Mayroong isang site na tinatawag na Hire2Hack, na tumatanggap din ng mga kahilingan para sa "pagbawi" ng mga password. Dito ang halaga ng serbisyo ay nagsisimula sa $150. Hindi ko alam ang tungkol sa iba, ngunit kailangan mong bigyan sila ng impormasyon tungkol sa iyong sarili dahil babayaran mo sila. Upang magparehistro, kailangan mong magbigay ng username, email, password, at iba pa. Ang nakakatawa ay tumatanggap pa sila ng Western Union transfers.
Mahalagang tandaan na ang mga username ay napakahalagang impormasyon, lalo na kapag nauugnay sa isang email address. Sabihin mo sa akin, sino sa inyo ang nagsasaad ng tunay mong pangalan kapag nagrerehistro ng mailbox? Walang tao, ito ay masaya!
Kaya, ang mga email address ay mahalagang impormasyon, lalo na kung namimili ka online o gusto mong subaybayan ang pakikipag-fling ng iyong asawa sa isang dating site. Kung ikaw ay isang nagbebenta, maaari kang gumamit ng mga email address upang suriin kung sino sa iyong mga customer o subscriber ang kasalukuyang gumagamit ng mga serbisyo ng alinman sa iyong mga kakumpitensya.
Samakatuwid, ang mga umaatake sa phishing ay nagbabayad ng malaking pera para sa mga tunay na address ng user. Bukod pa rito, gumagamit sila ng password at mga window sa pagbawi sa pag-log in para magmina ng mga wastong email address gamit ang mga pag-atakeng nakabatay sa oras. Maraming mga pangunahing e-commerce at social media portal ang isinasaalang-alang ang pagnanakaw ng mga wastong email address bilang isang problema na maaaring magdulot ng maraming pinsala dahil nai-publish ang mga kagiliw-giliw na pag-aaral sa lugar na ito. Kaya dapat tayong lumaban sa dalawang larangan - laban sa timing na pag-atake at laban sa ganitong uri ng mga pagtagas ng impormasyon.
Ginagawa naming pera ang mga elektronikong kupon
Jeremy Grossman: Kaya, tumingin kami sa tatlong paraan ng online na pandaraya at ngayon ay pinapataas namin ang ante. Ang susunod na paraan ay gawing pera ang mga eCoupons. Ang mga kupon na ito ay ginagamit para sa online shopping. Ilalagay ng customer ang kanilang natatanging ID at may ilalapat na diskwento sa kanilang pagbili. Nag-aalok ang mga pangunahing online retailer ng mga programang diskwento sa mga customer, na suportado ng AmEx.
Alam ng marami sa inyo na ang mga kupon ay nagbibigay ng mga diskwento mula sa iilan hanggang ilang daang dolyar at may kasamang 16-digit na ID. Ang mga numerong ito ay napaka-static at karaniwang lumilitaw sa pagkakasunud-sunod. Noong una, isang coupon lang ang pinapayagan sa bawat order, ngunit pagkatapos, habang lumalago ang programa sa katanyagan, inalis ang mga paghihigpit na ito, at ngayon higit sa 3 mga kupon ang maaaring gamitin sa isang order.
May nakabuo ng script na sumusubok na tukuyin ang libu-libong posibleng valid na mga kupon ng diskwento. Alam ng mga nagbebenta ang mga order na nagkakahalaga ng higit sa 50 libong dolyar, na binayaran ng 200 o higit pang mga kupon sa halip na pera. Sumang-ayon, ito ay isang magandang regalo sa Pasko!
Ang problema ay hindi napansin sa mahabang panahon dahil ang programa ay gumana nang mahusay, lahat ay gumagamit ng mga kupon at lahat ay masaya. Nagpatuloy ito hanggang sa matukoy ng sistema ng pag-iiskedyul ng pagkarga ng programa ang 90% na pagtaas sa load ng processor habang ang mga tao ay nag-i-scroll sa mga numero ng ID, pinipili ang mga nagbibigay ng diskwento.
Hiniling ng mga mangangalakal sa FBI na imbestigahan ang kasong ito dahil naghinala silang may mali. Ngunit ang problema ay ang mga kalakal ay ipinapadala sa isang hindi umiiral na address, at ito ay nalito sa kanila. Ito ay lumabas na ang umaatake ay pumasok sa isang pagsasabwatan sa serbisyo ng paghahatid, na "hinarang" nang maaga ang mga kalakal.
