Epic hack!

[giotis]

Εκμεταλλευόμενος το social engineering όπως περιγράφει το site Theregister ένας "hacker" κατάφερε να αποκτήσει πρόσβαση στον λογαριασμό ενός δημοσιογράφου εν ονόματι Mat Honan.

Ο hacker κάλεσε πρώτα στο Amazon και κατάφερε να πείσει τους υπεύθυνους πως ήταν όντως ο πραγματικός κ.Honan χρησιμοποιώντας τη διεύθυνση του e-mail λογαριασμού που είχε στο gmail και την πραγματική του διεύθυνση που βρήκε στο site του δημοσιογράφου.

 Κατάφερε επίσης σε αυτό το τηλεφώνημα να περάσει μια νέα πιστωτική κάρτα για χρεώσεις . Με τον ψεύτικο αριθμό της κάρτας και τις πραγματικές διευθύνσεις ξανακάλεσε στο Amazon ισχυρίζοντας αυτή τη φορά πως ξέχασε τον κωδικό του και ζήτησε μια διαδικασία επαναφοράς.

Αφού οι υπεύθυνοι του Amazon του έδωσαν πρόσβαση στο λογαριασμό ,βρήκε και τον αριθμό της πραγματικής πιστωτικής κάρτας με τον οποίο απέκτησε πρόσβαση σε όλους τους λογαριασμούς της Apple και στο Twitter και e-mail του άτυχου δημοσιογράφου!

 

[skok]

Είναι ο ποιο dummy "hacker" απλά είναι Epic Fail του Call Center  του Amazon.

Σε όλα τα  login σε sites υπάρχει πάντα link forgot password που σου κάνει reset το password και σου στέλνει το

link για να το αλλάξεις στο email που έχεις δηλώσει στο Site !!!

Αν τώρα πάρει ο οποιοδήποτε τηλέφωνο και ζητήσει αλλάγη password ο dummy Call Center Agent έπρεπε να μην ΕΧΕΙ ΠΡΟΣΒΑΣΗ να κάνει reset password

αλλά να πει στον πελάτη πατηστε το link βαλτε captcha και θα σας έρθει το email με τις απαραίτητες οδηγίες.

Αν τώρα ο υποτειθέμενος "πελατης" του πει "μα δεν παιρνω το email" και πρέπει να το αλλάξεις αυτό σημαίνει

ότι κάτι άλλο συμβαίνει και μπορεί καποιος άγνωστος να θέλει πρόσβαση στον λογαριασμό.

Ο Dummy Call Center Agent έπρεπε αρχικά να ζητήσει identification  από το "πελατη" ταυτότητα σε email αλλά θα μου πειτε θα τύπωνε μια ασχετη με foto του δημοσιογραφου.

Αρα έπρεπε να πάρει τον δημοσιογράφο το Call Center στο τηλέφωνο που είχε στο profile του και να επιβεβαιώσει οτι ζήτησε αλλαγή password αυτός ο ίδιος !!!

Για αυτό και κάποια sites όπως του Live ID έχεις την δυνατότητα να βάλεις και δεύτερο και τρίτο email ωστε σε αλλαγή password να ενημερωθούν όλα.

Το πρόβλημα στο συγκεκριμένο θέμα δεν προέκυψε από την online διαδικασία αλλαγής password του Amazon αλλά από τον ΑΣΧΕΤΟ Call Center Agent που

με ελαφρα την καρδία αλλαξε τα πάντα σε ενα profile ρωτώντας απλά " Που μενετε και ταχυδρωμικό κώδικα please ?"

Επίσης δεν θα επρεπε να εχει Cards Online το Site έιναι λάθος...

Για αυτό το λόγο καλό θα είναι συναλλαγες στο Internet να τις κάνουμε με prepaid cards και όχι με κανονικές Visa με οριο 10000 euro ...

prepaid αν στην κλέψουν το υπόλοιπο που έχεις μέσα θα πάρουν για τα βιβλία πχ 100 euro ...

