Van arribar a discutir la possibilitat que els conductors d'UPS s'enfrontessin al sospitós. Comprovem ara si el que es cita en aquesta diapositiva és legal?
Això és el que diu l'FTC quan se li pregunta: "He de tornar o pagar un article que no he demanat mai?" - "No. Si rebeu un article que no vau demanar, teniu el dret legal d'acceptar-lo com a regal". Això sona ètic? Em rento les mans d'això perquè no sóc prou intel·ligent per parlar d'aquests temes.
Però el que és interessant és que veiem una tendència en la qual com menys tecnologia fem servir, més diners guanyem.
Frau a Internet d'afiliats
Jeremy Grossman: és realment molt difícil d'entendre, però pots guanyar sis xifres de diners d'aquesta manera. Així doncs, totes les històries que has escoltat tenen enllaços reals i pots llegir-ne tot en detall. Un dels tipus més interessants de frau a Internet és el frau d'afiliats. Les botigues en línia i els anunciants utilitzen xarxes d'afiliats per atraure trànsit i usuaris als seus llocs a canvi d'una part dels beneficis rebuts d'això.
Parlaré d'una cosa que molta gent coneix des de fa anys, però no he pogut trobar una sola referència pública que indiqui quanta pèrdua ha provocat aquest tipus d'estafa. Que jo sàpiga, no hi va haver judicis, ni investigacions penals. He parlat amb empresaris de fabricació, he parlat amb nois de la xarxa d'afiliats, he parlat amb Black Cats: tots creuen que els estafadors han guanyat una gran quantitat de diners amb els afiliats.
Si us plau, pren la meva paraula i revisa els deures que he fet sobre aquests temes específics. Els estafadors els utilitzen per fer sumes mensuals de 5-6 dígits, i de vegades de set dígits, utilitzant tècniques especials. Hi ha persones en aquesta sala que poden comprovar-ho si no estan vinculades per un acord de confidencialitat. Així que us mostraré com funciona. Hi ha diversos actors implicats en aquest esquema. Veureu de què tracta el "joc" d'afiliats de la propera generació.
El joc implica un comerciant que té un lloc web o producte i paga comissions als afiliats pels clics dels usuaris, els comptes creats, les compres realitzades, etc. Pagues a l'afiliat pel fet que algú visita el seu lloc web, fa clic en un enllaç, va al lloc web del teu venedor i hi compra alguna cosa.
El següent jugador és l'afiliat, que rep diners en forma de cost per clic (CPC) o en forma de comissions (CPA) per redirigir els compradors al lloc web del venedor.
Les comissions impliquen que com a resultat de les activitats del soci, el client va realitzar una compra al lloc web del venedor.
El comprador és la persona que fa compres o subscriu les accions del venedor.
Les xarxes d'afiliats proporcionen tecnologies que connecten i fan un seguiment de les activitats del venedor, el soci i el comprador. "Enganxen" tots els jugadors i garanteixen la seva interacció.
Pot ser que trigueu uns quants dies o un parell de setmanes esbrinar com funciona tot, però no hi ha cap tecnologia complicada. Les xarxes d'afiliats i els programes d'afiliació cobreixen tot tipus de comerç i tots els mercats. Google, eBay, Amazon els tenen, els seus interessos com a comissionistes es creuen, són a tot arreu i no els falten ingressos. Estic segur que sabeu que fins i tot el trànsit del vostre bloc pot generar diversos centenars de dòlars en beneficis cada mes, de manera que aquest esquema us serà fàcil d'entendre.
Així és com funciona el sistema. Afiliau un lloc petit, o un tauler d'anuncis electrònic, no importa, signeu un programa d'afiliació i rebeu un enllaç especial que col·loqueu a la vostra pàgina d'Internet. Es veu així:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Això mostra el programa d'afiliació específic, el vostre identificador d'afiliat, en aquest cas és 100, i el nom del producte que es ven. I si algú fa clic en aquest enllaç, el navegador el redirigeix a la xarxa d'afiliats, instal·la galetes especials de seguiment que l'enllacen a l'ID d'afiliat=100.
Set-Cookie: AffiliateID=100I redirigeix a la pàgina del venedor. Si posteriorment el comprador compra algun producte en un període de temps X, que pot ser un dia, una hora, tres setmanes, qualsevol hora pactada, i durant aquest temps les cookies continuen existint, aleshores l'afiliat rep la seva comissió.
Així és com les empreses afiliades guanyen milers de milions de dòlars utilitzant tàctiques de SEO efectives. Permeteu-me que us posi un exemple. La següent diapositiva mostra el rebut, ara l'ampliaré per mostrar-vos l'import. Aquest és un xec de Google per 132 dòlars. El cognom d'aquest senyor és Schumann i és propietari d'una xarxa de llocs web de publicitat. No són tots els diners, Google paga aquestes sumes un cop al mes o una vegada cada 2 mesos.
