Zašli tak daleko, že diskutovali o možnosti nechat řidiče UPS konfrontovat podezřelého. Pojďme nyní zkontrolovat, zda je to, co je citováno na tomto snímku, legální?
Zde je to, co FTC říká, když je dotázán: "Mám vrátit nebo zaplatit za položku, kterou jsem si nikdy neobjednal?" - "Ne. Pokud obdržíte položku, kterou jste si neobjednali, máte zákonné právo přijmout ji jako dárek zdarma.“ Zní to eticky? Myju si nad tím ruce, protože nejsem dost chytrý na to, abych o takových věcech diskutoval.
Co je ale zajímavé je, že vidíme trend, kdy čím méně technologií používáme, tím více peněz vyděláme.
Přidružený internetový podvod
Jeremy Grossman: je to opravdu velmi obtížné pochopit, ale tímto způsobem můžete vydělat šest čísel peněz. Takže všechny příběhy, které jste slyšeli, mají skutečné odkazy a můžete si o nich přečíst podrobně. Jedním z nejzajímavějších typů internetových podvodů je affiliate podvod. Internetové obchody a inzerenti využívají přidružené sítě k přilákání návštěvnosti a uživatelů na své stránky výměnou za část zisků, které z toho získají.
Budu mluvit o něčem, o čem mnoho lidí ví už léta, ale nepodařilo se mi najít jedinou veřejnou referenci, která by naznačovala, jakou ztrátu tento typ podvodu způsobil. Pokud vím, neprobíhaly žádné soudní procesy, žádné trestní vyšetřování. Mluvil jsem s výrobními podnikateli, mluvil jsem s kluky z affiliate sítě, mluvil jsem s Black Cats – všichni věří, že podvodníci vydělali na affiliatech obrovské množství peněz.
Prosím, vezměte mé slovo a projděte si domácí úkol, který jsem v těchto konkrétních otázkách udělal. Podvodníci je používají k tomu, aby měsíčně vydělali 5-6místné a někdy i sedmimístné částky pomocí speciálních technik. V této místnosti jsou lidé, kteří to mohou zkontrolovat, pokud nejsou vázáni dohodou o mlčenlivosti. Takže vám ukážu, jak to funguje. Do tohoto schématu je zapojeno několik hráčů. Uvidíte, o čem je affiliate „hra“ nové generace.
Hra zahrnuje obchodníka, který má webovou stránku nebo produkt a platí přidruženým provizím za kliknutí uživatelů, vytvořené účty, provedené nákupy a tak dále. Partnerovi platíte za to, že někdo navštíví jeho web, klikne na odkaz, přejde na web vašeho prodejce a něco si tam koupí.
Dalším hráčem je affiliate partner, který dostává peníze ve formě ceny za proklik (CPC) nebo ve formě provizí (CPA) za přesměrování kupujících na web prodejce.
Provize znamenají, že v důsledku aktivit partnera provedl klient nákup na webu prodejce.
Kupující je osoba, která nakupuje nebo odebírá akcie prodávajícího.
Affiliate sítě poskytují technologie, které propojují a sledují aktivity prodejce, partnera a kupujícího. „Slepí“ všechny hráče dohromady a zajistí jejich interakci.
Může vám trvat několik dní nebo týdnů, než zjistíte, jak to celé funguje, ale není v tom žádná složitá technologie. Affiliate sítě a affiliate programy pokrývají všechny typy obchodu a všechny trhy. Má je Google, EBay, Amazon, jejich zájmy jako komisionářů se prolínají, jsou všude a příjem jim nechybí. Jsem si jistý, že víte, že i provoz z vašeho blogu může každý měsíc vygenerovat několik set dolarů zisku, takže toto schéma pro vás bude snadné pochopit.
Takto systém funguje. Připojíte malou stránku nebo elektronickou nástěnku, to je jedno, podepíšete partnerský program a obdržíte speciální odkaz, který umístíte na svou internetovou stránku. Vypadá to takto:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Zobrazí se konkrétní partnerský program, vaše ID přidruženého subjektu, v tomto případě je to 100, a název prodávaného produktu. A pokud někdo na tento odkaz klikne, prohlížeč ho přesměruje do affiliate sítě, nainstaluje speciální sledovací cookies, které ho propojí s affiliate ID=100.
