有一个名为 Hire2Hack 的网站,它也接受“恢复”密码的请求。 这里的服务费用从 150 美元起。 其余的我不知道,但你必须向他们提供有关你自己的信息,因为你要付钱给他们。 要注册,您需要提供用户名、电子邮件、密码等。 有趣的是他们甚至接受西联汇款。
值得注意的是,用户名是非常有价值的信息,尤其是与电子邮件地址相关联时。 请告诉我,你们谁在注册邮箱时填写了自己的真实姓名? 没人,这很有趣!
因此,电子邮件地址是很有价值的信息,尤其是当您在网上购物或想在约会网站上追踪配偶的风流韵事时。 如果您是卖家,您可以使用电子邮件地址来检查您的哪些客户或订阅者当前正在使用任何竞争对手的服务。
因此,网络钓鱼攻击者会为真实用户地址支付大笔费用。 此外,他们还使用密码和登录恢复窗口通过基于时间的攻击来挖掘有效的电子邮件地址。 许多主要的电子商务和社交媒体门户网站都认为有效电子邮件地址被盗是一个可能造成很大损失的问题,因为该领域已经发表了有趣的研究。 因此,我们必须在两条战线上进行斗争——防止定时攻击和此类信息泄露。
我们把电子优惠券变成金钱
杰里米·格罗斯曼: 因此,我们已经研究了三种在线欺诈方式,现在我们正在加大赌注。 下一个方法是将电子优惠券变成金钱。 这些优惠券用于网上购物。 客户输入他们的唯一 ID,他们的购买就会享受折扣。 主要在线零售商向客户提供折扣计划,这些计划得到了美国运通公司的支持。
很多人都知道优惠券提供几美元到几百美元的折扣,并附有 16 位数字的 ID。 这些数字非常静态,通常按顺序出现。 起初,每个订单只允许使用一张优惠券,但后来,随着该计划越来越受欢迎,这些限制被取消,现在一个订单可以使用超过 3 张优惠券。
有人开发了一个脚本,试图识别数千张可能的有效折扣优惠券。 据卖家所知,价值超过 50 万美元的订单是用 200 张或更多优惠券而不是现金支付的。 同意,这是一份很好的圣诞礼物!
这个问题很长一段时间都没有引起人们的注意,因为该计划运行良好,每个人都使用了优惠券,每个人都很高兴。 这种情况一直持续到程序的负载调度系统检测到处理器负载增加了 90%,而人们正在滚动浏览 ID 号码,选择那些提供折扣的号码。
交易员们要求联邦调查局调查此案,因为他们怀疑有问题。 但问题是货物被发送到一个不存在的地址,这让他们感到困惑。 原来,攻击者与送货服务公司串通一气,提前“拦截”了货物。
这个案例的有趣之处在于,优惠券不是货币,它们只是营销工具。 然而,业务逻辑上的错误导致需要特勤局介入,特勤局也面临着送货服务的欺诈事实,该服务利用该系统对自己有利。
从虚假账户中赚钱
特雷·福特: 这是我最喜欢的故事之一。 “现实生活:办公空间黑客攻击。” 我想你看过关于黑客的电影《办公空间》。 让我们来了解一下这个过程。 你们中有多少人使用过网上银行?
太好了,大家都承认自己用过。 一件有趣的事情是能够通过 ACH 在线支付账单。 ACH“自动清算所”的工作原理如下。 假设我想从 Jeremy 那里购买一辆车,并且我要将钱直接从我的帐户转入他的帐户。 在我支付主要付款之前,我的金融机构需要确保一切正常。 因此,系统首先会转账一些小额资金,从几美分到 2 美元不等,以验证各方的财务账户和路由地址是否正常以及客户是否收到了资金。 一旦他们确信这笔转账已正确完成,他们就准备好转发全额付款。 我们可以争论这是否合法,是否符合用户协议的条款,但是告诉我,你们中有多少人拥有PayPal账户? 有多少人拥有多个 PayPal ID? 这可能是完全合法的并且符合条款和条件。
现在想象一下这个机制可以用来赚很多钱。 我们正在谈论通过设置一个简单的脚本来创建例如 80 万个这样的帐户的效果。 您唯一需要注意的是,我们通过使用本地代理、RSnake 脚本和其他黑客工具开始我们的故事,这些工具应该可以帮助我们赚钱,但现在我们将回来并展示如何使黑客攻击变得更容易,让您只需使用一种浏览器即可赚钱。
这次特殊的攻击本质上是针对个人的。 来自加利福尼亚州的 22 岁迈克尔·拉金特 (Michael Largent) 使用一个简单的脚本创建了 58 个虚假经纪账户。 他在 Schwab、eTrade 和其他一些公司的系统中打开它们,并将卡通人物的名字分配给这些帐户的假用户。
对于每个账户,他只使用了 ACH 验证转账,而没有进行全额资金转账。 但他有一个联名账户,所有这些验证资金都流入该账户,然后转入自己的账户。 听起来不错——虽然钱不多,但总的来说给他带来了一笔非常可观的收入。 这就是他赚钱的方式,遵循电影《办公室空间》的想法。 有趣的是,这里没有任何违法行为——他只是收集了所有这些少量的钱,但他做得很快。
他通过 Google Checkout 系统赚取了 8225 美元,通过 eTrade 和 Schwab 系统赚取了 50225 美元。 然后,他将这笔钱提取到信用卡并挪用。 当银行发现这几千个账户都是一个人的时候,银行工作人员打电话给他,质问他为什么这么做,他难道不明白自己在偷钱吗? 迈克尔回答说,他不明白,也不知道自己在做违法的事情。
这是与跟踪您并希望尽可能多地了解您的特勤人员建立新关系的好方法。 我再说一遍 - 这个计划最有趣的事情是这里没有任何违法行为。 他是根据爱国者法案被拘留的。 谁知道什么是爱国者法案?
