Moderator: Zonja dhe zotërinj, kjo bisedë është shumë qesharake dhe shumë interesante, sot do të flasim për gjëra reale që vërehen në internet. Kjo bisedë është pak më ndryshe nga ato me të cilat jemi mësuar në konferencat Black Hat sepse do të flasim për mënyrën se si sulmuesit fitojnë para nga sulmet e tyre.
Ne do t'ju tregojmë disa sulme interesante që mund të sjellin fitim dhe do t'ju tregojmë për sulmet që ndodhën në të vërtetë natën kur shkuam mbi Jägermeister dhe stuhi mendimesh. Ishte argëtuese, por kur u kthjelluam pak, folëm me njerëzit e SEO dhe në fakt mësuam se shumë njerëz po fitojnë para nga këto sulme.
Unë jam thjesht një menaxher i mesëm pa tru, kështu që do të heq dorë nga vendi dhe do t'ju prezantoj me Jeremy dhe Trey, të cilët janë shumë më të zgjuar se unë. Duhet të kem një prezantim të zgjuar dhe argëtues, por jo, kështu që në vend të kësaj do t'i shfaq këto rrëshqitje.
Slides që tregojnë Jeremy Grossman dhe Trey Ford shfaqen në ekran.
Jeremy Grossman është themeluesi dhe shefi i teknologjisë i WhiteHat Security, i emëruar si një nga 2007 CTO-të më të mirë nga InfoWorld në 25, bashkëthemelues i Konsorciumit të Sigurisë së Aplikacioneve Ueb dhe bashkëautor i sulmeve të skriptimit në faqe.
Trey Ford është Drejtor i Zgjidhjeve Arkitekturale në WhiteHat Security, i cili ka 6 vjet përvojë si konsulent sigurie për kompanitë e Fortune 500 dhe një nga zhvilluesit e standardit të sigurisë së të dhënave të kartës së pagesës PCI DSS.
Mendoj se këto foto e kompensojnë mungesën time të humorit. Në çdo rast, shpresoj t'ju pëlqejë prezantimi i tyre dhe më pas të kuptoni se si këto sulme përdoren në internet për të fituar para.
Jeremy Grossman: Mirëdita, faleminderit të gjithëve që erdhët. Kjo do të jetë një bisedë shumë argëtuese, megjithëse nuk do të shihni sulme të ditës zero ose teknologji të reja interesante. Ne thjesht do të përpiqemi ta bëjmë atë argëtuese dhe të flasim për gjërat e vërteta që ndodhin çdo ditë që u lejojnë njerëzve të këqij të fitojnë shumë para.
Ne nuk po përpiqemi t'ju lëmë përshtypje me atë që tregohet në këtë rrëshqitje, por thjesht shpjegojmë se çfarë bën kompania jonë. Pra, White Hat Sentinel, ose "Guardian White Hat" është:
- numër i pakufizuar vlerësimesh - kontrolli dhe menaxhimi i ekspertëve të faqeve të klientëve, aftësia për të skanuar faqet pavarësisht nga madhësia dhe shpeshtësia e ndryshimeve;
- shtrirja e gjerë e mbulimit - skanimi i autorizuar i faqeve për të zbuluar dobësitë teknike dhe testimi i përdoruesit për të identifikuar gabimet logjike në zonat e pambuluara të biznesit;
- eliminimi i rezultateve false - ekipi ynë operacional shqyrton rezultatet dhe cakton shkallën e duhur të ashpërsisë dhe kërcënimit;
- zhvillimi dhe kontrolli i cilësisë - sistemi WhiteHat Satellite Appliance na lejon të shërbejmë në distancë sistemet e klientëve përmes aksesit në rrjetin e brendshëm;
- përmirësim dhe përmirësim - skanimi real ju lejon të përditësoni shpejt dhe me efikasitet sistemin.
Pra, ne auditojmë çdo faqe në botë, kemi ekipin më të madh të pentestuesve të aplikacioneve në internet, bëjmë 600-700 teste vlerësimi çdo javë dhe të gjitha të dhënat që do të shihni në këtë prezantim vijnë nga përvoja jonë duke bërë këtë lloj pune .