Set-Cookie: AffiliateID=100A přesměruje na stránku prodejce. Pokud kupující později zakoupí nějaký produkt během doby X, což může být den, hodina, tři týdny, jakákoliv dohodnutá doba, a během této doby budou cookies nadále existovat, pak přidružená společnost obdrží svou provizi.
Takto affiliate společnosti vydělávají miliardy dolarů pomocí efektivní taktiky SEO. Dovolte mi uvést příklad. Na dalším snímku je účtenka, nyní ji zvětším, abych vám ukázal částku. Toto je šek od společnosti Google na 132 2 $. Příjmení tohoto pána je Schumann a vlastní síť inzertních webů. To nejsou všechny peníze, Google takové částky vyplácí jednou měsíčně nebo jednou za XNUMX měsíce.
Další šek od Googlu, zvětším to a uvidíte, že je to 901 XNUMX $.
Mám se někoho zeptat na etiku takového vydělávání peněz? Ticho v sále... Tento šek představuje platbu na 2 měsíce, protože předchozí šek byl bankou příjemce zamítnut z důvodu příliš vysoké částky platby.
Takže jsme viděli, že se dají vydělat takové peníze a tyto peníze se vyplácejí. Jak můžete překonat toto schéma? Můžeme použít techniku zvanou Cookie-Stuffing. Jedná se o velmi jednoduchý koncept, který se objevil v letech 2001-2002, a tento snímek ukazuje, jak vypadal v roce 2002. Povím vám příběh jeho vzhledu.
Nic jiného než otravné smluvní podmínky affiliate sítě vyžadují, aby uživatel skutečně kliknul na odkaz, aby jeho prohlížeč vyzvedl soubor cookie affiliate ID.
Tuto adresu URL, na kterou se obvykle klikalo, můžete automaticky načíst do zdroje obrázku nebo značky iframe. V tomto případě místo odkazu:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Stáhneš si toto:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Nebo že:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>A když se uživatel dostane na vaši stránku, automaticky si vyzvedne affiliate cookie. Zároveň, bez ohledu na to, zda si v budoucnu něco koupí, budete dostávat své provize, ať už jste provoz přesměrovali nebo ne - na tom nezáleží.
Během několika posledních let se to stalo zábavou pro SEO lidi, kteří zveřejňují podobný materiál na nástěnkách a vyvíjejí nejrůznější scénáře, kam jinam umístit své odkazy. Agresivní partneři si uvědomili, že svůj kód mohou umístit kamkoli na internet, nejen na své vlastní stránky.
Na tomto snímku můžete vidět, že mají své vlastní programy pro plnění souborů cookie, které uživatelům pomáhají vytvářet jejich vlastní „plněné soubory cookie“. A není to jen jeden cookie, můžete nahrát 20-30 affiliate ID najednou a jakmile si někdo něco koupí, dostanete za to zaplaceno.
Tito kluci si brzy uvědomili, že tento kód na své stránky vkládat nemusí. Opustili skriptování mezi stránkami a jednoduše začali zveřejňovat své malé úryvky s kódem HTML na nástěnky, knihy hostů a sociální sítě.
Kolem roku 2005 obchodníci a affiliate sítě přišli na to, co se děje, začali sledovat referrery a míru prokliku a začali vyhazovat podezřelé affiliate partnery. Všimli si například, že uživatel klikl na stránku MySpace, ale tato stránka patřila do úplně jiné affiliate sítě, než která získala oprávněnou výhodu.
Tihle kluci trochu zmoudřeli a v roce 2007 se objevil nový druh Cookie-Stuffing. Partneři začali umisťovat svůj kód na stránky SSL. Podle Hypertext Transfer Protocol RFC 2616 by klienti neměli zahrnout pole záhlaví Referer do nezabezpečeného požadavku HTTP, pokud byla odkazující stránka migrována ze zabezpečeného protokolu. Je to proto, že nechcete, aby tyto informace unikaly z vaší domény.
Z toho je jasné, že jakýkoli Referer zaslaný partnerovi nebude sledovatelný, takže hlavní partneři uvidí prázdný odkaz a nebudou vás za to moci vykopnout. Nyní mají podvodníci možnost beztrestně vyrábět své „plněné sušenky“. Je pravda, že ne každý prohlížeč vám to umožňuje, ale existuje mnoho dalších způsobů, jak udělat totéž pomocí automatického obnovení aktuální stránky pomocí meta-refresh, meta tagů nebo JavaScriptu.
V roce 2008 začali používat výkonnější hackerské nástroje, jako jsou DNS rebinding útoky, Gifar a škodlivý obsah Flash, které mohou zcela zničit stávající modely zabezpečení. Chvíli trvá, než přijdete na to, jak je používat, protože kluci z Cookie-Stuffing nejsou nijak zvlášť pokročilí hackeři, jsou to jen agresivní obchodníci s malými znalostmi kódování.
Prodej polodostupných informací
Podívali jsme se tedy na to, jak vydělat 6místné částky, a nyní přejdeme k sedmimístným částkám. Potřebujeme velké peníze, abychom zbohatli nebo zemřeli. Podíváme se, jak můžete vydělávat peníze prodejem polopřístupných informací. Business Wire byl před pár lety velmi populární a stále je důležité, že jeho přítomnost vidíme na mnoha stránkách. Pro ty, kteří nevědí, Business Wire poskytuje službu, pomocí které registrovaní uživatelé stránek dostávají proud aktuálních tiskových zpráv od tisíců společností. Tiskové zprávy této společnosti zasílají různé organizace, které někdy podléhají dočasným zákazům nebo embargům, takže informace obsažené v těchto tiskových zprávách mohou ovlivnit cenu akcií.
Soubory tiskových zpráv jsou nahrány na webový server Business Wire, ale nejsou propojeny, dokud nebude embargo zrušeno. Po celou dobu jsou webové stránky tiskové zprávy propojeny s hlavní webovou stránkou a uživatelé jsou o nich informováni pomocí adres URL, jako je tato:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmV době, kdy jste pod embargem, tedy zveřejňujete na webu zajímavá data, takže jakmile bude embargo zrušeno, uživatelé se s nimi okamžitě seznámí. Tyto odkazy jsou datovány a zasílány uživatelům e-mailem. Jakmile zákaz vyprší, bude odkaz fungovat a přesměruje uživatele na stránku, kde je zveřejněna příslušná tisková zpráva. Před udělením přístupu na webovou stránku tiskové zprávy musí systém ověřit, zda je uživatel přihlášen legálně.
Nekontrolují, zda máte právo tyto informace zobrazit před vypršením embarga, stačí se přihlásit do systému. Zatím to vypadá neškodně, ale to, že něco nevidíte, neznamená, že to tam není.
Estonská společnost poskytující finanční služby Lohmus Haavel & Viisemann, nikoli hackeři, zjistila, že webové stránky tiskové zprávy byly pojmenovány předvídatelným způsobem, a začala tyto adresy URL hádat. I když odkazy ještě nemusí existovat, protože platí embargo, neznamená to, že hacker nemůže uhodnout název souboru a získat k němu tak předčasně přístup. Tato metoda fungovala, protože jedinou bezpečnostní kontrolou Business Wire bylo, že uživatel byl přihlášen legálně a nic jiného.
Estonci tedy dostali informace před uzavřením trhu a tato data prodali. Dokud je SEC nevystopovala a nezmrazila jejich účty, podařilo se jim vydělat 8 milionů dolarů na obchodování s polopřístupnými informacemi. Přemýšlejte o tom, všechno, co tihle kluci udělali, bylo, že se podívali, jak vypadají odkazy, pokusili se uhodnout adresy URL a vydělali z toho 8 milionů. Obvykle se na tomto místě ptám publika, zda je to považováno za legální nebo nelegální, zda je to považováno za obchod nebo ne. Ale teď chci jen upozornit na to, kdo to udělal.
Než se pokusíte odpovědět na tyto otázky, ukážu vám další snímek. To přímo nesouvisí s online podvody. Ukrajinský hacker se naboural do Thomson Financial, poskytovatele business intelligence, a ukradl data o finanční tísni IMS Health několik hodin předtím, než se informace měly dostat na finanční trh. Není pochyb o tom, že je vinen hackováním.
