Obstaja stran z imenom Hire2Hack, ki prav tako sprejema zahteve za "obnovitev" gesel. Tu se stroški storitve začnejo od 150 $. Za ostale ne vem, ampak jim moraš dati podatke o sebi, ker jim boš plačal. Za registracijo morate vnesti uporabniško ime, e-pošto, geslo itd. Smešno je, da sprejemajo celo nakazila Western Union.
Omeniti velja, da so uporabniška imena zelo dragocena informacija, zlasti če so povezana z e-poštnim naslovom. Povejte mi, kdo od vas ob registraciji nabiralnika navede svoje pravo ime? Nihče, to je zabavno!
Torej so e-poštni naslovi dragocena informacija, še posebej, če nakupujete prek spleta ali želite izslediti razmerje svojega zakonca na spletnem mestu za zmenke. Če ste prodajalec, lahko z e-poštnimi naslovi preverite, kdo od vaših strank ali naročnikov trenutno uporablja storitve katerega od vaših konkurentov.
Zato phishing napadalci plačajo veliko denarja za prave naslove uporabnikov. Poleg tega uporabljajo okna za obnovitev gesel in prijav za pridobivanje veljavnih e-poštnih naslovov z napadi, ki temeljijo na času. Številni večji portali za e-trgovino in družbena omrežja obravnavajo krajo veljavnih e-poštnih naslovov kot težavo, ki lahko povzroči veliko škode, saj so na tem področju objavljene zanimive študije. Zato se moramo boriti na dveh frontah – proti časovnim napadom in proti uhajanju informacij te vrste.
Elektronske kupone spreminjamo v denar
Jeremy Grossman: Torej, preučili smo tri načine spletne goljufije in zdaj povečujemo kvoto. Naslednji način je, da eKupone spremenite v denar. Ti kuponi se uporabljajo za spletno nakupovanje. Kupec vnese svoj edinstveni ID in pri nakupu se upošteva popust. Večji spletni trgovci strankam ponujajo programe popustov, ki jih podpira AmEx.
Mnogi od vas veste, da kuponi zagotavljajo popuste v razponu od nekaj do nekaj sto dolarjev in imajo 16-mestni ID. Te številke so zelo statične in se običajno pojavljajo v vrstnem redu. Sprva je bil dovoljen le en kupon na naročilo, potem pa, ko je program postajal vse bolj priljubljen, so bile te omejitve odpravljene in zdaj je mogoče uporabiti več kot 3 kupone z enim naročilom.
Nekdo je razvil skript, ki poskuša identificirati na tisoče možnih veljavnih kuponov za popust. Prodajalci poznajo naročila v vrednosti nad 50 tisoč dolarjev, ki so bila namesto denarja plačana z 200 ali več kuponi. Strinjam se, to je dobro božično darilo!
Težava je bila dolgo časa neopažena, ker je program deloval odlično, vsi so koristili kupone in vsi so bili zadovoljni. To se je nadaljevalo, dokler sistem za razporejanje obremenitve programa ni zaznal 90-odstotnega povečanja obremenitve procesorja, medtem ko so se ljudje pomikali po ID številkah in izbirali tiste, ki so zagotavljale popust.
Trgovci so prosili FBI, naj razišče ta primer, ker so sumili, da je nekaj narobe. Toda težava je bila v tem, da so blago pošiljali na neobstoječ naslov, kar jih je zmedlo. Izkazalo se je, da je napadalec stopil v zaroto z dostavno službo, ki je vnaprej "prestregla" blago.
Pri tem primeru je zanimivo to, da kuponi niso valuta, temveč le marketinško orodje. Napake v poslovni logiki pa so privedle do tega, da je bila potrebna vključitev tajne službe, ki se je soočila tudi z dejstvi goljufije dostavne službe, ki je sistem izkoristila sebi v prid.
Služenje denarja z lažnimi računi
Trey Ford: to je ena mojih najljubših zgodb. "Resnično življenje: Hekanje v pisarniške prostore." Mislim, da ste gledali film o hekerjih "Office Space". Razumejmo ta proces. Koliko vas je uporabljalo spletno bančništvo?
