Hulle het so ver gegaan om die moontlikheid te bespreek om UPS-bestuurders te gebruik om die verdagte te konfronteer. Kom ons kyk nou of dit wat op hierdie skyfie aangehaal word, wettig is?
Hier is die FTC se antwoord op die vraag: "Moet ek terugbesorg of betaal vir 'n item wat ek nooit bestel het nie?" - "Geen. As jy 'n item ontvang wat jy nie bestel het nie, het jy die wettige reg om dit as 'n gratis geskenk te aanvaar." Klink dit eties? Ek was my hande omdat ek nie slim genoeg is om sulke sake te bespreek nie.
Maar wat interessant is, is dat ons 'n tendens sien waarin hoe minder tegnologie ons gebruik, hoe meer geld kry ons.
Geaffilieerde internetbedrog
Jeremy Grossman: dit is regtig baie moeilik om te verstaan, maar op hierdie manier kan jy 'n ses-syfer bedrag geld kry. So, al die stories wat jy gehoor het, het regte skakels, en jy kan in detail hieroor lees. Een van die interessantste soorte internet-swendelary is geaffilieerde swendelary. Aanlynwinkels en adverteerders gebruik geaffilieerde netwerke om verkeer en gebruikers na hul werwe te lei in ruil vir 'n deel van die wins wat hulle maak.
Ek gaan praat oor iets wat baie mense al jare lank ken, maar ek kon nie 'n enkele openbare verwysing vind wat sou aandui hoeveel verlies hierdie tipe bedrogspul veroorsaak het nie. Sover ek weet was daar geen regsgedinge, geen kriminele ondersoeke nie. Ek het met vervaardiging-entrepreneurs gepraat, ek het met geaffilieerde netwerk ouens gepraat, ek het met die Black Cats gepraat - hulle glo almal dat die swendelaars 'n groot bedrag geld uit die vennootskap gemaak het.
Ek vra jou om my woord daarvoor te neem en kennis te maak met die resultaat van die "huiswerk" wat ek oor hierdie spesifieke probleme voltooi het. Op hulle "sweis" swendelaars maandeliks 5-6-syfer, en soms sewe-syfer bedrae, met spesiale tegnieke. Daar is mense in hierdie kamer wat dit kan verifieer, solank hulle nie deur 'n vertroulikheidsooreenkoms gebonde is nie. So, ek gaan jou wys hoe dit werk. Hierdie skema behels verskeie spelers. Jy sal sien wat 'n nuwe generasie geaffilieerde "speletjie" is.
Die speletjie behels 'n handelaar wat 'n soort webwerf of produk het, en hy betaal geaffilieerde kommissies vir gebruikersklikke, geskepde rekeninge, aankope wat gemaak is, ensovoorts. Jy betaal 'n geaffilieerde vir iemand om hul webwerf te besoek, klik op 'n skakel, gaan na jou handelaarwebwerf en koop iets daar.
Die volgende speler is 'n geaffilieerde wat geld in die vorm van 'n betaal-per-klik (CPC) of kommissie (CPA) ontvang om kopers na die verkoper se webwerf te herlei.
Kommissies impliseer dat die kliënt as gevolg van die vennoot se aktiwiteite 'n aankoop op die verkoper se webwerf gedoen het.
'n Koper is 'n persoon wat aankope doen of op die verkoper se aandele inteken.
Geaffilieerde netwerke verskaf tegnologie wat die aktiwiteite van die verkoper, vennoot en koper verbind en naspoor. Hulle “gom” al die spelers aanmekaar en verseker hul interaksie.
Dit kan jou 'n paar dae of 'n paar weke neem om te verstaan hoe dit alles werk, maar hier is geen komplekse tegnologieë nie. Geaffilieerde netwerke en geaffilieerde programme dek alle soorte handel en alle markte. Google, EBay, Amazon het hulle, hul kommissiebelange oorvleuel, hulle is oral en het nie 'n gebrek aan inkomste nie. Ek is seker jy weet dat selfs verkeer vanaf jou blog 'n paar honderd dollar in maandelikse winste kan inbring, so hierdie skema sal vir jou maklik wees om te verstaan.
