Яны зайшлі так далёка, што сталі абмяркоўваць магчымасць прыцягнення вадзіцеляў UPS да вочнай стаўкі з падазронай. Давайце зараз праверым, ці з'яўляецца законным тое, што працытавана на гэтым слайдзе?
Вось што адказвае Федэральная гандлёвая камісія FTC на пытанне: "Ці павінен я вярнуць або аплаціць тавар, які ніколі не заказваў?" - «Не. Калі вы атрымалі тавар, які не замаўлялі, то маеце законнае права прыняць яго як бясплатны падарунак». Гэта гучыць этычна? Я мыю рукі, таму што недастаткова разумны, каб абмяркоўваць такія пытанні.
Але што цікава - мы бачым тэндэнцыю, пры якой чым менш тэхналогій мы выкарыстоўваем, тым больш грошай атрымліваем.
Партнёрскае Інтэрнэт-махлярства
Джэрэмі Гросман: гэта сапраўды вельмі складана для разумення, але такім спосабам можна атрымаць шасцізначную суму грошай. Такім чынам, на ўсе гісторыі, якія вы пачулі, ёсць рэальныя спасылкі, і вы можаце падрабязна прачытаць пра ўсё гэта. Адзін з самых цікавых відаў інтэрнэт-махлярства - гэта партнёрскае махлярства. Інтэрнэт-крамы і рэкламадаўцы з дапамогай партнёрскіх сетак прыцягваюць трафік і карыстальнікаў на свае сайты ў абмен на частку атрыманага ад гэтага прыбытку.
Я збіраюся расказаць пра тое, пра што мноства людзей ведае на працягу многіх гадоў, але я не змог знайсці ніводнай публічнай спасылкі, якая б паказвала, колькі страт нанёс гэты від махлярства. Наколькі мне вядома, не было ніякіх судовых іскаў, ніякіх крымінальных расследаванняў. Я размаўляў з прадпрымальнікамі, якія займаюцца вытворчасцю, я размаўляў з хлопцамі з партнёрскай сетак, я размаўляў з Black Cats – усе яны ўпэўненыя, што ашуканцы зарабілі на партнёрстве велізарную колькасць грошай.
Прашу мне паверыць на слова і азнаёміцца з вынікам "хатняга задання", якое я выканаў па гэтых канкрэтных праблемах. На іх ашуканцы «наварваюць» 5-6-знакавыя, а часам і сямізначны сумы штомесяц, выкарыстоўваючы асаблівыя методыкі. У гэтай залі ёсць людзі, якія могуць гэта праверыць, калі яны не звязаны пагадненнем аб канфiдэнцыяльнасцi. Дык вось, я збіраюся паказаць вам, як гэта працуе. У гэтай схеме ўдзельнічае некалькі гульцоў. Вы ўбачыце, што ўяўляе сабой партнёрская "гульня" новага пакалення.
У гульні ўдзельнічае гандляр, у якога маецца нейкі сайт або прадукт, і ён плаціць партнёрам камісійныя за карыстацкія зграі, створаныя акаўнты, здзейсненыя пакупкі і гэтак далей. Вы плаціце партнёру за тое, што нехта заходзіць на яго сайт, клікае па спасылцы, пераходзіць на ваш сайт прадаўца і нешта там купляе.
Наступны гулец - гэта партнёр, якія атрымлівае грошы ў выглядзе аплаты за кожны клік (CPC) або ў выглядзе камісійных (CPA) за тое, што перанакіроўвае пакупнікоў на сайт прадаўца.
Камісійныя маюць на ўвазе, што ў выніку дзейнасці партнёра кліент здзейсніў куплю на сайце прадаўца.
Пакупнік - гэта чалавек, які робіць пакупкі або падпісваецца на акцыі прадаўца.
Партнёрскія сеткі дае тэхналогіі, якія аб'ядноўваюць і адсочваюць дзейнасць прадаўца, партнёра і пакупніка. Яны "склейваюць" усіх гульцоў разам і забяспечваюць іх узаемадзеянне.