Super, vsi so priznali, da so ga uporabljali. Zanimiva stvar je možnost plačevanja računov prek spleta prek ACH. ACH "Avtomatizirana klirinška hiša" deluje tako. Recimo, da želim kupiti avto od Jeremyja in bom nakazal denar neposredno s svojega računa na njegov račun. Preden izvedem glavno plačilo, se mora moja finančna institucija prepričati, da je vse v redu. Zato sistem najprej nakaže majhen znesek, od nekaj centov do 2 dolarjev, da preveri, ali so finančni računi in usmerjevalni naslovi strank v redu in je stranka prejela denar. Ko se prepričajo, da je bil ta prenos pravilno opravljen, so pripravljeni posredovati celotno plačilo. Lahko se prepiramo o tem, ali je to zakonito, ali je v skladu s pogoji uporabniške pogodbe, ampak povejte mi, koliko vas ima PayPal račun? Koliko ljudi ima več PayPal ID-jev? To je verjetno popolnoma zakonito in v skladu s pogoji in določili.
Zdaj pa si predstavljajte, da je ta mehanizem mogoče uporabiti za zaslužek veliko denarja. Govorimo o uporabi učinka ustvarjanja recimo 80 tisoč takšnih računov z nastavitvijo preprostega skripta. Edina stvar, na katero morate biti pozorni, je, da smo našo zgodbo začeli z uporabo lokalnega proxyja, skripte RSnake, drugega hekerskega orodja, ki bi nam moralo pomagati pri zaslužku, zdaj pa se bomo vrnili in pokazali, kako narediti vdiranje veliko lažje , tako da lahko za zaslužek uporabljate samo en brskalnik.
Ta posebni napad je osebne narave. 22-letni Michael Largent iz Kalifornije je s preprostim skriptom ustvaril 58 lažnih posredniških računov. Odpiral jih je v sistemih Schwab, eTrade in nekaterih drugih ter lažnim uporabnikom teh računov dodelil imena risanih junakov.
Za vsakega od teh računov je uporabil samo nakazilo za preverjanje ACH, ne da bi izvedel celoten prenos sredstev. Imel pa je skupni račun, na katerega so se stekala vsa ta verifikacijska sredstva in jih potem nakazoval k sebi. Sliši se dobro - ne gre za veliko denarja, a skupno mu je prineslo zelo zajeten zaslužek. Tako je služil denar po zamisli filma Office Space. Zanimivo je, da tu ni nič nezakonitega – vse te drobne zneske je le pobral, a to zelo hitro.
Na sistemu Google Checkout je zaslužil 8225 dolarjev, na sistemih eTrade in Schwab pa še 50225 dolarjev. Ta denar je nato dvignil na kreditno kartico in ga poneveril. Ko je banka ugotovila, da vseh teh tisoč računov pripada eni osebi, so ga bančni uslužbenci poklicali in vprašali, zakaj je to storil, ali ne razume, da krade denar? Na kar je Michael odgovoril, da ne razume in ne ve, da počne nekaj nezakonitega.
To je zelo dober način za vzpostavitev novih odnosov z ljudmi tajne službe, ki vas spremljajo in želijo o vas izvedeti čim več. Še enkrat ponavljam - najbolj smešno pri tej shemi je to, da tu ni bilo nič nezakonitega. Pridržan je bil na podlagi patriotskega zakona. Kdo ve, kaj je Patriot Act?
Tako je, gre za zakon, ki širi pristojnosti obveščevalnih služb na področju boja proti terorizmu. Ta tip je uporabljal imena iz risank in stripov, zato so ga lahko aretirali zaradi uporabe lažnih uporabniških imen. Zato naj bodo prisotni, ki za svoje poštne predale uporabljajo izmišljena imena, previdni – to se lahko šteje za nezakonito!
Obtožnica tajne službe je temeljila na štirih točkah: računalniške goljufije, internetne goljufije in poštne goljufije, vendar je bilo dejanje prejema denarja povsem zakonito, saj je uporabljal pravi račun. Ne morem reči, ali je bilo storjeno pravilno ali ne, etično ali ne, toda v bistvu je bilo vse, kar je Michael naredil, v skladu s pogoji in določili, navedenimi na spletnih mestih, tako da je bila to morda le dodatna funkcija.
Vdiranje v banke prek ASP
Jeremy Grossman: saj veste, veliko potujem in srečujem ljudi, ki so tehnično podkovani ali pa, nasprotno, sploh niso seznanjeni s tehnologijo. In ko se pogovarjava o življenju, me vprašajo, kje delam. Ko odgovorim, da se ukvarjam z informacijsko varnostjo, vprašajo, kaj je to. Razložim, potem pa rečejo: "oh, torej lahko vdrete v banko"!
