토토사이트 해킹 썰 - totosaiteu haeking sseol

불법 ㅌㅌ 사이트 해킹해서 부자된썰

choa 2014.10.13 23:12 조회59,366

안녕 오늘은 사설 토토로 부자가된 에피소드를 들려주려해

다들 알다시피 사설 토토는 불법이지

그런데 나는 사설 토토를 하고있어

왜냐고? 잘맞춰서 하냐고?

아니 나그런거 안믿어 다 짜고치는거같거든 내눈엔

그런데 왜하냐고?

그냥 평범한 오후였지

그런데 친구가 연락이왔어

평소에 친했던 친구고 자주만났어

지금도 자주만나고 술도 같이 마시고 그러는데

어느날 친구가 쉽게 돈벌 수 있는 법 알려줄까?이래

그래서 내가 뭔데 ?

친구가 말하길 사설 토토

나는 생각했지 그냥토토도 안하는데 무슨 사설 토토야 라고

사실 내친구 직업이 해커야

주로 불법 토토나 불법 성인사이트를 털어

돈을 벌어 돈은 라이벌 사이트에서

돈을 주고 시킨다네

웃기지않냐 ?

친구가 말하길 어떤 한 토토 사이트에서

처음 가입하고 처음한 배팅에서

지면 100%로 딱 한번 배팅금을 돌려준다는거야

처음배팅은 지면 무조건 100% 환급이란거야

처음입금한 금액 가지고 사다리 게임을 시작해

그런데 이 사다리 게임 형식을 보면

경기가 끝나기 1분전부터 게임에 승패가 결정나게되

지게 되면 1분전부터 배팅했던 돈만큼 들어와있더라

처음은 100% 환급이니까

자 예를 들어 사다리에 100만원을 걸었다치자

100만원을 홀에걸고 1분전까지 기다려

만약 그게임이 패배라면 1분전에 100만원이 또 들어와있어

그러면 그 환급된 100만원가지고 바로 또다시 똑같은 사다리 게임에

100만원을 배팅해 그러면 scr1pt error 라는 창이 뜨면서

환급됬던 100만원 원래 입금했던 100만원 총 200만원이 들어가있다

1분전까지 돈이 안들어오면 어쩌냐고?

그건 그 게임에 승리했다는거고

어쩌피 승리하면 배당을 주니까 이득이지 손해가 아냐

하지만 이방법도 매일 써먹을수 없는게

회원가입전에 추천인 코드를 입력해야되

그리고 하루에 너무많은 돈을 인출하면 걔네가 알고

돈을 모조리 회수해가

그리고 회원가입도 똑같은 아이피나 계좌가 중복이면

가입도 안되 회원가입 중복 불가라서

중복으로 우려먹으려면 계좌도 다르게,

아이피도 다르게 해야하니 다른컴퓨터에서 해야되

나도 친구말듣고 속는셈 치고 100만원 입금해서

200만원으로 만들고 출금 60 60 80 이렇게 세 번 출금신청하고

200벌었다 워낙 큰 싸이트라 그런지 아니면 운영자가 병1신인진 모르겠지만

한 2주전부터 내친구들 마다 설명하고 반반 때먹는 조건으로

하고있는데 왠만한 기업사장 월급보다 많다고 자부한다.

본인아니다 라고 생각 하는 사람들에게

내 이메일과 닉네임이 일치한다

안녕하세요 보안쟁이 PR입니다.

오늘은 한국에서 블랙 해커가 어떻게 살아가는지를 이야기하려고 합니다.

이전에 해커와 일해본 썰로 월급쟁이 해커와 같이 일해본 이야기를 한 적이 있는데요

https://youtu.be/HmJZht0gq5E

제가 지금까지 일하면서 만나본 블랙 해커에 관한 이야기와 느낀점에 대해 이야기해보려고 합니다.

썰편은 지극히 개인적인 이야기 입니다.

재미로만 봐주셨으면 해요

​

블랙 해커란? 해커도 다 같은 해커가 아닙니다.

보통은 크래커(Cracker)라고 하는데요

이들은 다른 사람들의 컴퓨터나 기업의 시스템에 무단으로 침입하여 정보를 훔치거나 프로그램을 훼손하는 불법 행위를 일삼는 사람들입니다.

그럼 여러분이 생각하는 ‘해커’를 먼저 떠올려 보세요?

