مؤتمر قبعة سوداء الولايات المتحدة الأمريكية. الثراء أو الموت: كسب المال على الإنترنت باستخدام القبعة السوداء. الجزء 1يوجد موقع يسمى Hire2Hack ، والذي يقبل أيضًا تطبيقات "استرداد" كلمات المرور. هنا ، تكلفة الخدمة تبدأ من 150 دولار. لا أعرف عن البقية ، لكن يجب عليك تزويدهم بمعلومات عن نفسك ، لأنك ستدفع لهم. للتسجيل ، يجب عليك تحديد اسم مستخدم ، بريد إلكتروني ، كلمة مرور ، وما إلى ذلك. الشيء المضحك هو أنهم يقبلون حتى التحويلات ويسترن يونيون.
تجدر الإشارة إلى أن أسماء المستخدمين هي معلومات قيمة للغاية ، خاصةً عندما يتم ربطها بعنوان بريد إلكتروني. أخبرني ، أي منكما يشير إلى اسمك الحقيقي عند تسجيل صندوق بريد؟ لا أحد ، هذا ممتع!
لذلك ، تعد عناوين البريد الإلكتروني معلومات قيمة ، خاصة إذا كنت تتسوق عبر الإنترنت أو تريد تتبع علاقة الزوج أو الزوجة المعلقة على موقع المواعدة. إذا كنت بائعًا ، فعند استخدام عناوين البريد الإلكتروني ، يمكنك التحقق من المستهلكين أو المشتركين الذين يستخدمون حاليًا خدمات أي من منافسيك.
لذلك ، يدفع مهاجمو الخداع الكثير من المال لعناوين المستخدمين الحقيقية. بالإضافة إلى ذلك ، يستخدمون إطارات استرداد كلمة المرور وتسجيل الدخول لاستخراج عناوين البريد الإلكتروني الصالحة باستخدام الهجمات المؤقتة. ترى العديد من بوابات التجارة الإلكترونية وشبكات التواصل الاجتماعي الكبيرة سرقة عناوين البريد الإلكتروني الصالحة كمشكلة يمكن أن تحدث الكثير من الضرر منذ نشر بحث مثير للاهتمام. لذلك يجب أن نقاتل على جبهتين - ضد هجمات التوقيت وضد تسرب المعلومات من هذا النوع.
تحويل القسائم الإلكترونية إلى أموال
جيريمي غروسمان: إذن ، نظرنا في ثلاث طرق للاحتيال عبر الإنترنت ونرفع الآن معدلات الفائدة. الطريقة التالية هي تحويل القسائم الإلكترونية من eCoupons إلى أموال. تستخدم هذه القسائم لعمليات الشراء عبر الإنترنت. يقوم العميل بإدخال هويته الفريدة ، ويتم تطبيق خصم على شرائه. يوفر التجار الرئيسيون عبر الإنترنت للعملاء برنامج خصم تم دعمه بواسطة AmEx.
يعلم الكثيرون منكم أن الكوبونات تقدم خصمًا يتراوح ما بين بضعة إلى بضع مئات من الدولارات وهي مجهزة بمعرف مكون من 16 رقمًا. هذه الأرقام ثابتة للغاية وعادة ما تكون في النظام. في البداية ، لم يُسمح إلا بتطبيق كوبون واحد على طلب واحد ، ولكن بعد أن ازدادت شعبية البرنامج ، تمت إزالة هذه القيود ، ويمكن الآن استخدام أكثر من 3 كوبونات بترتيب واحد.
قام شخص ما بتطوير برنامج نصي يحاول تحديد الآلاف من قسائم الخصم الصالحة المحتملة. يُعرف البائعون بالطلبيات التي تزيد قيمتها عن 50 ألف دولار ، والتي تم دفعها بدلاً من 200 كوبون أو أكثر بدلاً من المال. موافق ، هذا هو هدية عيد الميلاد جيدة!
