Друзі! Пропоную Вашій увазі, корисний, Ralated допис до теми – «Security Testing» сайтів. Про буденну життєдіяльність звичайних споживачів. Небезпеку у мережах, над якою, хоч раз варто задуматися кожному, і не лишень тестувальникам. Знання – завше краще за незнання, інколи допомагає запобігти великій шкоді.

    Гуд. Розпочинаймо наших теревеней. Сьогодні доволі прохолодний весняний ранок, учора навіть падав сніг. Історія моя корінням із минулого ще літа. Якимось чудом? Підписана я, не знаю звідки? На форум taker.im Цікавим він для Вас виявиться, хіба якщо Ви любитель скуповути усілякий крам на закордонних market place, скажімо на Алі Експрес чи Амазоні, тощо. Ось однієї шалено-задушливої днини, доводилося мені коротати нестерпний день у кутку офісу запиленого вщерть… як раптом надходить звідти email розсилка з уривком вкрай! нехарактерної для цього ресурсу статті. Дослівно з російської переклад звучить: «Бійці невидимого фронту: чому кардери не люблять мейлфорвардерів» – написана на замовлення для них, складом-посередником fishisfast. Направду! Не змогла відірватися від телефону доки не дочитала до кінця. По бажанню можете віднайти її у інтернеті та ознайомитися теж. А потім ще підгуглювати додаткової інфи й довго зачитуватися вікіпедії.

Виділяю загалом із статті 2 головні посили:

  • наскільки просто Ваша особиста інформація може бути поширена у інтернеті – для прикладу, платіжні дані та документи, що посвідчують особу. Наскільки не потрібно повідомляти жодної інформації сайтам без репутації, опис схеми дій, які спричиняють реальні збитки, і опис механізмів-інструментів, які здатні попередити їм;
  • виявляється не єдиним інтернетом живе світ, у ньому є темні зони, окрім існує кілька альтернативних павутин (* onion зона, darknet, багато інфи про Tor project та ін.);

Кілька уривків показових для тестування, рекомендую узяти на замітку:

    Кардери (фродери, фраудери) – це банальні шахраї, фактично злодії, які шукають способів легкої поживи. Оплачують свої покупки чужими банківськими картами, заволодівши незаконно їх платіжними реквізитами. Бувають різних рас і національностей, необов’язково вихідці із бідних країн. Але всі намагаються працювати з банківськими картками іноземців, аби по максимуму мінімізувати ймовірність правосуддя.

    Умовно кардери розділяються на 2-і категорії. Перша категорія – це ті, хто купує для себе, друга категорія – ті, хто заробляє на перепродажі товарів. Зазвичай на продаж йдуть подорощі товари. Телефони, ноутбуки, планшети, камери, дорогий елітний одяг та аксесуари.
    Об’єднуються кардери у соціальний рух – кардерство. У спільноті кардерів існують масштабні  форуми на яких вони взаємно обмінюються корисною для себе інформацією, шукають підставних осіб для отримання та пересилання товарів (дропів), пропонують свої послуги і незаконно куплений товар. Ціла підпільна індустрія! Як уже згадували, частіше прихована від загальнолюдського інтернету та не завжди.

Кардери пошук google

    Інформація для баз даних. Роздобувається і регулярно поповнюється різними шляхами: традиційним – реальними крадіжками карт, дзвінками від невідомих з метою вивідати секретну інфу та технологічно:

  • скімінг – це крадіжка даних карти за допомогою спеціального зчитуючого пристрою. Думаю, по новинах Ви не раз чули про підроблені слоти на карти у банкоматах;
  • використання службового становища – це коли співробітники банків та інших фінансових установ передають інформацію третім особам у великих обсягах.

