- Регистрация
- 10.12.21
- Сообщения
- 213
- Онлайн
- 15д 4ч 58м
- Сделки
- 0
- Нарушения
- 3 / 4
Уже не раз писали на страницах любимого журнала о незаконных махинациях с кредитными картами, поэтому, думаю, ты четко представляешь, откуда кардеры берут свою «зарплату». Однако о том, на чем делают бабки хакеры, не кто не писал ни разу. Если ты думаешь, что хакеры живут за счет взломов на заказ, то сильно ошибаешься. Пора выйти из тени — сегодня я открою завесу тайны.
Интродукция
Думаю, Майндворк тебе много рассказывал о том, каких типов бывают компьютерные взломщики. Бывают люди, которые ломают для души: им интересно разобраться в системе, найти изъян и сообщить о нем администратору. Есть хакеры, которые полностью легализовали свою деятельность и занимаются так называемым security-консалтингом. Но в этой статье я хочу рассказать о ребятах с другими взглядами. Их специализация заключается в получении несанкционированного доступа с последующим использованием его в корыстных и обычно незаконных, криминальных целях. К таким парням отношусь и я, поэтому читай внимательней.
Кража Bitcoin'a
В США большой популярностью сейчас пользуется система криптовалюты Bitcoin. И неспроста — она настолько легка в использовании, что юзать ее мог бы даже ребенок. Чтобы получить акцесс к переводу денег с личного Bitcoin-счета, пользователю требуется всего-навсего знать номер своего кошелька, пароль от него и иметь доступ к указанному при регистрации мылу. Достаточно часто обменные пункты электронных валют, интернет-магазины и денежные пирамиды используют прием или выплату Bitcoin’a в автоматическом режиме. Таким образом, чтобы получить доступ к чужим деньгам, достаточно поломать сервер, на котором находится, например, обменник валют. Мне не раз удавалось найти на взломанном сервере пароль от Bitcoin-кошелька и увести чужие бабки на свой Bitcoin-счет. Украденные буржуйские e-доллары достаточно просто конвертируются в средства русской платежной системы WebMoney c помощью автоматического обменного пункта www.roboxchange.com или аналогичного ему, после чего их безо всяких проблем можно обналичить. Можно с уверенностью сказать, что если хакеру удастся поиметь обменник, то находящиеся в нем деньги превратятся в реальные бумажные банкноты в течение пары часов.
Взлом банков
Ты не заметил, что в новостях по ящику все чаще стали говорить о взломе американских банков? Тема получения несанкционированного доступа к забугорным счетам действительно становится все популярнее. Поверь, чтобы спереть лаванду из банка, вовсе не обязательно быть каким-то мегауникальным мозгом, не нужно знать каких-то особых секретов. Дело в том, что в США существует огромное количество банков, которые предоставляют своим клиентам online-доступ к счетам (например, www.firstbank.com, www.usbank.com и т.п.). Для того чтобы залогиниться на банковском сервере, нужно знать логин и пароль от аккаунта. Имея их, пользователь может не только следить за балансом своего реального счета в банке, но и выписывать с него денежные чеки, действующие внутри страны. В некоторых банках для выписки чека требуется указать вторичный пароль от аккаунта, однако, имея доступ к компьютеру владельца счета, получить его так же просто, как и первичный. Если успеть обналичить чек до того, как хозяин обнаружит пропажу бабок, то дело будет в шляпе.
Что же делают взломщики-охотники за буржуйскими банковскими аккаунтами? Они протроянивают наивных американцев специально разработанным софтом, который отлавливает пароли, вводимые в web-формы. Затем троян отсылает улов на хакерский сервер, где украденные пароли обрабатываются и заносятся в базу. Слив инфу с большого количества компьютеров, хакер может производить выборку по своей базе, отбирая пассы от нужных ему ресурсов. Сам понимаешь, ничто не мешает завладеть паролями от банковских аккаунтов, платежных систем или аукционов.
Есть и другой, гораздо более сложный способ получения доступа к управлению финансовыми счетами банков. Если на минуту представить, что мне удалось получить шелл-доступ к серверу firstbank.com, поломав его приватным 0day-сплойтом, то я уделаю своими слюнями все вокруг. Ведь за пару минут я заработаю столько денег, сколько обычный человек не заработает за всю жизнь. Достаточно будет просто слить всю базу с логинами и пассами законопослушных клиентов, пользующихся услугами банка.