ظلت المشكلة دون أن يلاحظها أحد منذ وقت طويل ، لأن البرنامج كان يعمل بشكل مثالي ، واستخدم الجميع الكوبونات وكان الجميع سعداء. استمر هذا الأمر حتى اكتشف نظام تخطيط حمل البرنامج زيادة بنسبة 90٪ في حمل المعالج في الوقت الذي قام فيه الأشخاص "بالتمرير" بأرقام المعرفات ، واختيار الأرقام التي قدمت خصمًا.
طلب التجار من مكتب التحقيقات الفيدرالي التحقيق في هذه القضية ، لأنهم اشتبهوا في أن هناك شيئًا ما غير صحيح. لكن المشكلة كانت أن البضاعة أرسلت إلى عنوان غير موجود ، وهذا يربكهم. اتضح أن المهاجم دخل في مؤامرة مع خدمة التوصيل ، والتي "اعترضت" البضائع مسبقًا.
في هذه الحالة ، الشيء المثير للاهتمام هو أن الكوبونات ليست عملة ، فهي أدوات تسويقية فقط. ومع ذلك ، أدت الأخطاء في منطق الأعمال إلى الحاجة إلى إشراك الخدمة السرية ، والتي واجهت أيضًا عملية احتيال من قبل خدمة التوصيل التي استخدمت النظام لصالحها.
أرباح على حسابات وهمية
تري فورد: هذه واحدة من قصصي المفضلة. "الحياة الحقيقية: اختراق مساحة المكتب." أعتقد أنك شاهدت فيلمًا عن المتسللين ، "مساحة المكتب". دعونا معرفة هذا. كم كنت قد استخدمت الخدمات المصرفية عبر الإنترنت؟
حسنا ، اعترف الجميع أنهم استخدموا. هناك شيء واحد مثير للاهتمام - القدرة على دفع الفواتير عبر الإنترنت من خلال ACH. تعمل غرفة التسوية الآلية ACH على هذا النحو. لنفترض أنني أريد شراء سيارة من Jeremy وسأقوم بتحويل الأموال مباشرةً من حسابي إلى حسابه. قبل أن أدفع المبلغ الرئيسي ، يجب أن تتأكد مؤسستي المالية من أن كل شيء على ما يرام معنا. لذلك ، أولاً ، يقوم النظام بتحويل مبلغ صغير ، من بضعة سنتات إلى 2 دولار ، للتحقق من أن الحسابات المالية وعناوين التوجيه الخاصة بالأطراف بالترتيب وتلقى العميل هذه الأموال. بعد أن يكونوا مقتنعين بأن هذا التحويل قد اكتمل بشكل طبيعي ، فهم على استعداد لإعادة توجيه الدفعة بالكامل. يمكنك التحدث حول ما إذا كان هذا قانونيًا ، وما إذا كان يفي بشروط اتفاقية المستخدم ، ولكن أخبرني أيًا منكم لديه حساب PayPal؟ كم عدد الأشخاص الذين لديهم معرفات PayPal متعددة؟ ربما يكون هذا قانونيًا تمامًا ويتوافق مع الشروط والأحكام.
الآن تخيل أنه يمكن استخدام هذه الآلية لكسب الكثير من المال. نحن نتحدث عن استخدام تأثير إنشاء ، على سبيل المثال ، 80 ألف مثل هذه الحسابات من خلال إعداد برنامج نصي بسيط. الشيء الوحيد الذي تحتاج إلى الانتباه إليه هو أننا بدأنا قصتنا باستخدام وكيل محلي ، برنامج RSnake النصي ، أداة أخرى للقراصنة من شأنها أن تساعدنا في جني الأموال ، لكن الآن سنعود ونعرض كيفية جعل القرصنة أسهل كثيرًا حتى تتمكن من كسب المال ، يمكنك استخدام متصفح واحد فقط.
هذا الهجوم بالذات هو فردي. استخدم مايكل لارجنت ، البالغ من العمر 22 عامًا ومقره كاليفورنيا ، نصًا بسيطًا لإنشاء 58000 حساب سمسرة مزيف. لقد فتحها في أنظمة Schwab و eTrade وبعضها الآخر ، حيث عيّن أسماء شخصيات الرسوم المتحركة للمستخدمين المزيفين لهذه الحسابات.
