✅ Сегодня я вновь расскажу вам, на чем мне удалось заработать. В статье вы найдете два отчета по черной и белой темам, которые принесли мне более двух миллионов рублей за май.
Всем салют, дорогие друзья!
Я уже неоднократно делился с вами своими отчетами по заработку (раз, два, три). Судя по вашим реакциям под постами, рубрика вам зашла. Поэтому теперь она стала постоянной 🔥
⚠️ В сегодняшней статье я бы хотел рассказать о 2-х своих делах:
◾️ В первом случае я заработал деньги не совсем легальным путем.
◽️Во-втором же деле - деньги кристально чистые.
Цель этой статьи - донести до вас, что деньги на хакинге можно зарабатывать так, как вам хочется:
✅ Хотите работать по-черному - окей!
✅ Хотите не нарушать закон и работать по-белому - пожалуйста!
В этом вся прелесть хакинга в том, что знания и навыки можно применять так, как вам захочется. Что на черной, что на белой стороне - они одинаковые.
⚡️ Ну, а теперь перейдем к моим отчетам!
Содержание статьи:
Черный: 1.792.217 рублей на сливе трафика с сайтов и продаже баз данных.
Начать отчет я бы хотел с замечательной цитаты, которая, как мне кажется, максимально точно иллюстрирует мотивы людей, находящихся на темной стороне:
Данным отчетом я бы хотел выделить тему по трафику, по ней я довольно часто работаю в последнее время.
🔥Слив трафика с сайтов является одной из очень прибыльных тем. Суть состоит в том, что мы перенаправляем пользователей на свои ссылки со взломанных сайтов. Это дает нам возможность зарабатывать на пользователях сайта, который мы поимели.
Так вот, хлопнул я 8 сайтов с рецептами и несколько бабских блогов, которые так любят современные домохозяйки и подсунул в код сайта свой php код редиректа на партнерку.
За несколько дней пассивный доход уже составлял порядка 35-40 баксов/день, с 8 сайтов выходит $280-340. Сами партнерки прожили у меня около 6-8 дней суммарно. Одни сайты больше, другие меньше.
💎 Все сайты, суммарно, успели принести мне $2.628 (283.629 руб.) пассивного дохода
✅ +$2.628 (212.541 руб.)
Кстати, в момент пассивного заработка я обнаружил крупный сайт, слил БД и отработал ее по старой схеме: мыла с паролями в одну стопку, телефоны в другую. Оплата на нем была через палку, так что карт на нем не было. Базы емейлов я продал знакомому спамеру, для них этот товар на вес золота.
✅ + $300 (24.262 руб.)
Далее я вообще не стал заворачиваться и продал эту же базу, только не под спам, а под чек PayPal. Опять же, обратился товарищу, который специализируется на пейпал аккаунтах. Данную базу он прочекает и у него будут рабочие пейпал аккаунты.
Суть в том, что продажа базы данных в двое рук таким способом, не влияет на работоспособность двух комерсов, как спамера так и пейпальщика.
✅ + $200 (16.175 руб.)
Далее, этот же ресурс. Обратился я к товарищу, который специализируется на ботнетах, это конечно люто, но.. Он покупает загрузки на его связку.
Я подробности рассказывать не хочу в данном отчете, но скажу, что я пропихнул шелл и перенаправил трафик на его связку. Это такая веб панель для управления трафиком, которая позволяет легко и непринужденно перенаправлять пользователей того сайта туда, куда вашей душе угодно. Данный способ принес мне за неделю $4.865
Поиск данного ресурса у меня занял примерно 3-4 дня в момент пассивного заработка, когда лился трафик на партнерские программы. Далее я договорился о проливе трафика. Настройка и переговоры заняли у меня еще сутки. Итого: 5 дней. Ресурс прожил ровно неделю, тем самым:
✅ + $4.865 (393.459 руб.)
В данную неделю, когда у меня работал слив на связку и слив на БД, ко мне обратился хороший знакомый с просьбой под заказ слить БД ресурса. Целью были именно емейлы пользователей. Обычно не берусь за проекты на заказ, но знакомый попросил помощи в данном вопросе, решил не отказывать. По итогу взялся на условиях, что все, что я найду - мое, кроме баз мыл.
Раскрутка ресурса у меня заняла 6 дней, пришлось конкретно так повозиться. Хорошая новость состоит в том, что до БД я таки добрался. За заказ мне заплатили 4000$. Но есть кое-что еще: в базе данных я обнаружил сканы клиентов и ssn+dob. Это довольно ценный товар, а заказчику необходимы были только емейлы. По итогу емейлы я не трогал, там была база емейлов из 487827 строк, что довольно-таки нехило. А вот сканов, ssn и dob было поменьше - 11534 шт. В розницу цена на них составляет $1, я повозился с поиском клиента и продал оптом по $0.4 за шт.