Dit is hoe die stelsel werk. Jy affilieer 'n klein webwerf, of 'n elektroniese bulletinbord, dit maak nie saak nie, teken aan vir 'n geaffilieerde program en kry 'n spesiale skakel wat jy op jou webblad plaas. Dit lyk so:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Dit lys die spesifieke geaffilieerde program, jou geaffilieerde ID, wat in hierdie geval 100 is, en die naam van die produk wat verkoop word. En as iemand op hierdie skakel klik, stuur die blaaier hom na die geaffilieerde netwerk, stel spesiale opsporingskoekies wat hom met die geaffilieerde ID=100 assosieer.
Set-Cookie: AffiliateID=100En herlei na die verkoper se bladsy. As die koper later 'n produk binne 'n tydperk X koop, wat 'n dag, 'n uur, drie weke, enige ooreengekome tyd kan wees, en gedurende hierdie tyd bly die koekies voortbestaan, dan ontvang die vennoot sy kommissie.
Dit is die skema wat geaffilieerde maatskappye miljarde dollars laat verdien deur effektiewe SEO-taktieke te gebruik. Ek sal jou 'n voorbeeld gee. Die volgende skyfie wys die tjek, nou sal ek inzoom om jou die bedrag te wys. Dit is 'n tjek van Google vir $132 2. Die naam van hierdie meneer is Schumann, hy besit 'n netwerk van advertensiewebwerwe. Dit is nie al die geld nie, Google betaal sulke bedrae een keer per maand of een keer elke XNUMX maande.
Nog 'n tjek van Google, ek sal dit verhoog, en jy sal sien dat dit vir $901 uitgeskryf is.
Moet ek iemand vra oor die etiek van hierdie maniere om geld te verdien? Stilte in die saal... Hierdie tjek verteenwoordig 2 maande se betaling omdat die vorige tjek deur die ontvanger se bank afgekeur is weens die uitbetaling wat te groot was.
So, ons is oortuig daarvan dat sulke geld gemaak kan word, en hierdie geld word uitbetaal. Hoe kan hierdie skema gespeel word? Ons kan 'n tegniek genaamd Cookie-Stuffing, of Cookie Stuffing, gebruik. Dit is 'n baie eenvoudige konsep wat in 2001-2002 verskyn het, en hierdie skyfie wys hoe dit in 2002 gelyk het. Ek sal jou die storie van sy verskyning vertel.
Niks anders as die irriterende diensbepalings van geaffilieerde netwerke vereis dat die gebruiker werklik op die skakel klik sodat hul blaaier die koekie met die geaffilieerde ID kan optel nie.
Jy kan hierdie URL, wat gewoonlik deur die gebruiker geklik word, outomaties in 'n beeldbron of in 'n iframe-merker laai. En in plaas van 'n skakel:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Jy laai hierdie af:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Of dit:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>En wanneer die gebruiker by jou bladsy kom, sal hy outomaties die geaffilieerde koekie optel. Terselfdertyd, ongeag of hy iets in die toekoms koop, sal jy jou kommissie ontvang, of jy verkeer herlei het of nie - dit maak nie saak nie.
Oor die afgelope paar jaar het dit 'n tydverdryf geword vir die SEO ouens wat sulke goed op boodskapborde plaas en allerhande scenario's ontwikkel vir waar anders om hul skakels te plaas. Aggressiewe vennote het besef dat hulle hul kode enige plek op die internet kan plaas, nie net op hul eie webwerwe nie.
Op hierdie skyfie kan jy sien dat hulle hul eie koekievulprogramme het wat gebruikers help om hul eie "gevulde koekies" te maak. En dit is nie net een koekie nie, jy kan 20-30 geaffilieerde netwerk-ID's op dieselfde tyd aflaai, en sodra iemand iets koop, word jy daarvoor betaal.
Gou het hierdie ouens besef dat hulle nie hierdie kode op hul bladsye kon plaas nie. Hulle het kruis-werf scripting laat vaar en eenvoudig begin om hul klein brokkies met HTML-kode op boodskapborde, in gasteboeke, op sosiale netwerke te plaas.