没错,这是一部扩大情报部门在反恐领域权力的法律。 这个家伙使用了卡通和漫画中的名字,所以他们能够以使用假用户名的罪名逮捕他。 因此,那些在邮箱中使用假名的人应该小心——这可能会被视为非法!
特勤局的起诉书基于四项罪名:计算机欺诈、互联网欺诈和邮件欺诈,但收款行为被认为是完全合法的,因为他使用的是真实账户。 我不能说这样做是否正确,是否符合道德,但基本上迈克尔所做的一切都遵守了网站上列出的条款和条件,所以也许这只是一个附加功能。
通过 ASP 入侵银行
杰里米·格罗斯曼: 你知道,我经常旅行,遇到了精通技术的人,或者相反,根本不精通技术的人。 当我们谈论生活时,他们问我在哪里工作。 当我回答说我做信息安全时,他们问那是什么。 我解释了一下,然后他们说:“哦,所以你可以黑掉一家银行”!
因此,当您开始解释银行实际上如何被黑客攻击时,您所谈论的是通过 ASP 金融应用程序提供商进行的黑客攻击。 应用程序服务提供商是将自己的软件和硬件出租给客户(银行、信用合作社和其他金融公司)的公司。
他们的服务由小型银行和类似公司使用,对于这些公司来说,拥有自己的软件和硬件在经济上无法盈利。 因此,他们租用 ASP 容量,按月或按年付费。
ASP 受到黑客的广泛关注,因为他们可以同时攻击 600 家或 XNUMX 家银行,而不是攻击一家银行。 因此,ASP 为坏人提供了一个非常有趣的目标。
因此,ASP 公司根据三个重要的 URL 参数为一大堆银行提供服务:客户端 ID client_ID、银行 ID Bank_ID 和帐户 ID acct_ID。 每个 ASP 客户端都有自己的唯一标识符,可以在多个银行站点上使用。 每个银行可以为每个金融应用程序拥有任意数量的用户帐户——储蓄系统、帐户验证系统、支付系统等,并且每个金融应用程序都有自己的ID。 而且,该应用系统中的每个客户帐户也有自己的ID。 所以我们有三个帐户系统。
那么我们如何同时攻击 600 家银行呢? 首先我们看一下 URL 字符串的末尾,如下所示: 并尝试将 acct_id 替换为任意值 #X,之后我们会收到一条大的红色错误消息,其中包含以下内容:“帐户 #X 属于银行 #Y”(帐户 #X 属于银行 #Y)。 接下来,我们获取bank_id,在浏览器中将其更改为#Y,并得到消息:“Bank #Y属于Client #Z”(银行#Y属于客户端#Z)。
最后,我们获取 client_id,为其分配#Z - 就这样,我们进入了我们最初想要进入的帐户。 当我们成功破解系统后,我们可以用同样的方式进入任何其他银行账户,或者银行,或者客户账户。 我们可以访问系统中的每个帐户。 这里根本没有任何授权的暗示。 他们唯一检查的是你是否使用ID登录,现在你可以自由取款、转账等。
有一天,我们的一位非 ASP 客户将有关此漏洞的信息转发给另一位使用 ASP 的客户,并告诉他们有一个问题需要修复。 我们告诉他们,我们可能需要重写整个应用程序以引入授权,系统将检查客户是否有权进行金融交易,这需要一些时间。
两天后,他们给我们回复说他们已经自行修复了所有问题 - 他们已经更正了 URL,以便不再出现错误消息。 当然,这很酷,我们决定查看源代码,看看他们用“伟大的”黑客技术做了什么。 因此,他们所做的就是停止以 HTML 格式显示错误消息。 总的来说,我们与这位客户进行了一次非常有趣的对话。 他们表示,由于无法快速解决这个问题,因此决定暂时这样做,希望能够长期彻底修复该漏洞。
反向汇款
我将简要讨论另一种欺诈方法,即反向汇款。 许多银行应用程序都会执行此操作。 当从账户 A 向账户 B 转账 10000 美元时,运算公式在逻辑上应如下所示:
A = A - (10,000 美元)
B = B + ($10,000)
也就是说,从 A 账户中提取 10000 美元并添加到 B 账户中。
有趣的是,银行并不会检查你输入的转账金额是否正确。 例如,您可以将正数替换为负数,即从账户 A 向账户 B 转账 10000 美元。交易公式如下所示:
A = A — (-10,000 美元)
B = B + (-10,000 美元)
也就是说,资金不是从账户 A 借记,而是从账户 B 借记并贷记到账户 A。这种情况时常发生,并带来有趣的结果。 在这张幻灯片的底部,您可以看到研究文章的链接 .
