Ekziston një faqe e quajtur Hire2Hack, e cila gjithashtu pranon kërkesat për "rikuperim" të fjalëkalimeve. Këtu kostoja e shërbimit fillon nga 150 dollarë. Për pjesën tjetër nuk e di, por duhet t'u japësh informacion për veten se do t'i paguash. Për t'u regjistruar, duhet të jepni një emër përdoruesi, email, fjalëkalim, etj. Gjëja qesharake është se ata pranojnë edhe transferta të Western Union.
Vlen të përmendet se emrat e përdoruesve janë informacion shumë i vlefshëm, veçanërisht kur lidhen me një adresë emaili. Më tregoni, cili prej jush tregon emrin tuaj të vërtetë kur regjistroni një kuti postare? Askush, kjo është kënaqësi!
Pra, adresat e emailit janë informacion i vlefshëm, veçanërisht nëse jeni duke bërë blerje në internet ose dëshironi të gjurmoni sulmin e bashkëshortit tuaj në një faqe takimesh. Nëse jeni shitës, mund të përdorni adresat e emailit për të kontrolluar se cilët nga klientët ose abonentët tuaj po përdorin aktualisht shërbimet e ndonjë prej konkurrentëve tuaj.
Prandaj, sulmuesit e phishing paguajnë para të mëdha për adresat e përdoruesve realë. Për më tepër, ata përdorin dritaret e rikuperimit të fjalëkalimit dhe hyrjes për të minuar adresat e vlefshme të emailit duke përdorur sulme të bazuara në kohë. Shumë portale të mëdha të tregtisë elektronike dhe mediave sociale po e konsiderojnë vjedhjen e adresave të vlefshme të emailit si një problem që mund të shkaktojë shumë dëme pasi janë publikuar studime interesante në këtë fushë. Pra, ne duhet të luftojmë në dy fronte - kundër sulmeve të kohës dhe kundër rrjedhjeve të informacionit të këtij lloji.
Ne i kthejmë kuponët elektronikë në para
Jeremy Grossman: Pra, ne kemi shqyrtuar tre mënyra të mashtrimit në internet dhe tani jemi duke e ngritur anten. Mënyra tjetër është shndërrimi i eKuponëve në para. Këto kuponë përdoren për blerje online. Klienti fut ID-në e tij unike dhe një zbritje aplikohet për blerjen e tyre. Shitësit e mëdhenj online ofrojnë programe zbritjeje për klientët, të cilat janë mbështetur nga AmEx.
Shumë prej jush e dinë se kuponët ofrojnë zbritje që variojnë nga disa në disa qindra dollarë dhe vijnë me një ID 16-shifrore. Këta numra janë shumë statikë dhe zakonisht shfaqen në rregull. Në fillim lejohej vetëm një kupon për porosi, por më pas, me rritjen e popullaritetit të programit, këto kufizime u hoqën dhe tani mund të përdoren më shumë se 3 kuponë me një porosi.
Dikush ka zhvilluar një skenar që përpiqet të identifikojë mijëra kuponë të mundshëm zbritjeje të vlefshme. Shitësit dinë për porosi me vlerë mbi 50 mijë dollarë, të cilat paguheshin me 200 e më shumë kuponë në vend të parave. Pajtohem, kjo është një dhuratë e mirë për Krishtlindje!
Problemi kaloi pa u vënë re për një kohë të gjatë, sepse programi funksionoi mirë, të gjithë përdorën kuponët dhe të gjithë ishin të kënaqur. Kjo vazhdoi derisa sistemi i planifikimit të ngarkesës së programit zbuloi një rritje prej 90% në ngarkesën e procesorit ndërsa njerëzit po lëviznin nëpër numrat e ID-së, duke zgjedhur ata që ofronin një zbritje.
Tregtarët i kërkuan FBI-së që të hetonte këtë rast sepse dyshonin se diçka nuk shkonte. Por problemi ishte se malli po dërgohej në një adresë inekzistente dhe kjo i hutoi ata. Doli se sulmuesi hyri në një komplot me shërbimin e dorëzimit, i cili "përgjonte" mallrat paraprakisht.