لكل من هذه الحسابات ، استخدم فقط ترجمة تجريبية باستخدام نظام ACH ، دون إجراء تحويل كامل للأموال. لكنه يمتلك حسابًا عامًا تدفقت عليه جميع أدوات التحقق هذه ، ثم نقلها إلى نفسه. هذا يبدو جيدًا - إنه ليس الكثير من المال ، لكنهم في مجمله جلبوا له دخلًا قويًا للغاية. هكذا جمع المال ، بعد فكرة فيلم "مساحة المكتب". الشيء الأكثر إثارة للاهتمام هو أنه لا يوجد شيء غير قانوني - لقد جمع ببساطة كل هذه المبالغ الصغيرة ، لكنه فعل ذلك بسرعة كبيرة.
حصل على 8225 دولارًا على Google Checkout ، و 50225 دولارًا أمريكيًا على eTrade و Schwab. ثم سحب هذه الأموال إلى بطاقة الائتمان وخصصها. عندما اكتشف البنك أن كل هذه الآلاف من الحسابات تخص شخصًا واحدًا ، اتصل به موظفو البنك وسألهم لماذا فعل ذلك ، ألا يدرك أنه يسرق الأموال؟ أجاب مايكل لهم أنه لم يفهم ولا يعلم أنه يرتكب شيئًا غير قانوني.
هذه طريقة جيدة جدًا لبناء علاقات جديدة مع أشخاص من جهاز الخدمة السرية يتابعونك في كل مكان ويريدون معرفة المزيد عنك. أكرر مرة أخرى - أطرف شيء في هذا المخطط هو أنه لم يكن هناك شيء غير قانوني هنا. تم اعتقاله على أساس قانون باتريوت ، القانون الوطني. من يدري ما هو القانون الوطني؟
هذا صحيح ، إنه قانون يوسع سلطات الخدمات الخاصة في مجال مكافحة الإرهاب. استخدم هذا الرجل أسماء كرتونية وهزلية ، حتى يتمكنوا من احتجازه لاستخدام أسماء مستخدمين مزيفة. لذا يجب على الحاضرين الذين يستخدمون أسماء وهمية لصناديق البريد الخاصة بهم أن يكونوا حذرين - يمكن إعلان هذا غير قانوني!
استندت اتهامات الخدمة السرية إلى أربع نقاط: الاحتيال على الكمبيوتر ، والاحتيال عبر الإنترنت والاحتيال عبر البريد ، ولكن تم الاعتراف بأن عملية تلقي الأموال قانونية تمامًا ، لأنه استخدم حسابًا حقيقيًا. لا يمكنني القول ما إذا كان قد تم إجراؤه بشكل صحيح أم لا ، أخلاقيًا أو لا أخلاقيًا ، ولكن كل ما فعله مايكل كان متوافقًا مع الشروط والأحكام الواردة على المواقع الإلكترونية ، لذلك ربما كانت هذه وظيفة إضافية.
اختراق البنوك من خلال ASP
جيريمي غروسمان: أنت تعرف ، أنا أسافر كثيرًا ، وألتقي بأشخاص يتمتعون بالدهاء الفني أو العكس ، ليسوا على دراية بالتكنولوجيا. وعندما نتحدث عن الحياة ، يسألون أين أعمل. عندما أجب على أنني منخرط في أمن المعلومات ، يسألون عن ماهية ذلك. أشرح ، ثم يقولون: "أوه ، حتى تتمكن من كسر البنك!"
لذا ، عندما تبدأ في شرح كيف يمكنك حقًا اختراق أحد البنوك ، فإن ذلك يعني الاختراق من خلال موفري التطبيقات المالية لـ ASP. مقدمو خدمة التطبيق هم الشركات التي تستأجر برامجها وأجهزتها لعملائها - البنوك والاتحادات الائتمانية وغيرها من الشركات المالية.
يتم استخدام خدماتها من قبل البنوك الصغيرة والشركات المماثلة التي ليست مربحة من الناحية المالية للحصول على "البرمجيات" و "الأجهزة" الخاصة بهم. لذلك ، يستأجرون مرافق ASP ، ويدفعونها شهريًا أو كل عام.