Në rrëshqitjen tjetër shihni 10 llojet më të zakonshme të sulmeve në faqet e internetit globale. Kjo tregon përqindjen e cenueshmërisë ndaj sulmeve të caktuara. Siç mund ta shihni, 65% e të gjitha sajteve janë të cenueshme ndaj skriptimit ndër-faqe, 40% lejojnë rrjedhjen e informacionit dhe 23% janë të prekshme ndaj mashtrimit të përmbajtjes. Përveç skriptimit në faqe, injeksionet SQL dhe falsifikimi famëkeq i kërkesave ndër-site, i cili nuk përfshihet në dhjetëshen tonë më të mirë, janë të zakonshme. Por kjo listë përmban sulme me emra ezoterikë, të cilët përshkruhen duke përdorur një gjuhë të paqartë dhe specifika e të cilave është se ato drejtohen kundër kompanive të caktuara.
Këto janë të metat e vërtetimit, të metat e procesit të autorizimit, rrjedhjet e informacionit, etj.
Sllajdi tjetër flet për sulmet ndaj logjikës së biznesit. Ekipet e SC të përfshira në sigurimin e cilësisë zakonisht nuk u kushtojnë vëmendje atyre. Ata testojnë se çfarë duhet të bëjë softueri, jo çfarë mund të bëjë, dhe më pas ju mund të shihni çfarë të doni. Skanerët, të gjitha këto kuti të bardha/të zeza/gri, të gjitha këto kuti shumëngjyrësh nuk janë në gjendje t'i zbulojnë këto gjëra në shumicën e rasteve, sepse ato thjesht janë të fiksuara në kontekstin se çfarë mund të jetë sulmi ose çfarë ndodh e ngjashme kur ndodh. Atyre u mungon inteligjenca dhe nuk e dinë nëse diçka funksionoi fare apo jo.
E njëjta gjë vlen edhe për muret e zjarrit të aplikacioneve IDS dhe WAF, të cilat gjithashtu nuk arrijnë të zbulojnë të metat e logjikës së biznesit sepse kërkesat HTTP duken krejtësisht normale. Ne do t'ju tregojmë se sulmet që lidhen me të metat e logjikës së biznesit lindin plotësisht natyrshëm, nuk ka hakerë, asnjë metakarakter apo çudira të tjera, ato duken si procese që ndodhin natyrshëm. Gjëja kryesore është që të këqijtë i duan këto gjëra, sepse të metat në logjikën e biznesit u bëjnë para. Ata përdorin XSS, SQL, CSRF, por këto lloj sulmesh po bëhen gjithnjë e më të vështira për t'u kryer dhe kemi parë që ato janë ulur gjatë 3-5 viteve të fundit. Por ato nuk do të zhduken vetvetiu, ashtu si tejmbushja e tamponit nuk do të largohet. Megjithatë, njerëzit e këqij po mendojnë se si të përdorin sulme më të sofistikuara, sepse ata besojnë se "djemtë e këqij të vërtetë" gjithmonë kërkojnë të fitojnë para nga sulmet e tyre.
Unë dua t'ju tregoj truket e vërteta që mund t'i përdorni dhe t'i përdorni ato në mënyrën e duhur për të mbrojtur biznesin tuaj. Një qëllim tjetër i prezantimit tonë është që ju mund të pyesni veten për etikën.
Sondazhet dhe votimi online
Pra, për të filluar diskutimin tonë për mangësitë e logjikës së biznesit, le të flasim për sondazhet në internet. Sondazhet online janë mënyra më e zakonshme për të zbuluar ose ndikuar në opinionin publik. Ne do të fillojmë me një fitim prej $0 dhe më pas do të shikojmë rezultatin e 5, 6, 7 muajve të skemave mashtruese. Le të fillojmë duke bërë një sondazh shumë, shumë të thjeshtë. Ju e dini që çdo faqe interneti e re, çdo blog, çdo portal lajmesh kryen sondazhe online. Thënë kështu, asnjë vend nuk është shumë i madh apo shumë i ngushtë, por ne duam të shohim opinionin publik në fusha specifike.