Ajo që është interesante në këtë rast është se kuponët nuk janë monedhë, janë vetëm mjete marketingu. Megjithatë, gabimet në logjikën e biznesit çuan në nevojën e përfshirjes së Shërbimit Sekret, i cili gjithashtu u përball me fakte të mashtrimit nga shërbimi i dërgesave, i cili përdori sistemin në favor të tij.
Fitimi i parave nga llogaritë e rreme
Trey Ford: kjo është një nga historitë e mia të preferuara. "Jeta reale: Hakimi i hapësirës së zyrës." Unë mendoj se e keni parë filmin për hakerat "Office Space". Le ta kuptojmë këtë proces. Sa prej jush kanë përdorur banking online?
E shkëlqyeshme, të gjithë pranuan që e përdorën atë. Një gjë interesante është aftësia për të paguar faturat në internet nëpërmjet ACH. ACH "Automated Clearing House" funksionon si kjo. Le të themi se dua të blej një makinë nga Jeremy dhe do të transferoj para direkt nga llogaria ime në llogarinë e tij. Përpara se të bëj pagesën kryesore, institucioni im financiar duhet të sigurohet që gjithçka është në rregull. Prandaj, së pari sistemi transferon një shumë të vogël, nga disa cent në 2 dollarë, për të verifikuar që llogaritë financiare dhe adresat e rrugës së palëve janë në rregull dhe klienti ka marrë paratë. Pasi të jenë të kënaqur që ky transferim është kryer në mënyrë korrekte, ata janë gati të përcjellin pagesën e plotë. Ne mund të diskutojmë nëse kjo është e ligjshme, nëse është në përputhje me kushtet e marrëveshjes së përdoruesit, por më tregoni, sa prej jush kanë një llogari PayPal? Sa njerëz kanë ID të shumëfishta PayPal? Kjo ndoshta është plotësisht e ligjshme dhe është në përputhje me Termat dhe Kushtet.
Tani imagjinoni që ky mekanizëm mund të përdoret për të fituar shumë para. Ne po flasim për përdorimin e efektit të krijimit, le të themi, 80 mijë llogari të tilla duke vendosur një skenar të thjeshtë. E vetmja gjë që duhet t'i kushtoni vëmendje është se ne e filluam historinë tonë duke përdorur një përfaqësues lokal, skriptin RSnake, një mjet tjetër hakerimi që duhet të na ndihmojë të fitojmë para, por tani do të kthehemi dhe do të tregojmë se si ta bëjmë hakerimin shumë më të lehtë , në mënyrë që të mund të përdorni vetëm një shfletues për të fituar para.
Ky sulm i veçantë është i natyrës personale. Michael Largent, 22 vjeç, nga Kalifornia, përdori një skenar të thjeshtë për të krijuar 58 llogari false brokerimi. Ai i hapi ato në sistemet e Schwab, eTrade dhe disa të tjera, duke u caktuar emrat e personazheve vizatimorë përdoruesve të rremë të këtyre llogarive.
Për secilën prej këtyre llogarive, ai përdori vetëm një transfertë verifikimi ACH, pa bërë një transferim të plotë të fondeve. Por ai zotëronte një llogari të përbashkët në të cilën kalonin të gjitha këto fonde verifikimi dhe më pas ia transferonte vetes. Tingëllon mirë - nuk janë shumë para, por në total i sollën të ardhura shumë të konsiderueshme. Kështu fitoi para, duke ndjekur idenë e filmit Office Space. Gjëja interesante është se këtu nuk ka asgjë të paligjshme - ai vetëm mblodhi të gjitha këto shuma të vogla, por ai e bëri atë shumë shpejt.
Ai fitoi 8225 dollarë në sistemin Google Checkout dhe 50225 dollarë të tjerë në sistemet eTrade dhe Schwab. Më pas ai i tërhoqi këto para në një kartë krediti dhe i përvetësoi. Kur banka zbuloi se të gjitha këto mijëra llogari i përkisnin një personi, punonjësit e bankës e thirrën dhe e pyetën pse e bëri këtë, a nuk e kupton ai që po vjedh para? Për të cilën Michael u përgjigj se ai nuk e kuptonte dhe nuk e dinte që ai po bënte diçka të paligjshme.
