400 meneos
17257 clics
Envío erróneo o controvertido, por favor lee los comentarios.
![Ayer recibí este mensaje. Conmigo se han equivocado. Dar con un hacker ha firmado sus sentencia de muerte](cache/3b/f4/media_thumb-link-3929152.webp?1713204303)
Ayer recibí este mensaje. Conmigo se han equivocado. Dar con un hacker ha firmado sus sentencia de muerte
Un usuario explica como ha hecho para sabotear la base de datos de una página réplica de UPS.
|
comentarios cerrados
Si los estafadores ademas guardan la ip de quien envia los datos, filtrar todo eso sera una pavada
Y eso solo asi a primera vista.
Parece un poco presuntuoso autodenominarse hacker por haber sido capaz de crear un script que rellena un formulario, sin saber si ha tenido ningún efecto su "acción".
Teniendo en cuenta que luego en el hilo se autodenomina a sí mismo supermán por su gran heroicidad, se confirma que lo único que es, es un flipao que ha hecho un cursillo de python en el INEM.
Si los estafadores ademas guardan la ip de quien envia los datos, filtrar todo eso sera una pavada
Y eso solo asi a primera vista.
delete from datos where created_at > tal & created_at < tal
y eso sin imaginar que no puedan usar filtro por ip
No obstante, esperemos que además haya denunciado el lugar a la policía.
www.policia.es/_es/colabora_informar.php?strTipo=CGPJDT
Para mí sí lo es.
- Nosotros hemos caido en una que simulaba Zara Home (mea culpa, debí sospechar cuando me lo enseñó la parienta pero os digo que la página era clavada, solo cambiaban los precios) pero tras un par de meses de reclamaciones, el banco nos ha devuelto la pasta (es ING, le haces una reclamación por mercancía no recibida pero debes demostrar que has reclamado primero al site)
- Me parece muy bien lo que ha hecho este señor pero me temo que estos estafadores lo que tienen es un framework que duplica una WEB y prepara la estructura de soporte, envío, etc (en nuestra estafa era lo mismo, incluso con un bot que te contestaba a los comentarios y a los mensajes) y debe tener una vida más que efímera (si dura activo una semana mucho me parece) así que creo que ha tardado él más tiempo en tocarle los cojones a la falsa web de lo que tardan ellos en replicar una docena de sites.
Este tipo de estafas van al despiste, si ha pillado a 50 pardillos en los dos primeros días, les debe compensar.
www.youtube.com/watch?v=StmNWzHbQJU
El problema es que el notas del vídeo lo montó de modo que por cada petición hacía gastar pasta al scammer. El juanker de hoy ni eso...
Y ese puede que no sepa mucho, pero sabe lo suficiente como para descartar estos datos
Que muy bien por tocarles los huevos levemente, pero anda que no se lo ha puesto fácil para limpiarlo...
Sensacionalista.
Que uno nunca sabe, lo mismo te encuentras que en vez de BBDD se envía un email a sí mismo, pero me sorprendería la cutrez
Pero no es mala idea si un millón de personas lo hicieran de manera periódica.
Vamos a ver: te roba un carterista y alguien lo ve, pero no te puede localizar para decírtelo. Entonces: es ético correr detrás de él, darle una paliza y cogerle la cartera? De hecho no sabes si en realidad era carterista o no.
¿Es ético llenarle los bolsillos de piedras?
Otro caso, hay unos trileros en la plaza de tu pueblo/ciudad que te invitan a jugar a ver dónde esta la pelotita . ¿Es ético quitarles lo que han ganado engañando a la gente? (Hack, por poner una palabra), ¿es ético llenarles la mesa de piedras? (DoS) ¿Es ético llamar a unos amigos y decirles que pongan a gritar y señalar que son estafadores? (DDoS) ¿Es ético robarles los vasos o la mesa) (hack). Insisto, sigues sin saber realmente si están estafando, lo presupones por hecho, pero tampoco has visto a nadie estafado por ellos.
Pues ahora volvamos al caso en cuestión, me mandan un SMS y me dicen que tengo un paquete y tengo que pagar aduanas. El dominio es raro. Pero, decido jugar, y les doy mi tarjeta de crédito (u otra inventada). Luego veo que no ganó nada con eso y que podría ser una estafa. Pues cojo y les lleno la base de datos con datos aleatorios. ¿Es ético?
Yo, sinceramente, creo que lo mejor es poner una denuncia a la policía. De momento no sabemos si sirve de algo o no. Al igual que haría con los trileros. Y si alguien va a caer, avisarle de que podria ser una estafa (llamar al banco, empresa afectada, ...). Y, por supuesto, no jugar con ellos un rato.
En cuanto los hostings lo detectan el formulario lo borran. También puede pasar a las listas negras que usan Firefox o Chrome.
Así que igual sólo recogen 100-300 falsas.
Lo mejor es denunciarlo al acortador de urls, al hosting y a Firefox/chrome.
#35 Denunciar a la policía sólo servirá si los delincuentes están en territorio español.
La teoría es buena, pero enseguida se encontrarán fuera de su jurisdicción.
Si hubiera subido un registro, dos, tres a la hora... O decenas. Pero no tantas.
Aportando algo más, mucho nombre y dirección guiris. Si el ataque es dirigido a gente en España más fácil lo tendrán para filtrarlo.
Igual hasta usan una API conocida y tienen libre los comandos para borrar info
Pero vamos, se tragó info aleatoria, se podría hacer auténticas maldades
Jaker mate...
Depende de con quien hables, sobre todo si es con gente "normal".
- Hola, soy consultor de calidad del software de la rama de seguridad.
- ¿Ein?
- Hacker bueno.
- Ah, mola.....
Lo que sí me llama la atención es que la peña caiga igual teniendo en cuenta que el teléfono que lo envía es francés, seguro que casi nadie se fija en ello pero... coño...
Esto no es hackear la base de datos.
Sí, me habrá llevado dos días escribir esa "query". Y eso sin meterme a la IP, que puede ser dinámica y blablablá. Si han ido todas las entradas del tirón, se lo ventilan con eso. ¿Que pueden cargarse a lo mejor alguna que haya entrado justo ahí y sea de verdad? Vaya, qué putada.
¿Puede actuar si el hosting o los atacantes están fuera del país?
Anda y que le den por el culo.
Errónea por esas dos payasadas.
www.canarytokens.org
Y ya el superman del final... vergüenza ajena es lo que siento...
Busca el rango horario en que han entrado un montón de entradas de golpe, lo que no es normal.
Borra esas entradas.
Y listo. Al héroe se le ha caído la capa
Yo creo que lo que ha escrito #64 es perfectamente válido, o me estoy perdiendo con algo muy obvio que no veo...
Pero ademas, como la suspension del servicio es inminente no suelen guardar los datos en una base de datos, sino que el script suele enviar un email a una direccion fuera (gmail, hotmail, protonmail, etc) con los datos capturados, asi cuando les cierran la pagina no pierden los datos que han conseguido robar.
La utilidad del ataque es discutible, especialmente si ademas pillan la IP del envio del formulario porque solo tendrian que descartar los envios en un determinado rango de tiempo o los procedentes de la IP del atacante.
¿Nunca has borrado una tabla en producción o qué?
¿Esta mierda está en portada como humor no? ¿o alguien se lo ha tomado en serio?
Ejemplo: tengo una web que quiero probar, hay una petición para introducir datos de tarjeta bancaria: nombre, .... hazme un script en python que ingrese número de tarjeta en python. Que lo haga en bucle hasta que lo pare y si falla que espere 1 segundo antes de seguir.