Ano ang kawili-wili sa kasong ito ay ang mga kupon ay hindi pera, ang mga ito ay mga tool lamang sa marketing. Gayunpaman, ang mga pagkakamali sa lohika ng negosyo ay humantong sa pangangailangan na isangkot ang Lihim na Serbisyo, na nahaharap din sa mga katotohanan ng pandaraya ng serbisyo sa paghahatid, na ginamit ang sistema sa pabor nito.
Kumita ng pera mula sa mga pekeng account
Trey Ford: isa ito sa mga paborito kong kwento. "Tunay na Buhay: Office Space Hacking." Sa tingin ko napanood mo na ang pelikula tungkol sa mga hacker na "Office Space". Unawain natin ang prosesong ito. Ilan sa inyo ang gumamit ng online banking?
Mahusay, lahat ay umamin na ginamit nila ito. Ang isang kawili-wiling bagay ay ang kakayahang magbayad ng mga bill online sa pamamagitan ng ACH. Ang ACH "Automated Clearing House" ay gumagana tulad nito. Sabihin nating gusto kong bumili ng kotse kay Jeremy at direktang maglilipat ako ng pera mula sa aking account papunta sa kanyang account. Bago ko gawin ang pangunahing pagbabayad, kailangang tiyakin ng aking institusyong pinansyal na maayos ang lahat. Samakatuwid, naglilipat muna ang system ng ilang maliit na halaga, mula sa ilang sentimo hanggang 2 dolyar, upang i-verify na ang mga account sa pananalapi at mga address sa pagruruta ng mga partido ay maayos at natanggap ng kliyente ang pera. Kapag nasiyahan na sila na nakumpleto nang tama ang paglilipat na ito, handa na silang ipasa ang buong bayad. Maaari tayong magtalo tungkol sa kung ito ay legal, kung ito ay sumusunod sa mga tuntunin ng kasunduan ng user, ngunit sabihin sa akin, ilan sa inyo ang may PayPal account? Ilang tao ang may maraming PayPal ID? Ito ay malamang na ganap na legal at sumusunod sa Mga Tuntunin at Kundisyon.
Ngayon isipin na ang mekanismong ito ay maaaring gamitin upang kumita ng maraming pera. Pinag-uusapan natin ang paggamit ng epekto ng paglikha, halimbawa, 80 libong mga naturang account sa pamamagitan ng pag-set up ng isang simpleng script. Ang tanging bagay na kailangan mong bigyang pansin ay sinimulan namin ang aming kwento sa pamamagitan ng paggamit ng isang lokal na proxy, RSnake script, iba pang tool sa pag-hack na dapat makatulong sa amin na kumita ng pera, ngunit ngayon ay babalik kami at ipakita kung paano gawing mas madali ang pag-hack , para makagamit ka lang ng isang browser para kumita.
Ang partikular na pag-atake na ito ay personal sa kalikasan. Michael Largent, 22, mula sa California, ay gumamit ng isang simpleng script upang lumikha ng 58 pekeng brokerage account. Binuksan niya ang mga ito sa mga sistema ng Schwab, eTrade at ilang iba pa, na nagtalaga ng mga pangalan ng mga cartoon character sa mga pekeng gumagamit ng mga account na ito.
Para sa bawat isa sa mga account na ito, gumamit lang siya ng ACH verification transfer, nang hindi gumagawa ng buong paglilipat ng mga pondo. Ngunit nagmamay-ari siya ng isang magkasanib na account kung saan dumaloy ang lahat ng mga pondo sa pagpapatunay na ito, at pagkatapos ay inilipat ang mga ito sa kanyang sarili. Maganda ito - hindi ito gaanong pera, ngunit sa kabuuan ay nagdala ito sa kanya ng napakalaking kita. Ganyan siya kumita, kasunod ng ideya ng pelikulang Office Space. Ang kawili-wiling bagay ay walang ilegal dito - nakolekta lamang niya ang lahat ng maliliit na halagang ito, ngunit ginawa niya ito nang napakabilis.
Kumita siya ng $8225 sa Google Checkout system, at isa pang $50225 sa eTrade at Schwab system. Pagkatapos ay ini-withdraw niya ang perang ito sa isang credit card at nilustay ito. Nang matuklasan ng bangko na lahat ng libu-libong account na ito ay pagmamay-ari ng isang tao, tinawag siya ng mga empleyado ng bangko at tinanong kung bakit niya ito ginawa, hindi ba niya naiintindihan na siya ay nagnanakaw ng pera? Na sinagot ni Michael na hindi niya naiintindihan at hindi niya alam na may ginagawa siyang ilegal.