Фишинг
Фишинг — это технология, основанная на социальной инженерии и направленная на хищение персональных данных (обычно логина и пароля) для поимки целевого аккаунта. Немалое количество пассов удается выманить у ламеров при массовой рассылке красноречивых писем с поддельным адресом отправителя, содержащих просьбу «уточнить конфиденциальные данные». Представь, что мне нужно поиметь акки пользователей платежной системы Bitcoin. Для этого можно разослать американцам письма с просьбой «срочно зайти на акк» и ссылкой на страницу Bitcoin. Кликнув на линк, юзер попадет на совершенно левый сервер, не имеющий никакого отношения к bitcoin, к примеру, на http://bitcoin.nsd.ru. Лопоухий америкос наивно введет свой пароль, не заметив подвоха, в результате чего я неплохо бухну на его бабки. А если прикрутить к фишингу еще и технологию URL spoofing, то есть способ подделки адресной строки браузера, одураченными могут оказаться не только ламеры, но и опытные пользователи. Об этой технологии мы рассказывали в прошлогоднем мартовском выпуске (63 номер). Вот таким забавным и простым способом хакеры успешно по сей день получают пассворды от банковских счетов и акков платежных систем.
Взлом инет-магазинов
Чтобы законный юзер мог произвести покупку в американском интернет-магазине, принимающем в качестве оплаты кредитные карты, ему придется сначала регаться в системе. При регистрации, помимо персональных данных, ему необходимо указать еще и сведения о своей кредитке, которой будет оплачиваться электронная покупка. Все введенные данные заносятся в базу и извлекаются из нее при совершении покупок для перевода денег со счета владельца карты на счет интернет-магазина. Данные кредитной карты хранятся специально для того, чтобы холдеру не приходилось вбивать номер креды заново при совершении очередной покупки. Сам понимаешь, если хакер поломает сервер, на котором крутится магазин, ему не составит труда сдампить таблицу с кредитными картами из базы данных.
Протроянивание юзеров
Банками и платежными системами деятельность профессионалов нашего нелегкого криминального бизнеса не ограничивается. Некоторые хакеры массово троянят пользователей для того, чтобы установить на поломанных тачках прокси/сокс-сервер с нестандартным портом. Имея десяток тысяч собственных проксиков, можно организовать приватный сервис и продавать доступ к нему за определенную ежемесячную абонентскую плату. Таких служб в рунете сейчас предостаточно, и популярностью они пользуются нехилой. Помимо прокси-сервера, на похаканную машину рядового юзера можно установить и софт для реализации ДДоС-атак. Кстати, об особенностях создания и эксплуатации специально предназначенного для этого софта писал Федор Михайлович в октябрьском выпуске «Хакера» #10.70.
Что касается методов протроянивания юзеров, то они уже давным-давно не ограничиваются пресловутыми спам-рассылками по мылу и ICQ. С каждым годом хакеры становятся все изощреннее — теперь они взламывают сайты с высокой посещаемостью и вставляют в html-страницу специальный эксплойт, написанный на JavaScript’e. Сплойт этот обычно эксплуатирует уязвимость в браузере, в результате чего удается запустить произвольный exe-файл на машине пользователя, посетившего сайт. Представь, что хакер взломал сайт, на который ежедневно заходит пяток тысяч человек. Бажный IE наверняка стоит у каждого четвертого юзера. Может, кто-то и заметит неладное, но тысяча пользователей за день окажется облапошенной. Кстати, эту тему впервые подробно осветил CuTTer, написав статью «Ослик IE: залей через меня троян» в 58 выпуске твоего любимого журнала. Сейчас, конечно, все уже здорово изменилось, так что следи за багтраком.
Развлечения киддисов
Зарабатывать хакерством умудряются и скрипткидисы — пацаны, не обладающие глубокими познаниями в области технологий взлома. Они умеют брутить аси, угонять мыльники путем угадывания примитивного секретного вопроса, добывать шеллы, эксплуатируя свеженайденные уязвимости в скриптах и скомпилированные хакерами публичные эксплойты. Добытое добро они недорого продают за WebMoney, получая тем самым небольшую прибавку к деньгам, которые им выделяют предки на обеды.