它描述了舍入误差时发生的类似情况。 Corsaire 的这篇文章中有很多有趣的内容,为我们提供了一些我们自己的解决方案的材料。
但让我们回到之前的问题。 我们联系了 ASP Security 并收到了以下回复:“内部业务控制将防止此类问题。” 我们说:“好吧,让我们看看他们的网站。” 几周后,当我们继续与客户合作时,我们收到了他们寄来的这张支票:
这里说这是我们公司WH做的测试的2美元费用。 这就是我们赚钱的方式!
我的桌子上还保留着那张收据。 两次这样的测试我们最多可以获得 4 美元!
但几个月后,我们从一位特定客户那里得知,70000万美元被非法转移到东欧国家之一。 这笔钱无法退回,因为为时已晚,ASP 失去了客户。 这些事情发生了,但我们从未发现,因为我们不是法医科学家,有多少其他客户受到此漏洞的影响。 因为这个方案中的所有内容看起来又完全合法 - 您只是更改 URL 的外观。
通过电话购物购物
特雷·福特: 现在我要告诉你一个真正的技术黑客,所以请仔细听。 我们都知道一个叫QVC的小电视台,我相信你有时会从这家电视商店买东西。
请注意,当您在线购买商品时,无论在哪个网站,都不要点击任何地方,因为您的订单将立即开始处理! 您可以立即改变主意并停止交易。 但几天后,你会收到一堆垃圾邮件,你必须立即付款。
来自北卡罗来纳州格林斯博罗的 33 岁认证黑客 Quantina Moore-Perry 登场了。 我不知道她以前以什么为生,但我可以告诉你她是如何在据称进行的随机交易后开始赚钱的,尽管她几乎立即取消了网站上的交易。
所有这些“订购”的东西开始从 QVC 到达她的邮寄地址——女士手袋、家用电器、珠宝、电子产品。 如果有人通过邮件给您发送了一些您没有订购的东西,您会怎么做? 没错,什么都没有! 很明显,我们的员工...
但是,您可以享受免费送货,而且免费送货是一项福利! 毕竟,包裹已经在邮件中,您不需要将它们发送到任何地方。 如果这是一个标准的业务流程,您如何使用它? 1800月至412000月期间到达她邮寄地址的XNUMX个包裹该怎么办? 于是,这位女士在 eBay 上拍卖了所有这些东西,出售这些垃圾的结果是,她的利润是 XNUMX 美元! 她的做法很简单! 她告诉邮局,有人从 QVC 订购了所有这些包裹到她的地址,但她很难重新包装它们并将它们发送给收件人,因此请确保它们以原始 QVC 包装发送!
正如您所看到的,这是一个非常技术性的解决方案! 然而,在 2 位在 eBay 上购买该商品的人收到 QVC 包装的商品后,QVC 开始关注这个问题。 联邦法院判定该女子犯有邮件欺诈罪。
因此,一个简单的技术故障(取消已下订单)就让这位女士赚了一大笔钱。
37:40分钟
一些广告🙂
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, , 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣: (适用于 RAID1 和 RAID10,最多 24 个内核和最多 40GB DDR4)。
戴尔R730xd便宜2倍? 只有这里 在荷兰! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 阅读
来源: habr.com