Помимо ssn, dob и сканов, была еще прочая информация в виде истории болезней, но я не стал заморачиваться с ними из-за своих моральных принципов.
✅ +$4.613 (373.079 руб.)
✅ +$4000 (323.502 руб.)
Стоит отметить, что одной из интересных особенностей работы с заказами на взлом сайтов, является получение довольно таки хороших жертв, за взлом которых тебе еще и гарантировано заплатят. Ну а данные - есть данные, с ними можно и нужно работать после выполнения заказа. Таким образом, точечный взлом под заказ может, например, превратится из 1к$ от заказчика в 3-4к$ кровно заработанных.
✅ Подведем итог:
- Пролив с партнерских программ: $2.628 (212.541 руб.)
- Пролив на связку: $4.865 (393.459 руб.)
- Продажа емейлов спамеру и пейпальщику: $500 (40.437 руб.)
- Взлом на заказ: $4.000 (323.502 руб.)
- Продажа Сканов, ssn, dob: $4.613 (373.079 руб.)
Запомните: Главным фактором является то, что любая информация, которую вы сняли - обязательно кому-то нужна.
Белый: 687.442 рубля на участии в программах BugBounty
В этот раз была поставлена цель заработать весь кэш легально, поучаствовав в программах BugBounty на сайте hackerone.com.
Примечание: из-за санкций, hackerone не выводит деньги на счета банков РФ и РБ. Вариантом решения проблемы является открытие счета в банке другой страны (во многих это можно сделать удаленно). Ну, или использование других площадок (благо, их сейчас много)
Для чего я это сделал?
Тут есть несколько причин:
Показать пример ребятам, которые только начинают свой путь. Ведь для того, что бы зарабатывать много - не обязательно лезть в чернуху.
Сегодня сфера багхантинга актуальна, как никогда. В связи с ситуацией в мире, количество кибератак взлетело до небес. От того все больше и больше компаний готовы платить вам за свою безопасность.
Ну, а сейчас вкратце расскажу сколько и на каких именно уязвимостях мне удалось заработать:
1. $2.000 (161.751 руб.) заплатил мне Stripe за найденную XSS уязвимость
Для справки: Stripe представляет собой мультифункциональную международную платежную платформу, прекрасно подходящую для электронной коммерции и осуществления продаж за рубеж. Она обеспечивает высокую степень защиты платежей, предлагает широкий набор актуальных способов оплаты, гарантирует удобство и продавцам, и покупателям. Проще говоря - это одна из самых популярных платежек на западе.
⚡️ Кстати, если вы захотите поиграться с уязвимостями XSS, то напоминаю вам о довольно интересном инструменте под это дело, я уже советовал его в одном из предыдущих отчетов: XSS-LOADER TOOLS
Уязвимость межсайтового скриптинга (XSS) была обнаружена в Stripe Apps. Найденная уязвимость позволяла запустить вредоносный JavaScript код за пределами так называемой песочницы.
✅ Я не совру, если скажу, что это самые легкие 2000 долларов в моей жизни, заняло у меня все это дело от силы час-полтора.
2. $6.500 от Shopify за уязвимость, позволяющую выполнить атаку посредством XSS через картинку в формате SVG.
Платформа Shopify – одно из наиболее популярных на сегодняшний день решений для успешной работы в сфере eCommerce.
В редакторе форматированного текста, в случае создания продукта, подарка или страницы, существует возможность добавить изображение не только со своего компьютера, но и по ссылке. В результате чего, мне удалось внедрить в картинку формата SVG вредоносный XSS. Код выполняется в том момент, когда кто-то откроет изображение. Данная уязвимость позволяла запускать произвольный, в том числе и вредоносный, Java Script код.
✅ Итого
В общей сложности, с 2-х найденных уязвимостей, мной было заработано $8.500, что равняется ~687.442 руб.
Из-за санкций приходится все выводить не на банковский счет в банке РФ, а в зарубежный банк, а потом уже крипту (благо, проблем с этим никаких нет):
Кому-то из вас может показаться, что сумма довольно небольшая. И я с этим, пожалуй, соглашусь. Однако, стоит принять во внимание тот факт, что заработал я её, в общей сложности, всего за 3 дня. Хотел бы отметить, что при желании все легко масштабируется до десятков миллионов рублей.
Простая математика: большинство из вас ходит на работу по графику 5 через 2, что в итоге дает нам ~20 рабочих дней в месяц. Теперь просто представьте, сколько можно заработать за эти 20 дней, занимаясь багхантингом, а не просиживая штаны на работе.
Этим отчетом я хотел на своем примере показать, что хорошие деньги на хакинге можно зарабатывать легально. Надеюсь, что у меня это получилось.
Друзья, благодарю вас за внимание ❤️
Оставайтесь на связи, я готовлю для вас кое-что интересное, скоро все расскажу 🔥