Teen ongeveer 2005 het handelaars en geaffilieerde netwerke agtergekom wat aangaan, verwysers en deurklikkoerse begin opspoor en verdagte affiliasies begin skop. Hulle het byvoorbeeld opgemerk dat 'n gebruiker op 'n MySpace-werf klik, maar daardie webwerf behoort aan 'n heeltemal ander geaffilieerde netwerk as die een wat 'n wettige voordeel ontvang.
Hierdie ouens het 'n bietjie wyser geword, en in 2007 is 'n nuwe soort Cookie-Stuffing gebore. Vennote het hul kode op SSL-bladsye begin plaas. Volgens Hypertext Transfer Protocol RFC 2616, moet kliënte nie 'n Referer header-veld in 'n onveilige HTTP-versoek insluit as die verwysende bladsy van 'n veilige protokol gemigreer is nie. Dit is omdat jy nie wil hê dat hierdie inligting van jou domein af uitgelek word nie.
Hieruit is dit duidelik dat geen Verwyser wat na die vennoot gestuur word, onopspoorbaar sal wees nie, so die hoofvennote sal 'n leë skakel sien en sal jou nie daarvoor kan uitskop nie. Nou het swendelaars die geleentheid om hul eie "gevulde koekies" straffeloos te maak. Dit is waar, nie elke blaaier laat jou toe om dit te doen nie, maar daar is baie ander maniere om dieselfde te doen, deur die outomatiese opdatering van die huidige bladsy van die blaaier-meta-verfris, meta-tags of JavaScript te gebruik.
In 2008 het hulle kragtiger inbraakinstrumente soos herbindingsaanvalle begin gebruik – DNS-herbinding, Gifar en kwaadwillige Flash-inhoud wat bestaande beskermingsmodelle heeltemal kan vernietig. Dit neem tyd om uit te vind hoe om dit te gebruik, want die Cookie Stuffing-ouens is nie regtig gevorderde hackers nie, hulle is net aggressiewe bemarkers wat nie veel van kodering weet nie.
Verkoop van semi-beskikbare inligting
So, ons het gekyk hoe om 6-syfer-bedrae te verdien, en kom ons gaan nou aan na sewe-syfer-bedrae. Ons het groot geld nodig om ryk te word of te sterf. Ons sal kyk hoe jy geld kan maak deur semi-beskikbare inligting te verkoop. Business Wire was 'n paar jaar gelede baie gewild en dit is steeds belangrik, ons sien dit op baie webwerwe. Vir diegene wat nie weet nie, Business Wire verskaf 'n diens waar geregistreerde gebruikers van die webwerf 'n stroom van bygewerkte persverklarings van duisende maatskappye ontvang. Persvrystellings word aan hierdie maatskappy gestuur deur verskeie organisasies wat soms tydelik verbied of onderworpe is, so die inligting vervat in hierdie persverklarings kan die waarde van die aandele beïnvloed.
Persvrystellinglêers word na die Business Wire-webbediener opgelaai, maar nie gekoppel totdat die embargo opgehef is nie. Die hele tyd word persverklaring-webbladsye aan die hoofwebwerf gekoppel, en gebruikers word daaroor in kennis gestel met URL's soos hierdie:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmDus, terwyl jy onder die embargo is, plaas jy interessante data op die webwerf sodat sodra die embargo opgehef word, gebruikers hulself dadelik daarvan sal vergewis. Hierdie skakels word gedateer en per e-pos aan gebruikers gestuur. Sodra die verbod verval, sal die skakel werk en die gebruiker lei na die webwerf waar die betrokke persverklaring geplaas word. Voordat toegang tot die persverklaring-webblad verleen word, moet die stelsel verseker dat die gebruiker wettig aangemeld is.
Hulle kyk nie of jy die reg het om hierdie inligting te sien voor die embargo verval nie, jy hoef net by die stelsel aan te meld. Tot dusver lyk dit skadeloos, maar net omdat jy iets nie kan sien nie, beteken dit nie dat dit nie daar is nie.
Die Estlandse finansiële maatskappy Lohmus Haavel & Viisemann, glad nie 'n kuberkraker nie, het ontdek dat persverklaring-webbladsye op voorspelbare maniere benoem is en het daardie URL's begin raai. Alhoewel skakels dalk nog nie bestaan nie omdat 'n embargo van krag is, beteken dit nie dat 'n kuberkraker nie die lêernaam kan raai en dus voortydig toegang daartoe kan kry nie. Hierdie metode het gewerk omdat Business Wire se enigste sekuriteitskontrole was dat die gebruiker wettig aangemeld het, en niks anders nie.