Kjo është një mënyrë shumë e mirë për të ndërtuar marrëdhënie të reja me njerëzit e Shërbimit Sekret që ju ndjekin përreth dhe duan të dinë sa më shumë për ju. E përsëris edhe një herë - gjëja më qesharake e kësaj skeme është se këtu nuk kishte asgjë të paligjshme. Ai u ndalua në bazë të Aktit Patriot. Kush e di se çfarë është Akti Patriot?
Ashtu është, ky është një ligj që zgjeron kompetencat e shërbimeve të inteligjencës në fushën e luftimit të terrorizmit. Ky djalosh përdorte emra nga filmat vizatimorë dhe komike, kështu që ata ishin në gjendje ta sulmonin atë për përdorimin e emrave të rremë të përdoruesve. Pra, të pranishmit që përdorin emra fiktivë për kutitë e tyre postare duhet të jenë të kujdesshëm - kjo mund të konsiderohet e paligjshme!
Aktakuza e Shërbimit Sekret bazohej në katër pika: mashtrim kompjuterik, mashtrim në internet dhe mashtrim me postë, por akti i marrjes së parave rezultoi plotësisht i ligjshëm, pasi ai përdorte një llogari të vërtetë. Nuk mund të them nëse është bërë në mënyrë korrekte apo jo, nga ana etike apo jo, por në thelb gjithçka që bëri Michael përputhej me Termat dhe Kushtet e listuara në faqet e internetit, kështu që ndoshta ishte vetëm një veçori shtesë.
Hakerimi i bankave përmes ASP
Jeremy Grossman: e dini, unë udhëtoj shumë dhe takoj njerëz që janë teknikisht të zgjuar ose, përkundrazi, aspak të aftë për teknologjinë. Dhe kur flasim për jetën, ata pyesin se ku punoj. Kur përgjigjem se bëj sigurinë e informacionit, ata pyesin se çfarë është. Unë shpjegoj, dhe pastaj ata thonë: "Oh, kështu që ju mund të hakoni një bankë"!
Pra, kur filloni të shpjegoni se si një bankë mund të hakohet në të vërtetë, po flisni për hakerimin përmes ofruesve të aplikacioneve financiare ASP. Ofruesit e shërbimeve të aplikacionit janë kompani që japin me qira softuerin dhe harduerin e tyre për klientët e tyre - bankat, unionet e kreditit dhe kompanitë e tjera financiare.
Shërbimet e tyre përdoren nga banka të vogla dhe kompani të ngjashme për të cilat nuk është financiarisht fitimprurëse të kenë softuerin dhe harduerin e tyre. Kështu ata marrin me qira kapacitetet e ASP-së, duke i paguar ato mujore ose vjetore.
ASP-të marrin shumë vëmendje nga hakerat sepse në vend që të hakojnë një bankë, ata mund të hakojnë 600 ose një mijë banka në të njëjtën kohë. Pra, ASP-të paraqesin një objektiv shumë interesant për djemtë e këqij.
Pra, kompanitë ASP i shërbejnë një grupi të tërë bankash bazuar në tre parametra të rëndësishëm URL: ID-ja e klientit klient_ID, ID e bankës bank_ID dhe ID e llogarisë acct_ID. Çdo klient ASP ka identifikuesin e tij unik, i cili potencialisht mund të përdoret në shumë site bankare. Çdo bankë mund të ketë çdo numër llogarish përdoruesi për çdo aplikacion financiar - sistem kursimi, sistem verifikimi llogarie, sistem pagese etj., dhe çdo aplikacion financiar ka ID-në e vet. Për më tepër, çdo llogari klienti në këtë sistem aplikimi ka edhe ID-në e vet. Pra, ne kemi tre sisteme llogarie.
Pra, si t'i hakojmë 600 banka në të njëjtën kohë? Së pari ne shikojmë në fund të një vargu URL si kjo: dhe përpiquni të zëvendësoni acct_id me një vlerë arbitrare #X, pas së cilës marrim një mesazh gabimi të madh, të kuq, me përmbajtjen e mëposhtme: "Llogaria #X i përket Bankës #Y" (llogaria #X i përket bankës #Y). Më pas, marrim bank_id, e ndryshojmë në shfletues në #Y dhe marrim mesazhin: “Banka #Y i përket klientit #Z” (banka #Y i përket klientit #Z).
