Chatroom Rules

[z3n0r 48]

[hide]

 

Γειά σας φίλοι, σήμερα θα σας εξηγήσω πως λειτουργεί το credit card hack: Πως να χακάρεις πιστωτικές κάρτες χρησιμοποιώντας πακέτα sniffing και sessions hijacking. Σε αυτόν τον 
οδηγό, θα συζητήσουμε πως μπορούμε να εκμεταλλευτούμε την ευπάθεια της λειτουργικότητας από μία πιστωτική ή χρεωστική κάρτα. Σήμερα οι μεταφορές κεφαλαίων και οι
ηλεκτρονικές αγορές πραγματοποιούνται κυρίως με τραπεζικές υπηρεσίες μέσω Διαδικτύου και πιστωτικών καρτών. Είναι ενδιαφέρον ότι αυτές οι μέθοδοι χρησιμοποιούν SSL(Κάντε
κλικ εδώ για να μάθετε περισσότερα για το SSL). Οι άνθρωποι έχουν την τάση να πιστεύουν ότι οι λογαριασμοί τους δεν μπορούν να χακαριστούν επειδή οι συναλλαγές τους είναι 
ασφαλείς με επιπλέον επίπεδο ασφαλείας SSL, αλλά είναι πραγματικά εύκολο να σπάσει το SSL. Είναι πάντα καλύτερο να εξασφαλίσετε τον υπολογιστή και τη σύνδεση σας στο διαδίκτυο,
αντί να εξαρτάστε από τους ιστότοπους πληρωμών. Πρώτον, πρέπει να ξέρουμε πως λειτουργούν οι πιστωτικές κάρτες και πως εκτελούνται οι συναλλαγές. Διαβάστε παρακάτω. Κατ' αρχάς
γνωρίζουμε ότι είναι σχεδόν αδύνατο να δούμε τα πραγματικά δεδομένα που μεταφέρονται κατά τη διάρκεια μιας συναλλαγής, αλλά με τη χρήση session hijacking και πακέτα sniffing 
μπορούμε να πετύχουμε να δούμε τα δεδομένα σε μια κρυπτογραφημένη μορφή.

ΑΚΡΙΒΗ ΒΗΜΑΤΑ ΓΙΑ ΤΗΝ ΚΑΛΥΨΗ ΠΙΣΤΩΤΙΚΩΝ ΚΑΡΤΩΝ Η ΧΡΕΩΣΤΙΚΩΝ ΚΑΡΤΩΝ

Το πρώτο βήμα θα ήταν να ενεργοποιήσει το Fragrouter, έτσι ώστε το μηχάνημα του να μπορεί να εκτελεί αποστολή IP

 

Μετά από αυτό, θα θέλει να κατευθύνει την κίνηση δικτύου WiFi στο μηχάνημα του, αντί να μεταφέρει την κίνηση δεδομένων απευθείας στο διαδίκτυο. Αυτό του επιτρέπει να είναι ο
"Man-in-the-Middle" ανάμεσα στο μηχάνημα σας και το διαδίκτυο. Χρησιμοποιώντας Arpspoof, μια απλή τεχνική, καθορίζει ότι η διεύθυνση IP σας είναι 192.168.1.15 και η προεπιλεγμένη
πύλη του δικτύου WiFi είναι 192.168.1.1:

 

Το επόμενο βήμα είναι να ενεργοποιήσει το DNS Spoofing με DNSSpoof:

 

Δεδομένου ότι θα αντικαταστήσει το έγκυρο πιστοποιητικό της τράπεζας ή του ηλεκτρονικού καταστήματος με το δικό του ψεύτικο, θα χρειαστεί να ενεργοποιήσει το βοηθητικό πρόγραμμα
για να επιτρέψει στο σύστημα του να είναι ο "Man-in-the-Middle" για συνεδρίες ιστού και να χειρίζεται πιστοποιητικά. Αυτό γίνεται μέσω webmitm:

 

Σε αυτό το σημείο είναι έτοιμος. Τώρα πρέπει να αρχίσει να ενεργοποιήσει το sniffing για τα δεδομένα σας που περνούν μέσα από το μηχάνημα του, συμπεριλαμβανομένων των στοιχείων
σύνδεσης και της πιστωτικής σας κάρτας. Επιλέγει να το κάνει αυτό με τον Ethereal και έπειτα το κάνει αποθήκευση. 

