黑帽美国会议。 致富或丧命:使用Black Hat在互联网上赚钱。 第一部分有一个名为Hire2Hack的站点,该站点还接受“恢复”密码的应用程序。 这项服务的费用从$ 150起。 我不知道其余的,但是您必须向他们提供有关您自己的信息,因为您要付钱给他们。 要注册,您必须指定用户名,电子邮件,密码等。 有趣的是,他们甚至接受西联汇款。
值得注意的是,用户名是非常有价值的信息,尤其是当它们与电子邮件地址绑定时。 告诉我,你们中的哪个人在注册邮箱时表明您的真实姓名? 没人,这很有趣!
因此,电子邮件地址是有价值的信息,尤其是在您在线购物或想要跟踪挂在约会网站上的配偶的外遇时。 如果您是卖家,则可以使用电子邮件地址查看当前使用哪个竞争对手的服务的消费者或订户。
因此,网络钓鱼攻击者为真实的用户地址支付了很多钱。 此外,他们使用密码和登录恢复窗口通过临时攻击来挖掘有效的电子邮件地址。 由于发表了有趣的研究,许多大型的电子商务和社交媒体门户网站都认为盗窃有效的电子邮件地址会造成很大的损害。 因此,我们必须在两个方面进行对抗-对抗定时攻击和此类信息泄漏。
将电子优惠券变成金钱
杰里米·格罗斯曼(Jeremy Grossman):因此,我们研究了三种在线欺诈方法,现在正在提高利率。 下一步是将eCoupons电子优惠券转换为金钱。 这些优惠券用于在线购买。 客户输入他的唯一ID,并且折扣适用于他的购买。 大型在线商家为客户提供了美国运通(AmEx)支持的折扣计划。
你们中的许多人都知道,优惠券可提供几到几百美元的折扣,并带有16位ID。 这些数字非常静态,通常按顺序排列。 最初,只允许将一个优惠券应用于一个订单,但是随后,随着程序的普及,这些限制被取消,现在一个订单可以使用3个以上的优惠券。
有人开发了一个脚本,试图识别数千种可能的有效折扣优惠券。 卖方以价值超过5万美元的订单而闻名,而不是用200张或更多张优惠券付款。 同意,这是一个很好的圣诞节礼物!
长期以来,这个问题一直未被注意到,因为该程序运行良好,每个人都使用了优惠券,每个人都很高兴。 这一直持续到程序加载计划系统在人们“滚动” ID号并选择提供折扣的ID号时检测到处理器负荷增加了90%。
商家要求联邦调查局对此案进行调查,因为他们怀疑有问题。 但是问题是,货物被送到了一个不存在的地址,这使他们感到困惑。 事实证明,攻击者与交付服务串谋,后者事先“拦截”了货物。
在这种情况下,有趣的是,优惠券不是货币,它们只是营销工具。 但是,业务逻辑中的错误导致需要涉及秘密服务,而秘密服务也面临着利用该系统发挥其优势的交付服务的欺诈行为。
假账户收益
Trey Ford:这是我最喜欢的故事之一。 “现实生活:黑客办公空间。” 我认为您看过一部有关黑客的电影“ Office Space”。 让我们弄清楚这一点。 你们中有多少人使用过网上银行?
好吧,每个人都承认他们曾经使用过。 有一件有趣的事情-通过ACH在线支付账单的能力。 ACH自动结算分庭的工作原理是这样的。 假设我想从杰里米(Jeremy)买车,打算直接将钱从我的帐户转到他的帐户。 在我进行主要付款之前,我的金融机构必须确保我们一切都很好。 因此,首先,系统从几美分转入2美元,以检查各方的财务帐户和路由地址是否正确,客户是否收到了这笔钱。 当他们确信此转账已正常完成后,他们便准备转发全额付款。 您可以谈论这是否合法,是否符合用户协议的条款,但是请告诉我你们中的哪个拥有PayPal帐户? 多少人有多个PayPal ID? 这可能是合法的,并且符合条款和条件。
现在想象一下这种机制可以用来赚很多钱。 我们正在谈论通过建立一个简单的脚本来使用创建8万个这样的帐户的效果。 您唯一需要注意的是,我们是通过使用本地代理RSnake脚本开始故事的,RSnake脚本是另一个可以帮助我们赚钱的黑客工具,但是现在我们将回过头来展示如何简化黑客活动,为了赚钱,您只能使用一个浏览器。
这种特殊的攻击是个人的。 总部位于加利福尼亚州的22岁的迈克尔·拉格特(Michael Largent)使用一个简单的脚本创建了58,000个虚假的经纪帐户。 他在Schwab,eTrade等系统中打开了这些帐户,并为这些帐户的假用户分配了卡通人物的名称。
对于这些帐户中的每个帐户,他只使用了ACH系统进行的测试翻译,而没有进行全部资金转帐。 但是他拥有一个普通帐户,所有这些验证工具都涌向该帐户,然后将其转移给自己。 听起来不错-钱不多,但总的来说,他们给他带来了可观的收入。 这就是他遵循电影《办公室空间》的想法赚钱的方式。 最有趣的是,没有什么非法的-他只是收集了所有这些小数目,但很快就收集了。
他在Google Checkout上赚了8,225美元,在eTrade和Schwab上又赚了50,225美元。 然后,他将这笔钱提取到信用卡中并进行了拨付。 当银行发现所有这数千个帐户都属于一个人时,银行员工打电话给他,问他为什么这样做,难道他不知道自己在偷钱吗? 迈克尔对他们回答说,他不理解,也不知道他犯了一些非法的东西。
这是与来自特勤局的人建立新关系的好方法,这些人到处都在关注您,并希望了解更多有关您的信息。 我再说一次-这个方案最有趣的是,这里没有违法行为。 他是根据《爱国法案》,《爱国法案》被拘留的。 谁知道爱国法案是什么?