Ito ay isang napakahusay na paraan upang bumuo ng mga bagong relasyon sa mga taong Secret Service na sumusunod sa iyo at gustong malaman hangga't maaari tungkol sa iyo. Uulitin ko muli - ang pinakanakakatawang bagay tungkol sa pamamaraang ito ay walang ilegal dito. Siya ay pinigil sa ilalim ng Patriot Act. Sino ang nakakaalam kung ano ang Patriot Act?
Tama, ito ay isang batas na nagpapalawak ng kapangyarihan ng mga serbisyo ng paniktik sa larangan ng pagkontra sa terorismo. Gumamit ang taong ito ng mga pangalan mula sa mga cartoon at komiks, kaya nagawa nilang ma-bust siya dahil sa paggamit ng mga pekeng username. Kaya't ang mga naroroon na gumagamit ng mga gawa-gawang pangalan para sa kanilang mga mailbox ay dapat mag-ingat - ito ay maaaring ituring na labag sa batas!
Ang sakdal ng Secret Service ay batay sa apat na bilang: computer fraud, internet fraud at mail fraud, ngunit ang pagkilos ng pagtanggap ng pera ay napatunayang ganap na legal, dahil gumamit siya ng totoong account. Hindi ko masasabi kung ginawa ito nang tama o hindi, etikal o hindi, ngunit karaniwang lahat ng ginawa ni Michael ay sumunod sa Mga Tuntunin at Kundisyon na nakalista sa mga website, kaya marahil ito ay isang karagdagang tampok lamang.
Pag-hack ng mga bangko sa pamamagitan ng ASP
Jeremy Grossman: Alam mo, madalas akong naglalakbay at nakakakilala ng mga taong marunong sa teknikal o, sa kabaligtaran, hindi sanay sa teknolohiya. At kapag buhay ang pinag-uusapan, tinatanong nila kung saan ako nagtatrabaho. Kapag sumagot ako na ginagawa ko ang seguridad ng impormasyon, tinatanong nila kung ano iyon. Ipinaliwanag ko, at pagkatapos ay sinabi nila: "oh, para ma-hack mo ang isang bangko"!
Kaya, kapag sinimulan mong ipaliwanag kung paano aktwal na ma-hack ang isang bangko, pinag-uusapan mo ang tungkol sa pag-hack sa pamamagitan ng mga provider ng aplikasyon sa pananalapi ng ASP. Ang Mga Application Service Provider ay mga kumpanyang nagpapaupa ng sarili nilang software at hardware sa kanilang mga kliyente - mga bangko, credit union, at iba pang kumpanyang pinansyal.
Ang kanilang mga serbisyo ay ginagamit ng maliliit na bangko at mga katulad na kumpanya kung saan hindi kumikita sa pananalapi ang pagkakaroon ng sarili nilang software at hardware. Kaya nangungupahan sila ng kapasidad ng ASP, binabayaran sila buwan-buwan o taun-taon.
Ang mga ASP ay nakakakuha ng maraming atensyon mula sa mga hacker dahil sa halip na mag-hack ng isang bangko, maaari nilang i-hack ang 600 o isang libong mga bangko nang sabay-sabay. Kaya ang mga ASP ay nagpapakita ng isang napaka-kagiliw-giliw na target para sa masasamang tao.
Kaya, ang mga kumpanya ng ASP ay nagsisilbi sa isang buong grupo ng mga bangko batay sa tatlong mahahalagang parameter ng URL: client ID client_ID, bank ID bank_ID at account ID acct_ID. Ang bawat kliyente ng ASP ay may sariling natatanging identifier, na maaaring magamit sa maraming mga site ng pagbabangko. Ang bawat bangko ay maaaring magkaroon ng anumang bilang ng mga user account para sa bawat financial application - savings system, account verification system, payment system, atbp., at bawat financial application ay may sariling ID. Bukod dito, ang bawat client account sa application system na ito ay mayroon ding sariling ID. Kaya mayroon kaming tatlong account system.
Kaya paano tayo magha-hack ng 600 na bangko nang sabay-sabay? Una naming tinitingnan ang dulo ng isang string ng URL tulad nito: at subukang palitan ang acct_id ng isang arbitrary na value na #X, pagkatapos nito ay makakakuha tayo ng malaki, pula, na mensahe ng error na may sumusunod na nilalaman: "Ang Account #X ay pag-aari ng Bank #Y" (ang account #X ay pag-aari ng bangko #Y). Susunod, kinukuha namin ang bank_id, palitan ito sa browser sa #Y at makuha ang mensahe: "Bank #Y belong to Client #Z" (bank #Y belongs to client #Z).