 

Τώρα έχει τα δεδομένα, αλλά εξακολουθεί να είναι κρυπτογραφημένα με 128-bit SSL. Δεν υπάρχει πρόβλημα, αφού έχει το κλειδί. Αυτό που χρειάζεται να κάνει τώρα είναι απλά να 
αποκρυπτογραφήσει τα δεδομένα χρησιμοποιώντας το πιστοποιητικό το πιστοποιητικό που σας έδωσε. Το κάνει αυτό με το SSL Dump:

 

Eκτελεί την εντολή Cat για να δει τώρα τις αποκρυτογραφημένες πληροφορίες SSL. Σημειώστε ότι το όνομα χρήστη είναι "Bankusername" και ο κωδικός πρόσβασης είναι "BankPassword". 
Αυτό αποκαλύπτει τον τραπεζικό χώρο ως Εθνική Πόλη. Πιο συγκεκριμένα οι καλύτεροι, πιο ασφαλείς δικτυακοί τόποι τραπεζικών συναλλαγών και ηλεκτρονικών καταστημάτων θα πρέπει 
πρώτα να συνδεθείτε με μια άλλη προηγούμενη σελίδα μέσω SSL, πριν συνδεθείτε στη σελίδα όπου εισάγετε ευαίσθητες πληροφορίες όπως τα στοιχεία σύνδεσης στον τραπεζικό λογαριασμό
ή τους αριθμούς πιστωτικών καρτών. Ο λόγος για αυτό είναι να σταματήσετε την επίθεση τύπου MITM.

Αυτό βοηθά επειδή, αν επρόκειτο να αποκτήσετε πρόσβαση σε αυτήν την προηγούμενη σελίδα πρώτα με ένα ψεύτικο πιστοποιητικό, η επομένη σελίδα στην οποία θα εισάγετε τις ευαίσθητες
πληροφορίες δεν θα εμφανίζονταν. η σελίδα που συγκεντρώνει τις ευαίσθητες πληροφορίες θα περίμενε ένα έγκυρο πιστοποιητικό, το οποίο δεν θα λάμβανε εξαιτίας του "Man-in-the-Middle".
Ενώ ορισμένες τράπεζες και καταστήματα σε απευθείας σύνδεση εφαρμόζουν αυτό το επιπλέον βήμα / σελίδα για λόγους ασφαλείας, το πραγματικό ελάττωμα σε αυτήν την επίθεση είναι ο αμόρφωτος τελικός χρήστης όπως σύντομα θα δείτε: 

 

Με αυτές τις πληροφορίες, μπορεί πλέον να συνδεθεί στον ηλεκτρονικό σας τραπεζικό λογαριασμό με την ίδια πρόσβαση και πρόνομια όπως εσείς. Θα μπορούσε να μεταφέρει χρήματα, 
να προβάλλει δεδομένα λογαριασμού κ.λπ. Ακολουθεί ένα παράδειγμα αγοράς / συναλλαγής πιστωτικής κάρτας SSL. Μπορείτε να δείτε ότι ο Elvis Presley προσπαθούσε να πραγματοποιήσει 
μια αγορά με την πιστωτική του κάρτα 5440123412341234 με ημερομηνία λής 5/06 και τη διεύθυνση χρέωσης του Graceland στο Memphis, ΤΝ(He is alive!). Εάν αυτή ήταν η πληροφορία σας,
ο χακερ θα μπορούσε εύκολα να κάνει Online αγορές με την κάρτα σας.

 

Κακά Νέα για διαχειριστές SSL VPN

Αυτός ο τύπος επίθεσης μπορεί να είναι ιδιαίτερα κακός για τις εταιρείες, επειδή οι εταιρικές λύσεις SSL VPN είναι επίσης ευάλωτες σε το είδος επίθεσης. Οι εταιρικές λύσεις SSL VPN
συχνά εξακριβώνονται κατά της υπηρεσίας καταλόγου Active Directory του τομέα ΝΤ, του LDAP ή κάποιου άλλου αποηθκευμένου χώρου δεδομένων κεντρικών διαπιστευτηρίων. Η προσκόλληση της 
σύνδεσης SSL VPN δίνει στον επιτιθέμενο έγκυρα διαπιστευτήρια στο εταιρικό δίκτυο και σε άλλα συστήματα. 