يتمتع ASPs باهتمام متزايد من المتسللين ، لأنه بدلاً من اختراق أحد البنوك ، يمكنهم على الفور اختراق 600 أو ألف بنك. لذا ، يعد ASPs هدفًا مثيرًا للاهتمام بالنسبة للأشرار.
لذلك ، تخدم شركات ASP مجموعة كاملة من البنوك على أساس ثلاثة معلمات URL الأكثر أهمية: معرف العميل client_ID ، معرف البنك bank_ID ومعرف الحساب acct_ID. لكل عميل من عملاء ASP معرف فريد خاص به يمكن استخدامه في العديد من المواقع المصرفية. يمكن أن يكون لكل بنك أي عدد من حسابات المستخدمين لكل تطبيق مالي - نظام الادخار ، ونظام التحقق من الحساب ، ونظام الدفع ، وما إلى ذلك ، ولكل تطبيق مالي معرف خاص به. علاوة على ذلك ، يكون لكل حساب عميل في نظام التطبيق هذا معرف خاص به. وبالتالي ، لدينا ثلاثة أنظمة حساب.
لذا ، كيف يمكننا اختراق 600 بنك في نفس الوقت؟ بادئ ذي بدء ، ننظر إلى نهاية سطر عنوان URL من هذا النوع:
website / app.cgi؟ Client_id = 10 & bank_id = 100 & acct_id = 1000 ونحاول استبدال acct_id بقيمة تعسفية #X ، وبعد ذلك نحصل على قيمة كبيرة ، مظللة في رسالة خطأ حمراء بالمحتوى التالي: " الحساب # X ينتمي إلى Bank #Y "(الحساب #X ينتمي إلى البنك # Y). بعد ذلك ، نأخذ bank_id ، ونغيره في المتصفح إلى #Y ونحصل على الرسالة: "Bank #Y ينتمي إلى Client #Z" (bank #Y ينتمي إلى client #Z).
أخيرًا ، نأخذ client_id ، ونخصصه #Z - وهذا كل شيء ، ندخل في الحساب الذي أردنا الدخول إليه في الأصل. بعد أن نجحنا في تكسير النظام ، يمكننا الدخول إلى أي حساب مصرفي آخر أو حساب مصرفي أو عميل بنفس الطريقة. يمكننا الوصول إلى كل حساب في النظام. عموما لا يوجد أي تلميح للترخيص. الشيء الوحيد الذي يقومون بالتحقق منه هو أنك قمت بتسجيل الدخول تحت بطاقتك الشخصية ، ويمكنك الآن سحب الأموال بحرية ، وإجراء عملية نقل ، وما إلى ذلك.
في أحد الأيام ، قام أحد عملائنا ، وليس ASP ، بإعادة توجيه معلوماتنا حول هذه الثغرة الأمنية إلى عميل آخر استخدم ASP وأبلغهم أن هناك مشكلة يجب إصلاحها. أخبرناهم أنه قد يكون من الضروري إعادة كتابة التطبيق بالكامل من أجل إدخال تفويض وأن النظام سيتحقق مما إذا كان للعميل الحق في إجراء معاملات مالية وأنه سيستغرق بعض الوقت.
بعد يومين ، أرسلوا إلينا إجابة أبلغوا فيها أنهم قاموا بالفعل بإصلاح كل شيء بأنفسهم - قاموا بتصحيح عنوان URL بحيث لم تعد تظهر رسالة الخطأ. بالطبع ، كان رائعًا ، وقررنا أن ننظر إلى الكود المصدري لمعرفة ما فعلوه باستخدام تقنية القراصنة "الرائعة". لذلك ، كل ما تم فعله هو إيقاف عرض رسالة الخطأ بتنسيق HTML. بشكل عام ، أجرينا محادثة مثيرة جدًا مع هذا العميل. قالوا إنهم لم يتمكنوا من حل هذه المشكلة بسرعة ، فقد قرروا القيام بذلك في الوقت الحالي ، على أمل إصلاح الثغرة الأمنية بشكل كامل في المستقبل البعيد.