Estlanders het dus inligting ontvang voordat die mark gesluit het en hierdie data verkoop. Voordat die SEC hulle opgespoor en hul rekeninge gevries het, het hulle daarin geslaag om $ 8 miljoen te verdien wat semi-beskikbare inligting verhandel. Dink daaraan dat hierdie ouens net gekyk het hoe skakels lyk, URL's probeer raai en 8 miljoen daaruit gemaak het. Gewoonlik op hierdie punt vra ek die gehoor of dit as wettig of onwettig beskou word, of dit met die konsepte van handel verband hou of nie. Maar vir eers wil ek net jou aandag vestig op wie dit gedoen het.
Voordat jy probeer om hierdie vrae te beantwoord, sal ek jou die volgende skyfie wys. Dit het niks met internet-swendelary te doen nie. ’n Oekraïense kuberkraker het by Thomson Financial, ’n verskaffer van sake-intelligensie, ingebreek en IMS Health se finansiële nood gesteel ure voordat die inligting veronderstel was om die finansiële mark te betree. Daar is geen twyfel dat hy skuldig is aan huisbraak nie.
Die hacker het bestellings geplaas om te verkoop in die bedrag van 42 duisend dollar, en speel totdat die tariewe gedaal het. Vir die Oekraïne is dit 'n groot bedrag, so die kuberkraker het goed geweet wat hy aangaan. Die skielike daling in die aandeelprys het hom binne 'n paar uur sowat $300 XNUMX wins gebring. Die beurs het 'n Rooi Vlag geplaas, die SEC het die fondse gevries, opgemerk dat iets verkeerd gaan, en 'n ondersoek van stapel gestuur. Regter Naomi Reis Buchwald het egter gesê die fondse moet ontvries word omdat Dorozhko se beweerde "steel en handeldryf" en "inbraak en handeldryf" nie sekuriteitswette oortree nie. Die kuberkraker was nie 'n werknemer van hierdie maatskappy nie, so hy het geen wette oor die openbaarmaking van vertroulike finansiële inligting oortree nie.
Die koerant Times het voorgestel dat die Amerikaanse departement van justisie hierdie saak bloot as nutteloos beskou het weens die probleme verbonde aan die verkryging van die toestemming van die Oekraïense owerhede om saam te werk in die vang van die misdadiger. So hierdie hacker het baie maklik 300 duisend dollar gekry.
Vergelyk dit nou met die vorige geval waar mense geld gemaak het net deur die URL's van die skakels in hul blaaier te verander en kommersiële inligting te verkoop. Dit is nogal interessant, maar nie die enigste maniere om geld op die aandelebeurs te maak nie.
Oorweeg passiewe inligting-insameling. Gewoonlik, nadat die koper 'n aanlyn aankoop gedoen het, ontvang die koper 'n bestellingsopsporingskode, wat opeenvolgend of pseudo-opeenvolgend kan wees en iets soos volg lyk:
3200411
3200412
3200413
Daarmee kan u u bestelling opspoor. Pentesters of kuberkrakers probeer om URL's te "blaai" om toegang tot bestellingdata te verkry, wat gewoonlik persoonlik identifiseerbare inligting (PII) bevat:
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Deur deur die nommers te blaai, kry hulle toegang tot kredietkaartnommers, adresse, name en ander persoonlike inligting van die koper. Ons stel egter nie belang in die kliënt se persoonlike inligting nie, maar in die bestellingspoorkode self stel ons belang in passiewe intelligensie.
Die kuns om gevolgtrekkings te maak
Oorweeg die kuns om afleidings te maak. As jy akkuraat kan skat hoeveel "bestellings" 'n maatskappy aan die einde van die kwartaal verwerk, kan jy op grond van historiese data aflei of sy finansiële situasie goed is en in watter rigting sy aandeelprys gaan skommel. Byvoorbeeld, jy het iets aan die begin van die kwartaal bestel of gekoop, dit maak nie saak nie, en dan 'n nuwe bestelling gemaak aan die einde van die kwartaal. Deur die verskil in getalle kan ons aflei hoeveel bestellings gedurende hierdie tydperk deur die maatskappy verwerk is. As ons praat van 'n duisend bestellings teenoor 'n honderdduisend vir dieselfde tydperk, kan jy aanvaar dat die maatskappy swak vaar.
Die feit is egter dat hierdie rynommers dikwels verkry kan word sonder om werklik 'n bestelling te vervul of 'n bestelling wat daarna gekanselleer is. Hopelik verskyn daardie nommers in elk geval nie en gaan die volgorde voort met die nommers:
3200418
3200419
3200420
Op hierdie manier weet jy dat jy die vermoë het om bestellings op te spoor en passief inligting kan begin versamel vanaf die webwerf wat hulle aan ons verskaf. Ons weet nie of dit wettig is of nie, ons weet net dat dit gedoen kan word.
Dus, ons het verskeie nadele van besigheidslogika oorweeg.
Trey Ford: die aanvallers is sakemanne. Hulle verwag 'n opbrengs op hul belegging. Hoe meer tegnologie, hoe groter en meer kompleks die kode, hoe meer werk moet jy doen en hoe meer waarskynlik is jy om gevang te word. Maar daar is baie baie voordelige maniere om aanvalle sonder enige moeite uit te voer. Besigheidslogika is 'n reusagtige besigheid en daar is 'n groot motivering vir misdadigers om dit te breek. Besigheidslogikafoute is 'n primêre teiken vir misdadigers en is iets wat nie opgespoor kan word deur bloot 'n skandering uit te voer of roetine QA-toetse uit te voer nie. Daar is 'n sielkundige probleem met kwaliteitsversekering in QA, wat "bevestigingsvooroordeel" genoem word, want, soos almal anders, wil ons weet ons is reg. Daarom is dit nodig om toetse in werklike toestande uit te voer.
Dit is nodig om alles en alles te toets, want nie alle kwesbaarhede kan gevind word in die ontwikkelingstadium, deur die kode te ontleed, of selfs tydens QA nie. U moet dus deur die hele besigheidsproses gaan en al die maatreëls ontwikkel om dit te beskerm. Baie kan uit die geskiedenis geleer word omdat sommige soorte aanvalle mettertyd herhaal word. As jy een nag wakker word as gevolg van piek CPU-gebruik, kan jy aanvaar dat een of ander hacker weer geldige afslagkoepons probeer opspoor. Die regte manier om die tipe aanval te herken, is om 'n aktiewe aanval waar te neem, want om dit op grond van die loggeskiedenis te herken, sal 'n uiters moeilike taak wees.
Jeremy Grossman: So hier is wat ons vandag geleer het.
Om captchas op te los, kan vir jou vier syfers in dollars bring. Manipulasies met aanlynbetalingstelsels sal 'n vyfsyferwins vir die hacker bring. Hacking banke kan jou meer as vyf syfers verdien, veral as jy dit meer as een keer doen.
E-handel swendelary sal jou ses syfers gee, en die gebruik van geaffilieerde netwerke sal jou 5-6 syfers of selfs sewe syfers gee. As jy dapper genoeg is, kan jy die aandelemark probeer flous en meer as ’n sewesyferwins kry. En om die RSnake-metode in kompetisies vir die beste chihuahua te gebruik, is onskatbaar!
Die nuwe skyfies vir hierdie aanbieding was waarskynlik nie op die CD ingesluit nie, so jy kan dit later van my blogblad aflaai. Daar kom 'n OPSEC-konferensie in September wat ek gaan bywoon, en ek dink ons sal 'n paar baie oulike goed met hulle kan doen. En nou, as jy enige vrae het, is ons gereed om dit te beantwoord.
Sommige advertensies 🙂
Dankie dat jy by ons gebly het. Hou jy van ons artikels? Wil jy meer interessante inhoud sien? Ondersteun ons deur 'n bestelling te plaas of by vriende aan te beveel, , 30% afslag vir Habr-gebruikers op 'n unieke analoog van intreevlakbedieners, wat deur ons vir jou uitgevind is: (beskikbaar met RAID1 en RAID10, tot 24 kerne en tot 40 GB DDR4).
Dell R730xd 2 keer goedkoper? Net hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees van
Bron: will.com