[Blackman]

skok θα διαφωνίσω μαζί σου...

 

το μεγαλύτερο ποσοστό των hacks γίνεται γιατί κάποιος κάνει κάπου λάθος... ποσοστιαία σε τέτοιες περιπτώσεις δεν φταίνε τα συστήματα αλλά οι άνθρωποι.

 

το 2008 στο Cybercrime Security Forum που είχε διοργανώσει το Autoexec, ήταν χαρακτηριστικό ότι μεγάλο μέρος του event είχε να κάνει με το identity theft και το τι μπορεί να καταφέρει κανείς. Συνεπώς ο Hacker στην εν λόγω περίπτωση διόλου δεν θα μπορούσε να χαρακτηριστεί ως dummy... καθώς αρχικά κατάφερε με κάποιο τρόπο να πάρει πρόσβαση στον λογαριασμό του FB και στην συνέχεια να προχωρήσει στην διαδικασία με το Amazon.

 

Ο hacker συνεπώς ήξερε πολύ καλά τι έκανε και τον θεωρώ πολύ advanced και όχι script kiddie ...δεν έκατσε πίσω από ένα PC να κάνει επιθέσεις κλπ...αλλά πήγε σε πιο προχωρημένα πράγματα. σκέψου το...τι προτιμάς; κάποιον που να προσπαθεί να μπει στον υπολογιστή σου; ή κάποιον που πέρνει σε διάφορες υπηρεσίες κάνοντας εσένα;

 

φυσικά γίνεται κατανοητό ότι αν το call center δεν τον εξυπηρετούσε έτσι, ο κύριος αυτός θα έβρισκε άλλο τρόπο για να τους πείσει...

φυσικά όπως ξέρεις υπάρχουν πολύ που τους στο τηλ "πατήστε εκεί" και προσπαθούν να πατήσουν με το πόδι...οπότε κάποιος σε call center όπως και εμείς σαν IT έχουμε δει τα άπειρα χαζά...οπότε αν κάποιος σου πει "δεν μπορώ να το κάνω" απλά το δέχεσαι ειδικά αν αυτή είναι η δουλειά σου...

επίσης όπου έχει call center ακολουθάνε διαδικασίες και αν η Amazon είπε ότι χρειάζονται κάποιες απλές πληροφορίες για την ταυτοποίηση τότε δεν φταίει ο Agent. από την αντίθετη άποψη μπορεί να ήταν ΣΧΕΤΙΚΟΣ με το παραπάνω κάνοντας την δουλειά του όπως πρέπει. Να πω ότι σε αυτές τις περιπτώσεις υπάρχουν και supervisors που επιβλέπουν και εγκρίνουν αν ο agent προχωράει με βάσει τους κανόνες της εταιρείας...

 

στην περίπτωση της Amazon δεν τέθηκε ότι το site ή οι συναλλαγές δεν είναι ασφαλείς. το τι είπε στο τηλέφωνο μπορεί να είναι σχετικό...καθώς μπορεί να καλούσε από τον ίδιο τον αριθμό σπιτιού... (αν μου δωθεί η ευκαιρία στο IT Pro|Dev Connections θα δείτε ότι ακόμα και το πλέον υπάρχει και telephone spoofing και sms spoofing και ότι θες spoofing)

 

στο θέμα των prepaid cards κλπ συμφωνώ...

 

και για να ξαναέρθω στο αρχικό...το hack ήταν πολύ προχωρημένο και όχι dummy...

 

[skok]

Βασικά συμφωνούμε σε πολλά στο μόνο που διαφωνούμε είναι στο επίπεδο του υποτειθέμενου hacker.

Το γεγονός είναι ότι εκμεταλλεύτηκε το χαμηλό επίπεδο ή τις διαδικασίες ασφαλείας στα Call Center της Amazon και Apple για να κάνει αυτό το

υποτειθέμενο για μένα hack.

Τον κρίνω με βάση το τεχνικό μέρος του attack - hack.

Μπορεί να έχει δυνατότητες αλλά από το συγκεκριμένο "hack" δεν φαινονται.

O οποιοσδήποτε αν ήξερε ότι η Apple σου ζητάει τα τελευταία 4 ψηφία τους Credit Card και ένα email για να σου κάνει reset το iCloud login

θα το εκανε.

Εδω βέβαια μπαίνει το Call Center του Amazon που τους πήρε τηλέφωνο και τους είπε μπορώ να προσθέσω μια Credit Card γιατί με λένε ταδε και μένω εκει αλλά

κάπου δεν ξερω έχασα το password.

Aν υπήρχαν δικλείδες ασφαλείας στην διαδικασία reset password του Amazon δεν νομίζω να το έκανε .

Οσο αφορά τα αλλά Caller ID  Spoofing κτλ συμφωνω ναι μπορείς με διάφορα με Asterisk και ένα Linux αν δεν κάνω λάθος ...

Αν τον κάνανε Call Back απο Call Center Amazon και απαντούσε στο τηλέφωνο του δημοσιογράφου τοτε θα ήταν Advanced Hack.

Aπλά εκει που το έφτασε εκμεταλλέυτηκε τα κενά των διαδικασιών του Call Center.

Αν το Call Center του έλεγε να κάνει από το Site reset το password με το email που είχε στο profile του δεν θα γινόταν τίποτα.

Αν τους έλεγε δεν πήρα το email εκει το problem επρεπε να γίνει escalate στο System Engineer του Mail Server του Amazon.

H ταχύτητα εξυπηρέτησης πελάτη δεν είναι και πάντα η ποιο ασφαλής μέθοδος .

Call Center με άσχετο τεχνικό προσωπικό μπορεί να είναι Vulnerable σε τέτοιους είδους attacks ...

 

[skok]

Απλά ως σενάριο ήταν έξυπνο attack.

Αλλά δεν μπορώ να τον χαρακτηρίσω hacker είναι βαρύς ο τίτλος.

Στο τεχνικο κομμάτι δεν υπήρχε κανένα στοιχείο που τον χαρακτηρίζει Advanced ...

Οι hackers ( με πολλά Dan ... [] ) δεν θα ασχολιόταν με το Call Center της Amazon ούτε με ένα account θα εβρισκαν security hole στο login page και

θα επαιρναν το schema της DB και τα passwords / logins και μετα θα έκαναν πάρτυ.

Πριν από 10 χρόνια ένα SQL Injection σε ένα site θα ήταν hack.

Πλεον πιτσιρίκια με ένα παιδικό query κατεβάζουν site επειδή βρήκαν ένα κενό στο code του developer.

Hack είναι να κτυπήσεις τον IIS και το OS και να πάρεις πρόσβαση σε όλα τα sites που έχει  όχι το κώδικα του Site αυτό είναι παιδικό hack.

Αυτό που έγινε είναι ένα έξυπνο password stealing δεν είναι Hack.

Δεν κτύπησε ούτε system ούτε service .

Οι hackers μπαινουν  βλέπουν την πληροφορία που θέλουν βγαίνουν και δεν αφήνουν ίχνη.

Τι hack είναι αυτό από τηλέφωνο  "Γεια σας σας ενημερώνω ότι ήρθα να πάρω το password του Blackman"  ... []

Ειμαι ο hacker και ήρθα να πάρω το password .... έλεος [] []

Αν ήταν έτσι έπρεπε να πάρουν οι Anonymoys το IT της Sony Networks και να τους πουν

"Γεια σας είμαι ο Systems Administrator Tαδε που εργαζομαι στην Sony

και μένω εκει με ταυτότητα τάδε .... ξεχασα το password του Administrator/Root που είχαμε βάλει σε όλους τους Servers μου το λες γιατί θέλω να κάνω μια εργασία."