عكس تحويل الأموال
هناك طريقة أخرى للاحتيال ، والتي سأناقشها بإيجاز شديد ، وهي تحويل الأموال بشكل عكسي. يتم تنفيذ هذه العملية في العديد من التطبيقات المصرفية. عند تحويل 10000 دولار من الحساب "أ" إلى الحساب "ب" ، يجب أن تعمل صيغة العملية بشكل منطقي مثل هذا:
A = A - (10،000 دولار)
B = B + (10،000 دولار)
وهذا يعني ، يتم سحب 10000 دولار من الحساب ألف وإضافتها إلى الحساب ب.
ومن المثير للاهتمام ، أن البنك لا يتحقق مما إذا قمت بإدخال مبلغ التحويل الصحيح. على سبيل المثال ، يمكنك استبدال رقم موجب بالرقم السالب ، أي تحويل _10000 دولار من الحساب أ إلى الحساب ب. في هذه الحالة ، ستبدو صيغة المعاملة كما يلي:
A = A - (- $ 10،000)
B = B + (- 10،000 دولار)
وهذا يعني أنه بدلاً من خصم الأموال من الحساب "أ" ، سيتم خصمها من الحساب "ب" وتضاف إلى الحساب "أ". يحدث هذا من وقت لآخر ويؤدي إلى نتائج مثيرة للاهتمام. في الجزء السفلي من هذه الشريحة ، ترى رابطًا لمقال بحثي بعنوان
(كسر الثغرات في معالجة الأرقام داخل التطبيقات المالية) .
يصف أشياء مشابهة تحدث مع أخطاء التقريب. تحتوي مقالة كورساير هذه على الكثير من الأشياء المثيرة للاهتمام التي خدمتنا كمواد لبعض الحلول الخاصة بنا.
لكن العودة إلى المشكلة السابقة. لقد اتصلنا بأمان ASP وتلقينا الرد التالي: "إن الرقابة الداخلية على الأعمال التجارية سوف تمنع مثل هذه المشاكل." قلنا ، "حسنًا ، انظر إلى موقع الويب الخاص بهم." بعد بضعة أسابيع ، عندما واصلنا العمل مع عملائنا ، تلقينا هذا الشيك من خلال البريد:
جاء هنا أن هذا هو رسم اختبار 2 دولار لشركتنا WH. هذه هي الطريقة التي نجني بها المال!
هذا الاختيار لا يزال على مكتبي. لاثنين من هذه الاختبارات ، يمكننا الحصول على ما يصل إلى 4 دولارات!
ولكن بعد بضعة أشهر سمعنا من عميل معين أن 70،000 دولار تم تحويلها بشكل غير قانوني إلى واحدة من دول أوروبا الشرقية. لا يمكن إرجاع المال لأنه فات الأوان ، وفقد ASP عميلهم. تحدث هذه الأشياء ، لكن ما لم نتعلمه أبدًا ، لأننا لسنا محققين في الطب الشرعي ، هو عدد العملاء الآخرين الذين عانوا من هذه الثغرة الأمنية. لأن كل شيء في هذا المخطط يبدو قانونيًا تمامًا مرة أخرى - يمكنك فقط تغيير مظهر عنوان URL.
التسوق من متاجر التلفزيون
تري فورد: الآن سوف أخبرك عن اختراق فني حقيقي ، لذا استمع جيدًا. نعلم جميعًا محطة تلفزيونية صغيرة تسمى QVC ، وأنا متأكد أنك في بعض الأحيان تشتري شيئًا ما في هذا التسويق عبر الهاتف.
اعلم أنه عند شراء شيء ما عبر الإنترنت ، بغض النظر عن الموقع ، لا تنقر فوق أي مكان ، لأن طلبك سيبدأ على الفور في المعالجة! ربما ستغير رأيك فوراً وتوقف المعاملة. ولكن في غضون أيام قليلة ، ستتلقى في البريد مجموعة من جميع أنواع البريد غير الهام ، والتي يجب عليك دفعها على الفور.
