Hacker Jayson E. Street anlatıyor | Uçakta uçarken bankayı nasıl kaparım
Jayson E. Street, "bankayı nasıl soyacağını" göstermeden önce, podyumda iki bacağı müzikle sallanırken çok rahatlamıştı.
Jayson E. Street, DEFCON hacker etkinliğinin küresel koordinatörüdür. SyScan 360ın girişinde (muhtemelen kendisi tarafından yazılmıştır), "Bir zamanlar paylaşmak için Pekin'den Brezilyaya pizza getiren bir pizzacı. İnsanların onu bu şekilde tanımasını istemiyor. Dikkat ederseniz 2006'da Time Magazine tarafından Yılın Kişisi seçildiğini göreceksiniz. Evet, Leifeng.com'un editörü de bu ödülü kazandı. Bu eski teriyeri biliyorsunuz. Gülebilirsin.
Ancak, size bankayı nasıl soyacağınızı söylemek şaka değil, Jayson bugün sizi şaşırtacak ve başarılı bir şekilde dikkatinizi çekecektir.
Kendinizi ve düşmanı tanıyın, yüzlerce savaş asla bitmeyecek. Jayson da bu rutini anlıyor: Bu saldırıları önlemek ve tespit etmek için önce saldırganların "web sitelerinizi" ve çalışanlarınızı nasıl gördüğünü ve bunları "size" saldırmak için nasıl kullandığını gösteriyor. Bu adam 15 yıldır Bank of America'da savunma işleriyle uğraşıyor ve 6 yıldan fazla bir süredir birden fazla projede saldırgan olarak oynadı. Bankayı kapmak için eve seyahat etmek şart.
Dahası, Jaysonun "banka soygunu" için hala ödeme yapılmıştı - birçok banka CEO'su, bankacılık sisteminin güvenli olup olmadığını ve hacklenip saldırıya uğramayacağını test etmesi için ona ödeme yaptı.
Bir telekomünikasyon şirketine saldırmak
Jayson'ın bankayı nasıl soyduğundan bahsetmeden önce, telekomünikasyon şirketine nasıl saldırdığına bir göz atalım, çünkü iki yöntem sayı olarak aynı ve sadece biraz farklı. Jayson,
Bir zamanlar bir telekomünikasyon şirketinde çalışıyordum. CEO benden bir phishing saldırısı yapmamı istedi. Gereksinim, sadece bir müdahale noktasının kullanılabilmesiydi. Herhangi bir bağlantıya tıklayan herkes saldırıya uğrayacak.
Jaysonın stratejisi, bir kişiyi bu şirkette kilitlemekti, bu nedenle önce telekomünikasyon şirketinin web sitesine giriş yaptı ve telekomünikasyon şirketinin CEO'sunun tanıtım sayfasını buldu. Sayfadaki CEO fotoğrafına göre, Twitter'ını buldu ve ardından diğer ilgili bilgileri buldu. Personel hesabı.
[CEOnun sunum sayfası]
[CEOnun sosyal ağ sitesi sayfası]
Bunu bilerek, telekomünikasyon şirketinin çalışanları ile iletişim kuracak herhangi biri gibi davranabilir.
Jayson, sosyal ağ sitelerinde pek çok bilgi ve olası hedefler buldu. CEO arasında bir kişinin Mobile 360 toplantısına katıldığını tespit etti, toplantı web sitesini buldu, aynı toplantının katılımcılarından birinin (konuşmacının) detaylı bilgilerini buldu ve adına phishing e-postaları yaptı.
Bu kimlik avı e-postası, bir iş işbirliği e-postasıdır.
Bu e-postanın kurnaz yanı, bir mobil cihazdan gönderildiğinden bahsetmesidir. Jayson, insanların psikolojik beklentileri olduğunu söyledi: mobil cihaz tarafından açılan web sayfası (yani, aslında bir kimlik avı web sitesi) gerçek resmi web sitesinden farklı görünüyor. Güvenle açacağım, karşılaştırsam bile şüphem olmayacak.
Güvenle açtıktan sonra balık avının başarılı olduğunu gösteren bu sayfa belirir.