Sa wakas, kinukuha namin ang client_id, itinalaga ito ng #Z - at iyon lang, nakapasok kami sa account na orihinal na gusto naming pasukin. Pagkatapos naming matagumpay na ma-hack ang system, maaari kaming makapasok sa anumang ibang bank account, o bank, o client account sa parehong paraan. Maaabot namin ang bawat account sa system. Walang pahiwatig ng awtorisasyon dito. Ang tanging bagay na kanilang sinusuri ay naka-log in ka gamit ang iyong ID, at ngayon ay maaari kang malayang mag-withdraw ng pera, gumawa ng paglipat, at iba pa.
Isang araw, ipinasa ng isa sa aming mga customer na hindi ASP ang aming impormasyon tungkol sa kahinaang ito sa isa pang customer na gumagamit ng ASP at sinabi sa kanila na may problemang kailangang ayusin. Sinabi namin sa kanila na malamang na kailangan naming muling isulat ang buong application para ipakilala ang pahintulot at titingnan ng system kung awtorisado ang kliyente na gumawa ng mga transaksyong pinansyal, at magtatagal ito ng ilang oras.
Pagkalipas ng dalawang araw, nagpadala sila sa amin ng tugon na nagsasabing naayos na nila ang lahat - naitama na nila ang URL upang hindi na lumabas ang mensahe ng error. Siyempre, ito ay cool, at nagpasya kaming tingnan ang source code upang makita kung ano ang ginawa nila sa kanilang "mahusay" na pamamaraan sa pag-hack. Kaya, ang ginawa lang nila ay huminto sa pagpapakita ng mensahe ng error sa HTML na format. Sa pangkalahatan, nagkaroon kami ng isang napaka-kagiliw-giliw na pag-uusap sa kliyenteng ito. Sinabi nila na dahil hindi nila mabilis na nalutas ang problemang ito, nagpasya silang gawin ito sa ngayon, umaasa na ganap na ayusin ang kahinaan sa mahabang panahon.
Baliktarin ang paglipat ng pera
Ang isa pang paraan ng pandaraya, na tatalakayin ko nang maikli, ay isang reverse money transfer. Ang operasyong ito ay ginagawa sa maraming mga aplikasyon sa pagbabangko. Kapag naglilipat ng $10000 mula sa account A patungo sa account B, ang formula ng pagpapatakbo ay dapat na lohikal na gumagana tulad nito:
A = A - ($10,000)
B = B + ($10,000)
Ibig sabihin, ang $10000 ay binawi mula sa account A at idinagdag sa account B.
Ang kawili-wiling bagay ay hindi tinitingnan ng bangko kung tama ang halaga ng paglilipat mo. Halimbawa, maaari mong palitan ang isang positibong numero ng isang negatibo, iyon ay, ilipat ang $10000 mula sa account A patungo sa account B. Ang formula ng transaksyon ay magiging ganito:
A = A β (-$10,000)
B = B + (-$10,000)
Iyon ay, sa halip na mag-debit ng mga pondo mula sa account A, sila ay ide-debit mula sa account B at i-kredito sa account A. Ito ay nangyayari paminsan-minsan at nagdudulot ng mga kawili-wiling resulta. Sa ibaba ng slide na ito makikita mo ang isang link sa isang artikulo sa pananaliksik .
Inilalarawan nito ang mga katulad na bagay na nangyayari sa mga error sa pag-round. Mayroong maraming mga kagiliw-giliw na bagay sa artikulong ito mula sa Corsaire na nagbigay sa amin ng materyal para sa ilan sa aming sariling mga solusyon.
Pero balik tayo sa dating problema. Nakipag-ugnayan kami sa ASP Security at natanggap namin ang sumusunod na tugon: "Maiiwasan ng mga panloob na kontrol sa negosyo ang mga ganitong problema." Sabi namin, "okay, tingnan natin ang website nila." Pagkalipas ng ilang linggo, habang patuloy kaming nakikipagtulungan sa aming kliyente, natanggap namin ang tseke na ito sa koreo mula sa kanila:
Sinasabi dito na ito ay isang $2 na bayad para sa pagsubok na ginawa ng aming kumpanyang WH. Ganito tayo kumita!
Nasa desk ko pa rin ang resibo na iyon. Para sa dalawang ganoong pagsubok maaari tayong makakuha ng hanggang 4 na bucks!