Вам можа спатрэбіцца некалькі дзён ці пары тыдняў, каб зразумець, як гэта ўсё працуе, але тут няма ніякіх складаных тэхналогій. Партнёрскія сеткі і партнёрскія праграмы ахопліваюць усе віды гандлю і ўсе рынкі. Яны маюцца ў Google, EBay, Amazon, іх інтарэсы камісіянераў перасякаюцца, яны паўсюль і не адчуваюць недахоп даходаў. Я ўпэўнены, што вы ведаеце, што нават трафік з вашага блога здольны штомесяц прыносіць некалькі сотняў долараў прыбытку, так што гэтую схему вам будзе лёгка зразумець.
Вось якім чынам забяспечваецца праца сістэмы. Вы афілюеце невялікі сайт, або электронную дошку аб'яў, не мае значэння, падпісваеце партнёрскую праграму і атрымліваеце спецыяльную спасылку, якую размяшчае на сваёй інтэрнэт-старонцы. Яна выглядае такім чынам:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Тут пазначана канкрэтная партнёрская праграма, ваш партнёрскі ID, у дадзеным выпадку ён роўны 100, і назва прадаванага прадукта. І калі хтосьці клікае па гэтай спасылцы, браўзэр накіроўвае яго ў партнёрскую сетку, усталёўвае адмысловыя якія адсочваюць кукіз, якія злучаюць яго з партнёрскім ID=100.
Set-Cookie: AffiliateID=100І перанакіроўвае на старонку прадаўца. Калі пазней пакупнік набывае нейкі тавар на працягу перыяду часу X, які можа складаць дзень, гадзіну, тры тыдні, любы абумоўлены час, прычым увесь гэты час кукіз працягваюць існаваць, то партнёр атрымлівае свае камісійныя.
Вось што сабой уяўляе схема, дзякуючы якой партнёрскія кампаніі зарабляюць мільярды долараў, выкарыстоўваючы эфектыўныя SEO-тактыкі. Прывяду прыклад. На наступным слайдзе паказаны чэк, зараз я яго павялічу, каб паказаць вам суму. Гэта чэк ад Google на 132 тысячы долараў. Прозвішча гэтага джэнтльмена Шуман, ён валодае сеткай рэкламных вэб-сайтаў. Гэта яшчэ не ўсе грошы, Google выплачвае такія сумы раз у месяц ці раз у 2 месяцы.
Яшчэ адзін чэк ад Google, я яго павялічу, і вы ўбачыце, што ён выпісаны на суму 901 даляраў.
Ці павінен я спытаць у кагосьці з нагоды этычнасці такіх спосабаў заробку? Маўчанне ў зале... Гэты чэк уяўляе сабой аплату за 2 месяцы, таму што папярэдні чэк быў адхілены банкам атрымальніка з-за занадта вялікай сумы выплаты.
Такім чынам, мы ўпэўніліся, што такія грошы можна зрабіць, і гэтыя грошы выплачваюцца. Як жа можна абгуляць гэтую схему? Мы можам выкарыстоўваць прыём пад назвай Cookie-Stuffing, або "Начынне для печыва". Гэта вельмі простая канцэпцыя, якая з'явілася ў 2001-2002 годзе, і на гэтым слайдзе паказана, як яна выглядала ў 2002. Раскрыю вам гісторыю яе з'яўлення.
Нішто, акрамя надакучлівых сэрвісных умоў партнёрскіх сетак, не патрабуе, каб карыстач сапраўды клікнуў спасылку для таго, каб яго браўзэр падхапіў кукіз з партнёрскім ID.
Вы можаце аўтаматычна загрузіць гэты URL, па якім звычайна клікае карыстач, у крыніцу малюнка або ў тэг iframe. Пры гэтым замест спасылкі:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Вы загружаеце гэта:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Або гэта:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>І калі карыстач патрапіць на вашу старонку, ён аўтаматычна падхопіць партнёрскі кукіз. Пры гэтым незалежна ад таго, ці купіць ён нешта ў далейшым, вы атрымаеце свае камісійныя, перанакіравалі вы трафік ці не - усё роўна.