Më në fund, marrim ID-në e klientit, e caktojmë atë #Z - dhe kaq, ne futemi në llogarinë që fillimisht donim të futeshim. Pasi të kemi hakuar me sukses sistemin, ne mund të hyjmë në çdo llogari tjetër bankare, ose llogari bankare ose klienti në të njëjtën mënyrë. Ne mund të arrijmë çdo llogari në sistem. Këtu nuk ka asnjë aluzion autorizimi. E vetmja gjë që kontrollojnë është që ju jeni regjistruar me ID, dhe tani mund të tërhiqni lirisht para, të bëni një transfertë etj.
Një ditë, një nga klientët tanë jo-ASP përcolli informacionin tonë në lidhje me këtë dobësi te një klient tjetër që përdorte ASP dhe u tha atyre se kishte një problem që duhej rregulluar. Ne u thamë atyre se ndoshta do të duhet të rishkruajmë të gjithë aplikacionin për të futur autorizimin dhe sistemi do të kontrollonte nëse klienti ishte i autorizuar për të kryer transaksione financiare dhe se kjo do të kërkonte pak kohë.
Dy ditë më vonë ata na dërguan një përgjigje duke thënë se ata tashmë kishin rregulluar gjithçka vetë - ata kishin korrigjuar URL-në në mënyrë që mesazhi i gabimit të mos shfaqej më. Sigurisht, ishte mirë dhe vendosëm të shikonim kodin burimor për të parë se çfarë bënë ata me teknikën e tyre "të shkëlqyer" të hakerimit. Pra, gjithçka që ata bënë ishte ndalimi i shfaqjes së një mesazhi gabimi në formatin HTML. Në përgjithësi, ne patëm një bisedë shumë interesante me këtë klient. Ata thanë se duke qenë se nuk ishin në gjendje ta zgjidhnin shpejt këtë problem, vendosën ta bëjnë këtë për momentin, duke shpresuar që të rregullojnë plotësisht cenueshmërinë në terma afatgjatë.
Transferimi i kundërt i parave
Një metodë tjetër mashtrimi, për të cilën do të flas shumë shkurt, është një transferim i kundërt i parave. Ky operacion kryhet në shumë aplikacione bankare. Kur transferoni 10000 dollarë nga llogaria A në llogarinë B, formula e funksionimit duhet të funksionojë logjikisht si kjo:
A = A - (10,000 dollarë)
B = B + (10,000 dollarë)
Kjo do të thotë, 10000 dollarë tërhiqen nga llogaria A dhe shtohen në llogarinë B.
Gjëja interesante është se banka nuk kontrollon nëse vendosni shumën e saktë të transfertës. Për shembull, mund të zëvendësoni një numër pozitiv me një negativ, domethënë të transferoni 10000 dollarë nga llogaria A në llogarinë B. Formula e transaksionit do të duket si kjo:
A = A - (-10,000 dollarë)
B = B + (-10,000 dollarë)
Domethënë, në vend që të debitohen fondet nga llogaria A, ato do të debitohen nga llogaria B dhe do të kreditohen në llogarinë A. Kjo ndodh herë pas here dhe sjell rezultate interesante. Në fund të këtij rrëshqitje mund të shihni një lidhje me një artikull kërkimor .
Ai përshkruan gjëra të ngjashme që ndodhin me gabimet e rrumbullakosjes. Ka shumë gjëra interesante në këtë artikull nga Corsaire që na ofruan materiale për disa nga zgjidhjet tona.
Por le të kthehemi te problemi i mëparshëm. Ne kontaktuam ASP Security dhe morëm përgjigjen e mëposhtme: “Kontrollet e brendshme të biznesit do të parandalojnë probleme të tilla”. Ne thamë, "në rregull, le të shohim faqen e tyre në internet." Disa javë më vonë, ndërsa vazhdonim punën me klientin tonë, morëm këtë çek me postë prej tyre:
Këtu thuhet se kjo është një tarifë prej 2 dollarë për testimin e bërë nga kompania jonë WH. Kështu fitojmë para!
