BLACK HAT USA Konferenz. Reich werden oder sterben: Mit Black Hat Geld im Internet verdienen. Teil 1Es gibt eine Site namens Hire2Hack, die auch Anwendungen für die "Wiederherstellung" von Passwörtern akzeptiert. Hier beginnen die Kosten für den Service bei 150 US-Dollar. Ich weiß nichts über den Rest, aber du musst ihnen Informationen über dich geben, weil du sie bezahlen wirst. Um sich zu registrieren, müssen Sie einen Benutzernamen, eine E-Mail-Adresse, ein Passwort usw. angeben. Das Lustige ist, dass sie sogar Western Union-Überweisungen akzeptieren.
Es ist erwähnenswert, dass Benutzernamen sehr wertvolle Informationen sind, insbesondere wenn sie an eine E-Mail-Adresse gebunden sind. Sagen Sie mir, wer von Ihnen gibt bei der Registrierung einer Mailbox Ihren richtigen Namen an? Niemand, das macht Spaß!
E-Mail-Adressen sind also wertvolle Informationen, insbesondere wenn Sie online einkaufen oder die Affäre eines Ehepartners auf einer Dating-Website nachverfolgen möchten. Wenn Sie Verkäufer sind, können Sie anhand von E-Mail-Adressen überprüfen, welche Ihrer Verbraucher oder Abonnenten derzeit die Dienste eines Ihrer Wettbewerber in Anspruch nehmen.
Daher zahlen Phishing-Angreifer viel Geld für echte Benutzeradressen. Darüber hinaus verwenden sie Wiederherstellungsfenster für Kennwörter und Anmeldungen, um gültige E-Mail-Adressen mithilfe vorübergehender Angriffe zu ermitteln. Viele große E-Commerce- und Social-Media-Portale sehen den Diebstahl gültiger E-Mail-Adressen als ein Problem an, das große Schäden anrichten kann, da interessante Forschungsergebnisse veröffentlicht wurden. Wir müssen also an zwei Fronten kämpfen - gegen Timing-Angriffe und gegen Informationslecks dieser Art.
Elektronische Gutscheine in Geld verwandeln
Jeremy Grossman: Also haben wir uns drei Methoden für Online-Betrug angesehen und erhöhen jetzt die Raten. Der nächste Weg ist, elektronische Coupons von eCoupons in Geld umzuwandeln. Diese Gutscheine werden für Online-Einkäufe verwendet. Der Kunde gibt seine eindeutige ID ein, und auf seinen Einkauf wird ein Rabatt gewährt. Große Online-Händler bieten ihren Kunden ein von AmEx unterstütztes Rabattprogramm an.
Viele von Ihnen wissen, dass Coupons einen Rabatt von ein paar bis ein paar hundert Dollar bieten und mit einem 16-stelligen Ausweis ausgestattet sind. Diese Zahlen sind sehr statisch und normalerweise in Ordnung. Anfangs durfte nur ein Gutschein für eine Bestellung verwendet werden, doch als das Programm immer beliebter wurde, wurden diese Einschränkungen aufgehoben. Jetzt können mehr als 3 Gutscheine für eine Bestellung verwendet werden.
Jemand hat ein Skript entwickelt, das versucht, Tausende von möglichen gültigen Rabattgutscheinen zu identifizieren. Verkäufer sind bekannt für Bestellungen im Wert von mehr als 50.000 Dollar, die statt Geld mit 200 oder mehr Coupons bezahlt wurden. Stimmen Sie zu, das ist ein gutes Weihnachtsgeschenk!
Das Problem blieb lange Zeit unbemerkt, da das Programm perfekt funktionierte, alle Coupons verwendeten und alle glücklich waren. Dies wurde fortgesetzt, bis das Programmlastplanungssystem einen Anstieg der Prozessorlast um 90% feststellte, als die ID-Nummern durchlaufen wurden und diejenigen ausgewählt wurden, die einen Rabatt boten.
Händler baten das FBI, diesen Fall zu untersuchen, da sie vermuteten, dass etwas nicht stimmte. Das Problem war jedoch, dass die Waren an eine nicht vorhandene Adresse geschickt wurden, was sie verwirrte. Es stellte sich heraus, dass der Angreifer eine Verschwörung mit dem Zustelldienst einging, der die Ware im Voraus „abfing“.