Τι πρέπει να γνωρίζει ένας τελικός χρήστης

Υπάρχει ένα μεγάλο βήμα που μπορεί να πάρει ένας τελικός χρήστης για να αποφευχθεί αυτό. Όταν ο ΜΙΤΜ Hacker χρησιμοποιεί το πιστοποιητικός "bad αντί για το "good" πιστιποιητικό, 
ο τελικός χρήστης ειδοποιείται πραγματικά για αυτό. Το πρόβλημα είναι ότι οι περισσότεροι τελικοί χρήστες δεν καταλαβαίνουν τι σημαίνει αυτό και θα συμφωνήσουν εν αγνοία τους να 
χρησιμοποιήσουν το ψεύτικο πιστοποιητικό. Ακολουθεί ένα παράδειγμα τις προειδοποίησης ασφάλειας που θα λάμβανε ο τελικός χρήστης. Οι περισσότεροι αόριστοι τελικοί χρήστες απλά θα έκαναν κλίκ στο "Yes" και αυτό είναι το θανατηφόρο λάθος.

 

Κάνοντας κλικ στο κουμπι "Yes" οι ίδιοι έχουν εγκαταστήσει τους εαυτούς του έτοιμους να χακαριστούν. Κάνοντας κλικ στο κουμπί "View Cerificate", ο τελικός χρήστης θα δει εύκολα
ότι υπάρχει κάποιο πρόβλημα. Παρακάτω παρατίθενται παραδείγματα των διάφορων απόψεων / καρτελών πιστοποιητικών που εμφανίζουν ένα καλό πιστοποιητικό σε σύγκριση με το κακό πιστοποιητικό.

 

Αριστέρα ένα καλό πιστοποιητικό και δεξία ένα ψεύτικο πιστοποιητικό

Πως ένας τελικός χρήστης μπορεί να το αποτρέψει αυτό

• Και πάλι ή απλή πράξη προβολής του πιστοποιητικού και κάνοντας κλικ στο "No" θα το εμπόδιζε αυτό να συμβεί.
• Η εκπαίδευση είναι το κλειδί για έναν τελικό χρήστη.Αν δείτε αυτό το μήνυμα, αφιερώστε χρόνο για να δείτε το πιστοποιητικό. Όπως μπορείτε να δείτε από τα παραπάνω παραδείγματα μπορείτε να πείτε πότε κάτι δεν φαίνεται σωστό. Έαν δεν μπορείτε να δείτε το σφάλμα, καλέστε την ηλεκτρονική τράπεζα σας ή το ηλεκτρονικό κατάστημα.
• Πάρτε το χρόνο να διαβάσετε και να κατανοήσετε όλα τα μηνύματα ασφαλείας που λαμβάνετε.Μην κάνετε απλά κλικ τυχαία από ευκολία.

Πως μια εταρεία μπορεί να το αποτρέψει αυτό.

• Εκπαιδεύστε τον τελικό χρήστη στην προειδοποίηση ασφαλείας και πως να αντιδρά σε αυτήν. 
• Χρησιμοποιήστε τους κωδικούς πρόσβασης μιας ώρας, όπως τα σύμβολα RSA για να αποτρέψετε την επαναχρησιμοποίηση των πιστοποιήσεων.
• Όταν χρησιμοποιείτε το SSL VPN, χρησιμοποιείτε έγκυρα προϊόντα με προηγμένα χαρακτηριστικά όιπως το Secure Application Manager του Juniper ή τη λειτουργικότητα του Network Connect.

 

 

[/hide]

Quote

Αυτό το άρθρο περιέχει κρυφό περιεχόμενο. Για να μπορέσετε να το δείτε απλά αφήστε ένα σχόλιο από κάτω. 

 

 

[proximitymine 2]

ty

[descrok 0]

lets see

 

[Hisoka 0]

.

[free 0]

On 18/1/2020 at 12:14 ΜΜ, HackingSchool said:

 

Κρυφό Περιεχόμενο

---

Για να μπορέσεις να δεις το κρυφό περιεχόμενο πρέπει να απαντήσεις κάτω απο το θέμα.
Όταν απαντήσεις τότε αυτόματα το περιεχόμενο θα ξεκλειδώσει και θα είναι ορατό.
Ευχαριστούμε

 

 

[DMD 21]

Curious...

[voliotis 0]

ok

[ptell 1]

ty

[asy 0]

ty

[Lytroths420 0]

Ωραιο

[ariss22 0]

τηχ

[Nikar 2]

1310

[D4rkL3on 0]

ευχαριστω

[about blank 1]

ty

[LeontG 0]

Ευχαριστώ πολύ!!!

[mortis 0]

ty

[kont power 6]

..........

[Christos7 0]

Ττ

[Deucalion 0]

ty

[IntiFada1312 0]

ty

[Nik0s92 179]

🙃

[OdyHack7 0]

👏👏👏

[nickthesailr 0]

θενξ

[93lakispwr 0]

ευχαριστω

[Fistandantilus 1]

ty