有一個名為 Hire2Hack 的網站,它也接受「恢復」密碼的請求。 這裡的服務費用從 150 美元起。 其餘的我不知道,但你必須向他們提供有關你自己的信息,因為你要付錢給他們。 要註冊,您需要提供使用者名稱、電子郵件、密碼等。 有趣的是他們甚至接受西聯匯款。
值得注意的是,使用者名稱是非常有價值的訊息,尤其是與電子郵件地址相關聯時。 請告訴我,你們誰在註冊信箱時填寫了自己的真實姓名? 沒人,這很有趣!
因此,電子郵件地址是很有價值的訊息,尤其是當您在網上購物或想在約會網站上追蹤配偶的風流韻事時。 如果您是賣家,您可以使用電子郵件地址來檢查您的哪些客戶或訂閱者目前正在使用任何競爭對手的服務。
因此,網路釣魚攻擊者會為真實用戶地址支付大筆費用。 此外,他們還使用密碼和登入恢復視窗透過基於時間的攻擊來挖掘有效的電子郵件地址。 許多主要的電子商務和社交媒體入口網站都認為有效電子郵件地址被盜是一個可能造成很大損失的問題,因為該領域已經發表了有趣的研究。 因此,我們必須在兩條戰線上進行鬥爭——防止定時攻擊和此類資訊洩露。
我們把電子優惠券變成金錢
傑里米·格羅斯曼: 因此,我們已經研究了三種線上詐欺方式,現在我們正在加大賭注。 下一個方法是將電子優惠券變成金錢。 這些優惠券用於網上購物。 客戶輸入他們的唯一 ID,他們的購買就會享受折扣。 主要線上零售商向客戶提供折扣計劃,這些計劃得到了美國運通公司的支持。
很多人都知道優惠券提供幾美元到幾百美元的折扣,並附有 16 位數字的 ID。 這些數字非常靜態,通常會按順序出現。 起初,每個訂單只允許使用一張優惠券,但後來,隨著該計劃越來越受歡迎,這些限制被取消,現在一個訂單可以使用超過 3 張優惠券。
有人開發了一個腳本,試圖識別數千張可能的有效折扣優惠券。 據賣家所知,價值超過 50 萬美元的訂單是用 200 張或更多優惠券而不是現金支付的。 同意,這是一份很好的聖誕禮物!
這個問題很長一段時間都沒有引起人們的注意,因為該計劃運行良好,每個人都使用了優惠券,每個人都很高興。 這種情況一直持續到程式的負載調度系統偵測到處理器負載增加了 90%,而人們正在滾動瀏覽 ID 號碼,選擇那些提供折扣的號碼。
交易員要求聯邦調查局調查此案,因為他們懷疑有問題。 但問題是貨物被送到一個不存在的地址,這讓他們感到困惑。 原來,攻擊者與送貨服務公司串通一氣,提前「攔截」了貨物。
這個案例的有趣之處在於,優惠券不是貨幣,它們只是行銷工具。 然而,業務邏輯上的錯誤導致需要特勤局介入,特勤局也面臨送貨服務的詐欺事實,該服務利用該系統對自己有利。
從虛假帳戶賺錢
特雷福特: 這是我最喜歡的故事之一。 “現實生活:辦公空間黑客攻擊。” 我想你看過關於駭客的電影《辦公空間》。 讓我們來了解一下這個過程。 你們有多少人使用過網路銀行?
太好了,大家都承認自己用過。 一件有趣的事情是能夠透過 ACH 在線上支付帳單。 ACH「自動清算所」的工作原理如下。 假設我想從 Jeremy 那裡購買一輛車,並且我要將錢直接從我的帳戶轉入他的帳戶。 在我支付主要付款之前,我的金融機構需要確保一切正常。 因此,系統首先會轉移一些小額資金,從幾美分到 2 美元不等,以驗證各方的財務帳戶和路由地址是否正常以及客戶是否收到了資金。 一旦他們確信這筆轉帳已正確完成,他們就準備好轉發全額付款。 我們可以爭論這是否合法,是否符合用戶協議的條款,但是告訴我,你們中有多少人擁有PayPal帳戶? 有多少人擁有多個 PayPal ID? 這可能是完全合法的並且符合條款和條件。
現在想像一下這個機制可以用來賺很多錢。 我們正在談論透過設定一個簡單的腳本來創建例如 80 萬個這樣的帳戶的效果。 您唯一需要注意的是,我們透過使用本地代理、RSnake 腳本和其他駭客工具來開始我們的故事,這些工具應該可以幫助我們賺錢,但現在我們將回來並展示如何使駭客攻擊變得更容易,讓您只需使用一種瀏覽器即可賺錢。
這次特殊的攻擊本質上是針對個人的。 來自加州的 22 歲邁克爾·拉金特 (Michael Largent) 使用一個簡單的腳本創建了 58 個虛假經紀帳戶。 他在 Schwab、eTrade 和其他一些公司的系統中打開它們,並將卡通人物的名字分配給這些帳戶的假用戶。
對於每個帳戶,他只使用了 ACH 驗證轉賬,而沒有進行全額資金轉帳。 但他有一個聯名帳戶,所有這些驗證資金都流入該帳戶,然後轉入自己的帳戶。 聽起來不錯——雖然錢不多,但總的來說為他帶來了一筆非常可觀的收入。 這就是他賺錢的方式,遵循電影《辦公空間》的想法。 有趣的是,這裡沒有任何違法行為——他只是收集了所有這些少量的資金,但他做得很快。
他透過 Google Checkout 系統賺了 8225 美元,透過 eTrade 和 Schwab 系統賺取了 50225 美元。 然後,他將這筆錢提取到信用卡並挪用。 當銀行發現這幾千個帳戶都是一個人的時候,銀行工作人員打電話給他,質問他為什麼這麼做,他難道不明白自己在偷錢嗎? 麥可回答說,他不明白,也不知道自己在做違法的事。
這是與追蹤您並希望盡可能多地了解您的特勤人員建立新關係的好方法。 我再說一次 - 這個計劃最有趣的事情是這裡沒有任何違法行為。 他是根據愛國者法案被拘留的。 誰知道什麼是愛國者法案?