In diesem Fall ist das Interessante, dass Gutscheine keine Währung sind, sondern lediglich Marketinginstrumente. Fehler in der Geschäftslogik führten jedoch zu der Notwendigkeit, den Secret Service einzubeziehen, der auch mit Betrug durch den Lieferservice konfrontiert war, der das System zu seinem Vorteil nutzte.
Einnahmen auf falschen Konten
Trey Ford: Dies ist eine meiner Lieblingsgeschichten. "Real Life: Hacken der Büroräume." Ich glaube, Sie haben einen Film über Hacker gesehen, "Office Space". Lassen Sie uns das herausfinden. Wie viele von Ihnen haben Online-Banking genutzt?
Nun, jeder gab zu, dass sie verwendet haben. Es gibt eine interessante Sache - die Möglichkeit, Rechnungen online über ACH zu bezahlen. So funktioniert die ACH Automated Settlement Chamber. Angenommen, ich möchte ein Auto von Jeremy kaufen und Geld direkt von meinem Konto auf sein Konto überweisen. Bevor ich die Hauptzahlung tätige, muss mein Finanzinstitut sicherstellen, dass bei uns alles in Ordnung ist. Daher überweist das System zunächst einen winzigen Betrag von einigen Cent auf 2 US-Dollar, um zu überprüfen, ob die Finanzkonten und die Überweisungsadressen der Parteien in Ordnung sind und der Kunde dieses Geld erhalten hat. Nachdem sie überzeugt sind, dass diese Überweisung normal abgeschlossen wurde, sind sie bereit, die vollständige Zahlung weiterzuleiten. Sie können darüber sprechen, ob dies legal ist, ob es die Bedingungen der Benutzervereinbarung erfüllt, aber mir mitteilen, wer von Ihnen ein PayPal-Konto hat? Wie viele Personen haben mehrere PayPal-IDs? Dies ist wahrscheinlich rechtmäßig und entspricht den Allgemeinen Geschäftsbedingungen.
Stellen Sie sich vor, mit diesem Mechanismus können Sie viel Geld verdienen. Wir sprechen über die Verwendung des Effekts des Erstellens von beispielsweise 80.000 solcher Konten durch Einrichten eines einfachen Skripts. Das Einzige, worauf Sie achten müssen, ist, dass wir unsere Geschichte mit einem lokalen Proxy, dem RSnake-Skript, begonnen haben, einem anderen Hacker-Tool, das uns helfen soll, Geld zu verdienen. Jetzt werden wir jedoch wiederkommen und zeigen, wie wir das Hacken erheblich vereinfachen können Um Geld zu verdienen, können Sie nur einen Browser verwenden.
Dieser besondere Angriff ist individuell. Der in Kalifornien lebende 22-jährige Michael Largent erstellte mit einem einfachen Skript 58.000 gefälschte Brokerage-Konten. Er öffnete sie in den Systemen von Schwab, eTrade und einigen anderen und wies den gefälschten Benutzern dieser Konten die Namen von Zeichentrickfiguren zu.
Für jedes dieser Konten verwendete er nur eine Testübersetzung mit dem ACH-System, ohne eine vollständige Überweisung vorzunehmen. Er besaß jedoch ein allgemeines Konto, auf dem sich all diese Überprüfungswerkzeuge befanden, und übertrug sie dann auf sich. Es klingt gut - es ist nicht viel Geld, aber insgesamt haben sie ihm ein sehr solides Einkommen gebracht. So hat er Geld verdient, nach der Idee des Films "Office Space". Das Interessanteste ist, dass es nichts Illegales gibt - er sammelte einfach all diese winzigen Mengen, tat es aber sehr schnell.
Bei Google Checkout verdiente er 8.225 US-Dollar, bei eTrade und Schwab 50.225 US-Dollar. Dann zog er dieses Geld von einer Kreditkarte ab und verwendete es. Als die Bank feststellte, dass all diese Tausenden von Konten einer Person gehören, riefen ihn die Bankangestellten an und fragten, warum er es getan habe. Versteht er nicht, dass er Geld stiehlt? Worauf Michael ihnen antwortete, dass er nicht verstand und nicht wusste, dass er etwas Illegales begangen hatte.
