Existuje stránka s názvom Hire2Hack, ktorá tiež prijíma žiadosti o „obnovu“ hesiel. Tu cena služby začína od 150 dolárov. Ostatne neviem, ale musis im dat o sebe informacie, lebo im ides platit. Ak sa chcete zaregistrovať, musíte zadať používateľské meno, e-mail, heslo atď. Vtipné je, že akceptujú aj prevody cez Western Union.
Stojí za zmienku, že používateľské mená sú veľmi cenné informácie, najmä ak sú spojené s e-mailovou adresou. Povedzte mi, kto z vás pri registrácii poštovej schránky uvádza svoje skutočné meno? Nikto, toto je zábava!
Takže e-mailové adresy sú cennou informáciou, najmä ak nakupujete online alebo chcete sledovať, ako váš manželský partner na zoznamke prepadol. Ak ste predajca, môžete použiť e-mailové adresy na kontrolu toho, ktorí z vašich zákazníkov alebo predplatiteľov momentálne využívajú služby ktoréhokoľvek z vašich konkurentov.
Preto phishingoví útočníci platia veľké peniaze za skutočné adresy používateľov. Okrem toho používajú okná na obnovenie hesla a prihlásenia na dolovanie platných e-mailových adries pomocou útokov založených na čase. Mnoho veľkých portálov elektronického obchodu a sociálnych médií považuje krádež platných e-mailových adries za problém, ktorý môže spôsobiť veľa škôd, keďže v tejto oblasti boli publikované zaujímavé štúdie. Musíme teda bojovať na dvoch frontoch – proti útokom načasovania a proti únikom informácií tohto druhu.
Premieňame elektronické kupóny na peniaze
Jeremy Grossman: Takže sme sa pozreli na tri spôsoby online podvodu a teraz zvyšujeme náskok. Ďalším spôsobom je premeniť eKupóny na peniaze. Tieto kupóny sa používajú na online nakupovanie. Zákazník zadá svoje jedinečné ID a na jeho nákup sa uplatní zľava. Významní online predajcovia ponúkajú zákazníkom programy zliav, ktoré podporuje AmEx.
Mnohí z vás vedia, že kupóny poskytujú zľavy v rozmedzí od niekoľkých do niekoľkých stoviek dolárov a majú 16-miestne ID. Tieto čísla sú veľmi statické a zvyčajne sa zobrazujú v poradí. Spočiatku bol povolený iba jeden kupón na objednávku, ale potom, ako program rástol popularitou, boli tieto obmedzenia zrušené a teraz je možné použiť viac ako 3 kupóny na jednu objednávku.
Niekto vyvinul skript, ktorý sa snaží identifikovať tisíce možných platných zľavových kupónov. Predajcovia vedia o objednávkach v hodnote nad 50-tisíc dolárov, ktoré boli zaplatené 200 a viac kupónmi namiesto peňazí. Súhlasíte, toto je dobrý vianočný darček!
Problém zostal dlho nepovšimnutý, pretože program fungoval výborne, kupóny využívali všetci a všetci boli spokojní. Toto pokračovalo, kým systém plánovania záťaže programu nezistil 90% nárast zaťaženia procesora, zatiaľ čo ľudia prechádzali číslami ID a vyberali tie, ktoré poskytovali zľavu.
Obchodníci požiadali FBI, aby tento prípad vyšetrila, pretože mali podozrenie, že niečo nie je v poriadku. Problém bol ale v tom, že tovar bol posielaný na neexistujúcu adresu a to ich zmiatlo. Ukázalo sa, že útočník uzavrel sprisahanie s doručovacou službou, ktorá „zachytila“ tovar vopred.
Na tomto prípade je zaujímavé, že kupóny nie sú platidlom, sú to len marketingové nástroje. Chyby v obchodnej logike však viedli k potrebe zapojiť tajnú službu, ktorá sa tiež stretla s podvodmi zo strany doručovateľskej služby, ktorá využívala systém vo svoj prospech.
Zarábanie peňazí z falošných účtov
Trey Ford: toto je jeden z mojich obľúbených príbehov. "Skutočný život: Hackovanie kancelárskych priestorov." Myslím, že ste videli film o hackeroch "Office Space". Poďme pochopiť tento proces. Koľkí z vás využili online bankovníctvo?