Bu noktada sadece 30 dakika harcadım.
Jayson, herhangi bir karmaşık tekniği olmadığını gururla söyledi, ancak saldırıyı tamamladı.
Bitmemiş bir banka soygunu
Bir sosyal mühendislik yöntemi gibi görünüyor, aslında bankalara saldırırken yani banka soyarken farklı bir hikaye.
Daha da üzücü, dedi Jayson, bu hikaye için tüm bilgi toplama uçuş sırasında tamamlandı Evet, kıskanmayın, insanlar uçarken çevrimiçi olabilir.
Bir keresinde bir banka benden bankaya nasıl saldırılacağını açıklamamı istedi ve bir saldırı yol haritası tasarlamamı istedi. En büyük bankanın resmi web sitesini belli bir yerde buldum.Hedef web sitesine giriş yaparken sıradan insanların gördüğü ilk şey şuydu: Bu mavi sayfa web sitesi güzel görünüyor.
Ancak saldırgan bunlara bakmaz. Saldırgan IP adresine odaklanır ve web sitesini barındıracak üçüncü taraf bir barındırma hizmeti şirketi olup olmadığı ve ağ, FTR, ASN gibi diğer bilgiler ve tüm bunlar dahil olmak üzere ABD ana bilgisayarının yerini bulur. Üçüncü taraf barındırma sunucusundaki boşlukları bulduğunuz sürece, yalnızca bu web sitesinde değil, üzerinde barındırılan web siteleri de tükenebilir.
Jayson, bilgi toplayarak bu bankanın personelini sosyal ağ sitelerinde buldu.Her türlü bilgiyi nerede okuduğunu, cep telefonu numarasını ve ev adresini ayrıntılı olarak görebilir. Herkes görebilir. Çoğu insan bunları sosyal ağ sitelerinde paylaşmaya isteklidir. "Kurban", bilgisayar korsanının onu "araştırdığını" bilmiyordu.
Jayson, önemli noktanın şu olduğunu vurguladı: Banka soygunundan önce, Amerika Birleşik Devletleri önce banka personelini ele geçirebilir ve ardından bankayı soymak için izin alabilir, bu nedenle bu yetkili banka personelini, özellikle aile konumu ve ev fotoğraflarının sosyal paylaşım sitelerinde yayınlanması özellikle tehlikelidir. Böyle.
Bankanın işe gitmesinin ertesi sabaha kadar kaçırılacaklar hatta rehin alınacaklar, kasayı açmak için rehin tutulacaklar Bu, Amerika Birleşik Devletleri'ndeki bankanın başına gelecek bir şey.
Arkadaşlarıyla, özellikle sosyal ağındaki yeni arkadaşları ile başlıyorum.
Hedefi buldu - yakın zamanda banka personeli tarafından bankanın bowling faaliyetlerine katılması için eklenen ve ardından bir arkadaşının bakış açısından banka personeline kimlik avı e-postası gönderen bir arkadaşı.
Jayson bunu neden yaptın, dedi:
Yeni eklenen arkadaşlar fazla iletişim kurmadıkları, onlara aşina olmadıkları ve hatta aralarında bazı sorular sorduğu için, çocukları için bowling gibi kamu yararına faaliyetler, saldırıya uğrayanın arkadaşlarının şirket e-posta adreslerini taklit etme gibi bazı ortak noktaları vardır. E-posta gönderebilirsiniz.
Bu e-postanın içeriği nedir ve saldırgan neden isteyerek onu tıklasın?
E-postanın içeriğine bir göz atın:
Burada yakın zamanda Amerika Birleşik Devletleri Başkanı seçilen Trump uzanmak üzere. Jayson, rahat ve samimi bir ortamda Lei Feng.com'a Trump'ı desteklemediğini çünkü "daha kötü" olduğunu söyledi.
Bu nedenle, kimlik avı e-postasında, aslında saldırganı protesto siyasetine katılmaya davet etti ve hepimizin ilgilendiği şey bu! Bu nedenle, neredeyse tamamı işe alınacak!
Ancak Jayson, bu gösterideki saldırının aslında e-postayı göndermediği için gerçekleşmediğini defalarca vurguladı. Sadece herkese göstermek için: Bak, yapabilirim ve bu kadar basit!