Do të doja të tërhiqja vëmendjen tuaj në një sondazh të kryer në Austin, Teksas. Për shkak se një beagle Austin fitoi shfaqjen e qenve në Westminster, Austin Stateman vendosi të kryejë një sondazh në internet të Austin's Best in Show për pronarët e qenve të Teksasit Qendror. Mijëra pronarë dërguan foto dhe votuan për të preferuarat e tyre. Ashtu si shumë sondazhe të tjera, nuk kishte asnjë çmim tjetër përveç mburrjes së të drejtave për kafshën tuaj.
Për votim është përdorur një aplikacion i sistemit Web 2.0. Ju klikoni "po" nëse ju pëlqeu qeni dhe zbuluat nëse ishte qeni më i mirë në racë apo jo. Kështu që ju votuat disa qindra qen të postuar në faqe si kandidatë për fitues të shfaqjes.
Me këtë metodë votimi u mundësuan 3 lloje mashtrimesh. E para është vota e pafund, ku voton të njëjtin qen pa pushim. Është shumë e thjeshtë. Metoda e dytë është votimi i shumëfishtë negativ, ku votoni një numër të madh herë kundër një qeni konkurrent. Mënyra e tretë ishte që, fjalë për fjalë në minutën e fundit të konkursit, vendose një qen të ri, votoje për të, në mënyrë që mundësia për të marrë vota negative të ishte minimale dhe fitoje duke marrë vota 100% pozitive.
Për më tepër, fitorja u përcaktua si përqindje, dhe jo nga numri i përgjithshëm i votave, domethënë nuk mund të përcaktoni se cili qen mori numrin maksimal të vlerësimeve pozitive, u llogarit vetëm përqindja e vlerësimeve pozitive dhe negative për një qen të caktuar. . Qeni me raportin më të mirë pozitiv/negativ fitoi.
Miku i kolegut Robert "RSnake" Hansen i kërkoi që ta ndihmonte Chihuahua Tiny të fitonte një konkurs. Ti e njeh Robertin, ai është nga Austin. Ai, si një super haker, rregulloi proxy Burp dhe ndoqi rrugën e rezistencës më të vogël. Ai përdori teknikën e mashtrimit # 1, duke e drejtuar atë përmes një cikli Burp prej disa qindra ose mijëra kërkesash, dhe kjo i solli qenit 2000 vota pozitive dhe e solli atë në vendin e parë.
Më pas, ai përdori teknikën e mashtrimit nr. 2 kundër konkurrentit të Tiny, me nofkën Cuchu. Në minutat e fundit të garës, ai hodhi 450 vota kundër Cuchut, gjë që forcoi më tej pozitën e Tiny në vendin e 1-të me një raport votash më shumë se 2:1, por për sa i përket përqindjes së vlerësimeve pozitive dhe negative, Tiny përsëri humbi. Në këtë rrëshqitje ju shihni fytyrën e re të një krimineli kibernetik, të dekurajuar nga ky rezultat.
Po, ishte një skenar interesant, por mendoj se shoku im nuk i pëlqeu kjo performancë. Thjesht doje të fitoje konkursin Chihuahua në Austin, por ishte dikush që u përpoq të të hakonte dhe të bënte të njëjtën gjë. Epo, tani ia kthej thirrjen Treit.
Krijimi i kërkesës artificiale dhe fitimi i parave për të
Trey Ford: Koncepti i "DoS artificial" i referohet disa skenarëve të ndryshëm interesantë kur blejmë bileta në internet. Për shembull, kur rezervoni një vend të veçantë në një fluturim. Kjo mund të zbatohet për çdo lloj bilete, të tilla si një ngjarje sportive ose një koncert.
Për të parandaluar blerjet e përsëritura të artikujve të paktë, si ulëset e linjës ajrore, artikujt fizikë, emrat e përdoruesve, etj., aplikacioni e bllokon artikullin për një periudhë të caktuar kohe për të parandaluar konfliktet. Dhe këtu vjen dobësia që lidhet me aftësinë për të rezervuar diçka paraprakisht.
Të gjithë e dimë për timeout, të gjithë e dimë për përfundimin e seancës. Por kjo e metë e veçantë logjike na lejon të zgjedhim një vend në një fluturim dhe më pas të kthehemi për të bërë sërish përzgjedhjen pa paguar asgjë. Me siguri shumë prej jush shkojnë shpesh në udhëtime pune, por për mua kjo është një pjesë thelbësore e punës. Ne e kemi testuar këtë algoritëm në shumë vende: ju zgjidhni një fluturim, zgjidhni një vend dhe vetëm kur të jeni gati, futni informacionin tuaj të pagesës. Kjo do të thotë, pasi të keni zgjedhur një vend, ai është i rezervuar për ju për një periudhë të caktuar kohore - nga disa minuta në disa orë, dhe gjatë kësaj kohe askush tjetër nuk mund ta rezervojë këtë vend. Për shkak të kësaj periudhe pritjeje, ju keni një mundësi reale për të rezervuar të gjitha vendet në aeroplan thjesht duke u kthyer në vend dhe duke rezervuar vendet që dëshironi.
Kështu, shfaqet një opsion sulmi DoS: përsëritni automatikisht këtë cikël për çdo vend në aeroplan.
Ne e kemi testuar këtë në të paktën dy linja ajrore kryesore. Ju mund të gjeni të njëjtën dobësi me çdo rezervim tjetër. Kjo është një mundësi e shkëlqyer për të rritur çmimet e biletave tuaja për ata që duan t'i rishesin ato. Për ta bërë këtë, spekulatorët thjesht duhet të rezervojnë biletat e mbetura pa ndonjë rrezik të humbjes monetare. Në këtë mënyrë, ju mund të "prishni" tregtinë elektronike që shet produkte me kërkesë të lartë - video lojëra, konzola lojërash, iPhone, etj. Kjo do të thotë, defekti ekzistues në sistemin e rezervimit ose rezervimit në internet i lejon një sulmuesi të fitojë para prej tij ose të shkaktojë dëme ndaj konkurrentëve.
Deshifrimi Captcha
Jeremy Grossman: Tani le të flasim për captcha. Të gjithë i njohin ato foto të bezdisshme që mbushin internetin dhe përdoren për të luftuar spam-et. Potencialisht, ju gjithashtu mund të bëni një fitim nga captcha. Captcha është një test Turing plotësisht i automatizuar që ju lejon të dalloni një person real nga një bot. Zbulova shumë gjëra interesante gjatë kërkimit të përdorimit të captcha.
Captcha u përdor për herë të parë rreth viteve 2000-2001. Spammers duan të eliminojnë captcha-n në mënyrë që të regjistrohen për shërbimet falas të postës elektronike Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, etj. dhe dërgoni spam. Meqenëse captcha përdoret mjaft gjerësisht, është shfaqur një treg i tërë shërbimesh që ofrojnë për të anashkaluar captcha-n e kudogjendur. Në fund të fundit, kjo sjell fitim - një shembull do të ishte dërgimi i spamit. Ka 3 mënyra për të anashkaluar captcha, le t'i shohim ato.
E para janë të metat në zbatimin e idesë, apo mangësitë në përdorimin e captcha.
Kështu, përgjigjet e pyetjeve përmbajnë shumë pak entropi, të tilla si "shkruani se me çfarë është e barabartë 4+1". Të njëjtat pyetje mund të përsëriten shumë herë, dhe diapazoni i përgjigjeve të mundshme është mjaft i vogël.
Efektiviteti i captcha kontrollohet në këtë mënyrë:
- testi duhet të kryhet në kushte kur personi dhe serveri janë të largët nga njëri-tjetri,
testi nuk duhet të jetë i vështirë për individin; - pyetja duhet të jetë e tillë që një person të mund t'i përgjigjet brenda pak sekondash,
Duhet të përgjigjet vetëm ai të cilit i bëhet pyetja; - përgjigjja e pyetjes duhet të jetë e vështirë për kompjuterin;
- njohuritë e pyetjeve të mëparshme, përgjigjeve ose kombinimi i tyre nuk duhet të ndikojnë në parashikueshmërinë e testit të ardhshëm;
- testi nuk duhet të diskriminojë personat me dëmtime shikimi ose dëgjimi;
- testi nuk duhet të jetë i njëanshëm gjeografik, kulturor apo gjuhësor.
Siç rezulton, krijimi i një captcha "të saktë" është mjaft i vështirë.