没错,这是一部扩大特殊服务机构在反恐领域的权力的法律。 这个人使用卡通和漫画名称,因此他们能够使用虚假用户名将其拘留。 因此,那些在其邮箱中使用虚拟名称的在场人员应格外小心-可以宣布这为非法!
特勤局的指控基于四点:计算机欺诈,互联网欺诈和邮件欺诈,但由于他使用真实帐户,因此收钱行为被认为是完全合法的。 我不能说它是否正确地做到了(从道德上还是从道德上而言),但是基本上迈克尔所做的一切都符合网站上的条款和条件,所以也许这只是一项附加功能。
通过ASP入侵银行
杰里米·格罗斯曼(Jeremy Grossman):您知道,我经常旅行,并且遇到一些精通技术的人,反之亦然,他们一点也不精通技术。 当我们谈论生活时,他们问我在哪里工作。 当我回答我从事信息安全时,他们会问这是什么。 我解释了一下,然后他们说:“哦,这样您就可以破银行了!”
因此,当您开始解释如何真正对银行进行黑客攻击时,就意味着要通过ASP金融应用程序提供商进行黑客攻击。 应用程序服务提供商是将自己的软件和硬件出租给客户的公司-银行,信用合作社和其他金融公司。
小型银行和类似公司在没有财务利润的情况下使用其服务来拥有自己的“软件”和“硬件”。 因此,他们租用ASP设施,每月或每年支付。
ASP越来越受到黑客的关注,因为它们可以立即入侵600或1000个银行,而不是入侵一个银行。 因此,ASP对于坏蛋来说是一个非常有趣的目标。
因此,ASP公司基于三个最重要的URL参数为整个银行服务:客户标识符client_ID,银行标识符bank_ID和帐户标识符acct_ID。 每个ASP客户端都有其自己的唯一标识符,该标识符可以在多个银行站点上使用。 每个银行可以为每个财务应用程序使用任意数量的用户帐户-储蓄系统,帐户验证系统,支付系统等,并且每个财务应用程序都有自己的ID。 此外,此应用程序系统中的每个客户帐户也都有自己的ID。 因此,我们有三个帐户系统。
那么,我们如何同时破解600家银行呢? 首先,我们查看这种类型的URL的一行的结尾:
website / app.cgi?Client_id = 10&bank_id = 100&acct_id = 1000,并尝试将acct_id替换为任意值#X,此后,我们将获得一个红色的大红色错误消息,内容如下:帐户#X属于银行#Y”(帐户#X属于银行#Y)。 接下来,我们获取bank_id,在浏览器中将其更改为#Y并得到以下消息:“ Bank #Y属于客户#Z”(bank #Y属于客户#Z)。
最后,我们获取client_id,将其分配为#Z-就是这样,我们进入了我们最初想要进入的帐户。 成功破解系统后,我们可以以相同的方式进入任何其他银行帐户,银行或客户帐户。 我们可以进入系统中的每个帐户。 通常没有授权提示。 他们唯一要检查的是您已使用自己的ID登录,现在您可以自由提取资金,进行转帐等等。
一天,我们的一个客户(而不是ASP)将有关此漏洞的信息转发给了另一个使用ASP的客户端,并告知他们存在需要解决的问题。 我们告诉他们,可能需要重写整个应用程序才能输入授权,并且系统将检查客户是否有权进行金融交易,这将需要一些时间。
两天后,他们给了我们一个答案,他们在报告中说自己已经修复了所有问题-他们更正了URL,因此不再显示错误消息。 当然,这很酷,我们决定查看源代码,以了解他们使用其“出色的”黑客技术所做的工作。 因此,所有要做的就是停止以HTML格式显示错误消息。 通常,我们与该客户进行了非常有趣的对话。 他们说,由于无法迅速解决此问题,他们决定暂时这样做,希望在不久的将来完全解决此漏洞。
反向汇款
我将简要讨论的另一种欺诈方法是反向汇款。 在许多银行业务应用程序中执行此操作。 当将$ 10,000从帐户A转移到帐户B时,运算公式应在逻辑上像这样工作:
A = A-($ 10,000)
B = B +($ 10,000)
即,从帐户A提取$ 10,000并将其添加到帐户B。
有趣的是,银行不会检查您输入的转帐金额是否正确。 例如,您可以将一个正数替换为一个负数,即,将_10000 $从帐户A转移到帐户B。在这种情况下,交易公式如下所示:
A = A-(-$ 10,000)
B = B +(-$ 10,000)
也就是说,不是从帐户A借记资金,而是从帐户B记账并贷记到帐户A。这不时发生,并带来有趣的结果。 在此幻灯片的底部,您可以找到“
打破银行(金融应用程序中的数字处理中的漏洞)”研究文章的链接。
它描述了由于舍入错误而发生的类似情况。 这篇Corsaire文章包含许多有趣的内容,这些内容使我们成为了一些自己的解决方案的素材。
但是回到以前的问题。 我们与ASP安全部门联系,并收到以下答复:“内部业务控制将防止此类问题。” 我们说:“好,看看他们的网站。” 几周后,当我们继续与客户合作时,我们通过邮件收到了他们的这张支票:
在此声明,这是我们公司WH的2美元测试费。 这就是我们赚钱的方式!
这张支票仍在我的桌子上。 对于两个这样的测试,我们最多可以获得4美元!
但是几个月后,我们从一个特定的客户那里得知,有70,000美元被非法转移到一个东欧国家。 这笔钱无法退还,因为为时已晚,ASP失去了客户。 这些事情确实发生了,但是由于我们不是法医调查人员,所以我们从未学到的是有多少其他客户遭受了此漏洞的困扰。 由于此方案中的所有内容再次看起来完全合法-您只需更改URL的外观即可。
从电视商店购物
Trey Ford:现在,我将向您介绍真正的技术黑客,所以请仔细听。 我们都知道一个叫做QVC的小型电视台,我敢肯定您有时会在这个电话市场买东西。
请注意,无论您在哪里购买在线商品,都不要点击任何地方,因为您的订单将立即开始处理! 也许您会立即改变主意并停止交易。 但是几天后,您将在邮件中收到一堆各种各样的垃圾,您必须立即为这些垃圾付款。
这是来自北卡罗来纳州格林斯博罗的33岁认证黑客Quintina Moore Perry。 我不知道她是如何过早谋生的,但是我可以告诉你她是如何在据称进行随机交易后开始赚钱的,尽管她几乎立即在网站上取消了交易。
所有这些“有序”的东西开始从QVC寄到她的邮寄地址-女士手袋,家用电器,珠宝,电子产品。 如果您不通过邮寄订购该怎么办? 是的,没事! 您可以马上看到,我们的员工...
但是,您将获得免费送货,免费送货是一项好处! 毕竟,包裹已经在邮件中了,您无需将它们发送到任何地方。 如果这是标准业务流程,那么如何使用它? 5月至11月到达她的邮寄地址的1800个包裹怎么办? 因此,这个女人把所有这些东西放在eBay上拍卖,结果卖掉了所有这些垃圾,她的利润是412,000美元! 她是如何做到的-非常简单! 她在邮件中说,有人用QVC订购了所有这些包装到她的地址,但是她很难重新包装它们并将其发送给收件人,所以让它们以QVC的原始包装发送!
如您所见,这是一个非常技术性的解决方案! 但是,在2位在eBay上购买该产品的人收到了QVC包装后,QVC担心这个问题。 联邦法院裁定该名女子犯有欺诈邮件罪。
因此,取消订单的简单技术难题使该名妇女赚了很多钱。
37:40分钟
黑帽美国会议。 致富或丧命:使用Black Hat在互联网上赚钱。 第三部分一点广告:)
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或向您的朋友推荐来支持我们
,开发人员的云VPS从4.99美元起 ,
为Habr用户提供
30%的折扣,这是我们为您发明的入门级服务器的独特模拟: 关于VPS(KVM)E5-2650 v4的全部真相(6核心)10GB DDR4 240GB SSD 1Gbps from $ 20或如何共享服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 只有我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视在荷兰起价199美元 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?