Существует еще один способ поднять немного баблоса на взломанных порталах при наличии ограниченных умений. Имея возможность менять содержимое веб-страниц, можно перекидывать посетителей похаканного портала на целевую страницу, накручивая тем самым счетчик нужного кидису сайта. Живой трафик стоит немало, поэтому накрутка сайтов — относительно выгодная тема.
Реализация товара
Как ты думаешь, что хакеры делают с украденным добром, о котором я рассказывал в этой статье? Куда они девают ворованные из инет-магазинов базы кредитных карт и банковские аккаунты? Думаешь, используют скоммунизженную инфу по прямому назначению? Не угадал, преобладающее большинство хакеров в кардинг не лезет — уж слишком это опасное и нудное (хотя и сверхприбыльное) дело. Чтобы обналичить деньги с банковского аккаунта, нужно приложить немало усилий. Поэтому гораздо проще продать доступ к банковским счетам за относительно небольшой процент от баланса аккаунта, чем заниматься обналичкой. А креды обычно сливаются оптом реселлерам, которые, в свою очередь, перепродают их тем же кардиологам. Конечно, хакеры, в отличие от кардеров, не обладают миллионами долларов, но свои бабки они все-таки имеют.
Открывайте, НКВД!
Напоследок хочу сказать, что опускать банки и платежные системы — это тебе не сайтики дефейсить. Это откровенный воровской криминал в прямом смысле этого слова. Вышеописанное жестко карается властями, и материал был изложен, исключительно чтобы удержать тебя от подобной деятельности. На зоне живется несладко, из воровского общака никто тебя греть не будет. Если у тебя нет желания общаться с зеками на нарах, просто забудь, о чем я сейчас писал, но запомни вот что: милиция не спит и клиентов принимает круглосуточно без выходных и обеденных перерывов.
Обнал банк-акков
Кардеры, покупающие у хакеров доступы к банковским счетам, занимаются их обналичиванием. Сам процесс обналички происходит по достаточно примитивной схеме. Для начала кардер вербует дропа в США, предлагая ему заработать денег, для чего обналичивает выписанный на него с банк-аккаунта денежный чек. Дроп должен распорядиться с полученными деньгами следующим образом: часть баблоса оставить себе, а основную сумму отправить кардеру в Россию через систему денежных переводов Western Union. Ну а обналичивание WU-перевода не составляет особого труда.
WWW
Сайты популярных электронных банков: www.firstbank.com, www.usbank.com.
WARNING
Следует понимать, что электронное мошенничество по сути своей мало чем отличается от реального . К тому же, УК РФ очень жестко за это карает. Берегись!
Интродукция
Думаю, Майндворк тебе много рассказывал о том, каких типов бывают компьютерные взломщики. Бывают люди, которые ломают для души: им интересно разобраться в системе, найти изъян и сообщить о нем администратору. Есть хакеры, которые полностью легализовали свою деятельность и занимаются так называемым security-консалтингом. Но в этой статье я хочу рассказать о ребятах с другими взглядами. Их специализация заключается в получении несанкционированного доступа с последующим использованием его в корыстных и обычно незаконных, криминальных целях. К таким парням отношусь и я, поэтому читай внимательней.
Кража Bitcoin'a
В США большой популярностью сейчас пользуется система криптовалюты Bitcoin. И неспроста — она настолько легка в использовании, что юзать ее мог бы даже ребенок. Чтобы получить акцесс к переводу денег с личного Bitcoin-счета, пользователю требуется всего-навсего знать номер своего кошелька, пароль от него и иметь доступ к указанному при регистрации мылу. Достаточно часто обменные пункты электронных валют, интернет-магазины и денежные пирамиды используют прием или выплату Bitcoin’a в автоматическом режиме. Таким образом, чтобы получить доступ к чужим деньгам, достаточно поломать сервер, на котором находится, например, обменник валют. Мне не раз удавалось найти на взломанном сервере пароль от Bitcoin-кошелька и увести чужие бабки на свой Bitcoin-счет. Украденные буржуйские e-доллары достаточно просто конвертируются в средства русской платежной системы WebMoney c помощью автоматического обменного пункта www.roboxchange.com или аналогичного ему, после чего их безо всяких проблем можно обналичить. Можно с уверенностью сказать, что если хакеру удастся поиметь обменник, то находящиеся в нем деньги превратятся в реальные бумажные банкноты в течение пары часов.
