Заработал 2.839.175 рублей на перехвате и подмене трафика в Tor
Как обычно, продолжаю рубрику периодических отчетов по некоторым из тем с которыми работаю.
Всем салют, дорогие друзья! На связи Golden - глава Hacker Place
Вот уже ровно месяц, в связи с ситуацией в мире, я все никак не мог заставить себя сесть за работу. Однако, кушать что-то нужно, поэтому я кое-как собрался с силами и решил вновь реализовать неоднократно отработанную мной схему ― перехват и последующая подмена трафика в сети Tor через собственноручно поднятую шпионскую выходную ноду.
Скажу сразу, что моей целью были Bitcoin кошельки. Соответственно, все работу я подстроил именно под это дело.
Все, что мне нужно - это поднять собственную выходную ноду, которая по-сути будет осуществлять MiTM атаку с целью подмены оригинального сайта кошелька на мой фейк. После такой атаки все данные, которые ввела жертва должны быть перехвачены.
А теперь, давайте я расскажу обо всем по-порядку и немного подробнее...
Я не буду повторятся и рассказывать о том, как поднимал и настраивал выходную ноду Tor'a на сервере, т.к. эту информацию вы и сами сможете легко найти в публичном доступе. Вместо этого я предлагаю сразу перейти к самому интересному - непосредственно атаке.
Итак, для начала я в двух словах расскажу о том, какими способами перехватывается трафик в Tor.
Самый топорный и простой способ, это подмена сертификата "В лоб". Если во время использовании Tor'a, при попытке зайти на https сайт вы видите следующую картину, то вы попали на шпионскую ноду:
Если вы одобрите такой сертификат, то все ваши приватные данные станут доступны держателю ноды и от https шифрования не будет никакого толку.
Самой собой, мне такой вариант не подходит. Моей целью было поймать бабло за яйца, а не просто собирать неинтересную статистику. Поэтому я применил более навороченный способ перехвата трафика, который не будет вызывать никаких ошибок. Но, для начала мне предстояло выбрать цель...
Выбираем целевой сайт
Многие из вас могут подумать, что единственный способ обойти ошибку, показанную на скрине выше, - внедряться в систему жертвы. Естественно, это можно было бы сделать с помощью простого вирусняка, но было принято решение сделать все более чисто и изящно. Возможно для некоторых это будет открытием, но существует еще один вариант, когда при подмене не выскакивает ошибка: если на сайте используется http протокол, то данные можно менять как угодно, и это невозможно будет проверить.
Это то, что нужно. Далее я начал сканировать популярные кошельки и биржи. Однако, везде стояли заглушки с перенаправлением на http версии. Фигово, но выход есть всегда: можно перехватывать страницу с редиректом на https версию и кидать людей к себе на фейк.
Внимание! Если вы будете повторять написанное в отчете, то имейте ввиду, что практически все пути вели на https версию сайта. В процессе поиска вы найдете много ссылок, которые так или иначе ведуть на сайты кошельков. Сами кошельки защищены, но алиасы к ним зачастую нет. И вот тут есть одна хитрость: сайт не обязательно должен работать только на http, достаточно всего несколько страниц, через которые можно увести пользователя на свой фейк.
Весь список найденных сайтов я не опубликую, он мне и самому ещё пригодится. Да и потенциально уязвимых сайтов море. Не думаю что у вас будет проблема найти. Эту атаку я провел через один из сервисов для создания сокращённых версий ссылок. Вы можете использовать любой сервис, который поддерживает http.
Когда человек заходит по сокращённой ссылке, его отправляет на какой-то сайт. Мне удалось найти популярное сокращение для bitcoinwallet.com. На него часто ссылались поисковики по разным запросам с криптовалютами. К тому же, этот кошелек имеет слабую защиту на вход. Но сам он https...
Создание фейка и редирект на него
Было решено создавать фейк кошелька, который запоминает все введённые данные и редиректит пользователя на оригинал.
Видите ли вы отличия в этих двух скриншотах? Думаю, что нет.
Но, на самом деле одно маленькое отличие все-таки есть: свой фейк я повесил на другой, хоть и очень похожий домен, а так же прикрутил к нему https:
Неожиданно, самой сложной задачей оказалось сделать непосредственно перенаправление. В итоге оно было реализовано через MITM атаку, используя для этого netsed скрипт. Им я просто переписывал адрес кошелька на свой фейк в потоке.
Сама настройка несложная, но чтобы разобраться с устройством вам потребуется некоторое время. Кому интересно, изучите это объяснение.
Извлечение прибыли
Финальный этап. Я сделал выходную ноду из сервера, на котором настроил подмену трафика. Через несколько часов она начала отображаться в реестре и трафик пошел. Чтобы не вызывать подозрения раньше времени, нода работала как обычно, и https трафик не меняла. Поэтому при работе с ней не выскакивает никаких ошибок. Но как только находится перенаправление на bitcoinwallet.com, адрес страницы подменяется на мой фейк.
За 6 дней ожидания было всего 38 срабатываний. Стоит признать, что трафик был не такой большой, как я ожидал вначале. Каждый вечер я заходил проверить новые срабатывания.
На заметку! Основное средство защиты на bitcoinwallet.com - email подтверждение на вход. В большинстве случаев пароль к почте совпадал с паролем аккаунта. А email я получал из авторизационных данных.
За первые 3 дня не было совершенно ничего интересного. Попадались пустые кошельки или баланс был меньше 10 долларов, даже трогать было не охота. Но всё изменилось вечером четвертого дня, когда я наткнулся на это:
На утро меня ждал еще один приятнейший улов в виде парочки кошельков:
В общей сложности c этих трех кошельков было заработано ~2.839.175 рублей
Признаюсь, месяц у меня выдался трудным, в первую очередь в моральном плане. Однако, это не касается данного дела. Оно, в свою очередь, оказалось довольно простым в своей реализации. Этот отчет наглядно показывает, что люди до сих пор безалаберно относятся к своей безопасности. Пока так будет - мы, хакеры, будем на этом зарабатывать.
Кстати, этой и многим другим, не менее профитным темам, мы обучаем в нашей AKADЕМИИ. Уже совсем скоро грядет ее масштабное обновление. Я уверен, что мы сможем вас удивить! Оставайтесь на связи, будет очень горячо 🔥