Dies ist eine sehr gute Möglichkeit, neue Beziehungen zu Personen des Secret Service aufzubauen, die Ihnen überall folgen und mehr über Sie erfahren möchten. Ich wiederhole es noch einmal - das Lustigste an diesem Schema ist, dass es hier nichts Illegales gab. Er wurde auf der Grundlage des Patriot Act, des Patriotic Act, inhaftiert. Wer weiß, was das patriotische Gesetz ist?
Das ist richtig, dies ist ein Gesetz, das die Befugnisse von Sonderdiensten im Bereich der Terrorismusbekämpfung erweitert. Dieser Typ benutzte Cartoon- und Comic-Namen, sodass er für die Verwendung gefälschter Benutzernamen verhaftet werden konnte. Daher sollten die Anwesenden, die fiktive Namen für ihre Postfächer verwenden, vorsichtig sein - dies kann für illegal erklärt werden!
Der Vorwurf des Secret Service beruhte auf vier Punkten: Computerbetrug, Internetbetrug und Postbetrug, aber der Akt des Geldempfangs wurde als völlig legal anerkannt, da er ein echtes Konto benutzte. Ich kann nicht sagen, ob es richtig gemacht wurde oder nicht, ethisch oder ethisch nicht, aber im Grunde stimmte alles, was Michael tat, mit den Allgemeinen Geschäftsbedingungen auf den Websites überein. Vielleicht war es also nur eine solche zusätzliche Funktion.
Hacken von Banken über ASP
Jeremy Grossman: Weißt du, ich reise viel und treffe Leute, die technisch versiert sind oder umgekehrt, die sich überhaupt nicht mit Technologie auskennen. Und wenn wir über das Leben sprechen, fragen sie, wo ich arbeite. Wenn ich antworte, dass ich mit Informationssicherheit befasst bin, fragen sie, was das ist. Ich erkläre, und dann sagen sie: "Oh, damit du die Bank knacken kannst!"
Wenn Sie also erklären, wie Sie eine Bank wirklich hacken können, dann meinen Sie das Hacken über ASP-Finanzanwendungsanbieter. Application Service Provider sind Unternehmen, die ihre eigene Software und Hardware an ihre Kunden vermieten - Banken, Kreditgenossenschaften und andere Finanzunternehmen.
Ihre Dienstleistungen werden von kleinen Banken und ähnlichen Unternehmen genutzt, die finanziell nicht rentabel sind, um über eine eigene „Software“ und „Hardware“ zu verfügen. Daher vermieten sie ASP-Einrichtungen und zahlen sie monatlich oder jährlich.
ASPs erfreuen sich einer erhöhten Aufmerksamkeit von Hackern, denn anstatt eine Bank zu hacken, können sie sofort 600 oder tausend Banken hacken. ASPs sind also ein sehr interessantes Ziel für Bösewichte.
ASP-Unternehmen bedienen also eine ganze Reihe von Banken auf der Grundlage der drei wichtigsten URL-Parameter: Client-ID Client_ID, Bank-ID Bank_ID und Konto-ID ACCT_ID. Jeder ASP-Client verfügt über eine eigene eindeutige Kennung, die möglicherweise auf mehreren Bankstandorten verwendet werden kann. Jede Bank kann über eine beliebige Anzahl von Benutzerkonten für jede Finanzanwendung verfügen - ein Spar- und ein Kontoüberprüfungssystem, ein Zahlungssystem usw. - und jede Finanzanwendung verfügt über eine eigene ID. Darüber hinaus verfügt jedes Kundenkonto in diesem Anwendungssystem über eine eigene ID. Wir haben also drei Kontosysteme.
Wie hacken wir also gleichzeitig 600 Banken? Zunächst betrachten wir das Ende einer Zeile einer URL dieses Typs:
website / app.cgi? Client_id = 10 & bank_id = 100 & acct_id = 1000 und versuchen acct_id durch einen beliebigen Wert #X zu ersetzen. Danach erhalten wir eine große, rot hervorgehobene Fehlermeldung mit folgendem Inhalt: “ Konto X gehört der Bank Y (Konto X gehört der Bank Y). Als nächstes nehmen wir bank_id, ändern es im Browser auf #Y und erhalten die Meldung: "Bank #Y gehört zu Kunde #Z" (Bank #Y gehört zu Kunde #Z).
