Існує сайт під назвою Hire2Hack, який також приймає заявки на «відновлення» паролів. Тут вартість послуги починається від $150. Я не знаю про решту, але ви повинні надати їм інформацію про себе, тому що збираєтеся їм платити. Для реєстрації потрібно вказати ім'я користувача, email, пароль тощо. Смішно те, що вони приймають до оплати навіть перекази по системі Western Union.
Варто врахувати, що імена користувачів є дуже цінною інформацією, особливо коли вони прив'язані до адреси електронної пошти. Скажіть, хто з вас вказує своє справжнє ім'я під час реєстрації поштової скриньки? Ніхто, це весело!
Отже, адреси електронної пошти є цінною інформацією, особливо якщо ви займаєтеся покупками в інтернеті або хочете відстежити інтрижку чоловіка, що зависає на сайті знайомств. Якщо ви продавець, то за допомогою адрес електронної пошти можете перевірити, хто з ваших споживачів або ваших передплатників користуються послугами будь-якого з ваших конкурентів.
Тому зловмисники, які займаються фішингом, сплачують великі гроші за реальні адреси користувачів. Крім того, вони використовують вікна відновлення паролів та логінів для майнінгу дійсних адрес електронної пошти, використовуючи тимчасові атаки. Безліч великих порталів електронної комерції та соціальних мереж розглядають крадіжку дійсних адрес електронної пошти як проблему, здатну завдати великої шкоди, відколи були опубліковані цікаві дослідження в цій галузі. Тож ми маємо воювати на два фронти – проти таймінг-атак і проти витоків інформації такого роду.
Перетворюємо електронні купони на гроші
Джеремі Гроссман: ми розглянули три способи інтернет-шахрайства і тепер піднімаємо ставки. Наступний спосіб – це перетворення на гроші електронних купонів eCoupons. Ці купони використовуються для покупок через інтернет. Клієнт вводить свій унікальний ID, і для його покупки застосовується знижка. Великі інтернет-торговці пропонують покупцям знижкову програму, яка була підтримана AmEx.
Багато хто з вас знає, що купони надають знижку від декількох до пари сотень доларів і мають 16-значний ID. Ці номери дуже статичні і зазвичай йдуть по порядку. Спочатку до одного замовлення дозволялося застосовувати тільки один купон, але потім, зі зростанням популярності програми, ці обмеження були зняті, і тепер з одним замовленням можна використовувати більше трьох купонів.
Хтось розробив скрипт, який намагається визначити тисячі можливих дійсних купонів на знижку. Продавцям відомі замовлення на суму понад 50 тисяч доларів, які замість грошей оплачували 200 і більше купонів. Погодьтеся, це непоганий різдвяний подарунок!
Проблема залишалася непоміченою довгий час, тому що програма чудово працювала, всі користувалися купонами та всі були задоволені. Так тривало доти, доки система планування завантаженості програми не виявила збільшення завантаження процесора на 90% у той час, коли люди «прокручували» ID номери, вибираючи ті, що надавали знижку.
Торговці звернулися до ФБР із проханням розслідувати цей випадок, бо запідозрили щось недобре. Але проблема полягала в тому, що товари вирушали на неіснуючу адресу, і це їх збентежило. З'ясувалося, що зловмисник вступив у змову зі службою доставки, яка завчасно перехоплювала товар.
І тут цікаво те, що купони є валютою, це лише маркетингові інструменти. Однак помилки бізнес-логіки призвели до того, що виникла потреба залучити Секретну службу, яка до того ж зіткнулася з фактами шахрайства служби доставки, яка використовувала систему на свою користь.
Заробіток на фейкових акаунтах
Трей Форд: це одна з моїх улюблених історій. «Реальне життя: зламування «Офісного простору». Думаю, ви бачили фільм про хакерів «Офісний простір». Давайте розберемося у цьому процесі. Хто з вас скористався онлайн-банкінгом?