За апошнія некалькі гадоў гэта стала забаўкай SEO хлопцаў, якія размяшчаюць падобны матэрыял на дошках аб'яў і распрацоўваюць усялякія сцэнары, дзе б яшчэ размясціць свае спасылкі. Агрэсіўныя партнёры зразумелі, што могуць размяшчаць свой код у любым месцы інтэрнэту, а не толькі на ўласных сайтах.
На гэтым слайдзе вы бачыце, што ў іх ёсць свае праграмы для Cookie-Stuffing, якія дапамагаюць карыстачам вырабіць свае "пячэнні з начыннем". І гэта не адно кукіз, вы можаце загрузіць 20-30 ідэнтыфікатараў партнёрскіх сетак адначасова, і як толькі нехта нешта купляе, вы атрымліваеце за гэта грошы.
Неўзабаве гэтыя хлопцы зразумелі, што могуць не размяшчаць гэты код на сваіх старонках. Яны адмовіліся ад міжсайтавага скрыптынгу і проста сталі размяшчаць свае невялікія сніпеты з HTML-кодам на дошках аб'яў, у гасцявых кнігах, у сацыяльных сетках.
Прыкладна да 2005 года гандляры і партнёрскія сеткі разабраліся ў тым, што адбываецца, пачалі адсочваць рэферэраў і рэйтынг пераходаў па спасылках і прыняліся выганяць падазроных партнёраў. Напрыклад, яны заўважалі, што карыстач здзяйсняе клік на сайце MySpace, але гэты сайт належыць зусім іншай партнёрскай сетцы, чым тая, што атрымлівае законную выгаду.
Гэтыя хлопцы сталі крыху мудрэй, і ў 2007 годзе з'явіўся новы від Cookie-Stuffing. Партнёры сталі размяшчаць свой код на SSL-старонках. Паводле Пратакола перадачы гіпертэксту RFC 2616, кліенты не павінны ўключаць поле загалоўка Referer у небяспечны HTTP-запыт, калі якая спасылаецца старонка была перанесеная з бяспечнага пратаколу. Гэта тлумачыцца тым, што вы не хочаце уцечкі гэтай інфармацыі з вашага дамена.
З гэтага зразумела, што ніякі Referer, які адпраўляецца партнёру, немагчыма будзе адсачыць, таму галоўныя партнёры ўбачаць пустую спасылку і не змогуць вас за гэта выгнаць. Цяпер ашуканцы атрымалі магчымасць бяскарна вырабляць сваё "пячэнне з начыннем". Праўда, не кожны браўзэр дазваляе такое прарабіць, але ёсць шмат іншых спосабаў зрабіць тое ж самае, выкарыстоўваючы аўтаматычнае абнаўленне бягучай старонкі браўзэра meta-refresh, метатэгі ці JavaScript.
У 2008 годзе яны сталі выкарыстоўваць больш магутныя хакерскія прылады, такія як напады перапрывязвання - DNS rebinding, Gifar і шкоднасны Flash-кантэнт, здольныя цалкам разбурыць існуючыя мадэлі абароны. Патрабуецца некаторы час, каб высветліць, як іх можна выкарыстоўваць, таму што хлопцы, якія займаюцца Cookie-Stuffing, не асабліва прасунутыя хакеры, яны проста агрэсіўныя маркетолагі, якія слаба разбіраюцца ў напісанні кодаў.