А в інтернеті потрібна інформація видобувається, вважається більш безпечно для фродерів – бо без фізичного контакту. Способами:

  • фішінг (вид соціальної інженерії) – за допомогою підроблених сайтів, сторінок, листів. Імітуються повідомлення від платіжних систем, банківських установ. Наприклад, ідентичні з логотипами компанії, текстом нагадування про оплату послуг, розіграш купонів на знижку, кешбек, повідомлення про спадщину від невідомої бабуні. Наприклад, погана адреса розміщується на сторінці, яка викликає у людини довір’я, а при переході виконується пере направлення куди потрібно зловмиснику, або ж виконується скрипт зберігання особистих даних зловмисником. Пам’ятайте! Не вірте своїм очам, перевіряйте адресний рядок браузера завше попередньо заповнивши будь-яку форму та намагайтеся не встановлювати у браузер сторонніх плагінів;
  • використання багів сайту – для отримання доступу до бази даних і подальшої крадіжки або змін даних, які містяться в ній; Особливо, багів з аутентифікацією. До теми інформація британського дослідника Пола Прайса, white hat хакера, віднайшовшого баг у застосунку замовлення піцци із місцевого кафе – замовляв її певний час безкоштовно, діра була у API для Android, платежі оброблялися некоректно не на стороні сервера, а на стороні клієнта;
  • злам інтернет-магазинів та інших сайтів із великою базою платоспроможних клієнтів, розміщення там шкідливих програм, скриптів, вірусів тощо. Але присутні й варіанти обійтися без зламу: підкуп одного зі співробітників сайту, купівля вмираючого магазину з базою покупців, після чого магазин відправляється на звалище історії інтернету, а його база йде по руках або спеціально створюється фейковий сайт для збору інформації.

Узагалі серед тестувальників існує, навіть кілька міжнародно-визнаних класифікацій скриптових вразливостей програмного забезпечення.

  • підробка документів – у випадку, якщо дані вже є, а не вистачає посвідчуючого документу до них. У хід іде малювання у фотошопі сканів документів, найбільш популярна підробка паспортів, водійських прав, соціальних карт. Багато підробок виглядає дуже натурально. Найбільш досвідчені фахівці обіцяють навіть намалювати потрібний документ з 0 для тих, у кого просять фотографію особи разом з паспортом.

    Отже, як усе працює? Фрод вбиває інформацію з картки при оплаті замовлення в різних магазинах, через різні проксі. Успішність транзакції залежить від якості карти, інтенсивності її використання, правильності налаштувань системи й ряду інших чинників. Мета проста – замовити товар на потрібну суму. Якщо на одному з сайтів оплата проходить, замовлення відправляється на адресу підставної особи (на ймення дроп-посередник) або до майл-форвардера (склад-посередник). Даний етап – «пан або пропав». Підставні особи нерідко залишають речі собі, а форвардери регулярно повертають пакунки з покупками назад у інтернет магазини. Але якщо «зірки склалися», «все пройшло, як по маслу» – негайно оформляється доставка до себе, адже будь-яка затримка збільшує ризик «бути спійманим за руку».

Так що повторюємо: «Слід бути уважними!» Утримуватися від покупок на неперевірених невеликих сайтах, через відсутність або слабку їх захищеність. Бо потім економія може коштувати значно дороще.

    З іншого боку кардери, частіше якраз і пролітають у маленьких інтернет-магазинах. Через відсутність бюрократії існує більш особистісний зв’язок з власником карти, якщо виникають сумніви в законності покупки – швидше викликають поліцію. Та й узагалі, через відсутність масовки працівники прискіпливіші до деталей.

    Великі магазини через великі обороти не надто уважно відстежують свої трансакції, тому частіше відсилають його покупки кардеру. Але це зовсім не значить, що гіганти не борються з цим явищем. Борються і здебільшого на програмному рівні з мінімумом залученої живої сили, за допомогою автоматизованих скриптів.