Τι κάτσανε και το hackαρανε δεν καταλαβα ...

Και οι άλλοι που κτύπησαν Certification Authorities να έπαιρναν τηλέφωνο και να έλεγαν είμαι ο τάδε Systems Administrator  δεν μου στέλνεις το Private Key του CA

με email σπίτι γιατί θέλω να στήσω ένα demo ... []

 

 

[apostolos]

To συγκεκριμένο συμβάν μόνο χακεριά δε μπορώ να το χαρακτηρίσω. Αυτή τη στιγμή μπορώ να κάνω ότι θέλω με τουλάχιστο 20 account σε gmail,fb, twitter,outlook.com και διάφορα άλλα χωρίς να κάνω τίποτα. Απλά με τη βλακεία που χαρακτηρίζει ορισμένους ανθρώπους.

Πως? Πολύ απλά.

Σαν κάτοχος του [email protected] δε μπορείται να φανταστείτε πόσοι (δε θέλω να τους χαρακτηρίσω) δημιουργούν account και δηλώνουν σαν email το δικό μου. Από παιδάκια που θέλουν να πάξουν grekopolis μέχρι φοιτητές του τμήματος πληροφορικής παρακαλώ.

Κάποια στιγμή είχα πει να δω τι λογαριασμούς έχουν φτιάξει και με ένα απλό pass reset αφού το email έρχεται σε μένα έπαιρνα πρόσβαση σε όλα τους τα accounts και ότι είχαν κλειδωμένο. Τρομερή χακεριά έτσι?

Μια κοπελιά του τμήματος πληροφορικής Θεσσαλονίκης είχε κάνει μια εργασία του ελέους και αφού της την διόρθωσα και της έστειλα και σχόλια για να βελτιωθεί μου έστειλε ευχαριστήριο μήνυμα γιατί πήρε τουλάχιστο 2 βαθμούς παραπάνω.

Τώρα όσων αφορά τη "χακεριά" να προσθέτω πιστωτικές και να αγοράζω χρεώνοντας άλλους, ευχαριστώ δε θα πάρω.

Αλλά όχι και χακεριά το ότι έχουμε σαν password to 123!!!

[skok]

Αυτό που έγινε είναι απλά το ξαναλέω σε αυτό το thread ενας "έξυπνος" τρόπος βασισμένος σε κενά ασφαλέιας των Call Centers Amazon / Apple για password stealing.

Hack δεν είναι όπως Hacks δεν είναι τα γνωστά που ακούγονται "Κάποιος hacker μπήκε στο λογαριασμό του facebook γνωστής παρουσιαστριας / μοντέλου "

Ειπα και παραπάνω έχει πολυφορεθεί ο όρος Hacker.

Ο Hacker που σέβεται τον εαυτό του και τον τίτλο που κατέχει δεν παίρνει τηλέφωνο σε Call Center ... κατεβάζει το Amαzon και κάνει redirect

και ακούει όλες τις συνδιαλέξεις του Call Center στο κινητό του, επίσης παιρνει σε Excel Sort ολα τα accounts με Credit Card και το όριο για αναληψη που έχουν σε τράπεζα.

Και δεν ασχολείτε με ένα account ... αν υπάρχει λόγος να δει ένα account μόνο ΔΕΝ θα τον καταλάβει κανείς από Amazon / Apple

θα μπει στον server θα δει τις πληροφορίες που θέλει και θα βγει.

Δεν θα κάνει announcement τηλεφωνικό "Γεια σας προσπαθώ να βρω ένα password μου το κάνετε reset ? "

 

 

 

[Blackman]

Παίδες δώστε μου λίγο προσοχή...

και εγώ αυτά ΝΟΜΙΖΑ οτι ισχύουν σε θέμα Hacking κλπ, ΜΕΧΡΙ το 2008 και το Cybercrime Security Forum...

