Išli su toliko daleko da su razgovarali o mogućnosti da se vozači UPS-a suoče sa osumnjičenim. Hajde sada da proverimo da li je ono što je citirano na ovom slajdu legalno?
Evo šta FTC kaže na pitanje: "Da li da vratim ili platim artikal koji nikada nisam naručio?" - „Ne. Ako dobijete artikl koji niste naručili, imate zakonsko pravo da ga prihvatite kao besplatan poklon." Da li ovo zvuči etično? Perem ruke od ovoga jer nisam dovoljno pametan da raspravljam o takvim temama.
Ali ono što je zanimljivo je da vidimo trend u kojem što manje tehnologije koristimo, više novca zarađujemo.
Affiliate Internet prijevara
Jeremy Grossman: to je zaista veoma teško razumeti, ali na ovaj način možete zaraditi šestocifreni novac. Dakle, sve priče koje ste čuli imaju prave linkove i o svemu tome možete detaljno pročitati. Jedna od najzanimljivijih vrsta internetskih prijevara je prijevara sa partnerima. Internetske trgovine i oglašivači koriste pridružene mreže kako bi privukli promet i korisnike na svoje stranice u zamjenu za dio profita dobivenog od toga.
Govoriću o nečemu za šta mnogi ljudi znaju godinama, ali nisam uspeo da pronađem ni jednu javnu referencu koja ukazuje na to koliki je gubitak ova vrsta prevare izazvala. Koliko ja znam, nije bilo tužbi, nije bilo krivičnih istraga. Razgovarao sam sa preduzetnicima u proizvodnji, razgovarao sam sa momcima iz mreže afilijacija, razgovarao sam sa Crnim mačkama - svi oni veruju da su prevaranti zaradili ogroman novac od podružnica.
Vjerujte mi na riječ i pregledajte domaći zadatak koji sam uradio o ovim konkretnim pitanjima. Prevaranti ih koriste za izradu 5-6-cifrenih, a ponekad i sedmocifrenih suma mjesečno, koristeći posebne tehnike. U ovoj prostoriji postoje ljudi koji to mogu provjeriti ako nisu vezani ugovorom o povjerljivosti. Tako da ću vam pokazati kako to funkcionira. Nekoliko je igrača uključeno u ovu šemu. Vidjet ćete o čemu se radi u pridruženoj “igri” sljedeće generacije.
Igra uključuje trgovca koji ima web stranicu ili proizvod i plaća partnerima provizije za klikove korisnika, kreirane račune, izvršene kupovine itd. Affiliate-u plaćate za činjenicu da neko posjeti njegovu web stranicu, klikne na link, ode na web stranicu vašeg prodavača i tamo nešto kupi.
Sljedeći igrač je affiliate, koji prima novac u obliku cijene po kliku (CPC) ili u obliku provizije (CPA) za preusmjeravanje kupaca na web stranicu prodavca.
Provizije podrazumijevaju da je kao rezultat aktivnosti partnera klijent izvršio kupovinu na web stranici prodavca.
Kupac je osoba koja kupuje ili se upisuje na dionice prodavca.
Affiliate mreže pružaju tehnologije koje povezuju i prate aktivnosti prodavača, partnera i kupca. Oni "sljepljuju" sve igrače zajedno i osiguravaju njihovu interakciju.
Možda će vam trebati nekoliko dana ili nekoliko sedmica da shvatite kako sve to funkcionira, ali nije uključena komplikovana tehnologija. Affiliate mreže i partnerski programi pokrivaju sve vrste trgovine i sva tržišta. Ima ih Google, EBay, Amazon, ukrštaju im se interesi komisionara, posvuda su i prihoda im ne nedostaje. Siguran sam da znate da čak i promet sa vašeg bloga može generirati nekoliko stotina dolara profita svakog mjeseca, tako da će vam ovu šemu biti lako razumjeti.
