Всем хорошего настроения!
Небольшая заметка о том, как не обладая сверх навыками можно уронить крупную компанию, нанести убыток и даже заработать на этом.
Цель - донести до администраторов и службы безопасности таких компаний информацию.
Участники:
link removed
link removed
Вы такие могли видеть в крупных супермаркетах, моллах, гипермаркетах - обычно сотрудники с ними ходят по залу и проверяют ценники, остаток товара на складе (на ценнике есть штрих код по нему всю информацию и берут), срок годности, дата последней поставки, следующей поставки и т.д.
Супермаркаеты электроники - сотрудники при отгрузке товара пробивают штрих.
Из скрытых от глаза места: зона приемки товара (бумаги отдаются в отдел по работе с приходом), а сотрудники приемки начинают через эти терминалы вести прием товара, особенно долгий процесс в продуктовых гиперах, если приходит 100 упаковок молока , все 100 надо пробить, что бы они появились в базе приемки. Магазины спорт товаров, электроники, одежда, аптеки - в 90% все проводится через эти терминалы. Склады логистики, крупные интернет магазины - ВСЕ НА ТЕРМИНАЛАХ.
К примеру так обрабатывается заказ клиента в интернет магазине:
Улавливаете? Wi-Fi связь.
Теперь представим, что будет, если начать атаку на точки и клиентов (ТСД)
- невозможно принять товар, придеться принимать в ручную - процесс долгий, часто, особенно в продуктах, есть график и время приема. Например в 7-00 - 8-00 поставщик Иванов, отгружает Молоко на Фреш рампу, в 8-10 - 9-10 встает Петров - сметана, одновременно Петров отгружает на холодную рампу овощи. Важно заметить - все время прописано в договорах, любое отклонение, задержка - это неустойка, как для одних, так и для других. Если Иванов не смог разгрузиться во время по вине приемки, то ему выплатят компенсацию, потому что Иванов теперь опоздает на другую точку и будет там иметь проблемы.
- провести инвентаризацию или отгрузку. Логистический центр или магазин на букву U может просто встать и закрыться. Ладно магазин, руками можно будет пробивать в систему товар, что замедлит работу на 100%, а вот логистический центр, где по 1000 отгрузок за час?
- Гипермаркет с большими залами. Товар никто не ведет на бумаге, все на ТСД и когда в зале кончиться, к примеру, мороженка Буренка, продавец будет щелкать штрих код, если на ТСД покажутся остатки их пойдут искать и выкладывать, а если нет, то положат товар который есть. Выходные, большая проходимость людей, все разбирают быстро. Терминал не работает. Продавец уходит на огромный склад и начинает искать товар. А если это заморозка? Холодильник -30, все коробки запалечены, несколько этажей. Как найти туже Буренку? Иногда коробки могут быть просто с мелкой надписью.
Это малая часть проблемы, есть и более глобальные.
Как это можно использовать кроме шалости?
1) Заработать.
2) УРОНИТЬ конкурента.
3) подЗАРАБОТАТЬ
Вообще вывод простой - компании миллионы тратят на защиту своих сетей, а вот перевести терминалы на CDMA не все спешат, причем часто по терминалам идут данные покупателей ФИО номера телефонов и т.д - карточка покупателя, идут данные по кол-ву товара, стоимости закупочной, поставщику - инсайдинг процветает
Кому интересно подробнее о ТСД - ниже
link removed
Небольшая заметка о том, как не обладая сверх навыками можно уронить крупную компанию, нанести убыток и даже заработать на этом.
Цель - донести до администраторов и службы безопасности таких компаний информацию.
Участники:
Атакующие:
- Ноутбук с установленной ОС Linux
- скрипт wifijammer.py
- git clone https://github.com/DanMcInerney/wifijammer.git
- wi-fi адаптер, лучше несколько типа ALFA (Alfa Awus051NH v2 )
- Компания, в которой имеется приемка, учет товара, логистика, инвентаризация, работа с ценнниками пр и помощи ТСД
- Термнал Сбора Данных
Вы такие могли видеть в крупных супермаркетах, моллах, гипермаркетах - обычно сотрудники с ними ходят по залу и проверяют ценники, остаток товара на складе (на ценнике есть штрих код по нему всю информацию и берут), срок годности, дата последней поставки, следующей поставки и т.д.
Супермаркаеты электроники - сотрудники при отгрузке товара пробивают штрих.
Из скрытых от глаза места: зона приемки товара (бумаги отдаются в отдел по работе с приходом), а сотрудники приемки начинают через эти терминалы вести прием товара, особенно долгий процесс в продуктовых гиперах, если приходит 100 упаковок молока , все 100 надо пробить, что бы они появились в базе приемки. Магазины спорт товаров, электроники, одежда, аптеки - в 90% все проводится через эти терминалы. Склады логистики, крупные интернет магазины - ВСЕ НА ТЕРМИНАЛАХ.
К примеру так обрабатывается заказ клиента в интернет магазине:
Улавливаете? Wi-Fi связь.