Взлом банков
Ты не заметил, что в новостях по ящику все чаще стали говорить о взломе американских банков? Тема получения несанкционированного доступа к забугорным счетам действительно становится все популярнее. Поверь, чтобы спереть лаванду из банка, вовсе не обязательно быть каким-то мегауникальным мозгом, не нужно знать каких-то особых секретов. Дело в том, что в США существует огромное количество банков, которые предоставляют своим клиентам online-доступ к счетам (например, www.firstbank.com, www.usbank.com и т.п.). Для того чтобы залогиниться на банковском сервере, нужно знать логин и пароль от аккаунта. Имея их, пользователь может не только следить за балансом своего реального счета в банке, но и выписывать с него денежные чеки, действующие внутри страны. В некоторых банках для выписки чека требуется указать вторичный пароль от аккаунта, однако, имея доступ к компьютеру владельца счета, получить его так же просто, как и первичный. Если успеть обналичить чек до того, как хозяин обнаружит пропажу бабок, то дело будет в шляпе.
Что же делают взломщики-охотники за буржуйскими банковскими аккаунтами? Они протроянивают наивных американцев специально разработанным софтом, который отлавливает пароли, вводимые в web-формы. Затем троян отсылает улов на хакерский сервер, где украденные пароли обрабатываются и заносятся в базу. Слив инфу с большого количества компьютеров, хакер может производить выборку по своей базе, отбирая пассы от нужных ему ресурсов. Сам понимаешь, ничто не мешает завладеть паролями от банковских аккаунтов, платежных систем или аукционов.
Есть и другой, гораздо более сложный способ получения доступа к управлению финансовыми счетами банков. Если на минуту представить, что мне удалось получить шелл-доступ к серверу firstbank.com, поломав его приватным 0day-сплойтом, то я уделаю своими слюнями все вокруг. Ведь за пару минут я заработаю столько денег, сколько обычный человек не заработает за всю жизнь. Достаточно будет просто слить всю базу с логинами и пассами законопослушных клиентов, пользующихся услугами банка.
Фишинг
Фишинг — это технология, основанная на социальной инженерии и направленная на хищение персональных данных (обычно логина и пароля) для поимки целевого аккаунта. Немалое количество пассов удается выманить у ламеров при массовой рассылке красноречивых писем с поддельным адресом отправителя, содержащих просьбу «уточнить конфиденциальные данные». Представь, что мне нужно поиметь акки пользователей платежной системы Bitcoin. Для этого можно разослать американцам письма с просьбой «срочно зайти на акк» и ссылкой на страницу Bitcoin. Кликнув на линк, юзер попадет на совершенно левый сервер, не имеющий никакого отношения к bitcoin, к примеру, на http://bitcoin.nsd.ru. Лопоухий америкос наивно введет свой пароль, не заметив подвоха, в результате чего я неплохо бухну на его бабки. А если прикрутить к фишингу еще и технологию URL spoofing, то есть способ подделки адресной строки браузера, одураченными могут оказаться не только ламеры, но и опытные пользователи. Об этой технологии мы рассказывали в прошлогоднем мартовском выпуске (63 номер). Вот таким забавным и простым способом хакеры успешно по сей день получают пассворды от банковских счетов и акков платежных систем.
Взлом инет-магазинов
Чтобы законный юзер мог произвести покупку в американском интернет-магазине, принимающем в качестве оплаты кредитные карты, ему придется сначала регаться в системе. При регистрации, помимо персональных данных, ему необходимо указать еще и сведения о своей кредитке, которой будет оплачиваться электронная покупка. Все введенные данные заносятся в базу и извлекаются из нее при совершении покупок для перевода денег со счета владельца карты на счет интернет-магазина. Данные кредитной карты хранятся специально для того, чтобы холдеру не приходилось вбивать номер креды заново при совершении очередной покупки. Сам понимаешь, если хакер поломает сервер, на котором крутится магазин, ему не составит труда сдампить таблицу с кредитными картами из базы данных.
Протроянивание юзеров
Банками и платежными системами деятельность профессионалов нашего нелегкого криминального бизнеса не ограничивается. Некоторые хакеры массово троянят пользователей для того, чтобы установить на поломанных тачках прокси/сокс-сервер с нестандартным портом. Имея десяток тысяч собственных проксиков, можно организовать приватный сервис и продавать доступ к нему за определенную ежемесячную абонентскую плату. Таких служб в рунете сейчас предостаточно, и популярностью они пользуются нехилой. Помимо прокси-сервера, на похаканную машину рядового юзера можно установить и софт для реализации ДДоС-атак. Кстати, об особенностях создания и эксплуатации специально предназначенного для этого софта писал Федор Михайлович в октябрьском выпуске «Хакера» #10.70.