Ovako sistem funkcioniše. Povezujete mali sajt, ili elektronsku oglasnu tablu, nije bitno, potpisujete partnerski program i dobijate poseban link koji postavljate na svoju internet stranicu. izgleda ovako:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ovo pokazuje određeni partnerski program, vaš partnerski ID, u ovom slučaju to je 100, i naziv proizvoda koji se prodaje. A ako neko klikne na ovaj link, pretraživač ga preusmjerava na affiliate mrežu, instalira posebne kolačiće za praćenje koji ga povezuju sa affiliate ID=100.
Set-Cookie: AffiliateID=100I preusmjerava na stranicu prodavca. Ako kupac kasnije kupi neki proizvod unutar vremenskog perioda X, koji može biti dan, sat, tri sedmice, bilo koje dogovoreno vrijeme, a za to vrijeme kolačići nastave da postoje, tada affiliate prima svoju proviziju.
Ovako pridružene kompanije zarađuju milijarde dolara koristeći efikasne SEO taktike. Dozvolite mi da vam dam primjer. Sljedeći slajd prikazuje račun, sada ću ga povećati da vam pokažem iznos. Ovo je ček od Googlea na 132 dolara. Ovaj gospodin se preziva Schumann i posjeduje mrežu reklamnih web stranica. Ovo nije sav novac, Google isplaćuje takve iznose jednom mjesečno ili jednom u 2 mjeseca.
Još jedan ček od Gugla, povećaću ga i videćete da je za 901 dolara.
Da pitam nekoga o etici ovako zarađivanja novca? Tišina u sali... Ovaj ček predstavlja plaćanje za 2 mjeseca, jer je prethodni ček odbijen od strane banke primaoca zbog prevelikog iznosa uplate.
Dakle, vidjeli smo da se ovakav novac može zaraditi i taj novac se isplaćuje. Kako možete pobijediti ovu šemu? Možemo koristiti tehniku koja se zove Cookie-Suffing. Ovo je vrlo jednostavan koncept koji se pojavio 2001-2002, a ovaj slajd pokazuje kako je izgledao 2002. Ispričaću vam priču o njegovom izgledu.
Ništa osim dosadnih uslova usluge pridružene mreže ne zahtijevaju da korisnik zaista klikne na link kako bi njegov pretraživač pokupio kolačić ID pridruženog partnera.
Možete automatski učitati ovaj tipično kliknuti URL u izvor slike ili iframe oznaku. U ovom slučaju, umjesto veze:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ovo preuzimate:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>ili ono:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>A kada korisnik dođe na vašu stranicu, automatski će preuzeti affiliate kolačić. U isto vrijeme, bez obzira da li će nešto kupiti u budućnosti, vi ćete dobiti svoje provizije, da li ste preusmjerili promet ili ne - nije bitno.
U proteklih nekoliko godina, ovo je postalo zabava za SEO momke koji objavljuju sličan materijal na oglasnim pločama i razvijaju sve vrste scenarija gdje još postaviti svoje veze. Agresivni partneri su shvatili da svoj kod mogu postaviti bilo gdje na internetu, a ne samo na svoje web stranice.
Na ovom slajdu možete vidjeti da imaju vlastite programe za punjenje kolačića koji pomažu korisnicima da naprave vlastite „punjene kolačiće“. I to nije samo jedan kolačić, možete učitati 20-30 affiliate ID-a u isto vrijeme, i čim neko nešto kupi, za to vam se plaća.
Ovi momci su ubrzo shvatili da ne moraju stavljati ovaj kod na svoje stranice. Napustili su skriptovanje na više lokacija i jednostavno su počeli objavljivati svoje male isječke sa HTML kodom na oglasnim pločama, knjigama gostiju i društvenim mrežama.
Otprilike 2005. godine, trgovci i pridružene mreže shvatili su što se događa, počeli su pratiti preporuke i stope klikanja i počele izbacivati sumnjive podružnice. Na primjer, primijetili su da je korisnik kliknuo na MySpace stranicu, ali ta stranica pripada potpuno drugačijoj pridruženoj mreži od one koja je dobila legitimnu korist.
Ovi momci su postali malo mudriji i 2007. godine pojavila se nova vrsta Cookie-Suffinga. Partneri su počeli postavljati svoj kod na SSL stranice. Prema protokolu Hypertext Transfer Protocol RFC 2616, klijenti ne bi trebali uključiti polje zaglavlja Referer u nesiguran HTTP zahtjev ako je referentna stranica migrirana sa sigurnog protokola. To je zato što ne želite da ove informacije procure sa vaše domene.
Iz ovoga je jasno da bilo koji Referer poslan partneru neće biti praćen, tako da će glavni partneri vidjeti prazan link i neće vas moći izbaciti zbog toga. Sada prevaranti imaju priliku da nekažnjeno prave svoje „punjene kolačiće“. Istina, ne dozvoljava vam svaki pretraživač to, ali postoji mnogo drugih načina da uradite istu stvar koristeći automatsko osvježavanje meta-osvježavanja trenutne stranice, meta tagova ili JavaScript-a.
2008. godine počeli su koristiti moćnije hakerske alate, kao što su napadi ponovnog povezivanja DNS-a, Gifar i zlonamjerni Flash sadržaj, koji mogu potpuno uništiti postojeće sigurnosne modele. Potrebno je neko vrijeme da shvatite kako ih koristiti jer tipovi iz Cookie-Stuffinga nisu posebno napredni hakeri, oni su samo agresivni trgovci s malo znanja o kodiranju.
Prodaja poludostupnih informacija
Dakle, pogledali smo kako zaraditi šestocifreni iznos, a sada pređimo na sedmocifrene iznose. Potreban nam je veliki novac da bismo se obogatili ili umrli. Pogledat ćemo kako možete zaraditi novac prodajom poludostupnih informacija. Business Wire je bio vrlo popularan prije nekoliko godina i još uvijek je važan, vidimo njegovu prisutnost na mnogim stranicama. Za one koji ne znaju, Business Wire pruža uslugu pomoću koje registrovani korisnici sajta dobijaju stream ažuriranih saopštenja za štampu hiljada kompanija. Saopštenja za javnost ovoj kompaniji šalju razne organizacije, koje su ponekad podložne privremenim zabranama ili embargom, tako da informacije sadržane u ovim saopštenjima mogu uticati na cijenu dionica.
Datoteke sa saopštenjima za javnost se postavljaju na web server Business Wire, ali nisu povezane dok se embargo ne ukine. Sve to vrijeme, web stranice sa saopštenjima su povezane s glavnom web-stranicom, a korisnici se o njima obavještavaju putem URL-ova poput ovog:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmTako, dok ste pod embargom, na sajt postavljate zanimljive podatke kako bi se korisnici odmah po ukidanju embarga upoznali s njim. Ovi linkovi su datirani i poslani su korisnicima putem e-pošte. Kada zabrana istekne, link će raditi i usmjeriti korisnika na stranicu na kojoj je objavljeno odgovarajuće saopštenje za javnost. Prije nego što odobri pristup web stranici sa saopštenjem za javnost, sistem mora provjeriti da li je korisnik legalno prijavljen.
Oni ne provjeravaju da li imate pravo na pregled ovih informacija prije isteka embarga, samo se trebate prijaviti na sistem. Za sada se čini bezopasnim, ali samo zato što nešto ne vidite ne znači da ga nema.
Estonska kompanija za finansijske usluge Lohmus Haavel & Viisemann, a ne hakeri, otkrili su da su web stranice sa saopštenjima za javnost imenovane na predvidljiv način i počeli da pogađaju te URL adrese. Iako veze možda još ne postoje jer je na snazi embargo, to ne znači da haker ne može pogoditi naziv fajla i time dobiti pristup njemu prerano. Ova metoda je funkcionirala jer je jedina sigurnosna provjera Business Wire-a bila da je korisnik prijavljen legalno i ništa drugo.
Tako su Estonci dobili informacije prije zatvaranja tržišta i prodali te podatke. Sve dok ih SEC nije pronašao i zamrznuo njihove račune, uspjeli su zaraditi 8 miliona dolara od trgovine poludostupnim informacijama. Razmislite o tome, sve što su ovi momci radili je da su pogledali kako izgledaju linkovi, pokušali pogoditi URL-ove i zaradili 8 miliona od toga. Obično u ovom trenutku pitam publiku da li se to smatra legalnim ili nelegalnim, da li se to smatra trgovinom ili ne. Ali za sada samo želim da vam skrenem pažnju ko je ovo uradio.
Pre nego što pokušate da odgovorite na ova pitanja, pokazaću vam sledeći slajd. Ovo nije direktno povezano s online prijevarom. Ukrajinski haker je hakovao Thomson Financial, provajdera poslovne inteligencije, i ukrao podatke o finansijskim problemima IMS Health-a nekoliko sati prije nego što je informacija trebala doći na finansijsko tržište. Nema sumnje da je kriv za hakovanje.
Haker je dao naloge za prodaju u iznosu od 42 hiljade dolara, igrajući pre nego što su kursevi pali. Za Ukrajinu je to ogroman iznos, pa je haker dobro znao u šta se upušta. Nagli pad cijene dionica donio mu je oko 300 dolara profita u roku od nekoliko sati. Berza je objavila “Crvena zastava”, SEC je zamrznula sredstva, uočivši da nešto nije u redu, i započela istragu. Međutim, sutkinja Naomi Reis Buchwald rekla je da bi sredstva trebala biti odmrznuta jer optužbe za "krađu i trgovinu" i "hakovanje i trgovanje" koje se pripisuju Dorozhku ne krše zakone o vrijednosnim papirima. Haker nije bio zaposlenik ove kompanije, te stoga nije prekršio nijedan zakon u vezi sa otkrivanjem povjerljivih finansijskih informacija.
Times je sugerirao da Ministarstvo pravde SAD-a jednostavno smatra da je slučaj uzaludan zbog poteškoća da se ukrajinske vlasti pristanu na saradnju u hvatanju počinitelja. Tako je ovaj haker vrlo lako dobio 300 hiljada dolara.
Sada uporedite ovo sa prethodnim slučajem kada su ljudi zaradili novac jednostavnom promenom URL-ova linkova u svom pretraživaču i prodajom komercijalnih informacija. Ovo su prilično zanimljivi, ali ne i jedini načini da zaradite novac na berzi.
Razmotrimo pasivno prikupljanje informacija. Obično, nakon kupovine putem interneta, kupac dobije kod za praćenje narudžbe, koji može biti sekvencijalan ili pseudosekvencijalan i izgleda otprilike ovako:
3200411
3200412
3200413
Pomoću njega možete pratiti svoju narudžbu. Pentesteri ili hakeri pokušavaju indeksirati URL-ove kako bi dobili pristup podacima o narudžbi, koji obično sadrže lične podatke (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Skrolovanjem po brojevima dobijaju pristup brojevima kreditnih kartica kupca, adresama, imenima i drugim ličnim podacima. Međutim, ne zanimaju nas lični podaci klijenta, već sam kod za praćenje narudžbe; zanima nas pasivno izviđanje.
Umijeće donošenja zaključaka
Razmotrite “Umetnost zaključivanja”. Ako možete precizno procijeniti koliko „narudžbi“ kompanija obrađuje na kraju tromjesečja, onda, na osnovu historijskih podataka, možete zaključiti da li je njena finansijska situacija dobra i kako će varirati cijena dionica. Na primjer, naručili ste ili kupili nešto na početku tromjesečja, nije važno, a onda ste napravili novu narudžbu na kraju tromjesečja. Na osnovu razlike u brojkama može se zaključiti koliko je porudžbina obrađeno od strane kompanije u ovom periodu. Ako govorimo o hiljadu narudžbi naspram sto hiljada za isti prethodni period, možete pretpostaviti da kompanija posluje loše.