沒錯,這是一部擴大情報部門在反恐領域權力的法律。 這個傢伙使用了卡通和漫畫中的名字,所以他們能夠以使用假用戶名的罪名逮捕他。 因此,那些在郵箱中使用假名的人應該小心——這可能會被視為非法!
特勤局的起訴書基於四項罪名:電腦詐欺、網路詐欺和郵件欺詐,但收款行為被認為是完全合法的,因為他使用的是真實帳戶。 我不能說這樣做是否正確,是否符合道德,但基本上邁克爾所做的一切都遵守了網站上列出的條款和條件,所以也許這只是一個附加功能。
透過 ASP 入侵銀行
傑里米·格羅斯曼: 你知道,我經常旅行,遇到了精通技術的人,或者相反,根本不精通技術的人。 當我們談論生活時,他們問我在哪裡工作。 當我回答我做資訊安全時,他們問那是什麼。 我解釋了一下,然後他們說:「哦,所以你可以黑掉一家銀行」!
因此,當您開始解釋銀行實際上如何被駭客攻擊時,您所談論的是透過 ASP 金融應用程式提供者進行的駭客攻擊。 應用程式服務提供者是將自己的軟體和硬體出租給客戶(銀行、信用合作社和其他金融公司)的公司。
他們的服務由小型銀行和類似公司使用,對於這些公司來說,擁有自己的軟體和硬體在經濟上無法獲利。 因此,他們租用 ASP 容量,按月或按年付費。
ASP 受到駭客的廣泛關注,因為他們可以同時攻擊 600 家或 XNUMX 家銀行,而不是攻擊一家銀行。 因此,ASP 為壞人提供了一個非常有趣的目標。
因此,ASP 公司根據三個重要的 URL 參數為一大堆銀行提供服務:客戶端 ID client_ID、銀行 ID Bank_ID 和帳戶 ID acct_ID。 每個 ASP 用戶端都有自己的唯一識別符,可以在多個銀行站點上使用。 每個銀行可以為每個金融應用程式擁有任意數量的使用者帳戶——儲蓄系統、帳戶驗證系統、支付系統等,並且每個金融應用程式都有自己的ID。 而且,該應用系統中的每個客戶帳戶也有自己的ID。 所以我們有三個帳戶系統。
那我們要如何同時攻擊 600 家銀行呢? 首先我們來看看 URL 字串的末尾,如下所示: 並嘗試將 acct_id 替換為任意值 #X,之後我們會收到一條大的紅色錯誤訊息,其中包含以下內容:「帳戶 #X 屬於銀行 #Y」(帳戶 #X 屬於銀行 #Y)。 接下來,我們取得bank_id,在瀏覽器中將其更改為#Y,並得到訊息:「Bank #Y屬於Client #Z」(銀行#Y屬於客戶端#Z)。
最後,我們取得 client_id,為其分配#Z - 就這樣,我們進入了我們最初想要進入的帳戶。 當我們成功破解系統後,我們可以用同樣的方式進入任何其他銀行帳戶,或者銀行,或者客戶帳戶。 我們可以存取系統中的每個帳戶。 這裡根本沒有任何授權的暗示。 他們唯一檢查的是你是否使用ID登錄,現在你可以自由提款、轉帳等。
有一天,我們的一位非 ASP 客戶將有關此漏洞的資訊轉發給另一位使用 ASP 的客戶,並告訴他們有一個問題需要修復。 我們告訴他們,我們可能需要重寫整個應用程式以引入授權,系統將檢查客戶是否有權進行金融交易,這需要一些時間。
兩天后,他們給我們回覆說他們已經自行修復了所有問題 - 他們已經更正了 URL,以便不再出現錯誤訊息。 當然,這很酷,我們決定查看原始程式碼,看看他們用「偉大的」駭客技術做了什麼。 因此,他們所做的就是停止以 HTML 格式顯示錯誤訊息。 總的來說,我們與這位客戶進行了非常有趣的對話。 他們表示,由於無法快速解決這個問題,因此決定暫時這樣做,希望能夠長期徹底修復漏洞。
反向匯款
我將簡要討論另一種詐欺方法,即反向匯款。 許多銀行應用程式都會執行此操作。 當從帳戶 A 轉移到帳戶 B 10000 美元時,運算公式在邏輯上應如下所示:
A = A - (10,000 美元)
B = B + ($10,000)
也就是說,從 A 帳戶提取 10000 美元並添加到 B 帳戶中。