Что касается методов протроянивания юзеров, то они уже давным-давно не ограничиваются пресловутыми спам-рассылками по мылу и ICQ. С каждым годом хакеры становятся все изощреннее — теперь они взламывают сайты с высокой посещаемостью и вставляют в html-страницу специальный эксплойт, написанный на JavaScript’e. Сплойт этот обычно эксплуатирует уязвимость в браузере, в результате чего удается запустить произвольный exe-файл на машине пользователя, посетившего сайт. Представь, что хакер взломал сайт, на который ежедневно заходит пяток тысяч человек. Бажный IE наверняка стоит у каждого четвертого юзера. Может, кто-то и заметит неладное, но тысяча пользователей за день окажется облапошенной. Кстати, эту тему впервые подробно осветил CuTTer, написав статью «Ослик IE: залей через меня троян» в 58 выпуске твоего любимого журнала. Сейчас, конечно, все уже здорово изменилось, так что следи за багтраком.
Развлечения киддисов
Зарабатывать хакерством умудряются и скрипткидисы — пацаны, не обладающие глубокими познаниями в области технологий взлома. Они умеют брутить аси, угонять мыльники путем угадывания примитивного секретного вопроса, добывать шеллы, эксплуатируя свеженайденные уязвимости в скриптах и скомпилированные хакерами публичные эксплойты. Добытое добро они недорого продают за WebMoney, получая тем самым небольшую прибавку к деньгам, которые им выделяют предки на обеды.
Существует еще один способ поднять немного баблоса на взломанных порталах при наличии ограниченных умений. Имея возможность менять содержимое веб-страниц, можно перекидывать посетителей похаканного портала на целевую страницу, накручивая тем самым счетчик нужного кидису сайта. Живой трафик стоит немало, поэтому накрутка сайтов — относительно выгодная тема.
Реализация товара
Как ты думаешь, что хакеры делают с украденным добром, о котором я рассказывал в этой статье? Куда они девают ворованные из инет-магазинов базы кредитных карт и банковские аккаунты? Думаешь, используют скоммунизженную инфу по прямому назначению? Не угадал, преобладающее большинство хакеров в кардинг не лезет — уж слишком это опасное и нудное (хотя и сверхприбыльное) дело. Чтобы обналичить деньги с банковского аккаунта, нужно приложить немало усилий. Поэтому гораздо проще продать доступ к банковским счетам за относительно небольшой процент от баланса аккаунта, чем заниматься обналичкой. А креды обычно сливаются оптом реселлерам, которые, в свою очередь, перепродают их тем же кардиологам. Конечно, хакеры, в отличие от кардеров, не обладают миллионами долларов, но свои бабки они все-таки имеют.
Открывайте, НКВД!
Напоследок хочу сказать, что опускать банки и платежные системы — это тебе не сайтики дефейсить. Это откровенный воровской криминал в прямом смысле этого слова. Вышеописанное жестко карается властями, и материал был изложен, исключительно чтобы удержать тебя от подобной деятельности. На зоне живется несладко, из воровского общака никто тебя греть не будет. Если у тебя нет желания общаться с зеками на нарах, просто забудь, о чем я сейчас писал, но запомни вот что: милиция не спит и клиентов принимает круглосуточно без выходных и обеденных перерывов.
Обнал банк-акков
Кардеры, покупающие у хакеров доступы к банковским счетам, занимаются их обналичиванием. Сам процесс обналички происходит по достаточно примитивной схеме. Для начала кардер вербует дропа в США, предлагая ему заработать денег, для чего обналичивает выписанный на него с банк-аккаунта денежный чек. Дроп должен распорядиться с полученными деньгами следующим образом: часть баблоса оставить себе, а основную сумму отправить кардеру в Россию через систему денежных переводов Western Union. Ну а обналичивание WU-перевода не составляет особого труда.
WWW
Сайты популярных электронных банков: www.firstbank.com, www.usbank.com.
WARNING
Следует понимать, что электронное мошенничество по сути своей мало чем отличается от реального . К тому же, УК РФ очень жестко за это карает. Берегись!