Un altre xec de Google, l'ampliaré i veuràs que costa 901 dòlars.
He de preguntar a algú sobre l'ètica de guanyar diners com aquest? Silenci al vestíbul... Aquest xec representa un pagament durant 2 mesos, perquè el xec anterior va ser rebutjat pel banc del destinatari perquè l'import del pagament era massa elevat.
Així doncs, hem vist que aquest tipus de diners es poden guanyar, i aquests diners s'estan pagant. Com es pot superar aquest esquema? Podem utilitzar una tècnica anomenada Cookie-Stuffing. Aquest és un concepte molt senzill que va aparèixer el 2001-2002, i aquesta diapositiva mostra com es veia el 2002. Us explicaré la història de la seva aparició.
Res menys que els molestos termes de servei de la xarxa d'afiliats requereix que un usuari faci clic a un enllaç perquè el seu navegador reculli la galeta d'identificació d'afiliats.
Podeu carregar automàticament aquest URL que sol fer clic a la font de la imatge o a l'etiqueta iframe. En aquest cas, en lloc d'un enllaç:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Us descarregueu això:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>O això:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>I quan l'usuari arribi a la teva pàgina, recollirà automàticament la galeta d'afiliat. Al mateix temps, independentment de si compra alguna cosa en el futur, rebreu les vostres comissions, tant si heu redirigit el trànsit com si no, no importa.
Durant els darrers anys, això s'ha convertit en un passatemps per als nois de SEO que publiquen material similar als taulers de missatges i desenvolupen tot tipus d'escenaris per a on posar els seus enllaços. Els socis agressius es van adonar que podien col·locar el seu codi a qualsevol lloc d'Internet, no només als seus propis llocs.
En aquesta diapositiva podeu veure que tenen els seus propis programes d'ompliment de galetes que ajuden els usuaris a crear les seves pròpies "galetes farcides". I no és només una galeta, podeu carregar entre 20 i 30 identificadors d'afiliats al mateix temps i, tan bon punt algú compra alguna cosa, se us paguen per això.
Aquests nois aviat es van adonar que no havien de posar aquest codi a les seves pàgines. Van abandonar els scripts entre llocs i simplement van començar a publicar els seus petits fragments amb codi HTML als taulers de missatges, llibres de visites i xarxes socials.
Al voltant de l'any 2005, els comerciants i les xarxes d'afiliats es van adonar del que estava passant, van començar a fer un seguiment dels referents i dels percentatges de clics i van començar a expulsar els afiliats sospitosos. Per exemple, es van adonar que un usuari feia clic en un lloc de MySpace, però aquest lloc pertanyia a una xarxa d'afiliats completament diferent a la que rep el benefici legítim.
Aquests nois es van fer una mica més savis i el 2007 va sorgir un nou tipus de farciment de galetes. Els socis van començar a col·locar el seu codi a les pàgines SSL. Segons el protocol de transferència d'hipertext RFC 2616, els clients no haurien d'incloure un camp de capçalera de referència en una sol·licitud HTTP no segura si la pàgina de referència s'ha migrat des d'un protocol segur. Això és perquè no voleu que aquesta informació es filtri del vostre domini.
A partir d'això, queda clar que qualsevol Referer enviat a un soci no serà rastrejable, de manera que els socis principals veuran un enllaç buit i no us podran expulsar per això. Ara els estafadors tenen l'oportunitat de fer les seves "galetes farcides" amb impunitat. És cert que no tots els navegadors us permeten fer això, però hi ha moltes altres maneres de fer el mateix mitjançant l'actualització automàtica del navegador de la meta-actualització de la pàgina actual, les metaetiquetes o JavaScript.
L'any 2008, van començar a utilitzar eines de pirateria més potents, com ara atacs de reenllaç de DNS, Gifar i contingut Flash maliciós, que poden destruir completament els models de seguretat existents. Es necessita una estona per esbrinar com utilitzar-los perquè els nois de Cookie-Stuffing no són pirates informàtics especialment avançats, només són venedors agressius amb pocs coneixements de codificació.
Venda d'informació semi-accessible
Per tant, hem mirat com guanyar sumes de 6 xifres, i ara passem a les set xifres. Necessitem molts diners per fer-nos rics o morir. Veurem com podeu guanyar diners venent informació semi-accessible. Business Wire va ser molt popular fa un parell d'anys i encara és important, veiem la seva presència a molts llocs. Per a aquells que no ho sàpiguen, Business Wire ofereix un servei pel qual els usuaris registrats del lloc reben un flux de comunicats de premsa actualitzats de milers d'empreses. Les notes de premsa són enviades a aquesta empresa per diferents organitzacions, que de vegades estan subjectes a prohibicions o embargaments temporals, per la qual cosa la informació continguda en aquestes notes de premsa pot afectar el preu de les accions.