Продаж напаўдаступнай інфармацыі
Такім чынам, мы разгледзелі, як зарабіць 6-знакавыя сумы, а зараз пяройдзем да сямізначны. Нам патрэбны буйныя грошы, каб разбагацець ці памерці. Мы разгледзім, як можна зрабіць грошы, прадаючы напаўдаступную інфармацыю. Кампанія Business Wire была вельмі папулярнай пару гадоў таму, і яна ўсё яшчэ застаецца важнай, мы бачым яе прысутнасць на многіх сайтах. Для тых, хто не ведае - Business Wire прадастаўляе паслугу, якая складаецца ў тым, што зарэгістраваныя карыстальнікі сайта атрымліваюць паток актуальных прэс-рэлізаў ад тысяч кампаній. Прэс-рэлізы накіроўваюцца ў гэтую кампанію рознымі арганізацыямі, якія часам часова трапляюць пад забарону, ці эмбарга, таму інфармацыя, прыведзеная ў гэтых прэс-рэлізах, можа паўплываць на кошт акцый.
Файлы прэс-рэлізаў загружаюцца на вэб-сервер Business Wire, але не лінкуюцца, пакуль не знята эмбарга. Увесь гэты час вэб-старонкі прэс-рэлізаў злучаны з асноўным вэб-сайтам, і карыстачы апавяшчаюцца аб іх URL-адрасамі такога выгляду:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmТакім чынам, вы, пакуль знаходзіцеся пад эмбарга, размяшчае на сайце цікавыя дадзеныя для таго, каб як толькі эмбарга будзе знята, карыстачы неадкладна з імі азнаёміліся. Гэтыя спасылкі датуюцца і рассылаюцца карыстальнікам па электроннай пошце. Як толькі тэрмін забароны скончыцца, спасылка спрацуе і накіруе карыстальніка на сайт, дзе размешчаны адпаведны прэс-рэліз. Перад тым, як даць доступ да вэб-старонкі прэс-рэлізу, сістэма павінна пераканацца, што карыстач зайшоў у сістэму законным чынам.
Яны не правяраюць, ці маеце вы права азнаёміцца з дадзенай інфармацыяй да таго, як скончыцца тэрмін эмбарга, вам трэба ўсяго толькі аўтарызавацца ў сістэме. Пакуль што здаецца бяскрыўдным, але ж калі вы чагосьці не бачыце, гэта не азначае, што яго там няма.
Эстонская фінансавая кампанія Lohmus Haavel & Viisemann, зусім не хакеры, выявіла, што вэб-старонкі прэс-рэлізаў былі названыя прадказальным чынам, і пачала адгадваць гэтыя URL. У той час як спасылкі могуць яшчэ не існаваць, таму што дзейнічае эмбарга, гэта не азначае, што хакер не можа адгадаць імя файла і такім чынам заўчасна атрымаць да яго доступ. Дадзены метад спрацоўваў таму, што адзіная праверка бяспекі Business Wire складалася ў тым, каб карыстач увайшоў у сістэму легальнай выявай, і нічога больш.
Такім чынам, эстонцы атрымлівалі інфармацыю раней, чым закрываўся рынак, і прадавалі гэтыя даныя. Пакуль SEC не высачылі іх і не замарозілі ім рахункі, яны паспелі зарабіць на гандлі напаўдаступнай інфармацыяй 8 мільёнаў долараў. Падумайце аб тым, што гэтыя хлопцы ўсяго толькі прыгледзеліся да таго, як выглядаюць спасылкі, паспрабавалі адгадваць URL-адрасы і зрабілі на гэтым 8 мільёнаў. Звычайна ў гэтым месцы я пытаю аўдыторыю, ці лічыць гэта законным ці незаконным, ці адносіцца гэта да паняццяў гандлю ці не. Але зараз я проста хачу звярнуць вашу ўвагу на тое, хто гэта зрабіў.
Перш чым вы паспрабуеце адказаць на гэтыя пытанні, я пакажу вам наступны слайд. Гэта не мае прамога дачынення да махлярства ў інтэрнэце. Украінскі хакер узламаў кампанію Thomson Financial, пастаўшчыка аналітычнай інфармацыі для бізнэсу, і скраў дадзеныя аб фінансавым няшчасці кампаніі IMS Health за некалькі гадзін да таго, як гэтая інфармацыя павінна была патрапіць на фінансавы рынак. Тое, што ён вінаваты ва ўзломе, не выклікае ніякіх сумневаў.