εκεί ο Maloy και ο έτερος που μας έκαναν τις παρουσιάσεις μας εξέθεσαν ότι βασικό χαρακτηριστικό του advanced hacking είναι οι ικανότητες κάποιου να πετυχαίνει κάτι πολύ ποιο advanced σαν το identity theft...

 

δεν είναι το θέμα επιπέδου των τεχνικών γνώσεων, αλλά των περαιτέρω ικανοτήτών που χρειάζεται για να φτάσει κάποιος σε αυτό το σημείο...ώστε να πείσει άλλους για την νέα του ταυτότητα.

 

φυσικά ο όρος hacker είναι πολυφορεμένος... και έχουμε μπερδέψει τα πράγματα... αλλά με βάση την εξέλιξη του αντικειμένου θα σας πω ότι οι advanced hackers είναι αυτοί πλέον που εκτός από το τεχνικό κομμάτι έχουν και τις επιπλέον, τρομακτικές για εμένα, ικανότητες του να μπορούν να εμφανιστούν οι ίδιοι κάπου και ο κόσμος να είναι πεπισμένος ότι είναι κάποιοι άλλοι...

 

φυσικά αυτό το λένε οι ειδικοί και όχι εγώ... αν κάποιος καταφέρνει και παίρνει αυτές τις πληροφορίες έτσι απλά, γιατί να μπει στην διαδικασία του hack;

 

να σας αναφέρω οτι έμαθα εκ των έσω ότι στην Apple η διαδικασία της ταυτοποίησης και του reset password ΑΛΛΑΞΕ μόλις έγινε αυτό που αναφέρουμε εδώ...

 

οπότε skok αυτό που λέω είναι ότι οι άνθρωποι που ήρθαν εδώ και μας εκπαίδευσαν σε θέματα security & hacking είπαν το ακριβώς αντίθετο από αυτό που λες...

ότι ναι μεν οι τεχνικές γνώσεις δίχνουν το επίπεδο του hacker, ενώ οι ικανότητες και σε άλλους τομείς ασφάλειας δείχνουν την επικινδυνότητα του...

 

στην τελική αυτό που έγινε μου θύμισε την ιστορία... των Αμερικάνων που ξόδεψαν εκατομμύρια και ατελείωτες ώρες για να φτιάξουν ένα στυλό που να γράφει στο διάστημα...και οι Ρώσοι απλά χρησιμοποίησαν μολύβι...

 

βάλε στην συγκεκριμένη περίπτωση τους hackers Που σέβονται τον εαυτό τους στην θέση των αμερικανών...και του "φίλου" μας που έκανε αυτό στην θέση των Ρώσων...

γιατί να μπλέξει κάποιος σε τόσο τεχνικά πράγματα, αν μπορεί να κάνει την δουλειά του με ένα τηλεφώνημα;

 

πραγματικά ξανασκεφτήτε το...ποιον θεωρείται ποιο advanced αυτόν που εφαρμόζει όλες τους τις γνώσεις για να μπει σε ένα σύστημα...ή αυτόν που απλά βρίσκει το κλειδί της πόρτας και παίρνει παραμάσχαλα το σύστημα και φεύγει;

 

σας ενοχλεί αν ο ένας λέγεται hacker και ο άλλος κλέφτης; δεν καταλάβατε...και οι 2 το ίδιο είναι...απλά χρησιμοποιούν άλλο μέσο...

 

επίσης από τον τρόπο που χρησιμοποίησε ο εν λόγο κύριος να σας πω τι έδειξε...

ότι η Amazon πιθανόν να έχει πολύ υψηλό βαθμό ασφαλείας στα συστήματα της...τόσο ώστε και οι advanced hackers/crackers να μην καταφέρνουν να πάρουν πρόσβαση...

αλλά το όλο θέμα έδειξε τρύπα στις διαδικασίες τους... εκεί που συνήθως το security είναι human oriented...