어두운 사무실 한구석에서 후드티를 눌러쓰고 덥수룩한 머리와 수염... 그냥 인간 폐인 같은 아저씨가 음흉한 미소를 지으며 씨익~

열심히 키보드를 두드리며 화면에 알 수 없는 언어들이 쓰여지고.. 마지막에 엔터를 탁 치며 모니터에 ‘Success’라는 단어가 뜨면서 OK 됐어~

여기까지가 영화 속 이야기였습니다.

실제 제가 26살 때 종로의 한 커피숍에서 만났던 해커는 외형은 비슷했습니다.

왜? 만났는지는 뒤에서 이야기 드릴게요

​

광화문에서 처음에 만나기로 했습니다.

하지만 전화 한통을 받게 됩니다.

"PR씨 되시죠? 저 H입니다 사정이 있어서 장소를 옮기고 싶어요

종로역 스타벅스로 와주세요"

뚜~뚜~뚜~

아 뭐지?

약속시간에 도착하니 장소를 종로로 옮기 더군요...

전화번호도 그전에 알던 번호와 다른 번호로 전화가 와서 그냥 사정이 있겠지... 라고만 생각했습니다.

​

1. 만남

자신을 프로그래머 출신의 프리랜서 해커라고 소개를 했습니다.

"안녕하세요 저는 H 기업 보안담당자로 우리 회사의 시스템을 모의침투(Pantest) 의뢰하고 싶습니다.

방식은... 블랙박스(black-box) 방식이고요"

블랙박스(black-box) 방식이란?

내부 시스템의 정보를 해커에게 알려주지 않은 상황에서 비정상적으로 접근할 수 있는 모든 경로로 해킹을 하는 작업입니다.

반대로 관리자는 공격자 IP를 알고 있고 보안장비에서 공격자 IP 접근을 승인하여 알려진 대상에게 취약점을 점검하는 방식은 화이트박스(white-box) 방식이라고 합니다.

즉, 필드에서 해커로 활동하는 친구들이 목표하는 시스템을 자신의 기술을 활용하여 해킹에 성공하여 보수를 받는 일종의 계약을 하는 거죠?

내부에 저와 같이 일하는 직원들에게도 비밀로 하여 공격자가 특정 기간동안 공격을 했을 때 기업의 시스템과 보안전문가들이 해킹을 찾아냈는지도 Test 해야 하기 때문에...

비밀리에 해커를 만나게 되었습니다.

​

2. 의뢰

지금부터 해커를 H라고 부르겠습니다.

H는 자신의 이력을 보여주며 이야기를 시작했습니다.

"현재 저의 해커팀은 4명의 멤버가 대림동에 작은 사무실에 있고 주로 PC방을 이용하는 경우도 있고 카페에서 Wifi를 이용하여 VPN를 통해 IP를 변경하여 작업을 합니다."

노트북은 가상화에서 100% 작업하며 위치나 IP가 공개되었다고 생각하면 VM... 가상 PC를 날려버리고 시스템에 접근한 이력과 로그, IP 정보를 삭제하고

DDoS 공격을 통해 로그 서버에 엄청난 양의 데이터를 쏟아부어 자신들의 흔적을 찾지 못하게 할 수도 있다고 했습니다.

필요하면 시스템을 뻑나게 해서 못쓰게 해주겠다고 하네요

저는 "아니요~ 저희 회사 시스템이 망가지기라도 하면 제가 피곤하니까 그렇게까지 하지 말아주세요..라고 말을 했습니다.

그럼 그동안 활동했던 이력 중 대표적인 것 몇가지만 알려주실 수 있나요?라고 물어봤더니...

"저는 돈 되는 일은 다 합니다.

SQLinjection이나 웹방화벽(WAF)과 같은 보안장비들을 우회하는 것은 엄청 쉬운 일이죠

시스템 해킹을 전문으로 하며 공격툴도 외부에 오픈된 것을 사용하지 않습니다.

보안장비에 공격툴의 헤더 값을 남기지 않기 위해서죠

웬만한 공격 프로그램은 C나, 어셈블리어로 작성해서 사용합니다.

최근에 해킹 의뢰가 들어온 곳은 사설 도박사이트인데요

경쟁사의 사설 도박사이트를 해킹하여 Admin 계정을 빼내고 사용자 DB를 긁어왔습니다.

또한 주기적으로 DDoS 공격을 하여 영업 방해를 해주고도 있죠

그런데 의뢰자가 돈을 주지 않아 의뢰자가 요청한 정보를 경찰에 넘겼습니다."