Els fitxers de comunicats de premsa es pengen al servidor web de Business Wire, però no estan enllaçats fins que s'aixequi l'embargament. Mentrestant, les pàgines web dels comunicats de premsa estan enllaçades al lloc web principal i els usuaris se'n notifiquen mitjançant URL com aquesta:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmAixí, mentre esteu sota l'embargament, publiqueu dades interessants al lloc de manera que tan bon punt s'aixequi l'embargament, els usuaris es familiaritzin immediatament amb ell. Aquests enllaços estan datats i enviats als usuaris per correu electrònic. Un cop caduca la prohibició, l'enllaç funcionarà i dirigirà l'usuari al lloc on es publicarà la nota de premsa corresponent. Abans de concedir l'accés a la pàgina web de la nota de premsa, el sistema ha de verificar que l'usuari està registrat legalment.
No comproven si teniu dret a veure aquesta informació abans que caduqui l'embargament, només heu d'iniciar sessió al sistema. Fins ara sembla inofensiu, però només perquè no veieu alguna cosa no vol dir que no hi sigui.
L'empresa de serveis financers estònia Lohmus Haavel & Viisemann, no pirates informàtics en absolut, va descobrir que les pàgines web de comunicats de premsa tenien un nom previsible i van començar a endevinar aquests URL. Tot i que els enllaços encara no existeixen perquè hi ha un embargament en vigor, això no vol dir que un pirata informàtic no pugui endevinar el nom del fitxer i, per tant, hi pugui accedir prematurament. Aquest mètode va funcionar perquè l'únic control de seguretat de Business Wire era que l'usuari havia iniciat sessió legalment i res més.
Així, els estonians van rebre informació abans del tancament del mercat i van vendre aquestes dades. Fins que la SEC els va rastrejar i va congelar els seus comptes, van aconseguir guanyar 8 milions de dòlars comercialitzant informació semi-accessible. Penseu-hi, tot el que van fer aquests nois va ser mirar com eren els enllaços, intentar endevinar els URL i en van fer 8 milions. Normalment en aquest punt pregunto a l'audiència si això es considera legal o il·legal, si es considera un comerç o no. Però de moment només vull cridar la vostra atenció sobre qui va fer això.
Abans d'intentar respondre aquestes preguntes, us mostraré la següent diapositiva. Això no està directament relacionat amb el frau en línia. Un pirata informàtic ucraïnès va piratejar Thomson Financial, un proveïdor d'intel·ligència empresarial, i va robar dades sobre la dificultat financera d'IMS Health hores abans que la informació arribés al mercat financer. No hi ha dubte que és culpable de piratejar.
El pirata informàtic va fer comandes de venda per un import de 42 mil dòlars, jugant abans que baixessin les tarifes. Per a Ucraïna, això és una quantitat enorme, així que el pirata informàtic sabia bé en què s'estava ficant. La caiguda sobtada del preu de les accions li va portar uns 300 dòlars de benefici en poques hores. L'intercanvi va publicar una "bandera vermella", la SEC va congelar els fons, notant que alguna cosa anava malament i va iniciar una investigació. Tanmateix, la jutge Naomi Reis Buchwald va dir que els fons s'han de descongelar perquè les acusacions de "robatori i comerç" i "pirateria i comerç" atribuïdes a Dorozhko no violen les lleis de valors. El pirata informàtic no era un empleat d'aquesta empresa i, per tant, no va infringir cap llei sobre la divulgació d'informació financera confidencial.
El Times va suggerir que el Departament de Justícia dels EUA simplement considerava el cas inútil a causa de les dificultats per aconseguir que les autoritats ucraïneses acceptessin cooperar per capturar l'autor. Així que aquest pirata informàtic va aconseguir 300 mil dòlars molt fàcilment.
Ara compareu això amb el cas anterior en què la gent guanyava diners simplement canviant els URL dels enllaços al seu navegador i venent informació comercial. Aquestes són força interessants, però no són les úniques maneres de guanyar diners a la borsa.
Considerem la recollida d'informació passiva. Normalment, després de fer una compra en línia, el comprador rep un codi de seguiment de la comanda, que pot ser seqüencial o pseudo-seqüencial i té un aspecte com aquest:
3200411
3200412
3200413
Amb ell pots fer el seguiment de la teva comanda. Pentesters o pirates informàtics intenten rastrejar els URL per accedir a les dades de les comandes, que normalment contenen informació d'identificació personal (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417En desplaçar-se pels números, tenen accés als números de la targeta de crèdit del comprador, adreces, noms i altra informació personal. Tanmateix, no ens interessa la informació personal del client, sinó el propi codi de seguiment de la comanda; ens interessa el reconeixement passiu.