Super, každý priznal, že to využil. Jednou zaujímavou vecou je možnosť platiť účty online cez ACH. ACH "Automated Clearing House" funguje takto. Povedzme, že si chcem kúpiť auto od Jeremyho a prevediem peniaze priamo z môjho účtu na jeho účet. Predtým, ako vykonám hlavnú platbu, sa moja finančná inštitúcia musí uistiť, že je všetko v poriadku. Preto systém najprv prevedie malú čiastku, od niekoľkých centov po 2 doláre, aby overil, či sú finančné účty a smerovacie adresy strán v poriadku a klient peniaze dostal. Keď sa presvedčia, že tento prevod bol dokončený správne, sú pripravení poslať celú platbu. Môžeme polemizovať o tom, či je to legálne, či je to v súlade s podmienkami užívateľskej zmluvy, ale povedzte mi, koľkí z vás majú PayPal účet? Koľko ľudí má viacero PayPal ID? Toto je pravdepodobne úplne legálne a je v súlade s obchodnými podmienkami.
Teraz si predstavte, že týmto mechanizmom sa dá zarobiť veľa peňazí. Hovoríme o využití efektu vytvorenia povedzme 80 tisíc takýchto účtov nastavením jednoduchého skriptu. Jediná vec, na ktorú musíte venovať pozornosť, je, že sme náš príbeh začali pomocou lokálneho proxy, skriptu RSnake, iného hackerského nástroja, ktorý by nám mal pomôcť zarobiť peniaze, ale teraz sa vrátime a ukážeme, ako si hackovanie značne zjednodušiť , takže na zarábanie peňazí môžete používať iba jeden prehliadač.
Tento konkrétny útok má osobný charakter. Michael Largent (22) z Kalifornie pomocou jednoduchého skriptu vytvoril 58 XNUMX falošných maklérskych účtov. Otvoril ich v systémoch Schwab, eTrade a niektorých ďalších, pričom falošným používateľom týchto účtov priradil mená kreslených postavičiek.
Pre každý z týchto účtov použil iba overovací prevod ACH bez vykonania úplného prevodu finančných prostriedkov. Vlastnil však spoločný účet, na ktorý prúdili všetky tieto overovacie prostriedky, a potom ich previedol na seba. Znie to dobre – nie je to veľa peňazí, no celkovo mu to prinieslo veľmi podstatný príjem. Takto zarobil peniaze podľa myšlienky filmu Office Space. Zaujímavosťou je, že tu nie je nič nelegálne – len zozbieral všetky tieto drobné sumy, no urobil to veľmi rýchlo.
V systéme Google Checkout zarobil 8225 50225 dolárov a ďalších XNUMX XNUMX dolárov na systémoch eTrade a Schwab. Tieto peniaze potom vybral na kreditnú kartu a spreneveril ju. Keď banka zistila, že všetky tieto tisíce účtov patria jednej osobe, zamestnanci banky mu zavolali a pýtali sa, prečo to urobil, nechápe, že kradne peniaze? Na čo Michael odpovedal, že nerozumie a nevie, že robí niečo nezákonné.
Je to veľmi dobrý spôsob, ako si vybudovať nové vzťahy s ľuďmi z tajnej služby, ktorí vás sledujú a chcú o vás vedieť čo najviac. Opakujem ešte raz – najvtipnejšie na tejto schéme je, že tu nebolo nič nelegálne. Bol zadržaný na základe zákona Patriot Act. Kto vie, čo je Patriot Act?
Presne tak, ide o zákon, ktorý rozširuje právomoci spravodajských služieb v oblasti boja proti terorizmu. Tento chlapík používal mená z karikatúr a komiksov, takže ho mohli zatknúť za používanie falošných používateľských mien. Prítomní, ktorí používajú pre svoje poštové schránky vymyslené mená, by si teda mali dávať pozor – môže to byť považované za nezákonné!
Obžaloba tajnej služby bola založená na štyroch bodoch: počítačový podvod, internetový podvod a poštový podvod, ale akt prijatia peňazí sa ukázal ako úplne legálny, pretože používal skutočný účet. Nemôžem povedať, či to bolo urobené správne alebo nie, eticky alebo nie, ale v podstate všetko, čo Michael urobil, bolo v súlade s podmienkami uvedenými na webových stránkach, takže to možno bola len doplnková funkcia.
Hackovanie bánk cez ASP
Jeremy Grossman: viete, veľa cestujem a stretávam ľudí, ktorí sú technicky zdatní, alebo naopak, v technike sa vôbec neorientujú. A keď sa bavíme o živote, pýtajú sa, kde pracujem. Keď odpoviem, že robím informačnú bezpečnosť, pýtajú sa, čo to je. Vysvetlím a potom povedia: „Aha, takže môžeš hacknúť banku“!
Takže, keď začnete vysvetľovať, ako môže byť banka v skutočnosti hacknutá, hovoríte o hackovaní prostredníctvom poskytovateľov finančných aplikácií ASP. Poskytovatelia aplikačných služieb sú spoločnosti, ktoré prenajímajú svoj vlastný softvér a hardvér svojim klientom – bankám, úverovým družstvám a iným finančným spoločnostiam.
