Ein großartiges Beispiel für einen Angriff, bei dem Web Application Firewalls (WAFs), einfache Scan-Tools, HackerSafe-Zertifizierungen und PCI (es könnte durchgehen). Einige Finanzkontrollen, die mir nicht bekannt sind, werden Ihnen nicht dabei helfen, sicher zu bleiben, wurde von Kevin Poulsen im Kriminalitätsblog blogs.wired gepostet.
Ein Mann aus Kalifornien wurde wegen eines erfinderischen Plans angeklagt, der angeblich innerhalb von sechs Monaten 50.000 US-Dollar von den Online-Brokerhäusern E-trade und Schwab.com abgezogen hat – jeweils ein paar Pennys.
Michael Largent aus Plumas Lake, Kalifornien, hat angeblich eine Lücke in einem allgemeinen Verfahren ausgenutzt Beide Unternehmen folgen, wenn ein Kunde erstmals sein Maklerkonto mit einem Bankkonto verknüpft Zeit. Um zu überprüfen, ob die Kontonummer und die Routing-Informationen korrekt sind, senden die Broker automatisch kleine Geldsendungen „Mikroeinzahlungen“ zwischen zwei Cent und einem Dollar auf das Konto und bitten Sie den Kunden, dies zu bestätigen erhielt es.
Largent nutzte angeblich ein automatisiertes Skript, um 58.000 Online-Brokerage-Konten zu eröffnen, jedes davon mit einer Handvoll Online-Bankkonten zu verknüpfen und Tausende von Dollar an Mikroeinlagen anzuhäufen.
Wow, klingt das für irgendjemanden nach „Office Space“? Bis hin zu diesem Kerl, der den Plan ebenfalls auf die Spitze treibt... Ich frage mich, ob es ein Dezimalkommafehler war, genau wie im Film. Wenn Sie „Office Space“ noch nicht gesehen haben und keine Ahnung haben, wovon ich spreche, haben Sie Ihre Hausaufgabe für das Wochenende (Sie werden es genießen). it), aber im Grunde geht es in der Geschichte um ein Schema, das den Rest einer Rundungsoperation mithilfe von a auf ein Bankkonto überweist Trojaner. Natürlich macht der Programmierer des Trojaners einen Dezimalpunktfehler und es kommt zu Unstimmigkeiten.
Aber im Ernst, wenn dieser Typ weniger gierig gewesen wäre und das über einen längeren Zeitraum getan hätte, weiß ich nicht, ob es jemandem aufgefallen wäre. Natürlich war er gierig, und das merkten sie auch, wie Poulsen erwähnt:
Ein Durchsuchungsbefehl des Secret Service vom 7. Mai eidesstattliche Erklärung (.pdf) sagt, Largent habe das Gleiche mit dem Checkout-Dienst von Google versucht und dabei 8.225,29 US-Dollar auf acht verschiedenen Bankkonten bei der Bancorp Bank angesammelt.
Als die Bank Largent nach den Tausenden von Kleinüberweisungen fragte, teilte er ihnen mit, dass er die Nutzungsbedingungen von Google gelesen habe und dass dort mehrere E-Mail-Adressen und Konten nicht verboten seien. „Er gab an, dass er das Geld benötige, um Schulden zu begleichen, und erklärte, dass dies eine Möglichkeit sei, Geld zu verdienen, indem man mehrere Konten einrichte und Google die beiden kleinen Einzahlungen leisten müsse.“
Die Google-Kapriole wird nicht in Rechnung gestellt Anklage. (.pdf)
Nach Angaben der Regierung wurde Largent durch die Anforderung des USA Patriot Act, dass Finanzunternehmen die Identität ihrer Kunden überprüfen müssen, zunichte gemacht. Schwab.com wurde im Januar darüber informiert, dass mehr als 5.000 Online-Konten mit gefälschten Informationen eröffnet wurden. Als der Secret Service nachforschte, stellte er fest, dass rund 11.385 Schwab-Konten unter diesem Namen eröffnet wurden „Speed Apex“ von denselben fünf IP-Adressen, die alle auf den Internetdienst von Largent zurückgehen AT&T.
Der Patriot Act, im Ernst? Wow. Ich frage mich, warum Google nicht in der Anklage enthalten ist. Sehr interessante Sache, aber der Clou daran ist, sich daran zu erinnern, dass Tools nichts hätten tun können, um dies zu verhindern. Es ist wahrscheinlich; Allerdings hätte ein guter Berater, der eine Überprüfung des Quellcodes durchführte, dies herausgefunden.
-Nate.