Disavantazhi i dytë i captcha është mundësia e përdorimit të njohjes optike të karaktereve OCR. Një pjesë e kodit është në gjendje të lexojë një imazh captcha pa marrë parasysh se sa zhurmë vizuale përmban, të shohë se çfarë shkronjash ose numrash e formojnë atë dhe të automatizojë procesin e njohjes. Hulumtimet kanë treguar se shumica e captch-ave mund të thyhen lehtësisht.
Unë do të jap citate nga specialistë nga Shkolla e Shkencave Kompjuterike në Universitetin e Newcastle, MB. Ata flasin për lehtësinë e thyerjes së captcha-s së Microsoft: “sulmi ynë arriti të arrijë një shkallë suksesi të segmentimit prej 92%, që nënkupton se skema e captcha MSN mund të thyhet në 60% të rasteve duke segmentuar imazhin dhe më pas duke e njohur atë. ” Thyerja e captcha e Yahoo ishte po aq e lehtë: “sulmi ynë i dytë arriti një sukses segmentimi prej 33,4%. Kështu, rreth 25,9% e captchas-ve mund të plasohen. Hulumtimi ynë sugjeron që postuesit nuk duhet të përdorin kurrë punë të lirë njerëzore për të anashkaluar captcha-n e Yahoo, por më tepër të mbështeten në një sulm të automatizuar me kosto të ulët."
Metoda e tretë e anashkalimit të captcha quhet "Turq Mekanik", ose "Turk". Ne e testuam atë kundër captcha të Yahoo menjëherë pas publikimit dhe deri më sot nuk e dimë dhe askush nuk e di se si të mbrohemi nga një sulm i tillë.
Ky është rasti kur ju keni një djalë të keq që do të drejtojë një faqe "të rrituri" ose lojë online nga ku përdoruesit kërkojnë disa përmbajtje. Përpara se ata të mund të shohin foton tjetër, faqja që zotëron hakeri do t'i bëjë një kërkesë në fund të fundit një sistemi në internet me të cilin jeni njohur, të themi Yahoo ose Google, të rrëmbejë captcha nga atje dhe t'ia kalojë përdoruesit. Dhe sapo përdoruesi t'i përgjigjet pyetjes, hakeri do të dërgojë captcha-n e supozuar në faqen e synuar dhe do t'i tregojë përdoruesit imazhin e kërkuar nga faqja e tij. Nëse keni një faqe shumë të popullarizuar me shumë përmbajtje interesante, mund të mobilizoni një ushtri të tërë njerëzish që do të plotësojnë automatikisht captch-at e njerëzve të tjerë për ju. Kjo është një gjë shumë e fuqishme.
Megjithatë, jo vetëm njerëzit përpiqen të anashkalojnë captchas; bizneset gjithashtu përdorin këtë teknikë. Robert "RSnake" Hansen foli një herë në blogun e tij me një "zgjidhës captcha" rumun i cili tha se ai mund të zgjidhte nga 300 deri në 500 captcha në orë me një normë prej 9 deri në 15 dollarë për një mijë captcha të zgjidhura.
Ai thotë drejtpërdrejt se anëtarët e ekipit të tij punojnë 12 orë në ditë, duke zgjidhur rreth 4800 captcha gjatë kësaj kohe dhe në varësi të vështirësisë së kapçave, ata mund të marrin deri në 50 dollarë në ditë për punën e tyre. Ky ishte një postim interesant, por edhe më interesante janë komentet që përdoruesit e blogut kanë lënë nën këtë postim. Një mesazh u shfaq menjëherë nga Vietnami, ku një farë Quang Hung raportoi për grupin e tij prej 20 personash, të cilët pranuan të punonin për 4 dollarë për 1000 kapça të hamendësuara.
Mesazhi tjetër ishte nga Bangladeshi: “Përshëndetje! Shpresoj te jeni mire! Ne jemi një kompani udhëheqëse e përpunimit nga Bangladeshi. Aktualisht, 30 operatorët tanë janë në gjendje të zgjidhin më shumë se 100000 captcha në ditë. Ne ofrojmë kushte të shkëlqyera dhe një tarifë të ulët - 2 dollarë për 1000 kapça të hamendësuara nga faqet Yahoo, Hotmail, Mayspace, Gmail, Facebook, etj. Presim bashkëpunim të mëtejshëm”.
Një tjetër mesazh interesant dërgoi një farë Babu: “Jam i interesuar për këtë punë, ju lutem më telefononi në telefon”.
Pra, është mjaft interesante. Mund të debatojmë se sa i ligjshëm apo i paligjshëm është ky aktivitet, por fakti është se njerëzit në fakt fitojnë para prej tij.
Fitimi i aksesit në llogaritë e njerëzve të tjerë
Trey Ford: Skenari tjetër për të cilin do të flasim është të fitoni para duke marrë përsipër llogarinë e dikujt tjetër.
Të gjithë harrojnë fjalëkalimet dhe për testimin e sigurisë së aplikacionit, rivendosja e fjalëkalimit dhe regjistrimi në internet përfaqësojnë dy procese biznesi të dallueshme dhe të fokusuara. Ekziston një hendek i madh midis lehtësisë së rivendosjes së fjalëkalimit dhe lehtësisë së regjistrimit, kështu që duhet të përpiqeni ta bëni procesin e rivendosjes së fjalëkalimit sa më të thjeshtë. Por nëse përpiqemi ta thjeshtojmë, lind një problem sepse sa më e thjeshtë të jetë rivendosja e një fjalëkalimi, aq më pak i sigurt është.
Një nga rastet më të profilit të lartë përfshin regjistrimin në internet duke përdorur shërbimin e verifikimit të përdoruesit të Sprint. Dy anëtarë të ekipit White Hat përdorën Sprint për regjistrim në internet. Ka disa gjëra që duhet të konfirmoni për të vërtetuar se jeni ju, duke filluar me diçka aq të thjeshtë sa numri juaj i celularit. Ju duhet regjistrimi në internet për gjëra të tilla si menaxhimi i llogarisë tuaj bankare, pagesa për shërbime, etj. Blerja e telefonave është shumë e përshtatshme nëse mund ta bëni nga llogaria e dikujt tjetër dhe më pas të bëni blerje dhe të bëni shumë më tepër. Një nga opsionet e mashtrimit është të ndryshoni adresën e pagesës, të porosisni dërgimin e një grupi të tërë celularësh në adresën tuaj dhe viktima do të detyrohet të paguajë për to. Maniakët që ndjekin gjithashtu ëndërrojnë për këtë mundësi: shtimin e funksionalitetit të gjurmimit GPS në telefonat e viktimave të tyre dhe gjurmimin e çdo lëvizjeje të tyre nga çdo kompjuter.
Pra, Sprint ofron disa nga pyetjet më të thjeshta për të verifikuar identitetin tuaj. Siç e dimë, siguria mund të sigurohet ose nga një gamë shumë e gjerë entropie, ose nga çështje shumë të specializuara. Do t'ju lexoj pjesë të procesit të regjistrimit të Sprint sepse entropia është shumë e ulët. Për shembull, ekziston një pyetje: "zgjidhni një markë makine të regjistruar në adresën e mëposhtme" dhe opsionet e markës janë Lotus, Honda, Lamborghini, Fiat dhe "asnjë nga të mësipërmet". Më tregoni, cili prej jush ka ndonjë nga të mësipërmet? Siç mund ta shihni, kjo enigmë sfiduese është thjesht një mundësi e shkëlqyer për një student kolegji që të marrë telefona të lirë.
Pyetja e dytë: “Cili nga njerëzit e mëposhtëm jeton me ju ose jeton në adresën e mëposhtme”? Është shumë e lehtë t'i përgjigjesh kësaj pyetjeje, edhe nëse nuk e njeh fare këtë person. Jerry Stifliin - ky mbiemër ka tre "ays" në të, ne do të arrijmë tek ai në një sekondë - Ralph Argen, Jerome Ponicki dhe John Pace. Ajo që është interesante për këtë listë është se emrat e dhënë janë absolutisht të rastësishëm dhe të gjithë i nënshtrohen të njëjtit model. Nëse e llogaritni, atëherë nuk do të keni vështirësi në identifikimin e emrit të vërtetë, sepse ai ndryshon nga emrat e zgjedhur rastësisht në diçka karakteristike, në këtë rast tre shkronjat “i”. Kështu, Stayfliin nuk është qartë një emër i rastësishëm dhe është e lehtë të merret me mend, ky person është objektivi juaj. Është shumë, shumë e thjeshtë.
