Safely double your money with PayPal

 ENGLISH VERSION : https://cybersmartdefence.com/docs/Paypal-Safely-Double-your-Money.csd

În următoarele rânduri voi explica o metodă cu ajutorul căreia vă puteți dubla banii din contul de paypal... la nesfârșit. Probabil toți o să credeți că am găsit o vulnerabilitate web. Din păcate este vorba despre ceva mult mai grav. Ca sa fiu mai exact este o problemă cu TOS-ul lor.

Prin anul 2010 am făcut o tranzacție pe paypal cu o persoană ce a încercat să mă înșele folosind funcția chargeback. Cum eu nu îmi țineam niciodată banii pe acel cont de paypal, i-am transferat pe contul meu real. După o lună de zile când am intrat din nou pe acel cont am observat că am balanță negativă și anume -50$. Asta m-a pus pe gânduri puțin. De ce? Pentru că m-a făcut să mă gândesc la o situație care avea mai tarziu să reprezinte metoda perfectă de a îți dubla banii prin intermediul serviciului Paypal.

Romsys a încheiat un parteneriat strategic cu Cyber Smart Defence, în domeniul securităţii IT

Romsys, membră a holdingului austriac New Frontier Group și unul dintre primii trei integratori din România, a încheiat recent un parteneriat cu Cyber Smart Defence, companie specializată în soluţii de securitate IT. Parteneriatul are ca scop furnizarea de servicii complexe de securizare a soluţiilor pe care Romsys le oferă clienţilor săi.
Răzvan Olteanu, Deputy CEO Romsys:

„Parteneriatul cu Cyber Smart Defence este o nouă confirmare a strategiei Romsys de a oferi clienţilor săi soluţii complexe şi complet integrate.
În era atacurilor cibernetice, noi propunem o nouă abordare, aceea de securizare avansată a informaţiei, fie că vorbim de sisteme de tipul CRM, ERP sau de un simplu website sau outlook.
Specialiştii în securitatea cibernetică oferă cele mai bune servicii de testare a sistemelor informatice, de identificare a vulnerabilităţilor cibernetice şi de furnizare a mijloacelor optime de rezolvare a acestora. Împreună avem capacitatea să oferim clienţilor noştri atât soluţii existente, cât şi mijloacele necesare pentru a dezvolta împreună cu aceştia soluţii de securitate adaptate nevoilor lor”.

Spargerea oricărui cont al unei victime cu ajutorul ingineriei sociale

Introduction
Ok. După cum v-am obişnuit îmi place să aduc câte ceva mai diferit. Astăzi vom discuta despre subiectul: "Cum putem sparge un cont (al unei victime) al oricărui site web cu ajutorul ingineriei sociale". Dar punctul culminant nu este ingineria socială, ci metoda prin care obţinem datele de autentificare în cazul cel mai bun (în plain text) sau putem să ne mulţumim doar cu sesiunea acestuia (care este totodată suficientă pentru a surfa în contul său).

Concept
Care este ideea. Poate că mulţi dintre voi aţi auzit de Burp Suite. Este o platformă scrisă în java, special creată pentru cei care doresc să facă penetration testing. Ce m-a atras la prima vedere? O chestie interesantă legată de proxy. Pe scurt să creăm un server proxy cu ajutorul aplicaţiei prin care vom intercepta traficul victimelor ce folosesc proxy-ul nostru. Adică să facem sniffing, dar de la distanţă.

The Proof
Pentru a realiza un exemplu cât mai frumos şi clar, am luat legătura cu 311733 (că era online pe chat-ul unui board de securitate şi dornic să ma ajute) pentru a se pune în postura de victimă. Aşa că am început prin a configura Burp Suite-ul ca în imaginea aceasta. În acest moment mi-am transformat calculatorul într-un server proxy. După ce am convins victima să folosească HTTP proxy-ul în browser-ul său, vom putea să-i interceptăm nestingheriţi traficul ca în imaginea asta sau asta. Vedem sesiunea cu parola encriptată, care sunt mai mult decât necesare pentru a ne îndeplini scopul.

Spargerea unui blog Wordpress cu ajutorul Ingineriei Sociale

Sună foarte frumos şi defapt este foarte uşor. Tutorialul ce l-am creat astăzi pentru voi nu este o idee proprie. M-am inspirat din ceva ce am citit acum foarte mult timp, un scenariu foarte bine pus la punct legat de WordPress şi anume, cum putem să luăm acces la un blog cu eleganţă şi fără a lăsa urme ca să îşi dea seama proprietarul.

Să dăm un mic exemplu. Domnul Gheorghe vrea să spargă cât mai multe blog-uri de pe o anumită nişă web. Se gândeşte cum să facă un lucru de genul ăsta. Noroc că Gheorghe este foarte inventiv şi i-a venit în minte să creeze şi să "infecteze" o temă (theme) visuală.

Mulţi o să spuneţi că o să creeze un Remote Code / Command Execution (RCE). Dar nu. Pentru că ar lăsa urme. Aşa că va adăuga în temă un cod PHP care să adauge automat un nou cont cu drepturi de administrator. Codul este următorul: