Onnoot

Onnoot
English
Archief
Contact

Onno online
Maria online


Follow This Page
Follow That Page stuurt u een email wanneer deze pagina wordt gewijzigd.

 

Hoe hack ik Paypal

Ik zal u vertellen hoe u Paypal zo kunt manipuleren dat u uw werkgever en collega's geld afhandig kunt maken.

U heeft het volgende nodig:
- Beheerderstoegang tot de DNS-server van uw bedrijf;
- Beheerderstoegang tot de mailserver van uw bedrijf;
- Een webserver.

Goed, daar gaan we. U begint met het bouwen van een website die als twee druppels water lijkt op die van Paypal. Tip: gebruik copy & paste. Die noemen we voor de duidelijk maar even "nepsite". Het maakt weinig uit waar u deze nepsite neerzet, zolang niemand het maar weet.

Vervolgens past u de DNS-server van uw bedrijf zo aan, dat deze de domeinnaam paypal.com niet meer associeert met het juiste adres 64.4.241.16, maar naar het IP-adres van uw nepsite.

Als daarna uw collega naar www.paypal.com surft, komt hij op uw nepsite terecht. Hij logt in met zijn normale useraccount en wachtwoord, en uw nepsite stuurt deze onmiddellijk door naar u. Dan krijgt uw collega een melding te zien dat Paypal tijdelijk buiten gebruik is wegens technische storingen. Prima, dan probeer ik het later nog eens, denkt uw collega.

U heeft inmiddels zijn gebruikersgegevens te pakken en maakt snel heel veel geld over naar een geheime bankrekening. U heeft natuurlijk het juiste IP-adres van www.paypal.com in uw c:\windows\hosts file opgenomen, anders komt u op uw eigen nepsite terecht.

U dient wel een manier te vinden om geld bij Paypal vandaan te krijgen zonder dat die geldstroom te traceren is. Hoe dat moet, weet ik eerlijk gezegd niet, maar er zijn genoeg "creatieve types" die dat wel kunnen, me dunkt.

Paypal stuurt na iedere transactie direct een email. Deze dient u natuurlijk te onderscheppen, anders gaat uw collega snel onraad ruiken. U doet dat door in de mailserver alle email van het domein paypal.com om te leiden naar uw eigen emailadres, of liever nog naar de prullenbak (bewijsmateriaal!). Gebruikt u Linux als mailserver, dan kunt u dat doen met Procmail. Email van andere bestemmingen moet natuurlijk wel doorgelaten worden.

Dan nog even alle bewijsmateriaal wissen: de DNS-records, de nepsite, diverse logs van de server(s), uw hosts-file enzovoort.

Zo, dat is het ongeveer. Ik verwacht niet dat u er rijk van wordt, want in Paypal zijn diverse limieten ingebouwd. Het is zelfs mogelijk dat u snel door de mand valt, en wel hierom:
- Uw collega mocht toevallig paypal.com checken met een domain lookup tool zoals Dig.
- Uw collega heeft in de gaten dat het inloggen niet gebeurt via een secure server. Een secure server heeft een certificaat waarmee de echtheid van de website is aan te tonen. Uw nepsite gebruikt dus geen secure server maar een gewone server. Een slimme internetgebruiker let daarop.

Onno - 25 feb 2004, 23:50 - 5 reacties

   

Het is niet mijn bedoeling om mensen aan te zetten tot misdaad. Ik probeer slechts zwakke plekken in een prachtig systeem aan te tonen. Als ik al in staat ben om dit te bedenken, dan zijn er ongetwijfeld vele anderen die dat kunnen; daar hoeft men deze pagina niet voor te lezen.

Onno - 26 feb 2004, 00:01

   

Alle reacties in de trant "Hoe hack ik website X?" heb ik verwijderd. Het doel van deze pagina is om systemen veiliger te maken, niet om mensen aan te zetten tot hacken.

Onno - 16 nov 2004, 17:19

   

coowl

pieter - 10 feb 2005, 06:10

   

Allez, weer ne wannabe hacker.
Is het niet een pak simpeler, als je toch beheerderstoegang ergens nodig hebt, van een keylogger te installeren?
Ge kunt elke usernaam zo manipuleren, dat alleen die bepaalde usernaam zijn eigen usernaam kan zien en manipuleren zonder dat er iemand weet van heeft.
Met die keylogger hebt ge A, elk paswoord dat hij ooit intikt, B elke usernaam dat hij ooit intikt, en als ge het nog eens vergelijk met de geschiedenis en tijdspannes van de website die em bezoekt, kunt ge zelfs nog eens de linken leggen met die gebruikersnaam en wachtwoord.

Banken mogen met zoveel nieuwe brol afkomen als ze willen, een klein simpel technisch vernuft dingetje inbouwen snachts in het keyboard dat voor de servers dient (tegenwoordig gebruiken ze 1 keyboard en muis op een verdelingsapparaat dat meerdere servers aansluit) en ge hebt ook een keylogger met bf een bluetooth connectie, of een wifi connectie, of een andere draadloze connectie.

Maar, da van u is ook een werkend idee zenne, er is alleen zoveel meer tijd om u te klissen, als ge hebt in mijn geval. Ik hoef zelfs niet ter plekke te zijn om mijn ding te doen, jij blijkbaar wel ;-)
(als je afvraagt, iets inbouwen in een keyboard, terwijl dat al zo plat is? wel, ooit al eens een keyboard opengevezen? dat zijn tenslotte maar 2 plastieken platen overeen met wat lijntjes over hoor. plaats genoeg om nog iets extra bij te stoppen.)
zelfs gsm connectie kan.

Blackwind - website - 16 jan 2009, 22:45

   

Blackwind, ge hebt gelijk. Een keylogger is zo doeltreffend, daartegen is geen wachtwoord opgewassen. Daarom hebben we tegenwoordig op het werk RSA SecurID tokens. Iedere keer dat ik toegang wil tot een van de servers die ik beheer, moet ik mijn persoonlijke pincode intoetsen plus een code van het display van een klein apparaatje. De code op dat apparaatje verandert iedere 30 seconden. Elke code is alleen te gebruiken als hij nog vers is; een halve minuut later is hij ongeldig geworden. En elke code is slechts één keer te gebruiken, dus zelfs iemand die met een keylogger de code steelt en meteen gebruikt, vist achter het net, want ik heb zojuist die code gebruikt en dus is hij niet geldig meer.

Onno Zweers - 16 jan 2009, 23:19

   

Reactie toevoegen. Let op: uw reactie wordt op de website geplaatst! Wilt u Onno persoonlijk iets zeggen, klik dan hier. Reacties worden pas na eventuele goedkeuring geplaatst.

Uw reactie

HTML-codes worden verwijderd.

Naam

Emailadres

Uw emailadres wordt niet geplaatst op de website.

Website (optioneel)

Vergeet de http:// niet.

Vraagje
Hoeveel is 4 plus 5?

Dit is een kleine drempel tegen spam.

 

 

 

© copyright Onno Zweers.