E kam ende atë faturë në tavolinën time. Për dy teste të tilla mund të marrim deri në 4 dollarë!
Por disa muaj më vonë dëgjuam nga një klient specifik se 70000 dollarë ishin transferuar ilegalisht në një nga vendet e Evropës Lindore. Paratë nuk mund të ktheheshin pasi ishte vonë dhe ASP-ja humbi klientin e saj. Këto gjëra ndodhin, por ajo që nuk e morëm vesh kurrë, sepse nuk jemi mjekë ligjorë, është se sa klientë të tjerë u prekën nga kjo dobësi. Sepse gjithçka në këtë skemë duket përsëri plotësisht e ligjshme - thjesht po ndryshoni pamjen e URL-së.
Blerje nga teleshoping
Trey Ford: Tani do t'ju tregoj për një hak vërtet teknik, kështu që dëgjoni me kujdes. Të gjithë e njohim stacionin e vogël televiziv të quajtur QVC, jam i sigurt që ndonjëherë blini diçka nga ky dyqan televiziv.
Dijeni që kur blini diçka online, pavarësisht faqes, mos klikoni askund sepse porosia juaj do të fillojë të përpunohet menjëherë pas kësaj! Ju mund të ndryshoni menjëherë mendjen dhe të ndaloni transaksionin. Por disa ditë më vonë ju merrni një grumbull mbeturinash në postë për të cilat duhet të paguani menjëherë.
Hyni në Quantina Moore-Perry, një haker 33-vjeçar i certifikuar nga Greensboro, Karolina e Veriut. Nuk e di se çfarë bënte ajo për të jetuar më parë, por mund t'ju tregoj se si filloi të fitonte para pas një transaksioni të rastësishëm që dyshohet se kishte bërë, megjithëse pothuajse menjëherë e anuloi transaksionin në faqe.
Të gjitha këto gjëra "të porositura" filluan të mbërrinin në adresën e saj postare nga QVC - çantat e grave, pajisje shtëpiake, bizhuteri, elektronikë. Çfarë do të bënit nëse dikush do t'ju dërgonte diçka në postë që nuk e keni porositur? Ashtu është, asgjë! Është menjëherë e qartë se njerëzit tanë...
Megjithatë, ju merrni transport falas, dhe transporti falas është një përfitim! Në fund të fundit, pakot janë tashmë në postë, nuk keni nevojë t'i dërgoni askund. Nëse ky është një proces standard biznesi, si mund ta përdorni? Çfarë të bëni me 1800 parcelat që mbërritën në adresën e saj postare nga maji deri në nëntor? Pra, kjo grua i nxori në ankand të gjitha këto gjëra në eBay, dhe si rezultat i shitjes së gjithë këtyre mbeturinave, fitimi i saj ishte 412000 dollarë! Si e bëri ajo këtë është shumë e thjeshtë! Ajo i tha postës se dikush i ka porositur të gjitha këto pako nga QVC në adresën e saj, por ajo e ka të vështirë t'i ripaketojë dhe t'ua dërgojë marrësve, prandaj sigurohuni që ato të dërgohen në paketimin origjinal të QVC!
Siç mund ta shihni, kjo është një zgjidhje shumë teknike! Megjithatë, QVC u shqetësua për këtë çështje pasi 2 persona që blenë artikullin në eBay e morën atë në paketim QVC. Një gjykatë federale e shpalli gruan fajtore për mashtrim me postë.
Kështu, një problem i thjeshtë teknik me anulimin e porosive të vendosura i lejoi kësaj gruaje të fitonte një shumë të madhe parash.
37:40 min
Disa reklama 🙂
Faleminderit që qëndruat me ne. A ju pëlqejnë artikujt tanë? Dëshironi të shihni përmbajtje më interesante? Na mbështesni duke bërë një porosi ose duke rekomanduar miqve, , 30% zbritje për përdoruesit e Habr në një analog unik të serverëve të nivelit të hyrjes, i cili u shpik nga ne për ju: (e disponueshme me RAID1 dhe RAID10, deri në 24 bërthama dhe deri në 40 GB DDR4).
Dell R730xd 2 herë më lirë? Vetëm këtu në Holandë! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - nga 99 dollarë! Lexoni rreth
Burimi: www.habr.com