Torej, ko začnete razlagati, kako je dejansko mogoče vdreti v banko, govorite o vdoru prek ponudnikov finančnih aplikacij ASP. Ponudniki aplikacijskih storitev so podjetja, ki dajejo v najem lastno programsko in strojno opremo svojim strankam – bankam, kreditnim zadrugam in drugim finančnim podjetjem.
Njihove storitve uporabljajo majhne banke in podobna podjetja, ki se jim finančno ne izplača imeti lastne programske in strojne opreme. Tako najamejo kapacitete ASP, ki jih plačujejo mesečno ali letno.
ASP-ji pritegnejo veliko pozornosti hekerjev, saj lahko namesto v eno banko vdrejo v 600 ali tisoč bank hkrati. ASP-ji torej predstavljajo zelo zanimivo tarčo za negativce.
Podjetja ASP torej služijo celemu kupu bank na podlagi treh pomembnih parametrov URL-ja: ID stranke client_ID, ID banke bank_ID in ID računa acct_ID. Vsak odjemalec ASP ima svoj edinstven identifikator, ki se lahko potencialno uporablja na več bančnih mestih. Vsaka banka ima lahko poljubno število uporabniških računov za posamezno finančno aplikacijo - varčevalni sistem, sistem za verifikacijo računov, plačilni sistem itd., vsaka finančna aplikacija pa ima svoj ID. Poleg tega ima vsak račun stranke v tem aplikacijskem sistemu tudi svoj ID. Torej imamo tri računske sisteme.
Kako torej vdreti v 600 bank hkrati? Najprej pogledamo konec URL niza, kot je ta: in poskusite zamenjati acct_id s poljubno vrednostjo #X, po kateri dobimo veliko, rdeče sporočilo o napaki z naslednjo vsebino: “Račun #X pripada banki #Y” (račun #X pripada banki #Y). Nato vzamemo bank_id, ga v brskalniku spremenimo v #Y in dobimo sporočilo: »Banka #Y pripada stranki #Z« (banka #Y pripada stranki #Z).
Končno vzamemo client_id, mu dodelimo #Z - in to je to, pridemo v račun, v katerega smo prvotno želeli. Ko smo uspešno vdrli v sistem, lahko na enak način pridemo do katerega koli drugega bančnega računa, banke ali računa stranke. Dosežemo lahko vsak račun v sistemu. Tu sploh ni namiga na avtorizacijo. Edina stvar, ki jo preverijo, je, da ste prijavljeni z ID-jem in zdaj lahko prosto dvigujete denar, nakazujete itd.
Nekega dne je ena od naših strank, ki ni ASP, posredovala naše informacije o tej ranljivosti drugi stranki, ki je uporabljala ASP, in ji povedala, da obstaja težava, ki jo je treba odpraviti. Povedali smo jim, da bomo za uvedbo avtorizacije verjetno morali na novo napisati celotno aplikacijo in bo sistem preverjal, ali je stranka pooblaščena za opravljanje finančnih transakcij, kar bo trajalo nekaj časa.
Čez dva dni so nam poslali odgovor, da so sami že vse popravili – popravili so URL, da se sporočilo o napaki ni več pojavljalo. Seveda je bilo kul in odločili smo se pogledati izvorno kodo, da vidimo, kaj so naredili s svojo "odlično" hekersko tehniko. Vse, kar so naredili, je bilo, da so prenehali prikazovati sporočilo o napaki v formatu HTML. Na splošno smo imeli s to stranko zelo zanimiv pogovor. Rekli so, da ker te težave niso mogli rešiti hitro, so se odločili za to za zdaj, v upanju, da bodo dolgoročno popolnoma odpravili ranljivost.
Povratni prenos denarja
Druga metoda goljufije, o kateri bom govoril zelo na kratko, je povratno nakazilo denarja. Ta operacija se izvaja v številnih bančnih aplikacijah. Pri prenosu 10000 USD z računa A na račun B bi morala operativna formula logično delovati takole:
A = A - (10,000 USD)
B = B + (10,000 USD)
To pomeni, da se 10000 USD dvigne z računa A in doda na račun B.
Zanimivo je, da banka ne preverja, ali vnesete pravilen znesek nakazila. Pozitivno število lahko na primer zamenjate z negativnim, to je prenos 10000 $ z računa A na račun B. Transakcijska formula bo videti takole:
A = A — (-10,000 $)
B = B + (-10,000 $)
To pomeni, da bodo namesto bremenitve računa A sredstva bremenjena računa B in knjižena v dobro računa A. To se zgodi občasno in prinaša zanimive rezultate. Na dnu tega diapozitiva lahko vidite povezavo do raziskovalnega članka .