Хакер выставіў ордэры на продаж у суме 42 тысячы долараў, згуляўшы да падзення ставак. Для Ўкраіны гэта велізарная сума, так што хакер добра ведаў, на што ідзе. Раптоўнае падзенне курса акцый прынесла яму на працягу некалькіх гадзін каля 300 тысяч долараў прыбытку. Біржа вывесіла "Чырвоны сцяг", SEC замарозіла сродкі, заўважыўшы, што нешта ідзе не так, і пачатак расследаванне. Аднак суддзя Наомі Рэйс Бухвальд заявіў, што сродкі павінны быць размарожаныя, бо прыпісваныя Дарожкам «крадзеж і гандаль» і «хакерства і гандаль» не парушаюць законы аб каштоўных паперах. Хакер не быў супрацоўнікам дадзенай кампаніі, таму не парушыў ніякіх законаў аб разгалашэнні канфідэнцыйнай фінансавай інфармацыі.
Газета The Times выказала здагадку, што Дэпартамент юстыцыі ЗША проста палічыў гэтую справу бесперспектыўнай з-за цяжкасцяў, звязаных з атрыманнем згоды ўладаў Украіны на супрацоўніцтва ў справе злову злачынцы. Так што гэты хакер атрымаў 300 тысяч долараў вельмі лёгка.
Цяпер параўнайце гэта з папярэднім выпадкам, калі людзі зарабілі грошы, проста змяняючы URL-адрасы спасылак у сваім браўзэры і прадаючы камерцыйную інфармацыю. Гэта даволі цікавыя, але не адзіныя спосабы зарабіць грошы на фондавай біржы.
Разгледзім пасіўны збор інфармацыі. Звычайна пасля здзяйснення анлайн-пакупкі пакупнік атрымлівае трэк-код замовы, які можа быць паслядоўным або псеўда-паслядоўным і выглядае прыкладна так:
3200411
3200412
3200413
З яго дапамогай вы можаце адсачыць сваю замову. Пентэстэры або хакеры спрабуюць «пракруціць» URL-адрасы, каб атрымаць доступ да дадзеных зробленай замовы, звычайна ўтрымоўвальным асабістую інфармацыю (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Пракручваючы нумары, яны атрымліваюць доступ да нумароў крэдытных кард, адрасам, імёнаў і іншай асабістай інфармацыі пакупніка. Аднак нас цікавіць не персанальная інфармацыя кліента, а сам трэк-код замовы, нас цікавіць пасіўная разведка.
Мастацтва рабіць вывады
Разгледзім "Мастацтва рабіць высновы". Калі вы можаце сапраўды ацаніць, колькі "заказаў" кампанія апрацоўвае на канец квартала, то, грунтуючыся на гістарычных дадзеных, можаце зрабіць выснову, ці добрыя яе фінансавыя справы і ў які бок будзе вагацца кошт яе акцый. Напрыклад, вы нешта замовілі ці купілі ў пачатку квартала, не важна, а затым здзейснілі новую замову ў канцы квартала. Па розніцы нумароў можна зрабіць выснову аб тым, колькі заказаў было апрацавана кампаніяй на працягу гэтага перыяду часу. Калі гаворка ідзе аб тысячы заказаў супраць ста тысяч за аналагічны мінулы перыяд, вы можаце выказаць здагадку, што справы кампаніі дрэнныя.
Аднак справа ў тым, што часта гэтыя парадкавыя нумары могуць быць атрыманы без фактычнага выканання замовы ці замовы, які пасля быў адменены. Спадзяюся, што гэтыя нумары не адлюструюцца ў любым выпадку і паслядоўнасць працягнецца з нумароў:
3200418
3200419
3200420
Такім чынам, вы ведаеце, што ў вас ёсць магчымасць адсачыць замовы, і можаце пачаць пасіўна збіраць інфармацыю з сайта, якую яны нам даюць. Мы не ведаем, ці законна гэта ці не, мы ведаем толькі, што гэта можна зрабіць.
