Onlar şübhəli şəxslə üz-üzə gəlmək üçün UPS sürücülərindən istifadə imkanını müzakirə etməyə qədər gediblər. İndi yoxlayaq bu slaydda sitat gətirilənlər qanunidirmi?
FTC-nin “Heç vaxt sifariş etmədiyim məhsulu qaytarmalıyam, yoxsa ödəməliyəmmi?” sualına cavabı budur. - "Yox. Sifariş etmədiyiniz əşyanı alsanız, onu pulsuz hədiyyə kimi qəbul etmək hüququnuz var”. Bu etik səslənirmi? Mən əllərimi yuyuram, çünki belə məsələləri müzakirə edəcək qədər ağıllı deyiləm.
Amma maraqlısı odur ki, biz texnologiyadan nə qədər az istifadə etsək, bir o qədər çox pul qazandığımız bir tendensiya görürük.
Affiliate İnternet Fırıldaqçılığı
Ceremi Qrossman: başa düşmək həqiqətən çox çətindir, lakin bu yolla altı rəqəmli pul əldə edə bilərsiniz. Beləliklə, eşitdiyiniz bütün hekayələrin real əlaqələri var və bütün bunlar haqqında ətraflı oxuya bilərsiniz. İnternet fırıldaqlarının ən maraqlı növlərindən biri filial fırıldaqlarıdır. Onlayn mağazalar və reklamçılar əldə etdikləri mənfəətin bir hissəsi müqabilində trafik və istifadəçiləri öz saytlarına çəkmək üçün filial şəbəkələrindən istifadə edirlər.
Mən bir çox insanın illərdir bildiyi bir şey haqqında danışacağam, lakin bu cür fırıldaqların nə qədər itkiyə səbəb olduğunu göstərən bircə dənə də olsun ictimai arayış tapa bilmədim. Bildiyimə görə, heç bir məhkəmə prosesi, cinayət araşdırması olmayıb. Mən istehsalat sahibkarları ilə danışdım, filial şəbəkəsi oğlanları ilə danışdım, Qara Pişiklərlə danışdım - onların hamısı fırıldaqçıların ortaqlıqdan külli miqdarda pul qazandığına inanırlar.
Sizdən xahiş edirəm ki, sözümü qəbul edəsiniz və bu konkret problemlər üzrə tamamladığım “ev tapşırığı”nın nəticəsi ilə tanış olasınız. Onların üzərində fırıldaqçılar xüsusi texnikalardan istifadə edərək aylıq 5-6, bəzən isə yeddi rəqəmli məbləğləri “qaynadırlar”. Bu otaqda məxfilik müqaviləsi ilə bağlı olmadığı müddətcə bunu yoxlaya bilən insanlar var. Beləliklə, bunun necə işlədiyini sizə göstərəcəyəm. Bu sxem bir neçə oyunçunu əhatə edir. Siz yeni nəsil filial "oyunun" nə olduğunu görəcəksiniz.
Oyunda bir növ veb-sayt və ya məhsulu olan tacir iştirak edir və o, istifadəçi klikləri, yaradılmış hesablar, edilən alışlar və s. üçün filiallara komissiya ödəyir. Birinin saytını ziyarət etməsi, linkə klikləməsi, tacir saytınıza daxil olması və oradan nəsə alması üçün filiala pul ödəyirsiniz.
Növbəti oyunçu, alıcıları satıcının veb saytına yönləndirmək üçün klik başına ödəmə (CPC) və ya komissiya (CPA) şəklində pul alan bir filialdır.
Komissiyalar tərəfdaşın fəaliyyəti nəticəsində müştərinin satıcının saytında alış-veriş etdiyini nəzərdə tutur.
Alıcı, alış-veriş edən və ya satıcının səhmlərinə abunə olan şəxsdir.
Affiliate şəbəkələri satıcı, tərəfdaş və alıcının fəaliyyətini birləşdirən və izləyən texnologiya təmin edir. Onlar bütün oyunçuları bir-birinə "yapışdırırlar" və onların qarşılıqlı əlaqəsini təmin edirlər.
