём bank_id, меняем его в браузере на #Y и получаем сообщение: “Bank #Y belong to Client #Z” (банк #Y принадлежит клиенту #Z).
Finalmente, pegamos o client_id, atribuímos a ele #Z - e pronto, entramos na conta que queríamos originalmente. Depois de hackearmos o sistema com sucesso, podemos entrar em qualquer outra conta bancária, ou banco, ou conta de cliente da mesma maneira. Podemos alcançar todas as contas do sistema. Não há nenhum indício de autorização aqui. A única coisa que eles verificam é se você está logado com seu ID e agora pode sacar dinheiro livremente, fazer uma transferência e assim por diante.
Um dia, um de nossos clientes não-ASP encaminhou nossas informações sobre essa vulnerabilidade para outro cliente que estava usando ASP e disse-lhes que havia um problema que precisava ser corrigido. Dissemos a eles que provavelmente teríamos que reescrever todo o pedido para introduzir a autorização e o sistema verificaria se o cliente estava autorizado a realizar transações financeiras, e que isso levaria algum tempo.
Dois dias depois eles nos enviaram uma resposta dizendo que já haviam consertado tudo sozinhos - haviam corrigido a URL para que a mensagem de erro não aparecesse mais. Claro, foi legal, e decidimos dar uma olhada no código-fonte para ver o que eles fizeram com sua “ótima” técnica de hacking. Então, tudo o que fizeram foi parar de exibir uma mensagem de erro em formato HTML. No geral, tivemos uma conversa muito interessante com esse cliente. Eles disseram que, como não conseguiram resolver o problema rapidamente, decidiram fazê-lo por enquanto, na esperança de corrigir completamente a vulnerabilidade no longo prazo.
Transferência reversa de dinheiro
Ещё один способ мошенничества, о котором я расскажу совсем коротко – это обратный денежный перевод. Эта операция совершается во многих банковских приложениях. При переводе $10000 со счёта А на счёт В формула операции логически должна работать так:
A = A - (US$ 10,000)
B = B + (US$ 10,000)
Ou seja, $10000 são retirados da conta A e adicionados à conta B.
Интересно то, что банк не проверяет, правильную ли величину перевода вы вводите. Например, вы можете заменить положительное число отрицательным, то есть перевести _10000$ со счёта А на счёт В. При этом формула транзакции будет выглядеть так:
A = A - (-$ 10,000)
B = B + (-$ 10,000)
Ou seja, ao invés de debitarem recursos da conta A, eles serão debitados da conta B e creditados na conta A. Isso acontece de tempos em tempos e traz resultados interessantes. Na parte inferior deste slide você pode ver um link para um artigo de pesquisa .
Descreve coisas semelhantes que acontecem com erros de arredondamento. Há muitas coisas interessantes neste artigo da Corsaire que nos forneceram material para algumas de nossas próprias soluções.
Но вернёмся к предыдущей проблеме. Мы обратились в службу безопасности ASP и получили следующий ответ: «Внутренний бизнес-контроль предотвратит подобные проблемы». Мы сказали: «ок, посмотрим на их веб-сайт». Несколько недель спустя, когда мы продолжили работать с нашим клиентом, мы получили от них по почте вот этот чек:
Diz aqui que esta é uma taxa de US$ 2 para testes feitos por nossa empresa WH. É assim que ganhamos dinheiro!
Ainda tenho aquele recibo na minha mesa. Por dois desses testes, podemos ganhar até 4 dólares!
Mas, alguns meses mais tarde, ouvimos de um cliente específico que 70000 dólares tinham sido transferidos ilegalmente para um dos países da Europa de Leste. O dinheiro não pôde ser devolvido porque era tarde demais e a ASP perdeu o cliente. Estas coisas acontecem, mas o que nunca descobrimos, porque não somos cientistas forenses, é quantos outros clientes foram afetados por esta vulnerabilidade. Porque tudo neste esquema parece completamente legal novamente - você está apenas alterando a aparência do URL.
Compras no televendas
Trey Ford: Agora vou falar sobre um hack realmente técnico, então ouça com atenção. Todos nós conhecemos a pequena estação de televisão chamada QVC, tenho certeza que você às vezes compra alguma coisa nesta loja de TV.
Saiba que ao comprar algo online, independente do site, não clique em lugar nenhum pois seu pedido começará a ser processado imediatamente a seguir! Você pode mudar de ideia imediatamente e interromper a transação. Mas, alguns dias depois, você recebe um monte de lixo pelo correio e precisa pagar imediatamente.
Вот Куантина Мур-Перри, 33-летняя сертифицированная хакерша из Гринсборо, штат Северная Каролина. Я не знаю, чем она зарабатывала на жизнь раньше, но я могу сказать вам, как она начала зарабатывать деньги после случайной транзакции, которую она будто бы совершила, хотя практически немедленно отменила сделку на сайте.
Todas essas coisas “encomendadas” começaram a chegar ao seu endereço postal do QVC - bolsas femininas, eletrodomésticos, joias, eletrônicos. O que você faria se alguém lhe enviasse algo pelo correio que você não pediu? Isso mesmo, nada! É imediatamente óbvio que nosso povo...
Однако вы получаете бесплатную доставку, а бесплатная доставка — это выгода! Ведь посылки уже на почте, вам не нужно их никуда отсылать. Если это стандартный бизнес-процесс, то как им можно воспользоваться? Что делать с 1800 посылками, которые приходили на её почтовый адрес с мая по ноябрь? Так вот, эта женщина выставила все эти вещи на аукционе eBay, и в результате продажи всего этого барахла её прибыль составила 412000 долларов! Как она при этом поступала – очень просто! Она говорила на почте, что кто-то заказал на её адрес все эти посылки с QVC, но ей очень трудно перепаковывать их и отсылать адресатам, поэтому пусть они отправляются в оригинальной упаковке QVC!
Como você pode ver, esta é uma solução muito técnica! No entanto, o QVC ficou preocupado com esse problema depois que 2 pessoas que compraram o item no eBay o receberam na embalagem do QVC. Um tribunal federal considerou a mulher culpada de fraude postal.
Assim, um simples percalço técnico com o cancelamento de encomendas realizadas permitiu a esta mulher ganhar uma enorme quantia de dinheiro.
37:40 min
Alguns anúncios 🙂
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, , 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com