Добре, всі зізналися, що користувалися. Існує одна цікава річ – можливість оплати рахунків онлайн за системою ACH. "Автоматизована розрахункова палата" ACH працює так. Припустимо, я хочу купити у Джеремі автомобіль і збираюся перевести гроші прямо з мого рахунку на його рахунок. Перш ніж я проведу основний платіж, моя фінансова установа повинна переконатися, що в нас все налагоджено. Тому спочатку система переказує якусь мізерну суму, від кількох центів до 2 доларів, щоб перевірити, що фінансові акаунти та адреси маршрутизації сторін у порядку та клієнт отримав ці гроші. Після того, як вони переконаються, що цей переказ здійснено нормально, вони готові надіслати повний платіж. Можна розмірковувати про те, чи є це законним, чи відповідає умовам угоди користувача, але скажіть мені, хто з вас має обліковий запис PayPal? Скільки людей мають кілька PayPal ID? Ймовірно, це цілком законно та відповідає Terms & Conditions.
А тепер уявіть, що цей механізм можна використати для того, щоб заробити багато грошей. Ми говоримо про те, щоб використовувати ефект від створення, припустимо, 80 тисяч таких облікових записів, налаштувавши простий скрипт. Єдине, на що потрібно звернути увагу - це те, що ми почали свою розповідь з використання локального проксі, скрипта RSnake, іншого хакерського інструменту, який повинен допомогти нам заробити, але зараз ми збираємося повернутися і показати, як зробити злом набагато простіше, так, щоб для заробітку можна було б використовувати лише браузер.
Ця конкретна атака має індивідуальний характер. 22-річний Майкл Ларджент із Каліфорнії використав простий скрипт, щоб створити 58 тисяч фейкових брокерських акаунтів. Він відкрив їх у системах Sсhwab, eTrade та деяких інших, надавши фальшивим користувачам цих акаунтів імена персонажів мультфільмів.
Для кожного з цих облікових записів він використовував лише перевірочний переказ по системі ACH, не здійснюючи повного переказу коштів. Але він володів загальним рахунком, який стікалися всі ці перевірочні кошти, та був перекладав їх собі. Звучить непогано – це невеликі гроші, але у сумі вони принесли йому дуже солідний заробіток. Ось так він зробив гроші, дотримуючись ідеї фільму «Офісний простір». Найцікавіше те, що тут немає нічого незаконного – він просто збирав усі ці крихітні суми, але робив це дуже швидко.
На системі Google Checkout він заробив $8225, на системах eTrade та Sсhwab – ще $50225. Потім він вивів ці гроші на кредитну картку та привласнив. Коли банк виявив, що всі ці тисячі рахунків належать одній людині, співробітники банку зателефонували їй і спитали, навіщо він це зробив, хіба не розуміє, що краде гроші? На що Майкл їм відповів, що не розумів і не знав, що робить щось протизаконне.
Це дуже добрий спосіб налагодити нові відносини з людьми з Секретної Служби, які йдуть за вами всюди і хочуть дізнатися про вас якнайбільше. Ще раз повторю – найсмішніше в цій схемі те, що тут не було нічого протизаконного. Його затримали на підставі Patriot Act, Патріотичного Акту. Хто знає, що таке Патріотичний Акт?
Правильно, це закон, який розширює повноваження спецслужб у сфері протидії тероризму. Цей хлопець використав імена з мультфільмів та коміксів, тому вони змогли затримати його за використання фальшивих імен користувачів. Тож ті з присутніх, хто використовує для своїх поштових скриньок вигадані імена, мають бути обережними – це може бути визнано незаконним!
Звинувачення Secret Service будувалося за чотирма пунктами: комп'ютерне шахрайство, інтернет шахрайство та поштове шахрайство, але акт отримання грошей був визнаний цілком законним, оскільки він використав справжній обліковий запис. Я не можу сказати, правильно це було зроблено чи ні, етично чи не етично, але в принципі все, що робив Майкл, відповідало Terms & Conditions, наведеним на веб-сайтах, тому, можливо, це просто була така додаткова функція.
Зламування банків через ASP
Джеремі Гроссман: ви знаєте, я багато подорожую, і зустрічаюся з людьми, які технічно підковані чи навпаки, зовсім не знаються на техніці. І коли ми говоримо про життя, вони запитують, де я працюю. Коли я відповідаю, що займаюся інформаційною безпекою, вони питають, що це таке. Я пояснюю, і тоді вони кажуть: «о, отже, ви можете зламати банк»!