   Популярна система CCFDs (система виявлення шахрайства з кредитними картами). По особливому алгоритму програма , що інтегрована у сайт, прораховує ймовірність кардерського замовлення. І якщо замовлення набирає бали вище певної величини (Fraud Score), працівники сайту отримують рекомендацію звернути увагу на конкретне замовлення. Пропонується верифікація по телефону або інший варіант підтвердження особи. До речі, аналогічна антифрод-системи є і у банків Fair Issac або FICO.

В оцінці шахрайства враховуються перелік факторів. Ми наведемо основні:

 IP діапазон. Перевіряється географічне розташування покупця, відповідність IP власника картки/ IP клієнта зафіксованого на сайті.

 Електронна пошта. Підозри викликають непопулярні безкоштовні чи регіональні поштові адреси, а також котрі знаходиться в чорному списку або яка не відповідає країні власника картки.

Узагалі звіряється уся інформація з інформацією присутньою у чорному списку погорілих раніше зловмисників

Перевіряється орфографія написання особистих даних у формах введення, введення відомих імен (тезок) наприклад: Брюс Лі, Алла Пугачева, Ірина Білик ін

Звіряється адреса платника та отримувача.

Proxy. Безкоштовні проксі часто дають IP з чорного списку. Це обов’язково враховується.

Небезпека країни. Є країни з високим рівнем ризиків. Наприклад, Росія, Україна, Молдова, Білорусь, Філіппіни, Гонконг, Єгипет, Індонезія, Ліван, Македонія. Але у кожного банку, магазину, установи складений свій список таких країн.

Діяльність. Вираховується відстань між IP покупця і адреси доставки.

BIN банку. Йде перевірка за номером картки на відповідність IP покупця і країни банку, що випустив карту.

HTTP-заголовки. Деякі браузери надають відкриту інформацію про локалізацію покупця, використовувану операційну систему та ін. Ці дані теж аналізуються.

Ось хороший приклад формули розрахунку Fraud Score. У покупця знайдений використовувана раніше електронна скринька (2,5% ризику), велика віддаленість IP- (4,3%), не закриті заголовки (5,5%).

Відповідно, FS = 2,5 х 4,3 х 5,5 = 59,12%. Критичний поріг покупки зазвичай не перевищує 40%, так що даний платіж, швидше за все, буде відсіюється.

Антифрод в MySQL одного з магазинів виглядає так:

Підбиваймо підсумки:

    Найпрофесійніших кардерів оголошують злочинцями у міжнародний розшук – інтерпол.

    Для того аби Ви змогли оцінити масштаби, згідно аналізу Американських спецслужб, які оцінювали можливі ризики від тіньових мереж: 28% займають ресурси сконцентровані навколо витоків даних, а ще 12% сайти присвячені фінансовим махінаціям (в основному, це якраз  кардерські майданчики). Для порівняння ресурси наркотиків, порно, зброї і ресурси хакерської тематики сильно відстають: такі сайти складають від 0,3% до 4% ландшафту усього.

статистика тіньових мереж

    Стосовно тестування безпеки продуктів ПЗ – пам’ятайте прості правила! Навіть провівши повний цикл тестування безпеки, не можна бути на 100% впевненим, що система на 100% по-справжньому убезпечена. Усіх багів Ви ніколи не виловите. Баги є навіть у безпеці Google, Facebook і Microsoft. Видів вразливостей є безліч, на додачу не виключайте і причинно-наслідкового зв’язку, коли одна поломка тягне за собою іншу.  Види атак постійно будуть оновлюватися, загальновідомо – «людська фантазія та жадоба не мають меж». Зламати завжди можна все – питання риторичне лише у вартості цих даних. Але однозначно варт тестувати методом чорного ящика, тестом на проникнення Penetration test, нічого не знаючи про систему, ставити себе на місце хакера, перевіряти захисні механізми.

І будьте певні в тому, що відсоток несанкціонованих проникнень, крадіжок інформації і втрат даних буде в рази меншим у тих системах, де проводилося тестування безпеки, ніж у тих хто цього не робив.

Related posts

Leave a Comment

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.