Теперь представим, что будет, если начать атаку на точки и клиентов (ТСД)
- невозможно принять товар, придеться принимать в ручную - процесс долгий, часто, особенно в продуктах, есть график и время приема. Например в 7-00 - 8-00 поставщик Иванов, отгружает Молоко на Фреш рампу, в 8-10 - 9-10 встает Петров - сметана, одновременно Петров отгружает на холодную рампу овощи. Важно заметить - все время прописано в договорах, любое отклонение, задержка - это неустойка, как для одних, так и для других. Если Иванов не смог разгрузиться во время по вине приемки, то ему выплатят компенсацию, потому что Иванов теперь опоздает на другую точку и будет там иметь проблемы.
- провести инвентаризацию или отгрузку. Логистический центр или магазин на букву U может просто встать и закрыться. Ладно магазин, руками можно будет пробивать в систему товар, что замедлит работу на 100%, а вот логистический центр, где по 1000 отгрузок за час?
- Гипермаркет с большими залами. Товар никто не ведет на бумаге, все на ТСД и когда в зале кончиться, к примеру, мороженка Буренка, продавец будет щелкать штрих код, если на ТСД покажутся остатки их пойдут искать и выкладывать, а если нет, то положат товар который есть. Выходные, большая проходимость людей, все разбирают быстро. Терминал не работает. Продавец уходит на огромный склад и начинает искать товар. А если это заморозка? Холодильник -30, все коробки запалечены, несколько этажей. Как найти туже Буренку? Иногда коробки могут быть просто с мелкой надписью.
Это малая часть проблемы, есть и более глобальные.
Как это можно использовать кроме шалости?
1) Заработать.
Злоумышленник может заключить договор с большой торговой сетью, к примеру на поставку охлажденной рыбы, прописать хорошую цену и объем. Когда поставщик новый, ему много не дадут в сеть влить, не больше 2 тонн на всю сетку по одном региону, поставка за свой счет, так как рыба будет упакована, перекидать со склада на склад не вариант, там свои заморочки.
2 тонны, пусть цена всей партии будет 400 000, в договоре будет пункт по неустойке для обоих сторон, причем для поставщика более жесткие, но в 90% будет пункт - что по вине торговой сети если товар будет принят позже или не принят по графику, товар будет считаться купленым либо % за неустойку 20-30% от стоимости. Для скоропортящихся товаров это нормально.
2 тонны это 6-10 магазинов сети.
Теперь представим - машина прибыла, а приемка ее принять не может, потому что там уже очередь из других машин. Итог? Водила разворачивается и уезжает. Далее - можно будет в 1,2 точках скинуть рыбу кг 150-200 и....и предъявлять неустойку. Это значит можно изначально кинуть в машину 200 кг рыбы, изобразить из себя крупного поставщика и провернуть такую ерунду.
У этого вектора есть более глобальные ветки развития, я описал спецаильно упустив важные моменты, что бы не было соблазна это сделать.
под УК РФ это попадает по нескольким статьям: 159, 272, и 273 могут добавить
2 тонны, пусть цена всей партии будет 400 000, в договоре будет пункт по неустойке для обоих сторон, причем для поставщика более жесткие, но в 90% будет пункт - что по вине торговой сети если товар будет принят позже или не принят по графику, товар будет считаться купленым либо % за неустойку 20-30% от стоимости. Для скоропортящихся товаров это нормально.
2 тонны это 6-10 магазинов сети.
Теперь представим - машина прибыла, а приемка ее принять не может, потому что там уже очередь из других машин. Итог? Водила разворачивается и уезжает. Далее - можно будет в 1,2 точках скинуть рыбу кг 150-200 и....и предъявлять неустойку. Это значит можно изначально кинуть в машину 200 кг рыбы, изобразить из себя крупного поставщика и провернуть такую ерунду.
У этого вектора есть более глобальные ветки развития, я описал спецаильно упустив важные моменты, что бы не было соблазна это сделать.
под УК РФ это попадает по нескольким статьям: 159, 272, и 273 могут добавить
2) УРОНИТЬ конкурента.
Далеко не секрет - торговые площади сейчас на каждом углу, бывает один гипер стоит в 300 метрах от другого. Вот такой атакой можно в праздники, когда выручка самая идет и положить на лопатки "соседа"
3) подЗАРАБОТАТЬ
Мелкие компании без постоянных админов могут стать жертвой - уронил точку, пришел и предложил услугу, "прошил" роутер, почистил от вирусов и снял пару тысяч.
Тоже УК РФ.
Тоже УК РФ.
Вообще вывод простой - компании миллионы тратят на защиту своих сетей, а вот перевести терминалы на CDMA не все спешат, причем часто по терминалам идут данные покупателей ФИО номера телефонов и т.д - карточка покупателя, идут данные по кол-ву товара, стоимости закупочной, поставщику - инсайдинг процветает
Кому интересно подробнее о ТСД - ниже
Последнее редактирование:
