Те стигнаха дотам, че обсъдиха възможността да използват UPS драйвери, за да се изправят срещу заподозрения. Нека сега проверим дали цитираното на този слайд е законно?
Ето отговора на FTC на въпроса „Трябва ли да върна или да платя за артикул, който никога не съм поръчвал?“ - "Не. Ако получите артикул, който не сте поръчали, имате законното право да го приемете като безплатен подарък." Това звучи ли етично? Измивам си ръцете, защото не съм достатъчно умен, за да обсъждам подобни въпроси.
Но интересното е, че виждаме тенденция, при която колкото по-малко технология използваме, толкова повече пари получаваме.
Партньорски интернет измами
Джереми Гросман: наистина е много трудно за разбиране, но по този начин можете да получите шестцифрена сума пари. И така, всички истории, които сте чули, имат реални връзки и можете да прочетете подробно за всичко това. Един от най-интересните видове интернет измами са партньорските измами. Онлайн магазините и рекламодателите използват партньорски мрежи, за да привлекат трафик и потребители към своите сайтове в замяна на дял от печалбите, които правят.
Ще говоря за нещо, което много хора знаят от години, но не можах да намеря нито една публична справка, която да посочи колко загуби е причинил този тип измама. Доколкото знам, няма съдебни дела, няма криминални разследвания. Говорил съм с производствени предприемачи, говорил съм с момчета от партньорската мрежа, говорил съм с Черните котки - всички те вярват, че измамниците са направили огромна сума пари от партньорството.
Моля Ви да ми повярвате на думата и да се запознаете с резултата от "домашното", което свърших по тези конкретни проблеми. На тях измамниците „заваряват“ месечно 5-6-цифрени, а понякога и седемцифрени суми със специални техники. В тази стая има хора, които могат да потвърдят това, стига да не са обвързани със споразумение за поверителност. И така, ще ви покажа как работи. Тази схема включва няколко играча. Ще видите какво представлява афилиейт „игра“ от ново поколение.
Играта включва търговец, който има някакъв уебсайт или продукт, и той плаща комисионни на партньорите за потребителски кликвания, създадени акаунти, направени покупки и т.н. Плащате на партньор за това някой да посети техния сайт, да кликне върху връзка, да отиде на вашия сайт на търговец и да купи нещо там.
Следващият играч е партньор, който получава пари под формата на плащане на клик (CPC) или комисионна (CPA) за пренасочване на купувачите към уебсайта на продавача.
Комисионните предполагат, че в резултат на дейността на партньора клиентът е направил покупка на уебсайта на продавача.
Купувач е лице, което прави покупки или записва акции на продавача.
Партньорските мрежи предоставят технология, която свързва и проследява дейностите на продавача, партньора и купувача. Те „слепват“ всички играчи и осигуряват взаимодействието им.
Може да ви отнеме няколко дни или няколко седмици, за да разберете как работи всичко, но тук няма сложни технологии. Партньорските мрежи и партньорските програми обхващат всички видове търговия и всички пазари. Google, EBay, Amazon ги имат, комисионните им се припокриват, те са навсякъде и не им липсват приходи. Сигурен съм, че знаете, че дори трафикът от вашия блог може да донесе няколкостотин долара месечни печалби, така че тази схема ще бъде лесна за разбиране.
Ето как работи системата. Свързвате малък сайт или електронно табло за обяви, няма значение, регистрирате се за партньорска програма и получавате специална връзка, която поставяте на вашата уеб страница. Изглежда така:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Това изброява конкретната партньорска програма, вашия партньорски идентификатор, който в този случай е 100, и името на продукта, който се продава. И ако някой кликне върху тази връзка, браузърът го насочва към партньорската мрежа, задава специални проследяващи бисквитки, които го свързват с партньорския ID=100.
Set-Cookie: AffiliateID=100И пренасочва към страницата на продавача. Ако по-късно купувачът закупи някакъв продукт в рамките на период от време X, който може да бъде ден, час, три седмици, произволно договорено време, и през това време бисквитките продължават да съществуват, тогава партньорът получава своята комисионна.
Това е схемата, която кара партньорските компании да печелят милиарди долари, използвайки ефективни SEO тактики. Ще ви дам пример. Следващият слайд показва чека, сега ще увелича, за да ви покажа сумата. Това е чек от Google за $132 2. Името на този господин е Шуман, той притежава мрежа от рекламни сайтове. Това не са всички пари, Google плаща такива суми веднъж месечно или веднъж на всеки XNUMX месеца.
Още един чек от Google, ще го увелича и ще видите, че е изписан за $901 XNUMX.
Трябва ли да попитам някого за етиката на тези начини за печелене на пари? Тишина в залата... Този чек представлява плащане за 2 месеца, тъй като предишният чек беше отхвърлен от банката на получателя поради твърде голямото изплащане.
Така че ние сме убедени, че такива пари могат да бъдат направени и тези пари се изплащат. Как може да се играе тази схема? Можем да използваме техника, наречена Cookie-Stuffing или Cookie Stuffing. Това е много проста концепция, която се появи през 2001-2002 г., а този слайд показва как изглеждаше през 2002 г. Ще ви разкажа историята на нейната поява.
Нищо друго освен досадните условия за обслужване на партньорските мрежи изискват от потребителя действително да щракне върху връзката, за да може браузърът му да вземе бисквитката с идентификатора на партньора.
Можете автоматично да заредите този URL адрес, който обикновено се щраква от потребителя, в източник на изображение или във вграден таг. И вместо връзка:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Вие изтегляте това:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Или това:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>И когато потребителят стигне до вашата страница, той автоматично ще вземе партньорската бисквитка. В същото време, независимо дали той купува нещо в бъдеще, вие ще получите своята комисионна, дали сте пренасочили трафика или не - няма значение.
През последните няколко години това се превърна в забавление за момчетата от SEO, които публикуват неща като това в таблата за съобщения и разработват всякакви сценарии къде другаде да поставят връзките си. Агресивните партньори осъзнаха, че могат да поставят кода си навсякъде в интернет, не само на собствените си сайтове.
На този слайд можете да видите, че те имат свои собствени програми за пълнене на бисквитки, които помагат на потребителите да направят свои собствени „пълнени бисквитки“. И това не е само една бисквитка, можете да изтеглите 20-30 идентификатора на партньорска мрежа едновременно и веднага щом някой купи нещо, вие получавате плащане за това.
Скоро тези момчета разбраха, че не могат да поставят този код на своите страници. Те изоставиха междусайтовия скрипт и просто започнаха да публикуват малките си фрагменти с HTML код в таблата за съобщения, в книгите за гости, в социалните мрежи.
Около 2005 г. търговците и партньорските мрежи разбраха какво се случва, започнаха да проследяват референтите и честотата на кликване и започнаха да отблъскват подозрителни партньори. Например, те забелязаха, че потребител щраква върху сайт на MySpace, но този сайт принадлежи към напълно различна партньорска мрежа от тази, която получава законна полза.
Тези момчета станаха малко по-мъдри и през 2007 г. се роди нов вид Cookie-Stuffing. Партньорите започнаха да поставят своя код на SSL страници. Съгласно Hypertext Transfer Protocol RFC 2616, клиентите не трябва да включват поле за заглавка Referer в несигурна HTTP заявка, ако препращащата страница е мигрирана от защитен протокол. Това е така, защото не искате тази информация да изтече от вашия домейн.
От това става ясно, че нито един Referer, изпратен до партньора, няма да бъде непроследим, така че основните партньори ще видят празна връзка и няма да могат да ви изгонят заради това. Сега измамниците имат възможност да правят свои собствени „бисквитки с пълнеж“ безнаказано. Вярно е, че не всеки браузър ви позволява да направите това, но има много други начини да направите същото, като използвате автоматичното актуализиране на текущата страница на мета-опресняване на браузъра, мета тагове или JavaScript.
През 2008 г. те започнаха да използват по-мощни хакерски инструменти като rebinding атаки - DNS rebinding, Gifar и злонамерено Flash съдържание, което може напълно да унищожи съществуващите модели на защита. Отнема известно време, за да разберете как да ги използвате, защото момчетата от Cookie Stuffing не са наистина напреднали хакери, те са просто агресивни търговци, които не знаят много за кодирането.
Разпродажба на полудостъпна информация
И така, разгледахме как да спечелим 6-цифрени суми, а сега нека да преминем към седемцифрените. Имаме нужда от големи пари, за да забогатеем или да умрем. Ще разгледаме как можете да печелите пари, като продавате полудостъпна информация. Business Wire беше много популярен преди няколко години и все още е важен, виждаме го в много сайтове. За тези, които не знаят, Business Wire предоставя услуга, при която регистрираните потребители на сайта получават поток от актуални прессъобщения от хиляди компании. Съобщенията за пресата се изпращат до тази компания от различни организации, които понякога са временно забранени или ембаргови, така че информацията, съдържаща се в тези съобщения за пресата, може да повлияе на стойността на акциите.
Файловете с прессъобщения се качват на уеб сървъра на Business Wire, но не се свързват, докато ембаргото не бъде премахнато. През цялото време уеб страниците за прессъобщения са свързани с основния уебсайт и потребителите се уведомяват за тях с URL адреси като този:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmПо този начин, докато сте под ембаргото, публикувате интересни данни на сайта, така че веднага щом ембаргото бъде премахнато, потребителите веднага ще се запознаят с тях. Тези връзки са с дата и се изпращат на потребителите по имейл. Веднага след като забраната изтече, връзката ще работи и ще насочи потребителя към сайта, където е публикувано съответното съобщение за пресата. Преди да предостави достъп до уеб страницата с прессъобщение, системата трябва да се увери, че потребителят е влязъл законно.
Те не проверяват дали имате право да видите тази информация преди да изтече ембаргото, трябва само да влезете в системата. Засега изглежда безобидно, но това, че не можете да видите нещо, не означава, че го няма.
Естонската финансова компания Lohmus Haavel & Viisemann, която изобщо не е хакер, откри, че уеб страниците с прессъобщения са именувани по предвидими начини и започна да отгатва тези URL адреси. Въпреки че връзките може все още да не съществуват, тъй като е в сила ембарго, това не означава, че хакерът не може да отгатне името на файла и по този начин да получи достъп до него преждевременно. Този метод работи, защото единствената проверка на сигурността на Business Wire беше дали потребителят е влязъл законно и нищо друго.
Така естонците получиха информация преди затварянето на пазара и продадоха тези данни. Преди SEC да ги проследи и да замрази сметките им, те успяха да спечелят 8 милиона долара от търговия с полудостъпна информация. Помислете, че тези момчета просто погледнаха как изглеждат връзките, опитаха се да отгатнат URL адреси и направиха 8 милиона от това. Обикновено в този момент питам аудиторията дали това е законно или незаконно, дали се отнася до понятията за търговия или не. Но засега искам само да ви обърна внимание кой го е направил.
Преди да се опитате да отговорите на тези въпроси, ще ви покажа следващия слайд. Това няма нищо общо с интернет измами. Украински хакер хакна Thomson Financial, доставчик на бизнес разузнаване, и открадна финансовите затруднения на IMS Health часове преди информацията да влезе на финансовия пазар. Няма съмнение, че той е виновен за кражба с взлом.
Хакерът пусна поръчки за продажба в размер на 42 хиляди долара, играейки, докато курсовете паднаха. За Украйна това е огромна сума, така че хакерът е знаел добре в какво се забърква. Внезапният спад в цената на акциите му донесе около 300 XNUMX долара печалба в рамките на няколко часа. Борсата постави Червен флаг, SEC замрази средствата, забелязвайки, че нещо се обърка, и започна разследване. Съдия Наоми Рейс Бухвалд обаче каза, че средствата трябва да бъдат размразени, тъй като предполагаемите „кражба и търговия“ и „хакване и търговия“ на Дорожко не нарушават законите за ценните книжа. Хакерът не е бил служител на тази компания, така че не е нарушил никакви закони за разкриване на поверителна финансова информация.
Вестник "Таймс" предположи, че Министерството на правосъдието на САЩ просто е счело този случай за безполезен поради трудностите, свързани с получаването на съгласието на украинските власти за сътрудничество при залавянето на престъпника. Така че този хакер получи 300 хиляди долара много лесно.
Сега сравнете това с предишния случай, при който хората печелят пари само като променят URL адресите на връзките в своя браузър и продават търговска информация. Това са доста интересни, но не и единствените начини за правене на пари на борсата.
Помислете за пасивно събиране на информация. Обикновено, след извършване на онлайн покупка, купувачът получава код за проследяване на поръчката, който може да бъде последователен или псевдо-последователен и изглежда по следния начин:
3200411
3200412
3200413
С него можете да следите поръчката си. Пентестъри или хакери се опитват да „превъртат“ URL адреси, за да получат достъп до данни за поръчки, обикновено съдържащи информация, позволяваща идентифициране на самоличността (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Чрез превъртане през числата те получават достъп до номера на кредитни карти, адреси, имена и друга лична информация на купувача. Ние обаче не се интересуваме от личната информация на клиента, а от самия код за проследяване на поръчката, интересуваме се от пасивната интелигентност.
Изкуството да се правят заключения
Помислете за изкуството да правите изводи. Ако можете точно да прецените колко „поръчки“ обработва една компания в края на тримесечието, тогава въз основа на исторически данни можете да заключите дали финансовото й състояние е добро и в каква посока ще се колебае цената на акциите й. Например, поръчали сте или купили нещо в началото на тримесечието, няма значение, и след това сте направили нова поръчка в края на тримесечието. По разликата в числата можем да заключим колко поръчки са обработени от компанията през този период от време. Ако говорим за хиляда поръчки срещу сто хиляди за същия период, можете да предположите, че компанията се справя зле.
Факт е обаче, че често тези поредни номера могат да бъдат получени без реално изпълнение на поръчка или поръчка, която впоследствие е била отменена. Надяваме се, че тези числа все пак не се показват и последователността продължава с числата:
3200418
3200419
3200420
По този начин знаете, че имате възможност да проследявате поръчките и можете да започнете пасивно да събирате информация от сайта, която те ни предоставят. Не знаем дали е законно или не, знаем само, че може да се направи.
И така, разгледахме различни недостатъци на бизнес логиката.
Трей Форд: нападателите са бизнесмени. Те очакват възвръщаемост на инвестицията си. Колкото повече технология, толкова по-голям и по-сложен е кодът, толкова повече работа трябва да свършите и толкова по-вероятно е да ви хванат. Но има много много изгодни начини за извършване на атаки без никакви усилия. Бизнес логиката е гигантски бизнес и има огромна мотивация за престъпниците да го разбият. Пропуските в бизнес логиката са основна цел за престъпниците и са нещо, което не може да бъде открито чрез просто сканиране или извършване на рутинно QA тестване. Има психологически проблем с осигуряването на качеството в QA, който се нарича „пристрастие към потвърждението“, защото, както всички останали, ние искаме да знаем, че сме прави. Поради това е необходимо да се проведе тестване в реални условия.
Необходимо е да се тества всичко и всичко, защото не всички уязвимости могат да бъдат открити на етапа на разработка, чрез анализ на кода или дори по време на QA. Така че трябва да преминете през целия бизнес процес и да разработите всички мерки за защитата му. Много може да се научи от историята, защото някои видове атаки се повтарят във времето. Ако една нощ се събудите поради пиково натоварване на процесора, тогава можете да предположите, че някой хакер се опитва отново да намери валидни купони за отстъпка. Истинският начин да разпознаете вида на атаката е да наблюдавате активна атака, тъй като разпознаването й въз основа на хронологията на журнала ще бъде изключително трудна задача.
Джереми Гросман: И така, ето какво научихме днес.
Решаването на captcha може да ви донесе четирицифрени суми в долари. Манипулирането на онлайн платежни системи ще донесе на хакера петцифрена печалба. Хакването на банки може да ви спечели повече от петцифрени цифри, особено ако го направите повече от веднъж.
Измамите в електронната търговия ще ви дадат шестцифрени цифри, а използването на партньорски мрежи ще ви даде 5-6 или дори седемцифрени цифри. Ако сте достатъчно смели, можете да опитате да заблудите фондовия пазар и да получите повече от седемцифрена печалба. А използването на метода RSnake в състезания за най-добро чихуахуа е безценно!
Новите слайдове за тази презентация вероятно не са включени в компактдиска, така че можете да ги изтеглите по-късно от страницата на моя блог. През септември предстои конференция на OPSEC, на която ще присъствам, и мисля, че ще можем да направим някои наистина страхотни неща с тях. И сега, ако имате въпроси, ние сме готови да им отговорим.
Малко реклами 🙂
Благодарим ви, че останахте с нас. Харесвате ли нашите статии? Искате ли да видите още интересно съдържание? Подкрепете ни, като направите поръчка или препоръчате на приятели, , 30% отстъпка за потребителите на Habr за уникален аналог на сървъри от начално ниво, който беше измислен от нас за вас: (предлага се с RAID1 и RAID10, до 24 ядра и до 40GB DDR4).
Dell R730xd 2 пъти по-евтин? Само тук в Холандия! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - от $99! Прочети за
Източник: www.habr.com