إليكم "كوينتينا مور بيري" ، قراصنة معتمد يبلغ من العمر 33 عامًا من غرينزبورو بولاية نورث كارولينا. لا أعرف كيف كسبت عيشها في وقت مبكر ، لكن يمكنني أن أخبرك كيف بدأت في جني الأموال بعد معاملة عشوائية زُعم أنها قامت بها ، رغم أنها ألغت المعاملة على الموقع فورًا تقريبًا.
بدأت كل هذه الأشياء "المطلوبة" تصل إلى عنوانها البريدي من QVC - حقائب اليد النسائية ، والأجهزة المنزلية ، والمجوهرات ، والإلكترونيات. ماذا ستفعل إذا لم تقم بالطلب عن طريق البريد؟ هذا صحيح ، لا شيء! يمكنك أن ترى على الفور ، شعبنا ...
ومع ذلك ، يمكنك الحصول على حرية الملاحة ، والشحن المجاني هو فائدة! بعد كل شيء ، الطرود موجودة بالفعل في البريد ، لا تحتاج لإرسالها في أي مكان. إذا كانت هذه عملية تجارية قياسية ، فكيف يمكن استخدامها؟ ماذا تفعل مع 1800 الطرود التي وصلت في عنوانها البريدي من مايو إلى نوفمبر؟ لذا ، وضعت هذه المرأة كل هذه الأشياء للبيع في مزاد على eBay ، ونتيجة لبيع كل هذه الزبالة ، كان ربحها 412،000 دولار! كيف فعلت ذلك - بسيط جدا! قالت في البريد إن شخصًا ما طلب كل هذه الحزم مع QVC على عنوانها ، لكن من الصعب جدًا عليها إعادة تعبئتها وإرسالها إلى المستلمين ، لذلك اسمح لهم بإرسالها في العبوة الأصلية من QVC!
كما ترون ، هذا حل تقني للغاية! ومع ذلك ، كان QVC قلقًا بشأن هذه المشكلة بعد أن استلمها شخصان قاما بشراء المنتج على eBay في حزمة QVC. وجدت محكمة اتحادية أن هذه المرأة مذنبة بتزوير البريد.
وبالتالي ، فإن وجود عوائق تقنية بسيطة مع إلغاء الأوامر الصادرة سمحت لهذه المرأة بكسب مبلغ ضخم من المال.
37:40 دقيقة
مؤتمر قبعة سوداء الولايات المتحدة الأمريكية. الثراء أو الموت: كسب المال على الإنترنت باستخدام القبعة السوداء. الجزء 3قليلا من الإعلان :)
شكرا لك على البقاء معنا. هل تحب مقالاتنا؟ تريد أن ترى المزيد من المواد المثيرة للاهتمام؟ ادعمنا عن طريق تقديم طلب أو التوصية لأصدقائك ،
سحابة VPS للمطورين من 4.99 دولار ،
خصم 30 ٪ لمستخدمي Habr على تناظرية فريدة من الخوادم على مستوى الدخول التي اخترعناها لك: الحقيقة الكاملة حول VPS (KVM) E5-2650 v4 (6 النوى) 10GB DDR4 240GB SSD 1Gbps من 20 دولار أو كيفية مشاركة خادم؟ (تتوفر خيارات مع RAID1 و RAID10 ، ما يصل إلى 24 مركزًا وما يصل إلى 40 جيجابايت من ذاكرة DDR4).
ديل R730xd 2 مرات أرخص؟ فقط لدينا
2 من Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6 جيجا هرتز 14 جيجا بايت 64 جيجا بايت DDR4 4 × 960 جيجا بايت SSD 1 جيجابت في الثانية 100 TV من 199 دولار في هولندا! Dell R420 - 2x E5-2430 سعة 2 جيجا هرتز 6 جيجا بايت 128 جيجا بايت ذاكرة DDR3 2x960GB SSD بسرعة 1 جيجابت في الثانية 100 تيرابايت - من 99 دولارًا! اقرأ عن
كيفية بناء البنية التحتية فئة باستخدام خوادم V4 R730xd E5-2650d تكلف 9000 يورو عن بنس واحد؟