Međutim, činjenica je da se često ovi redni brojevi mogu dobiti bez stvarnog završetka narudžbe ili narudžbe koja se naknadno otkazuje. Nadam se da ovi brojevi ni u kom slučaju neće biti prikazani i da će se niz nastaviti sa brojevima:
3200418
3200419
3200420
Na ovaj način znate da imate mogućnost da pratite narudžbe i možete početi pasivno prikupljati informacije sa stranice koje nam one pružaju. Ne znamo da li je to legalno ili ne, znamo samo da se to može uraditi.
Dakle, sagledali smo razne nedostatke poslovne logike.
Trey Ford: napadači su biznismeni. Očekuju povrat ulaganja. Što je više tehnologije, veći je i složeniji kod, to je potrebno više posla i veća je vjerovatnoća da ćete biti uhvaćeni. Ali postoji mnogo vrlo isplativih načina za izvođenje napada bez ikakvog napora. Poslovna logika je ogroman posao i postoji ogroman poticaj za kriminalce da je hakuju. Nedostaci poslovne logike su glavna meta za kriminalce i nešto su što se ne može otkriti jednostavnim skeniranjem ili izvođenjem standardnog testiranja kao dijela procesa osiguranja kvaliteta. Postoji psihološki problem u QA koji se zove "pristrasnost potvrde" jer, poput ljudi, želimo znati da smo u pravu. Stoga je potrebno provesti testiranje u realnim uslovima.
Potrebno je testirati sve i svakoga, jer se sve ranjivosti ne mogu otkriti u fazi razvoja analizom koda, pa čak ni tokom QA. Dakle, potrebno je proći kroz cijeli poslovni proces i razviti sve mjere za njegovu zaštitu. Mnogo se može naučiti iz istorije jer se određene vrste napada ponavljaju tokom vremena. Ako vas jedne noći probudi skok CPU-a, možete pretpostaviti da neki haker ponovo pokušava pronaći važeće kupone za popust. Pravi način da se prepozna tip napada je posmatranje aktivnog napada, jer će njegovo prepoznavanje na osnovu istorije dnevnika biti izuzetno teško.
Jeremy Grossman: pa evo šta smo danas naučili.
Pogađanjem captcha možete zaraditi četverocifreni iznos u dolarima. Manipulisanje onlajn platnim sistemima će hakeru doneti petocifreni profit. Hakiranje banaka može vam donijeti više od petocifrenih profita, posebno ako to učinite više puta.
Prevare u e-trgovini će vam donijeti šest cifara novca, dok će vam korištenje pridruženih mreža donijeti 5-6 cifara ili čak sedam cifara. Ako ste dovoljno hrabri, možete pokušati prevariti berzu i ostvariti više od sedmocifrenog profita. A korištenje RSnake metode u takmičenjima za najbolju čivavu je jednostavno neprocjenjivo!
Novi slajdovi za ovu prezentaciju vjerovatno nisu stigli na CD, tako da ih možete preuzeti kasnije sa moje stranice bloga. Predstoji OPSEC konferencija u septembru na kojoj ću prisustvovati i mislim da ćemo moći da napravimo neke zaista cool stvari sa njima. Sada, ako imate bilo kakvih pitanja, spremni smo da na njih odgovorimo.
Neke reklame 🙂
Hvala vam što ste ostali s nama. Da li vam se sviđaju naši članci? Želite li vidjeti još zanimljivih sadržaja? Podržite nas naručivanjem ili preporukom prijateljima, , 30% popusta za korisnike Habra na jedinstveni analog početnih servera, koji smo mi osmislili za vas: (dostupno sa RAID1 i RAID10, do 24 jezgra i do 40GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Holandiji! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - od 99 USD! Pročitajte o
izvor: www.habr.com