有趣的是,銀行並不會檢查你輸入的轉帳金額是否正確。 例如,您可以將正數替換為負數,即從帳戶 A 向帳戶 B 轉帳 10000 美元。交易公式如下所示:
A = A — (-10,000 美元)
B = B + (-10,000 美元)
也就是說,資金不是從帳戶 A 借記,而是從帳戶 B 借記並貸記到帳戶 A。這種情況時常發生,並帶來有趣的結果。 在這張幻燈片的底部,您可以看到研究文章的鏈接 .
它描述了舍入誤差時發生的類似情況。 Corsaire 的這篇文章中有很多有趣的內容,為我們提供了一些我們自己的解決方案的材料。
但讓我們回到之前的問題。 我們聯繫了 ASP Security 並收到了以下回應:“內部業務控制將防止此類問題。” 我們說:“好吧,讓我們看看他們的網站。” 幾週後,當我們繼續與客戶合作時,我們收到了他們寄來的支票:
這裡說這是我們公司WH做的測試的2美元費用。 這就是我們賺錢的方式!
我的桌子上還保留著那張收據。 兩次這樣的測試我們最多可以獲得 4 美元!
但幾個月後,我們從特定客戶那裡得知,70000萬美元被非法轉移到東歐國家之一。 這筆錢無法退回,因為為時已晚,ASP 失去了客戶。 這些事情發生了,但我們從未發現,因為我們不是法醫科學家,有多少其他客戶受到此漏洞的影響。 因為這個方案中的所有內容看起來完全合法 - 您只是更改 URL 的外觀。
透過電話購物購物
特雷福特: 現在我要告訴你一個真正的技術駭客,所以請仔細聽。 我們都知道一個叫QVC的小電視台,我相信你有時會從這家電視商店買東西。
請注意,當您在線購買商品時,無論在哪個網站,都不要點擊任何地方,因為您的訂單將立即開始處理! 您可以立即改變主意並停止交易。 但幾天后,你會收到一堆垃圾郵件,你必須立即付款。
來自北卡羅來納州格林斯博羅的 33 歲認證駭客 Quantina Moore-Perry 登場了。 我不知道她以前以什麼為生,但我可以告訴你她是如何在據稱進行的隨機交易後開始賺錢的,儘管她幾乎立即取消了網站上的交易。
所有這些「訂購」的東西開始從 QVC 到達她的郵寄地址——女士手袋、家用電器、珠寶、電子產品。 如果有人透過電子郵件給您發送了一些您沒有訂購的東西,您會怎麼做? 沒錯,什麼都沒有! 很明顯,我們的員工...
但是,您可以享受免費送貨,免費送貨是一項福利! 畢竟,包裹已經在郵件中,您不需要將它們發送到任何地方。 如果這是一個標準的業務流程,您如何使用它? 1800月至412000月期間到達她郵寄地址的XNUMX個包裹該怎麼辦? 於是,這位女士在 eBay 上拍賣了所有這些東西,出售這些垃圾的結果是,她的利潤是 XNUMX 美元! 她的做法很簡單! 她告訴郵局,有人從 QVC 訂購了所有這些包裹到她的地址,但她很難重新包裝它們並將它們發送給收件人,因此請確保它們以原始 QVC 包裝發送!
正如您所看到的,這是一個非常技術性的解決方案! 然而,在 2 位在 eBay 上購買該商品的人收到 QVC 包裝的商品後,QVC 開始關注這個問題。 聯邦法院判定該名女子犯有郵件詐欺罪。
因此,一個簡單的技術故障(取消已下訂單)就讓這位女士賺了一大筆錢。
37:40 分鐘
一些廣告🙂
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, , 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣: (適用於 RAID1 和 RAID10,最多 24 個內核和最多 40GB DDR4)。
戴爾R730xd便宜2倍? 只有這裡 在荷蘭! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 閱讀
來源: www.habr.com