Opisuje podobne stvari, ki se zgodijo pri napakah pri zaokroževanju. V tem članku podjetja Corsaire je veliko zanimivih stvari, ki so nam zagotovile gradivo za nekatere naše rešitve.
A vrnimo se k prejšnjemu problemu. Kontaktirali smo ASP Security in prejeli naslednji odgovor: "Notranji poslovni nadzor bo preprečil takšne težave." Rekli smo, "v redu, poglejmo njihovo spletno stran." Nekaj tednov pozneje, ko smo nadaljevali delo z našo stranko, smo od nje po pošti prejeli ta ček:
Tukaj piše, da je to pristojbina v višini 2 USD za testiranje, ki ga opravi naše podjetje WH. Tako služimo denar!
Še vedno imam ta račun na mizi. Za dva takšna testa lahko dobimo kar 4 evre!
Toda nekaj mesecev pozneje smo od konkretne stranke izvedeli, da je bilo 70000 dolarjev nezakonito nakazanih v eno od vzhodnoevropskih držav. Denarja ni bilo mogoče vrniti, ker je bilo prepozno in je ASP izgubil stranko. Te stvari se dogajajo, a nikoli nismo izvedeli, koliko drugih strank je prizadela ta ranljivost, ker nismo forenzični znanstveniki. Ker je vse v tej shemi spet videti popolnoma legalno – samo spreminjate videz URL-ja.
Nakupovanje iz televizijske trgovine
Trey Ford: Zdaj vam bom povedal o res tehničnem vdoru, zato pozorno poslušajte. Vsi poznamo majhno televizijsko postajo, imenovano QVC, prepričan sem, da včasih kupite kaj v tej TV trgovini.
Vedite, da ko kupite nekaj na spletu, ne glede na spletno stran, ne kliknite nikamor, ker se bo vaše naročilo začelo obdelovati takoj po tem! Lahko si takoj premislite in ustavite transakcijo. A nekaj dni pozneje po pošti dobiš kup smeti, ki jo moraš takoj plačati.
Vstopi Quantina Moore-Perry, 33-letna certificirana hekerka iz Greensbora v Severni Karolini. Ne vem, s čim se je prej preživljala, lahko pa vam povem, kako je začela služiti denar po naključni transakciji, ki naj bi jo opravila, čeprav je skoraj takoj preklicala transakcijo na spletnem mestu.
Vse te "naročene" stvari so začele prihajati na njen poštni naslov iz QVC - ženske torbice, gospodinjski aparati, nakit, elektronika. Kaj bi storili, če bi vam nekdo po pošti poslal nekaj, česar niste naročili? Tako je, nič! Takoj se vidi, da naši ljudje ...
Vseeno pa prejmete brezplačno dostavo in brezplačna dostava je prednost! Navsezadnje so paketi že na pošti, ni vam jih treba nikamor poslati. Če je to standardni poslovni proces, kako ga lahko uporabite? Kaj storiti s 1800 paketi, ki so prispeli na njen poštni naslov od maja do novembra? Torej, ta ženska je vse te stvari dala na dražbo na eBayu in kot rezultat prodaje vse te krame je njen dobiček znašal 412000 $! Kako ji je to uspelo, je zelo preprosto! Na pošti je povedala, da je nekdo vse te pakete od QVC-ja naročil na njen naslov, vendar jih s težavo prepakira in pošlje prejemnikom, zato poskrbite, da bodo poslani v original QVC embalaži!
Kot lahko vidite, je to zelo tehnična rešitev! Vendar je QVC postal zaskrbljen zaradi te težave, potem ko sta 2 osebi, ki sta izdelek kupili na eBayu, prejela v embalaži QVC. Zvezno sodišče je žensko spoznalo za krivo poštne goljufije.
Tako je preprosta tehnična napaka s preklicem oddanih naročil tej ženski omogočila ogromen zaslužek.
37:40 min
Nekaj oglasov 🙂
Hvala, ker ste ostali z nami. So vam všeč naši članki? Želite videti več zanimivih vsebin? Podprite nas tako, da oddate naročilo ali priporočite prijateljem, , 30% popust za uporabnike Habr na edinstvenem analogu začetnih strežnikov, ki smo ga izumili za vas: (na voljo z RAID1 in RAID10, do 24 jeder in do 40 GB DDR4).
Dell R730xd 2-krat cenejši? Samo tukaj na Nizozemskem! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 $! Preberite o
Vir: www.habr.com