Pyetja e tretë: “Në cilin nga qytetet e listuara nuk keni jetuar apo përdorur kurrë këtë qytet në adresën tuaj?” — Longmont, North Hollywood, Genova apo Butte? Ne kemi tre zona me popullsi të dendur përreth Uashington DC, kështu që përgjigja e qartë është North Hollywood.
Ka disa gjëra për të cilat duhet të keni kujdes me regjistrimin në internet të Sprint. Siç thashë më parë, mund të lëndoheni seriozisht nëse një sulmues është në gjendje të ndryshojë adresën e transportit për blerjet në informacionin tuaj të pagesës. Ajo që është vërtet e frikshme është se ne kemi një shërbim Mobile Locator.
Me të, ju mund të gjurmoni lëvizjet e punonjësve tuaj, pasi njerëzit përdorin telefona celularë dhe GPS, dhe mund të shihni në hartë se ku ndodhen. Pra, ka disa gjëra të tjera mjaft interesante që ndodhin në këtë proces.
Siç e dini, kur rivendosni një fjalëkalim, adresa e emailit ka përparësi ndaj metodave të tjera të verifikimit të përdoruesit dhe pyetjeve të sigurisë. Sllajdi tjetër tregon shumë shërbime që ofrojnë për të treguar adresën tuaj të emailit nëse përdoruesi ka vështirësi të hyjë në llogarinë e tij.
Ne e dimë se shumica e njerëzve përdorin email dhe kanë një llogari emaili. Papritur njerëzit donin të gjenin një mënyrë për të fituar para prej saj. Gjithmonë do të zbuloni adresën e emailit të viktimës, do ta futni në formular dhe do të keni mundësinë të rivendosni fjalëkalimin për llogarinë që dëshironi të manipuloni. Më pas e përdorni në rrjetin tuaj dhe ajo kuti postare bëhet kasaforta juaj e artë, vendi kryesor nga i cili mund të vidhni të gjitha llogaritë e tjera të viktimës. Ju do të merrni të gjithë abonimin e viktimës duke poseduar vetëm një kuti postare. Mos buzëqeshni, kjo është serioze!
Sllajdi tjetër tregon se sa miliona njerëz përdorin shërbimet përkatëse të postës elektronike. Njerëzit përdorin në mënyrë aktive Gmail, Yahoo Mail, Hotmail, AOL Mail, por ju nuk duhet të jeni një super haker për të marrë përsipër llogaritë e tyre, ju mund t'i mbani duart tuaja të pastra duke dhënë burime të jashtme. Gjithmonë mund të thuash se nuk ka të bëjë me të, nuk ke bërë asgjë të tillë.
Pra, shërbimi online "Rikuperimi i fjalëkalimit" është i bazuar në Kinë, ku ju paguani që ata të hakojnë llogarinë "tuaj". Për 300 juanë, që është rreth 43 dollarë, mund të provoni të rivendosni një fjalëkalim të huaj të kutisë postare me një shkallë suksesi prej 85%. Për 200 juanë, ose 29 dollarë, do të keni 90% sukses në rivendosjen e fjalëkalimit të kutisë postare të shërbimit të postës elektronike në shtëpi. Kushton një mijë juanë, ose 143 dollarë, për të hakuar kutinë postare të çdo kompanie, por suksesi nuk është i garantuar. Ju gjithashtu mund të transferoni shërbimet e thyerjes së fjalëkalimeve për 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, etj.
Konferenca BLACK HAT USA. Pasurohuni ose vdisni: fitoni para në internet duke përdorur metodat e Black Hat. Pjesa 2 (lidhja do të jetë e disponueshme nesër)
Disa reklama 🙂
Faleminderit që qëndruat me ne. A ju pëlqejnë artikujt tanë? Dëshironi të shihni përmbajtje më interesante? Na mbështesni duke bërë një porosi ose duke rekomanduar miqve, , 30% zbritje për përdoruesit e Habr në një analog unik të serverëve të nivelit të hyrjes, i cili u shpik nga ne për ju: (e disponueshme me RAID1 dhe RAID10, deri në 24 bërthama dhe deri në 40 GB DDR4).
Dell R730xd 2 herë më lirë? Vetëm këtu në Holandë! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - nga 99 dollarë! Lexoni rreth
Burimi: www.habr.com