Отже, коли ви починаєте пояснювати, як насправді можна зламати банк, ви маєте на увазі злом через постачальників прикладних фінансових програм ASP. Application Service Providers - це компанії, що надають в оренду власне програмне та апаратне забезпечення своїм клієнтам - банкам, кредитним спілкам, іншим фінансовим компаніям.
Їхніми послугами користуються дрібні банки та подібні компанії, яким фінансово не вигідно мати власний «софт» та «залізо». Тому вони орендують потужності ASP, сплачуючи їм щомісяця чи щороку.
ASP користуються підвищеною увагою хакерів, тому що замість зламати один банк, вони можуть відразу зламати 600 або тисячу банків. Отже, ASP представляють для поганих хлопців дуже цікаву мету.
Отже, компанії ASP обслуговують цілу купу банків на основі трьох найважливіших URL-параметрів: ідентифікатора клієнта client_ID, ідентифікатора банку bank_ID та ідентифікатора рахунку acct_ID. Кожен клієнт ASP має єдиний унікальний ідентифікатор, який потенційно може використовуватися на декількох банківських сайтах. Кожен банк може мати будь-яку кількість облікових записів для кожного фінансового додатку – ощадної системи, системи перевірки рахунку, системи платежів і так далі, і кожен фінансовий додаток має свій ID. При цьому кожен клієнтський обліковий запис у цій системі додатків теж має свій ID. Таким чином, у нас є три системи облікових записів.
Отже, як нам одночасно зламати 600 банків? Насамперед ми дивимося в кінець рядка URL такого типу: і намагаємося замінити acct_id довільним значенням #X, після чого отримуємо велике виділене червоним кольором повідомлення про помилку такого змісту: "Account #X belongs to Bank #Y" (рахунок #X належить банку #Y). Далі ми беремо bank_id, міняємо його в браузері на #Y і отримуємо повідомлення: Bank #Y belong to Client #Z (банк #Y належить клієнту #Z).
Нарешті, ми беремо client_id, привласнюємо йому #Z - і готово, ми потрапляємо в той аккаунт, який спочатку хотіли потрапити. Після того, як ми успішно зламали систему, ми можемо потрапити так само в будь-який інший банківський рахунок, або банк, або клієнтський обліковий запис. Ми можемо дістатися кожного облікового запису в системі. Тут взагалі немає жодного натяку на авторизацію. Єдине, що вони перевіряють - це те, що ви увійшли в систему під своїм ID, і тепер ви можете вільно вилучити гроші, зробити переклад і так далі.
Одного разу один із наших клієнтів, не ASP, переслав нашу інформацію про цю вразливість іншому клієнту, який користувався ASP і повідомив, що існує проблема, яку потрібно виправити. Ми повідомили їм, що ймовірно, доведеться переписати весь додаток, щоб ввести авторизацію і система перевіряла, чи є у клієнта право здійснювати фінансові операції, і що це займе деякий час.
Через два дні вони надіслали нам відповідь, в якій повідомляли, що все виправили самі – вони так виправили URL-адресу, що повідомлення про помилку більше не з'являється. Звичайно, це було круто, і ми вирішили подивитися вихідний код, щоб побачити, що вони зробили, використавши свою «велику» хакерську техніку. Так ось, все, що зробили - це перестали виводити повідомлення про помилку у форматі HTML. Загалом у нас відбулася дуже цікава розмова з цим клієнтом. Вони сказали, що оскільки не в змозі вирішити цю проблему швидко, вирішили зробити поки так, сподіваючись повністю виправити вразливість у віддаленій перспективі.
Зворотній грошовий переказ
Ще один спосіб шахрайства, про який я розповім дуже коротко - це зворотний грошовий переказ. Ця операція відбувається у багатьох банківських додатках. При перекладі $10000 з рахунку А на рахунок формула операції логічно повинна працювати так:
A = A - ($ 10,000)
B = B + ($ 10,000)
Тобто $10000 вилучається з рахунку А і додається до рахунку.