Bütün bunların necə işlədiyini başa düşmək üçün sizə bir neçə gün və ya bir neçə həftə lazım ola bilər, lakin burada mürəkkəb texnologiyalar yoxdur. Affiliate şəbəkələri və filial proqramları bütün ticarət növlərini və bütün bazarları əhatə edir. Google, EBay, Amazon-da var, onların komissiya maraqları üst-üstə düşür, hər yerdə var və gəlirləri yoxdur. Əminəm ki, bloqunuzdan gələn trafik hətta aylıq bir neçə yüz dollar qazanc gətirə bilər, ona görə də bu sxemi başa düşməyiniz asan olacaq.
Sistem belə işləyir. Siz kiçik bir sayta və ya elektron bülleten lövhəsinə qoşulursunuz, fərqi yoxdur, filial proqramına üzv olun və veb səhifənizdə yerləşdirdiyiniz xüsusi bir keçid əldə edin. Bu belə görünür:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Bu, spesifik ortaq proqramı, bu halda 100 olan filial ID-nizi və satılan məhsulun adını sadalayır. Kimsə bu linkə klik edərsə, brauzer onu filial şəbəkəsinə yönləndirir, onu ID=100 ortaqlığı ilə əlaqələndirən xüsusi izləmə kukiləri təyin edir.
Set-Cookie: AffiliateID=100Və satıcının səhifəsinə yönləndirir. Əgər alıcı sonradan bir gün, bir saat, üç həftə, hər hansı razılaşdırılmış vaxt ola bilən X müddətində hansısa məhsulu alırsa və bu müddət ərzində kukilər mövcud olmağa davam edərsə, o zaman tərəfdaş öz komissiyasını alır.
Bu, ortaq şirkətləri effektiv SEO taktikalarından istifadə edərək milyardlarla dollar qazandıran sxemdir. Mən sizə bir nümunə verəcəyəm. Növbəti slayd çeki göstərir, indi mən sizə məbləği göstərmək üçün böyüdəcəyəm. Bu, Google-dan 132 dollarlıq çekdir. Bu centlmenin adı Schumanndır, o, reklam saytları şəbəkəsinin sahibidir. Bütün pul bu deyil, Google ayda bir və ya 2 ayda bir dəfə belə məbləğlər ödəyir.
Google-dan başqa bir çek, onu artıracağam və 901 dollara yazıldığını görəcəksiniz.
Bu pul qazanma yollarının etikasını kimdənsə soruşmalıyam? Salonda sükut... Bu çek 2 aylıq ödənişi əks etdirir, çünki əvvəlki çek ödəniş çox böyük olduğuna görə alıcının bankı tərəfindən rədd edilib.
Deməli, biz əminik ki, belə pul qazanmaq olar və bu pullar ödənilir. Bu sxemi necə oynamaq olar? Biz Cookie Doldurma və ya Cookie Doldurma adlı texnikadan istifadə edə bilərik. Bu, 2001-2002-ci illərdə ortaya çıxan çox sadə bir konsepsiyadır və bu slayd onun 2002-ci ildə necə göründüyünü göstərir. Mən sizə onun görünüşünün hekayəsini danışacağam.
Filial şəbəkələrinin zəhlətökən xidmət şərtlərindən başqa heç bir şey istifadəçidən brauzerinin filial ID ilə kuki götürməsi üçün linkə klikləməsini tələb edir.
Siz adətən istifadəçi tərəfindən kliklənən bu URL-i avtomatik olaraq şəkil mənbəyinə və ya iframe teqinə yükləyə bilərsiniz. Və bir keçid əvəzinə:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Bunu yükləyirsiniz:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Ya da ki:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>İstifadəçi səhifənizə çatdıqda avtomatik olaraq ortaq kukini götürəcək. Eyni zamanda, gələcəkdə bir şey alıb-almamasından asılı olmayaraq, trafiki yönləndirmisinizsə və ya etməsəniz, komissiyanızı alacaqsınız - fərqi yoxdur.
Son bir neçə il ərzində bu, mesaj lövhələrində bu kimi şeylər yerləşdirən və keçidlərini başqa hara yerləşdirmək üçün hər cür ssenari hazırlayan SEO adamları üçün əyləncəyə çevrildi. Təcavüzkar tərəfdaşlar anladılar ki, onlar öz kodlarını təkcə öz saytlarında deyil, İnternetdə istənilən yerdə yerləşdirə bilərlər.
Bu slaydda onların istifadəçilərə öz "doldurulmuş peçenyelərini" hazırlamağa kömək edən öz kuki doldurma proqramlarının olduğunu görə bilərsiniz. Və bu, sadəcə bir kuki deyil, siz eyni vaxtda 20-30 filial şəbəkəsinin identifikatorunu yükləyə bilərsiniz və kimsə nəsə alan kimi bunun üçün pul alırsınız.
Tezliklə bu uşaqlar bu kodu öz səhifələrində yerləşdirə bilməyəcəklərini başa düşdülər. Onlar saytlararası skriptdən imtina etdilər və sadəcə olaraq HTML kodu olan kiçik fraqmentlərini mesaj lövhələrində, qonaq kitablarında, sosial şəbəkələrdə yerləşdirməyə başladılar.
Təxminən 2005-ci ilə qədər tacirlər və filial şəbəkələri nə baş verdiyini anladılar, istinad edənləri izləməyə və tarifləri klikləməyə başladılar və şübhəli filialları təpikləməyə başladılar. Məsələn, onlar qeyd etdilər ki, istifadəçi MySpace saytına klik edir, lakin bu sayt qanuni fayda əldə edəndən tamamilə fərqli bir filial şəbəkəsinə aiddir.
Bu uşaqlar bir az daha müdrikləşdilər və 2007-ci ildə yeni bir növ Cookie-Stuffing doğuldu. Partnyorlar kodlarını SSL səhifələrində yerləşdirməyə başladılar. Hypertext Transfer Protocol RFC 2616-a əsasən, istinad edən səhifə təhlükəsiz protokoldan köçürülübsə, müştərilər etibarsız HTTP sorğusuna Referer başlıq sahəsi daxil etməməlidirlər. Bunun səbəbi siz bu məlumatın domeninizdən sızmasını istəmirsiniz.
Buradan aydın olur ki, tərəfdaşa göndərilən heç bir Referer izlənilə bilməyəcək, ona görə də əsas tərəfdaşlar boş bir link görəcək və bunun üçün sizi qovmaq mümkün olmayacaq. İndi fırıldaqçılar cəzasız olaraq öz "doldurulmuş peçenyelərini" hazırlamaq imkanı əldə edirlər. Düzdür, hər brauzer bunu etməyə imkan vermir, lakin brauzerin meta-təzələmə, meta teqlər və ya JavaScript-in cari səhifəsinin avtomatik yenilənməsindən istifadə edərək, eyni şeyi etmək üçün bir çox başqa yollar var.
2008-ci ildə onlar yenidən bağlama hücumları kimi daha güclü haker alətlərindən istifadə etməyə başladılar - DNS rebinding, Gifar və mövcud müdafiə modellərini tamamilə məhv edə bilən zərərli Flash məzmunu. Onları necə istifadə edəcəyinizi anlamaq üçün bir az vaxt lazımdır, çünki Cookie Doldurma uşaqlar həqiqətən qabaqcıl hakerlər deyil, sadəcə kodlaşdırma haqqında çox şey bilməyən aqressiv marketoloqlardır.
Yarı əlçatan məlumatların satışı
Beləliklə, biz 6 rəqəmli məbləği necə qazanacağımıza baxdıq və indi yeddi rəqəmli olanlara keçək. Varlanmaq və ya ölmək üçün bizə böyük pul lazımdır. Yarı əlçatan məlumatları sataraq necə pul qazana biləcəyinizi nəzərdən keçirəcəyik. Business Wire bir neçə il əvvəl çox məşhur idi və hələ də vacibdir, biz bunu bir çox saytlarda görürük. Bilməyənlər üçün Business Wire saytın qeydiyyatdan keçmiş istifadəçilərinin minlərlə şirkətdən ən son press-relizlər axını aldığı bir xidmət təqdim edir. Press-relizlər bu şirkətə müxtəlif təşkilatlar tərəfindən göndərilir ki, onlar bəzən müvəqqəti olaraq qadağan edilir və ya embarqo qoyulur, ona görə də bu press-relizlərdə olan məlumatlar səhmlərin dəyərinə təsir edə bilər.
Press-reliz faylları Business Wire veb serverinə yüklənir, lakin embarqo qaldırılana qədər əlaqələndirilmir. Bütün bu müddət ərzində press-reliz veb səhifələri əsas veb-saytla əlaqələndirilir və istifadəçilərə bu kimi URL-lərlə onlar haqqında məlumat verilir:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmBeləliklə, embarqo altında olduğunuz müddətdə saytda maraqlı məlumatlar yerləşdirirsiniz ki, embarqo aradan qaldırılan kimi istifadəçilər dərhal onlarla tanış olsunlar. Bu bağlantılar tarixlənir və e-poçt vasitəsilə istifadəçilərə göndərilir. Qadağanın müddəti başa çatan kimi link işləyəcək və istifadəçini müvafiq press-relizin yerləşdirildiyi sayta yönləndirəcək. Press-reliz veb səhifəsinə giriş icazəsi verməzdən əvvəl sistem istifadəçinin qanuni şəkildə daxil olmasını təmin etməlidir.
Embarqonun müddəti bitməzdən əvvəl bu məlumatı görmək hüququnuz olub-olmadığını yoxlamırlar, sadəcə sistemə daxil olmaq lazımdır. İndiyə qədər zərərsiz görünür, ancaq bir şeyi görə bilməməyiniz onun orada olmadığı demək deyil.
Estoniya maliyyə şirkəti Lohmus Haavel & Viisemann, heç də haker deyil, press-reliz veb səhifələrinin proqnozlaşdırıla bilən üsullarla adlandırıldığını aşkar etdi və bu URL-ləri təxmin etməyə başladı. Embarqo qüvvədə olduğu üçün bağlantılar hələ mövcud olmaya bilsə də, bu o demək deyil ki, haker fayl adını təxmin edə bilməz və buna görə də ona vaxtından əvvəl daxil ola bilər. Bu üsul işlədi, çünki Business Wire-ın yeganə təhlükəsizlik yoxlaması istifadəçinin qanuni şəkildə daxil olması idi, başqa heç nə.
Beləliklə, estoniyalılar bazar bağlanmazdan əvvəl məlumat aldılar və bu məlumatları satdılar. SEC onları təqib etməzdən və hesablarını dondurmazdan əvvəl, yarı mövcud məlumat ticarətindən 8 milyon dollar qazanmağı bacardılar. Nəzərə alın ki, bu uşaqlar linklərin necə göründüyünə baxdılar, URL-ləri təxmin etməyə çalışdılar və bundan 8 milyon qazandılar. Adətən bu məqamda tamaşaçılardan bunun qanuni və ya qeyri-qanuni hesab edilib-edilmədiyini, ticarət anlayışlarına aid olub-olmadığını soruşuram. Amma hələlik diqqətinizi bunu kimin etdiyinə cəlb etmək istəyirəm.
Bu suallara cavab verməyə çalışmazdan əvvəl sizə növbəti slaydı göstərəcəyəm. Bunun internet fırıldaqları ilə heç bir əlaqəsi yoxdur. Ukraynalı haker biznes kəşfiyyatı təminatçısı olan Thomson Financial-a müdaxilə edərək məlumatın maliyyə bazarına daxil olmasından bir neçə saat əvvəl IMS Health-in maliyyə sıxıntısını oğurlayıb. Onun oğurluqda günahkar olduğuna şübhə yoxdur.
Haker 42 min dollar məbləğində satış sifarişləri verib, məzənnələr düşənə qədər oynayıb. Ukrayna üçün bu, böyük məbləğdir, ona görə də haker nə ilə məşğul olduğunu yaxşı bilirdi. Səhm qiymətinin qəfil düşməsi ona bir neçə saat ərzində təxminən 300 dollar qazanc gətirdi. Birja Qırmızı Bayraq yerləşdirdi, SEC nəyinsə səhv getdiyini görərək vəsaiti dondurdu və araşdırmaya başladı. Bununla belə, hakim Naomi Reis Buchwald bildirib ki, vəsaitlər dondurulmalıdır, çünki Dorozhkonun iddia etdiyi "oğurluq və ticarət" və "hack və ticarət" qiymətli kağızlar qanunlarını pozmur. Haker bu şirkətin əməkdaşı olmadığı üçün məxfi maliyyə məlumatlarının açıqlanması ilə bağlı heç bir qanunu pozmayıb.
“The Times” qəzeti ABŞ Ədliyyə Departamentinin Ukrayna hakimiyyətinin cinayətkarın tutulmasında əməkdaşlıq üçün razılığının alınması ilə bağlı çətinliklərə görə sadəcə olaraq bu işi nəticəsiz hesab etdiyini təklif edib. Beləliklə, bu haker 300 min dolları çox asanlıqla əldə etdi.
İndi bunu insanların sadəcə brauzerlərindəki linklərin URL-lərini dəyişdirərək və kommersiya məlumatlarını satmaqla pul qazandıqları əvvəlki halla müqayisə edin. Bunlar olduqca maraqlıdır, lakin birjada pul qazanmağın yeganə yolları deyil.
Passiv məlumat toplamağı düşünün. Adətən, onlayn alış-veriş etdikdən sonra alıcı ardıcıl və ya psevdo-ardıcıl ola bilən və bu kimi görünən sifariş izləmə kodunu alır:
3200411
3200412
3200413
Bununla siz sifarişinizi izləyə bilərsiniz. Pentesters və ya hakerlər adətən şəxsiyyəti müəyyənləşdirən məlumatları (PII) ehtiva edən sifariş məlumatlarına daxil olmaq üçün URL-ləri "sürüşdürməyə" çalışırlar:
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Nömrələr arasında sürüşərək onlar kredit kartı nömrələrinə, ünvanlarına, adlarına və alıcının digər şəxsi məlumatlarına çıxış əldə edirlər. Bununla belə, biz müştərinin şəxsi məlumatları ilə maraqlanmırıq, lakin sifariş izi kodunun özü, bizi passiv kəşfiyyat maraqlandırır.
Nəticə çıxarmaq sənəti
Nəticələr çəkmək sənətini nəzərdən keçirin. Bir şirkətin rübün sonunda nə qədər “sifariş” emal etdiyini dəqiq təxmin edə bilsəniz, o zaman tarixi məlumatlara əsaslanaraq, onun maliyyə vəziyyətinin yaxşı olub-olmaması və səhm qiymətinin hansı istiqamətdə dəyişəcəyi qənaətinə gələ bilərsiniz. Məsələn, siz rübün əvvəlində bir şey sifariş etmisiniz və ya almısınız, fərqi yoxdur, sonra rübün sonunda yeni sifariş etdiniz. Rəqəmlərin fərqinə görə, bu müddət ərzində şirkət tərəfindən nə qədər sifarişin işləndiyi qənaətinə gələ bilərik. Eyni dövr üçün yüz minə qarşı min sifarişdən danışırıqsa, şirkətin zəif işlədiyini güman edə bilərsiniz.
Bununla belə, fakt budur ki, çox vaxt bu ardıcıllıq nömrələri sifariş və ya sonradan ləğv edilmiş sifariş yerinə yetirilmədən əldə edilə bilər. Ümid edirəm ki, bu nömrələr onsuz da görünməyəcək və ardıcıllıq nömrələrlə davam edəcək:
3200418
3200419
3200420
Bu yolla siz sifarişləri izləmək imkanınız olduğunu bilirsiniz və onların bizə təqdim etdiyi saytdan passiv məlumat toplamağa başlaya bilərsiniz. Bunun qanuni olub-olmadığını bilmirik, ancaq bunu etmək olar.
Beləliklə, biz biznes məntiqinin müxtəlif mənfi cəhətlərini nəzərdən keçirdik.
Trey Ford: hücum edənlər iş adamlarıdır. İnvestisiyalarının qarşılığını gözləyirlər. Texnologiya nə qədər çox olsa, kod nə qədər böyük və mürəkkəb olsa, bir o qədər çox iş görməli olacaqsınız və yaxalanma ehtimalınız bir o qədər çox olar. Ancaq heç bir səy göstərmədən hücumları həyata keçirməyin çox faydalı yolları var. Biznes məntiqi nəhəng bir işdir və cinayətkarlar üçün onu pozmaq üçün böyük motivasiya var. Biznes məntiqi qüsurları cinayətkarlar üçün əsas hədəfdir və sadəcə skan etmək və ya adi QA testi aparmaqla aşkarlana bilməyən bir şeydir. QA-da keyfiyyət təminatı ilə bağlı psixoloji problem var ki, buna “təsdiq qərəzi” deyilir, çünki hamı kimi biz də haqlı olduğumuzu bilmək istəyirik. Buna görə də testləri real şəraitdə aparmaq lazımdır.
Hər şeyi və hər şeyi yoxlamaq lazımdır, çünki bütün zəiflikləri inkişaf mərhələsində, kodu təhlil etməklə və hətta QA zamanı tapmaq mümkün deyil. Beləliklə, siz bütün iş prosesindən keçməli və onu qorumaq üçün bütün tədbirləri hazırlamalısınız. Bəzi hücum növləri zamanla təkrarlandığı üçün tarixdən çox şey öyrənmək olar. CPU-nun pik istifadəsi səbəbindən bir gecə yuxudan oyansanız, bəzi hakerlərin yenidən etibarlı endirim kuponlarını izləməyə çalışdığını güman edə bilərsiniz. Hücum növünü tanımağın əsl yolu aktiv hücumu müşahidə etməkdir, çünki onu jurnal tarixçəsinə əsasən tanımaq son dərəcə çətin bir iş olacaq.
Ceremi Qrossman: Beləliklə, bu gün öyrəndiklərimiz budur.
Captchaları həll etmək sizə dollarla dörd rəqəm gətirə bilər. Onlayn ödəniş sistemləri ilə manipulyasiyalar hakerə beş rəqəmli qazanc gətirəcək. Bankları sındırmaq sizə beşdən çox rəqəm qazandıra bilər, xüsusən də bunu bir dəfədən çox etsəniz.
Elektron ticarət fırıldaqları sizə altı rəqəm verəcək və filial şəbəkələrindən istifadə sizə 5-6 rəqəm və ya hətta yeddi rəqəm verəcəkdir. Əgər kifayət qədər cəsarətlisinizsə, birjanı aldatmağa və yeddi rəqəmdən çox qazanc əldə etməyə cəhd edə bilərsiniz. Ən yaxşı çihuahua üçün yarışmalarda RSnake metodundan istifadə qiymətsizdir!
Bu təqdimat üçün yeni slaydlar çox güman ki, CD-yə daxil edilməyib, ona görə də onları daha sonra mənim blog səhifəmdən yükləyə bilərsiniz. Sentyabrda mənim iştirak edəcəyim OPSEC konfransı gəlir və düşünürəm ki, onlarla həqiqətən gözəl işlər görə biləcəyik. İndi hər hansı bir sualınız varsa, onlara cavab verməyə hazırıq.
Bəzi reklamlar 🙂
Bizimlə qaldığınız üçün təşəkkür edirik. Məqalələrimiz xoşunuza gəlirmi? Daha maraqlı məzmun görmək istəyirsiniz? Sifariş verməklə və ya dostlarınıza tövsiyə etməklə bizə dəstək olun, , Bizim tərəfimizdən sizin üçün ixtira edilmiş giriş səviyyəli serverlərin unikal analoquna Habr istifadəçiləri üçün 30% endirim: (RAID1 və RAID10, 24 nüvəyə qədər və 40 GB DDR4 ilə mövcuddur).
Dell R730xd 2 dəfə ucuzdur? Yalnız burada Hollandiyada! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollardan! haqqında oxuyun
Mənbə: www.habr.com