Ich služby využívajú malé banky a podobné spoločnosti, pre ktoré nie je finančne výhodné mať vlastný softvér a hardvér. Prenajímajú si teda kapacitu ASP a platia im mesačne alebo ročne.
ASP získavajú veľkú pozornosť od hackerov, pretože namiesto hacknutia jednej banky môžu naraz hacknúť 600 alebo tisíc bánk. Takže ASP predstavujú veľmi zaujímavý cieľ pre zlých ľudí.
Spoločnosti ASP teda obsluhujú celý rad bánk na základe troch dôležitých parametrov adresy URL: ID klienta client_ID, ID banky bank_ID a ID účtu acct_ID. Každý klient ASP má svoj vlastný jedinečný identifikátor, ktorý možno potenciálne použiť na viacerých bankových stránkach. Každá banka môže mať pre každú finančnú aplikáciu - sporiaci systém, systém overovania účtov, platobný styk atď. ľubovoľný počet používateľských účtov a každá finančná aplikácia má svoje ID. Navyše, každý klientsky účet v tomto aplikačnom systéme má aj svoje vlastné ID. Máme teda tri účtovné systémy.
Ako teda hackneme 600 bánk naraz? Najprv sa pozrieme na koniec reťazca adresy URL takto: a skúste nahradiť acct_id ľubovoľnou hodnotou #X, po ktorej dostaneme veľké červené chybové hlásenie s nasledujúcim obsahom: „Účet #X patrí banke #Y“ (účet #X patrí banke #Y). Ďalej vezmeme bank_id, zmeníme ho v prehliadači na #Y a dostaneme správu: „Banka #Y patrí klientovi #Z“ (banka #Y patrí klientovi #Z).
Nakoniec vezmeme client_id, priradíme mu #Z – a je to, dostaneme sa do účtu, do ktorého sme sa pôvodne chceli dostať. Po úspešnom hacknutí systému sa môžeme rovnakým spôsobom dostať na akýkoľvek iný bankový účet alebo bankový alebo klientsky účet. Dostaneme sa ku každému účtu v systéme. Nie je tu vôbec žiadny náznak autorizácie. Jediné, čo kontrolujú, je, že ste prihlásený s ID a teraz si môžete ľubovoľne vyberať peniaze, prevádzať a podobne.
Jedného dňa jeden z našich zákazníkov mimo ASP preposlal naše informácie o tejto zraniteľnosti inému zákazníkovi, ktorý používal ASP, a povedal mu, že existuje problém, ktorý treba vyriešiť. Povedali sme im, že zrejme budeme musieť prepísať celú aplikáciu, aby sme zaviedli autorizáciu a systém skontroluje, či má klient oprávnenie na finančné transakcie, a že to bude nejaký čas trvať.
O dva dni neskôr nám poslali odpoveď, že už všetko opravili sami - opravili URL, takže chybové hlásenie sa už nezobrazovalo. Samozrejme, bolo to skvelé a rozhodli sme sa pozrieť si zdrojový kód, aby sme zistili, čo urobili so svojou „skvelou“ hackerskou technikou. Takže všetko, čo urobili, bolo prestať zobrazovať chybové hlásenie vo formáte HTML. Celkovo sme mali s týmto klientom veľmi zaujímavý rozhovor. Povedali, že keďže neboli schopní tento problém rýchlo vyriešiť, rozhodli sa tak urobiť zatiaľ v nádeji, že z dlhodobého hľadiska túto zraniteľnosť úplne odstránia.
Spätný prevod peňazí
Ďalším spôsobom podvodu, o ktorom budem hovoriť veľmi stručne, je spätný prevod peňazí. Táto operácia sa vykonáva v mnohých bankových aplikáciách. Pri prevode 10000 XNUMX USD z účtu A na účet B by mal operačný vzorec logicky fungovať takto:
A = A – (10,000 XNUMX USD)
B = B + (10,000 XNUMX USD)
To znamená, že z účtu A sa vyberie 10000 XNUMX USD a pripíše sa na účet B.
Zaujímavosťou je, že banka nekontroluje, či zadávate správnu sumu prevodu. Môžete napríklad nahradiť kladné číslo záporným, to znamená previesť 10000 XNUMX USD z účtu A na účet B. Vzorec transakcie bude vyzerať takto:
A = A – (-10,000 XNUMX USD)
B = B + (-10,000 XNUMX USD)
To znamená, že namiesto odpísania prostriedkov z účtu A budú odpísané z účtu B a pripísané na účet A. Z času na čas sa to stáva a prináša zaujímavé výsledky. V spodnej časti tejto snímky môžete vidieť odkaz na výskumný článok .