L'art de treure conclusions
Penseu en "L'art de la inferència". Si podeu estimar amb precisió quantes "comandes" està processant una empresa al final del trimestre, aleshores, a partir de dades històriques, podeu deduir si la seva situació financera és bona i com fluctuarà el preu de les accions. Per exemple, vau demanar o comprar alguna cosa al començament del trimestre, no importa, i després vau fer una nova comanda al final del trimestre. A partir de la diferència de números, es pot concloure quantes comandes va ser processada per l'empresa durant aquest període de temps. Si estem parlant de mil comandes enfront de cent mil del mateix període anterior, es pot suposar que l'empresa va malament.
Tanmateix, el fet és que sovint aquests números de seqüència es poden obtenir sense completar realment la comanda o una comanda que es cancel·la posteriorment. Espero que aquests números no es mostrin en cap cas i la seqüència continuï amb els números:
3200418
3200419
3200420
D'aquesta manera, sabeu que teniu la capacitat de fer un seguiment de les comandes i podeu començar a recopilar de manera passiva informació del lloc que ens proporcionen. No sabem si és legal o no, només sabem que es pot fer.
Per tant, hem analitzat diverses deficiències de la lògica empresarial.
Trey Ford: els atacants són empresaris. Esperen un retorn de la seva inversió. Com més tecnologia, més gran i complex és el codi, més feina s'ha de fer i més probabilitat de ser atrapat. Però hi ha moltes maneres molt rendibles de dur a terme atacs sense cap esforç. La lògica empresarial és un negoci enorme i hi ha un gran incentiu perquè els delinqüents la pirategin. Els defectes de la lògica empresarial són un objectiu principal per als delinqüents i són quelcom que no es poden detectar simplement executant una exploració o realitzant proves estàndard com a part d'un procés de garantia de qualitat. Hi ha un problema psicològic en el control de qualitat anomenat "biaix de confirmació" perquè, com els humans, volem saber que tenim raó. Per tant, és necessari realitzar proves en condicions reals.
Cal provar-ho tot i tothom, perquè no totes les vulnerabilitats es poden detectar en l'etapa de desenvolupament mitjançant l'anàlisi del codi, ni tan sols durant el control de qualitat. Per tant, cal passar per tot el procés de negoci i desenvolupar totes les mesures per protegir-lo. Es pot aprendre molt de la història perquè certs tipus d'atacs es repeteixen al llarg del temps. Si us desperta una nit per un pic de la CPU, podeu suposar que algun pirata informàtic torna a intentar localitzar cupons de descompte vàlids. La manera real de reconèixer el tipus d'atac és observar un atac actiu, perquè reconèixer-lo basant-se en l'historial de registre serà extremadament difícil.
Jeremy Grossman: Així que això és el que hem après avui.
Endevinar el captcha us pot guanyar una quantitat de quatre dígits en dòlars. La manipulació dels sistemes de pagament en línia aportarà a un pirata informàtic beneficis de cinc xifres. Hackejar bancs us pot guanyar més de cinc xifres de beneficis, sobretot si ho feu més d'una vegada.
Les estafes de comerç electrònic us permetran obtenir sis xifres de diners, mentre que l'ús de xarxes d'afiliats us permetrà obtenir entre 5 i 6 xifres o fins i tot set xifres. Si sou prou valent, podeu intentar enganyar la borsa i obtenir beneficis de més de set xifres. I utilitzar el mètode RSnake en competicions pel millor Chihuahua no té preu!
Les noves diapositives d'aquesta presentació probablement no s'han incorporat al CD, així que les podeu descarregar més tard des del meu bloc. Hi haurà una conferència OPSEC al setembre a la qual assistiré, i crec que podrem crear coses molt interessants amb ells. Ara, si teniu alguna pregunta, estem preparats per respondre-les.
Alguns anuncis 🙂
Gràcies per quedar-te amb nosaltres. T'agraden els nostres articles? Vols veure més contingut interessant? Doneu-nos suport fent una comanda o recomanant als amics, , 30% de descompte per als usuaris d'Habr en un únic anàleg de servidors d'entrada, que hem inventat per a tu: (disponible amb RAID1 i RAID10, fins a 24 nuclis i fins a 40 GB DDR4).
Dell R730xd 2 vegades més barat? Només aquí als Països Baixos! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB - a partir de 99 $! Llegeix sobre
Font: www.habr.com