​

3. 위험한 다리를 건너다

그래서 저는 이렇게 물어봤습니다.

돈을 주지 않는 경우가 많나요?

"저와 같이 일하는 친구 중 몇 명은 중국과 태국으로 건너가 일을 하고 있습니다.

PR 님처럼 기업에서 해킹을 요청하는 경우가 몇 건 없어요 저희도 처음에는 돈 되는 일을 다하지 않았습니다.

한국에서 열심히 해보려고 했던 한명의 프로그래머이자 해커였습니다.

대학교를 졸업하고 저는 게임회사 개발자로 들어가게 되었는데요

이후는 너무 뻔한 이야기라... "

아니요, 저는 해커에 대한 동경이 있습니다.

조금 더 알려 주실 수 없나요?

"음... 게임회사 대표는 개발자 출신이었습니다.

제가 제일 이해가 되지 않는 말은 ‘야 너 더 배워야겠다’라는 말입니다.

대표님이 코드가 복잡하네 이렇게 코드 짜면 BOF(오버플로)가 일어나서 뻑나겠는데 예외 처리는 했어?

그럼 저는 이상하네요, API 레벨의 메인 코드가 30줄이 안 넘고 각 모듈마다 캡슐화가 되어 있습니다.

그리고 아래 SEH 라인에 BOF에 대한 예외 처리를 전부 해놓았고요

SEH란... Windows에서 지원하는 예외 처리 중 하나입니다.

저는 15살 때부터 C를 시작했고 웬만한 10 여년차 경력자보다 개발 자체도 잘한다고 자부심 하나로 살았습니다.

그렇게 대표와 싸우다 지쳐 회사를 나오게 된거죠

그리고 프리랜서 개발자로 이리저리 일하기 시작했는데요

문제는 대기업이 프리랜스 업무까지 뺏어가기 시작했습니다.

결국 저희는 일이 없어져 버렸죠

돈을 벌기 위해 홈페이지 해킹을 해줄 수 없냐는 의뢰를 실행했습니다.

당장 먹을 라면이 없으니 어쩔 수 없이 시작을 했죠.

돈벌이도 나쁘지 않았습니다.

처음이 어렵지 한번 시작하니 다음 해킹은 보수가 더 높은 일을 찾게 되더군요

DDoS 공격, 사설 도박사이트 해킹, 토토, 경마 결국 해외의 카지노까지 릴 게임등 가입자의 DB를 뽑아 파는 일도 해보았습니다.

얼마나 위험한 다리를 건넜는지 셀 수 없을 정도죠

하는 일이 불법적이다 보니... 돈을 못 받는 경우가 허다했습니다.

돈을 안 줘도 신고하지 못하는걸 의뢰자도 알고 있는 거죠

한번은 불법 사이트 바둑이 뷰어라고 클라이언트와 서버의 네트워크의 통신(패킷)을 하이재킹하여 상대방 카드 정보를 빼오는 방법입니다.

바둑이, 포커 게임의 경우 사행성 PC방이나 온라인 게임 사이트에서 각광을 받고 있는 게임인데요

기억나실지 모르겠네요

사행성 PC 게임방이 유행할 때입니다.

리버스엔지니어링으로 클라이언트 메모리를 해킹해서 상대방 카드 정보를 빼오는 방법이 짭짤하게 돈을 벌고 있었죠

그러다 법에 의해 처벌을 받기 전에 형님들에게 손목 및 생명에 큰 봉변을 당할 뻔한 일이 생깁니다.

우리가 작업했던 돈을 멤버 한명이 꿀꺽하고 잠적하게 되고

형님들이 찾아내 죽이겠다고 돌아다니는 상황까지 가게 된거죠

이렇게 숨어지내다가 우리는 잠시 중국과 태국으로 흩어지게 되었습니다.

지금은 불법적인 일은 안하고 있습니다.

걱정 안 하셔도 됩니다.

이정도 이력이면 만족하시나요?

어떤 사이트도 뚫을 수 있습니다.

페이는 시작할 때 50% 성공하면 나머지 50%를 주시면 됩니다. "

오늘은 여기까지입니다.

어떻게 재미있으셨나요??

다른 해커들을 만난 이야기도 몇개 더 있으나 다음에 더 풀어 보도록 하겠습니다.

그럼 오늘도 행복하세요~

​

문의나 의견은 네이버 보안쟁이 카페에 남겨주세요