Такім чынам, мы з вамі разгледзелі розныя недахопы бізнэс-логікі.
Трэй Форд: атакавалыя - гэта бізнесмены. Яны разлічваюць на акупнасць сваіх інвестыцый. Чым больш тэхналогій, чым больш і складаней код, тым больш працы трэба зрабіць і тым большая верагоднасць быць злоўленым. Але існуе шмат вельмі выгодных спосабаў ажыццявіць напады без усялякіх намаганняў. Бізнес-логіка - гэта гіганцкі бізнэс, і ў злачынцаў існуе велізарная матывацыя для яе ўзлому. Недахопы бізнес-логікі - гэта асноўная мэта злачынцаў і гэта тое, што нельга выявіць, проста запусціўшы сканіраванне або правёўшы стандартнае тэсціраванне ў працэсе забеспячэння якасці. У забеспячэнні якасці QA існуе псіхалагічная праблема, якую завуць "схільнасць да пацверджання свайго пункта гледжання", таму што, як усякія людзі, мы жадаем ведаць, што мы маем рацыю. Таму трэба праводзіць тэсціраванне ў рэальных умовах.
Неабходна тэставаць усё і ўся, таму што не ўсе ўразлівасці можна выявіць на этапе распрацоўкі, аналізуючы код, ці нават падчас QA. Так што вам трэба прайсці праз увесь бізнэс-працэс і распрацаваць усе мерапрыемствы па яго абароне. Многае можна запазычыць з гісторыі, таму што некаторыя тыпы нападаў паўтараюцца з цягам часу. Калі аднойчы ўначы вас разбудзяць з-за пікавай нагрузкі на працэсар, тыя вы можаце выказаць здагадку, што нейкі хакер зноў спрабуе адшукаць дзейсныя зніжкавы купоны. Рэальны спосаб распазнаць тып нападу - гэта назіраць за актыўнай атакай, таму што яе распазнанне на аснове гісторыі логаў будзе надзвычай цяжкай задачай.
Джэрэмі Гросман: вось што мы сёння даведаліся.
Угадванне капчы можа прынесці вам чатырохзначную суму ў далярах. Маніпуляцыі з аплатнымі анлайн-сістэмамі прынясуць хакеру пяцізначны прыбытак. Узлом банкаў можа прынесці вам прыбытак, якая ацэньваецца больш за пяцізначнай лічбай, асабліва калі вы праробіце гэта не адзін раз.
Махлярства ў галіне электроннай камерцыі дасць вам шасцізначную суму грошай, а выкарыстанне партнёрскіх сетак - 5-6-значны або нават сямізначны прыбытак. Калі вы дастатковыя смелыя, то можаце паспрабаваць абдурыць біржавы рынак і атрымаць больш за сямізначную выгаду. А выкарыстанне метаду RSnake у конкурсах на лепшую чыхуахуа проста неацэнна!
Верагодна, новыя слайды гэтай прэзентацыі не патрапілі на кампакт-дыск, так што вы зможаце спампаваць іх пазней са старонкі майго блога. У верасні павінна адбыцца канферэнцыя OPSEC, у якой я збіраюся ўдзельнічаць, і думаю, што нам удасца сумесна з імі стварыць нейкія сапраўды крутыя рэчы. А зараз, калі ў вас ёсць пытанні, мы гатовы на іх адказаць.
Крыху рэкламы 🙂
Дзякуй, што застаяцеся з намі. Вам падабаюцца нашыя артыкулы? Жадаеце бачыць больш цікавых матэрыялаў? Падтрымайце нас, аформіўшы замову ці парэкамендаваўшы знаёмым, , 30% зніжка для карыстальнікаў Хабра на ўнікальны аналаг entry-level сервераў, які быў прыдуманы намі для Вас: (даступныя варыянты з RAID1 і RAID10, да 24 ядраў і да 40GB DDR4).
Dell R730xd у 2 разы танней? Толькі ў нас у Нідэрландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – ад $99! Чытайце аб тым
Крыніца: habr.com