Цікаво те, що банк не перевіряє, чи правильну величину переказу ви вводите. Наприклад, ви можете замінити позитивне число негативним, тобто перевести _10000$ з рахунку А на рахунок В. При цьому формула транзакції виглядатиме так:
A = A - (- $ 10,000)
B = B + (-$10,000)
Тобто замість списання коштів з рахунку А відбудеться їх списання з рахунку і зарахування на рахунок А. Таке відбувається час від часу і приносить цікаві результати. Внизу цього слайду ви бачите посилання на дослідницьку статтю .
Там описуються схожі речі, що відбуваються з помилками округлення. У цій статті Corsaire є багато цікавого, що послужило нам матеріалом для деяких власних рішень.
Але повернемось до попередньої проблеми. Ми звернулися до служби безпеки ASP і отримали наступну відповідь: «Внутрішній бізнес-контроль запобігатиме подібним проблемам». Ми сказали: «До, подивимося на їхній веб-сайт». Через кілька тижнів, коли ми продовжили працювати з нашим клієнтом, ми отримали від них поштою ось цей чек:
Тут зазначено, що це оплата за тестування, проведене нашою компанією WH, на суму 2 долари. Ось так ми заробляємо гроші!
Цей чек досі зберігається на моєму столі. За два таких тестування ми можемо отримати цілих 4 долари!
Але за кілька місяців ми почули від конкретного замовника, що $70000 було незаконно переведено до однієї із Східноєвропейських країн. Гроші не вдалося повернути, тому що вже було пізно, і ASP втратили свого клієнта. Ці речі трапляються, але чого ми так і не впізнали, тому що ми не криміналісти, це того, скільки інших клієнтів постраждали від цієї вразливості. Тому що все в цій схемі знову виглядає цілком законно - просто змінюєте вигляд URL-адреси.
Покупки із телемагазинів
Трей Форд: зараз я розповім вам про по-справжньому технічний злам, так що слухайте уважно. Всі ми знаємо маленьку телевізійну станцію під назвою QVC, я впевнений, ви іноді купуєте щось у цьому телемагазині.
Знайте, що коли ви купуєте щось онлайн, незалежно від сайту, нікуди не клацайте, тому що ваше замовлення відразу після цього почне оброблятися! Можливо, ви відразу передумаєте і припините транзакцію. Але за кілька днів ви отримаєте поштою купу будь-якого барахла, за який повинні негайно заплатити.
Ось Куантіна Мур-Перрі, 33-річна сертифікована хакерка із Ґрінсборо, штат Північна Кароліна. Я не знаю, чим вона заробляла на життя раніше, але я можу сказати вам, як вона почала заробляти гроші після випадкової транзакції, яку вона нібито здійснила, хоча практично негайно скасувала угоду на сайті.
На її поштову адресу почали приходити від QVC усі ці «замовлені» речі – жіночі сумочки, побутові прилади, ювелірні прикраси, електроніка. Що б ви зробили, якби вам надсилали поштою те, що ви не замовляли? Правильно, нічого! Відразу видно, наші люди.
Однак ви отримуєте безкоштовну доставку, а безкоштовна доставка – це вигода! Адже посилки вже поштою, вам не потрібно їх нікуди відсилати. Якщо це стандартний бізнес-процес, то як ним можна скористатися? Що робити з 1800 посилками, які приходили на її поштову адресу з травня до листопада? Так ось, ця жінка виставила всі ці речі на аукціоні eBay, і в результаті продажу всього цього барахла її прибуток склав 412000 XNUMX доларів! Як вона при цьому робила – дуже просто! Вона говорила поштою, що хтось замовив на її адресу всі ці посилки з QVC, але їй дуже важко перепаковувати їх і відсилати адресатам, тому нехай вони відправляються в оригінальній упаковці QVC!
Як бачите, це дуже технічне рішення! Однак QVC стурбувався цією проблемою після того, як 2 особи, які купили товар на eBay, отримали його в упаковці QVC. Федеральний суд визнав цю жінку винною у шахрайстві з поштовими відправленнями.
Таким чином, проста технічна затримка зі скасуванням зроблених замовлень дозволила цій жінці заробити величезну суму грошей.
37:40 хв
Небагато реклами 🙂
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, , 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com