Schließlich nehmen wir client_id, weisen es #Z zu - und das wars, wir bekommen das Konto, auf das wir ursprünglich gehen wollten. Nachdem wir das System erfolgreich geknackt haben, können wir auf die gleiche Weise auf ein beliebiges anderes Bankkonto, eine Bank oder ein Kundenkonto zugreifen. Wir können auf jedes Konto im System zugreifen. Generell gibt es keinen Hinweis auf eine Autorisierung. Das Einzige, was sie überprüfen, ist, dass Sie unter Ihrem Ausweis angemeldet sind und jetzt frei Geld abheben, eine Überweisung vornehmen und so weiter können.
Eines Tages leitete einer unserer Kunden, nicht ASP, unsere Informationen zu dieser Sicherheitsanfälligkeit an einen anderen Kunden weiter, der ASP verwendete, und teilte ihnen mit, dass ein Problem behoben werden musste. Wir sagten ihnen, dass es wahrscheinlich notwendig sein würde, den gesamten Antrag umzuschreiben, um die Autorisierung einzugeben, und das System prüfen würde, ob der Kunde das Recht hat, Finanztransaktionen durchzuführen, und dass dies einige Zeit dauern wird.
Zwei Tage später schickten sie uns eine Antwort, in der sie berichteten, dass sie bereits alles selbst repariert hatten - sie korrigierten die URL, sodass die Fehlermeldung nicht mehr angezeigt wurde. Natürlich war es cool und wir haben uns den Quellcode angesehen, um zu sehen, was sie mit ihrer „großartigen“ Hackertechnik gemacht haben. Alles, was getan wurde, war, die Anzeige der Fehlermeldung im HTML-Format zu beenden. Im Allgemeinen hatten wir ein sehr interessantes Gespräch mit diesem Kunden. Sie sagten, da sie dieses Problem nicht schnell lösen konnten, beschlossen sie, dies vorerst zu tun, in der Hoffnung, die Sicherheitsanfälligkeit in ferner Zukunft vollständig zu beheben.
Geldtransfer stornieren
Eine andere Betrugsmethode, auf die ich kurz eingehen werde, ist die umgekehrte Geldüberweisung. Diese Operation wird in vielen Bankanwendungen durchgeführt. Wenn Sie 10.000 USD von Konto A auf Konto B übertragen, sollte die Operationsformel logischerweise folgendermaßen funktionieren:
A = A - (10.000 US-Dollar)
B = B + (10.000 US-Dollar)
Das heißt, 10.000 US-Dollar werden von Konto A abgebucht und Konto B hinzugefügt.
Interessanterweise überprüft die Bank nicht, ob Sie den korrekten Überweisungsbetrag eingeben. Sie können beispielsweise eine positive Zahl durch eine negative Zahl ersetzen, dh _10000 $ von Konto A auf Konto B übertragen. In diesem Fall sieht die Transaktionsformel folgendermaßen aus:
A = A - (- 10.000 USD)
B = B + (- 10.000 USD)
Das heißt, anstatt Gelder von Konto A zu belasten, werden sie von Konto B abgebucht und Konto A gutgeschrieben. Dies geschieht von Zeit zu Zeit und bringt interessante Ergebnisse. Am Ende dieser Folie sehen Sie einen Link zu einem Research-Artikel
Breaking the Bank (Schwachstellen in der numerischen Verarbeitung in Finanzanwendungen) .
Es beschreibt ähnliche Dinge, die mit Rundungsfehlern passieren. Dieser Corsaire-Artikel enthält viele interessante Dinge, die uns als Material für einige unserer eigenen Lösungen gedient haben.
Aber zurück zum vorherigen Problem. Wir haben die ASP-Sicherheit kontaktiert und die folgende Antwort erhalten: "Interne Geschäftskontrolle wird solche Probleme verhindern." Wir sagten: "Ok, sieh dir die Webseite an." Einige Wochen später, als wir weiter mit unserem Kunden zusammenarbeiteten, erhielten wir diesen Scheck von ihm per Post:
Hier steht, dass dies eine Testgebühr von 2 USD für unser Unternehmen WH ist. So verdienen wir Geld!
Dieser Scheck liegt noch auf meinem Schreibtisch. Für zwei solcher Tests können wir bis zu 4 Dollar bekommen!
Einige Monate später erfuhren wir von einem bestimmten Kunden, dass 70.000 US-Dollar illegal in eines der osteuropäischen Länder überwiesen wurden. Das Geld konnte nicht zurückgegeben werden, da es zu spät war und der ASP seinen Kunden verlor. Diese Dinge passieren, aber was wir nie erfahren haben, weil wir keine forensischen Ermittler sind, ist, wie viele andere Kunden unter dieser Sicherheitsanfälligkeit gelitten haben. Da alles in diesem Schema wieder völlig legal aussieht, ändern Sie einfach das Aussehen der URL.