Ngunit pagkaraan ng ilang buwan, narinig namin mula sa isang partikular na customer na ang $70000 ay ilegal na inilipat sa isa sa mga bansa sa Silangang Europa. Hindi na maibalik ang pera dahil huli na at nawala ang kliyente ng ASP. Nangyayari ang mga bagay na ito, ngunit ang hindi namin nalaman, dahil hindi kami forensic scientist, ay kung gaano karaming mga customer ang naapektuhan ng kahinaang ito. Dahil lahat ng bagay sa scheme na ito ay mukhang ganap na legal muli - binabago mo lang ang hitsura ng URL.
Shopping mula sa teleshopping
Trey Ford: Ngayon sasabihin ko sa iyo ang tungkol sa isang talagang teknikal na hack, kaya makinig kang mabuti. Alam nating lahat ang maliit na istasyon ng telebisyon na tinatawag na QVC, sigurado akong may bibilhin ka sa TV store na ito kung minsan.
Alamin na kapag bumili ka ng isang bagay online, anuman ang site, huwag mag-click kahit saan dahil ang iyong order ay magsisimulang maproseso kaagad pagkatapos nito! Maaari mong agad na magbago ang iyong isip at ihinto ang transaksyon. Ngunit pagkalipas ng ilang araw, nakakakuha ka ng isang bungkos ng junk sa koreo na kailangan mong bayaran kaagad.
Ipasok si Quantina Moore-Perry, isang 33 taong gulang na sertipikadong hacker mula sa Greensboro, North Carolina. Hindi ko alam kung ano ang kanyang ikinabubuhay noon, ngunit masasabi ko sa iyo kung paano siya nagsimulang kumita pagkatapos ng isang random na transaksyon na sinasabing ginawa niya, bagaman halos agad niyang kinansela ang transaksyon sa site.
Ang lahat ng "iniutos" na mga bagay ay nagsimulang dumating sa kanyang mailing address mula sa QVC - mga handbag ng kababaihan, mga gamit sa bahay, alahas, electronics. Ano ang gagawin mo kung may nagpadala sa iyo ng isang bagay sa mail na hindi mo na-order? Tama, wala! Malinaw na agad na ang ating mga tao...
Gayunpaman, makakakuha ka ng libreng pagpapadala, at ang libreng pagpapadala ay isang benepisyo! Pagkatapos ng lahat, ang mga parsela ay nasa koreo na, hindi mo na kailangang ipadala ang mga ito kahit saan. Kung ito ay isang karaniwang proseso ng negosyo, paano mo ito magagamit? Ano ang gagawin sa 1800 parsela na dumating sa kanyang postal address mula Mayo hanggang Nobyembre? Kaya, ang babaeng ito ay nag-auction ng lahat ng mga bagay na ito sa eBay, at bilang resulta ng pagbebenta ng lahat ng basurang ito, ang kanyang kita ay $412000! Paano niya ginawa ito ay napakasimple! Sinabi niya sa post office na may nag-order ng lahat ng package na ito mula sa QVC hanggang sa kanyang address, ngunit nahihirapan siyang i-repack ang mga ito at ipadala ang mga ito sa mga tatanggap, kaya siguraduhing ipinadala ang mga ito sa orihinal na packaging ng QVC!
Tulad ng nakikita mo, ito ay isang napaka-teknikal na solusyon! Gayunpaman, nabahala ang QVC tungkol sa isyung ito pagkatapos matanggap ito ng 2 tao na bumili ng item sa eBay sa QVC packaging. Hinatulang guilty ng federal court ang babae sa pandaraya sa koreo.
Kaya, ang isang simpleng teknikal na sagabal sa pagkansela ng inilagay na mga order ay nagpapahintulot sa babaeng ito na kumita ng malaking halaga ng pera.
37:40 min
Ilang ad π
Salamat sa pananatili sa amin. Gusto mo ba ang aming mga artikulo? Gustong makakita ng mas kawili-wiling nilalaman? Suportahan kami sa pamamagitan ng pag-order o pagrekomenda sa mga kaibigan, , 30% na diskwento para sa mga gumagamit ng Habr sa isang natatanging analogue ng mga entry-level na server, na inimbento namin para sa iyo: (magagamit sa RAID1 at RAID10, hanggang 24 na core at hanggang 40GB DDR4).
Dell R730xd 2 beses na mas mura? Dito lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mula $99! Basahin ang tungkol sa
Pinagmulan: www.habr.com