Saldırganın altını bulun
Bir diğer önemli soru da, bir saldırgan neden bu kadar hızlı bilgi toplayabilir? Jayson saldırganın alt çizgisini buldu.
Size saldırganın bakış açısından nasıl gördüğünüzü göstermek için buradayım.Size kötü şeyler yaymak ve sizi korkutmak istemiyorum.Bunu herkes için popüler hale getirmeyi umuyoruz. Ancak önleme konusundaki farkındalığınızı artırdıktan sonra.
Jayson herkese önce bir şans verdi, yani size saldırgan olmayı öğretmek değil! Önce önlemeye bir göz atın.
Saldırı aracını bulmak için önce teknik web sitesine gidin ve ardından saldırının hedefini (kamera, zayıf güvenlik duvarı gibi) bulun. Bankacılık sektörüne gelince, karanlık web'de ticareti yapılan bankalarla ilgili verileri bulabilirsiniz.
Bu nedenle, aşağıda Leifeng.com, Jayson'ın "önerdiği" saldırganların okuması gereken bilgileri gösterecektir.
1. Saldırganlar tarafından yaygın olarak kullanılan araçlar
2. Sızan veriler nerede bulunur
3. Site yapısının zayıf alanlarını bulun
Kendini ve düşmanı tanı, karşı saldırı
Saldırganın operasyonları nasıl yürüteceğini bilen Jayson, kurumsal ve kişisel güvenlik koruması için aşağıdaki temel önerilere sahiptir.
1. Aranabilecek "banka" bilgilerini izlemek için en az haftada bir.
2. Web sitesinin denizaltı tarzında kurulması tavsiye edilir - bu yerin sorunları vardır, başka yerler korunabilir, bir yer saldırıya uğrar ve diğer yerler hala çalışabilir, bu nedenle bölümlere ayrılmış bir ağ mimarisi gereklidir!
3. Web sitesindeki iletişim kesilebilir, herkesin dış iletişim yetkisine sahip olması gerekmez, bazı iletişimlerin yalnızca yerel alan ağında iletişim kurması gerekir.
4. Mevcut web sitelerine saldırı olasılığını incelemek için çeşitli araçlar kullanın.
5. Web sitesindeki "kimsin" kod adı ile ilgili olarak iletişim bilgileri, bu adı gerçek olmayan bir ad olarak ayarlayın, ancak gerçek telefon dahili numarasını yapıştırın ve iletişim numarası ve e-posta adresi için farklı isimler belirleyin.
6. 1X1 tek pikselli fotoğraflar için bir hatırlatma bağlantısı ekleyin Çoğu kişi bu tür bir resmi görmek için tıklamaz. Bir atılım bulmak için bu tür resimleri yalnızca saldırganlar kullanır.
7. Kullanıcı aracısı dizesi için bir hatırlatıcı da ayarlanmalıdır.
8. Mümkünse, web sitenizi görebileceğiniz ülkeleri ve bölgeleri kontrol edin. Örneğin, yerel bir banka dünyanın her yerinden insanların tıklamasına ihtiyaç duyar mı? Saldırıları önleyin.
9. İş listenize tetikleyiciler / hata ipuçları ekleyin ve ihlalleri hemen öğrenebilirsiniz.
10. Şirket ekipmanını, QR kodlarını taramak gibi tehlikeli sosyal işlemler için kullanmayın.
11. Çalışanlar için güvenlik bilinci eğitimleri düzenleyin.
Son olarak tekrar belirtmek gerekir ki Jayson'ın teşebbüslere ve bankalara yönelik saldırılarının hepsinin teşebbüsler tarafından yetkilendirildiği, okurların ve arkadaşların yasadışı yollardan denememeleri, ulaştıklarında yakalanacakları. "Hırsız" Jayson ayrıca Lei Feng.com'a, görünüşte yıkıcı görünen pek çok şey yaptığını söyledi.Aslında, onun "Guardian" yönergelerini takip ediyor. Hangi hikayesi var? Leifeng.com'un Jayson ile röportajı için bizi izlemeye devam edin.