Popisuje podobné veci, ktoré sa dejú pri chybách zaokrúhľovania. V tomto článku od Corsaire je veľa zaujímavých vecí, ktoré nám poskytli materiál pre niektoré z našich vlastných riešení.
Ale vráťme sa k predchádzajúcemu problému. Kontaktovali sme ASP Security a dostali sme nasledujúcu odpoveď: „Vnútorné obchodné kontroly zabránia takýmto problémom.“ Povedali sme: "Dobre, pozrime sa na ich webovú stránku." O niekoľko týždňov neskôr, keď sme pokračovali v spolupráci s naším klientom, sme od neho dostali poštou tento šek:
Tu sa píše, že ide o poplatok 2 USD za testovanie našou spoločnosťou WH. Takto zarábame peniaze!
Ten doklad mám stále na stole. Za dva takéto testy môžeme získať až 4 doláre!
Ale o pár mesiacov neskôr sme sa od konkrétneho zákazníka dozvedeli, že 70000 XNUMX dolárov bolo nelegálne prevedených do jednej z východoeurópskych krajín. Peniaze nebolo možné vrátiť, pretože už bolo neskoro a ASP stratila svojho klienta. Tieto veci sa stávajú, ale čo sme nikdy nezistili, pretože nie sme forenzní vedci, je to, koľko ďalších zákazníkov bola táto zraniteľnosť ovplyvnená. Pretože všetko v tejto schéme vyzerá opäť úplne legálne – meníte len vzhľad adresy URL.
Nakupovanie z teleshoppingu
Trey Ford: Teraz vám poviem o skutočne technickom hacku, takže pozorne počúvajte. Všetci poznáme malú televíznu stanicu s názvom QVC, som si istý, že si občas niečo kúpite v tomto televíznom obchode.
Vedzte, že keď si niečo kúpite online, bez ohľadu na stránku, nikam neklikajte, pretože vaša objednávka sa začne spracovávať hneď potom! Môžete okamžite zmeniť názor a transakciu zastaviť. Ale o pár dní neskôr dostanete e-mailom kopu nevyžiadanej pošty, za ktorú musíte okamžite zaplatiť.
Vstúpi Quantina Moore-Perry, 33-ročná certifikovaná hackerka z Greensboro v Severnej Karolíne. Neviem, čím sa predtým živila, ale môžem vám povedať, ako začala zarábať peniaze po náhodnej transakcii, ktorú údajne urobila, hoci transakciu na stránke takmer okamžite zrušila.
Všetky tieto „objednané“ veci začali prichádzať na jej poštovú adresu z QVC - dámske kabelky, domáce spotrebiče, šperky, elektronika. Čo by ste robili, keby vám niekto poslal poštou niečo, čo ste si neobjednali? Presne tak, nič! Hneď je zrejmé, že naši ľudia...
Dopravu však máte zadarmo a doprava zadarmo je výhodou! Koniec koncov, balíky sú už na pošte, nemusíte ich nikam posielať. Ak ide o štandardný obchodný proces, ako ho môžete použiť? Čo robiť s 1800 balíkmi, ktoré jej od mája do novembra prišli na poštovú adresu? Takže táto žena vydražila všetky tieto veci na eBay a výsledkom predaja všetkého tohto odpadu bol jej zisk 412000 XNUMX dolárov! Ako to urobila, je veľmi jednoduché! Na pošte povedala, že všetky tieto balíky si niekto objednal od QVC na jej adresu, no ona má problém ich prebaliť a poslať adresátom, tak si dajte pozor, aby boli odoslané v originálnom balení QVC!
Ako vidíte, ide o veľmi technické riešenie! Spoločnosť QVC sa však týmto problémom začala zaoberať po tom, čo 2 ľudia, ktorí si kúpili položku na eBay, ju dostali v balení QVC. Federálny súd uznal ženu vinnú z poštového podvodu.
Jednoduchý technický problém so zrušením zadaných objednávok teda umožnil tejto žene zarobiť obrovské množstvo peňazí.
37:40 min
Nejaké inzeráty 🙂
Ďakujeme, že ste zostali s nami. Páčia sa vám naše články? Chcete vidieť viac zaujímavého obsahu? Podporte nás zadaním objednávky alebo odporučením priateľom, , 30% zľava pre užívateľov Habr na unikátny analóg serverov základnej úrovne, ktorý sme pre vás vymysleli: (k dispozícii s RAID1 a RAID10, až 24 jadier a až 40 GB DDR4).
Dell R730xd 2 krát lacnejší? Len tu v Holandsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 USD! Čítať o
Zdroj: hab.com