Einkaufen in Fernsehgeschäften
Trey Ford: Jetzt erzähle ich Ihnen von einem wirklich technischen Hack. Hören Sie gut zu. Wir alle kennen einen kleinen Fernsehsender namens QVC. Ich bin sicher, Sie kaufen manchmal etwas in diesem Telemarket.
Wenn Sie etwas online kaufen, klicken Sie unabhängig von der Website nicht auf eine beliebige Stelle, da Ihre Bestellung sofort bearbeitet wird! Vielleicht ändern Sie sofort Ihre Meinung und brechen die Transaktion ab. Aber in wenigen Tagen erhalten Sie per Post einen Haufen aller Arten von Müll, für den Sie sofort bezahlen müssen.
Hier ist Quintina Moore Perry, eine 33-jährige zertifizierte Hackerin aus Greensboro, North Carolina. Ich weiß nicht, wie sie früher ihren Lebensunterhalt verdient hat, aber ich kann Ihnen sagen, wie sie nach einer versehentlichen Transaktion, die sie angeblich getätigt hat, Geld verdient hat, obwohl sie die Transaktion auf der Website fast sofort storniert hat.
All diese „bestellten“ Dinge kamen von QVC an ihre Postanschrift - Damenhandtaschen, Haushaltsgeräte, Schmuck, Elektronik. Was würden Sie tun, wenn Sie nicht per Post bestellen würden? Das stimmt, nichts! Sie können sofort sehen, unsere Leute ...
Sie erhalten jedoch kostenlosen Versand, und kostenloser Versand ist ein Vorteil! Immerhin sind die Pakete bereits in der Post, Sie müssen sie nirgendwo hinschicken. Wenn dies ein Standardgeschäftsprozess ist, wie kann er verwendet werden? Was tun mit 1800 Paketen, die von Mai bis November an ihrer Postanschrift eingegangen sind? Also hat diese Frau all diese Dinge bei eBay versteigert und als Ergebnis des Verkaufs dieses ganzen Mülls einen Gewinn von 412.000 USD erzielt! Wie hat sie das gemacht - ganz einfach! Sie sagte in der Mail, dass jemand all diese Pakete bei QVC an ihre Adresse bestellt hat, aber es ist sehr schwierig für sie, sie neu zu verpacken und an die Empfänger zu senden. Lassen Sie sie also in der Originalverpackung von QVC senden!
Wie Sie sehen, ist dies eine sehr technische Lösung! QVC war jedoch besorgt über dieses Problem, nachdem 2 Personen, die das Produkt bei eBay gekauft hatten, es in einem QVC-Paket erhalten hatten. Ein Bundesgericht hat diese Frau des Postbetrugs für schuldig befunden.
Eine einfache technische Hürde bei der Stornierung von Bestellungen ermöglichte es dieser Frau, einen riesigen Geldbetrag zu verdienen.
37:40 min
BLACK HAT USA Konferenz. Reich werden oder sterben: Mit Black Hat Geld im Internet verdienen. Teil 3Ein bisschen Werbung :)
Vielen Dank für Ihren Aufenthalt bei uns. Mögen Sie unsere Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder Ihren Freunden empfehlen,
Cloud-VPS für Entwickler ab 4,99 US-Dollar , ein
30-prozentiger Rabatt für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s ab 20 US-Dollar oder wie man einen Server freigibt? (Optionen sind mit RAID1 und RAID10, bis zu 24 Kernen und bis zu 40 GB DDR4 verfügbar).
Dell R730xd 2 mal günstiger? Nur wir haben
2 x Intel TetraDeca-Core Xeon 2 x E5-2697v3 2,6 GHz 14C 64 GB DDR4 4 x 960 GB SSD 1 Gbit / s 100 TV ab 199 US-Dollar in den Niederlanden! Dell R420 - 2x E5-2430 2,2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbit / s 100 TB - ab 99 US-Dollar! Lesen Sie mehr über
das Erstellen von Infrastruktur-Bldg. Klasse mit Dell R730xd E5-2650 v4 Servern für 9.000 Euro für einen Cent?