Hacker zadal prodejní objednávky ve výši 42 tisíc dolarů, hrál před poklesem sazeb. Pro Ukrajinu je to obrovská částka, takže hacker dobře věděl, do čeho jde. Náhlý pokles ceny akcií mu během několika hodin přinesl zisk asi 300 XNUMX dolarů. Burza vydala „červenou vlajku“, SEC zmrazila finanční prostředky, když si všimla, že něco není v pořádku, a zahájila vyšetřování. Soudkyně Naomi Reis Buchwaldová však uvedla, že finanční prostředky by měly být rozmraženy, protože obvinění z „krádeže a obchodování“ a „hackování a obchodování“ připisovaná Dorozhkovi neporušují zákony o cenných papírech. Hacker nebyl zaměstnancem této společnosti, a proto neporušil žádné zákony týkající se zveřejňování důvěrných finančních informací.
The Times navrhly, že americké ministerstvo spravedlnosti jednoduše považovalo případ za marný kvůli potížím s tím, aby ukrajinské úřady souhlasily se spoluprací při dopadení pachatele. Tento hacker tedy získal 300 tisíc dolarů velmi snadno.
Nyní to porovnejte s předchozím případem, kdy lidé vydělávali peníze pouhou změnou adres URL odkazů ve svém prohlížeči a prodejem komerčních informací. To jsou docela zajímavé, ale ne jediné způsoby, jak vydělat peníze na burze.
Zvažme pasivní sběr informací. Obvykle po provedení online nákupu kupující obdrží kód pro sledování objednávky, který může být sekvenční nebo pseudosekvenční a vypadá asi takto:
3200411
3200412
3200413
S ním můžete sledovat svou objednávku. Pentesters nebo hackeři se pokoušejí procházet adresy URL, aby získali přístup k údajům o objednávkách, obvykle obsahujících údaje umožňující zjištění totožnosti (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Procházením čísel získávají přístup k číslům kreditních karet kupujícího, adresám, jménům a dalším osobním údajům. Nás však nezajímají osobní údaje klienta, ale samotný kód skladby objednávky, máme zájem o pasivní rekognoskaci.
Umění dělat závěry
Zvažte „Umění inference“. Pokud dokážete přesně odhadnout, kolik „objednávek“ společnost na konci čtvrtletí zpracovává, můžete na základě historických dat odvodit, zda je její finanční situace dobrá a jak se bude pohybovat cena akcií. Například jste si objednali nebo koupili něco na začátku čtvrtletí, na tom nezáleží, a na konci čtvrtletí jste provedli novou objednávku. Na základě rozdílu v číslech lze usuzovat, kolik objednávek bylo společností za toto období zpracováno. Pokud se bavíme o tisícovce objednávek versus sto tisíc za stejné předchozí období, dá se předpokládat, že si firma vede špatně.
Faktem však je, že často lze tato pořadová čísla získat bez skutečného dokončení objednávky nebo objednávky, která je následně zrušena. Doufám, že se tato čísla v žádném případě nezobrazí a sekvence bude pokračovat s čísly:
3200418
3200419
3200420
Tímto způsobem víte, že máte možnost sledovat objednávky a můžete začít pasivně shromažďovat informace ze stránek, které nám poskytují. Nevíme, jestli je to legální nebo ne, víme jen, že to lze udělat.
Podívali jsme se tedy na různé nedostatky obchodní logiky.
Trey Ford: útočníci jsou podnikatelé. Očekávají návratnost své investice. Čím více technologií, čím větší a složitější kód, tím více práce je třeba udělat a tím větší je pravděpodobnost, že bude zachycen. Existuje však mnoho velmi výnosných způsobů, jak provádět útoky bez jakéhokoli úsilí. Obchodní logika je obrovský byznys a pro zločince existuje obrovská motivace, aby ji hackli. Chyby obchodní logiky jsou hlavním cílem zločinců a nelze je odhalit pouhým spuštěním skenování nebo standardním testováním v rámci procesu zajištění kvality. V QA je psychologický problém zvaný „konfirmační zkreslení“, protože stejně jako lidé chceme vědět, že máme pravdu. Proto je nutné provádět testování v reálných podmínkách.
Je nutné testovat vše a všechny, protože ne všechny zranitelnosti lze odhalit ve fázi vývoje analýzou kódu nebo dokonce během QA. Musíte tedy projít celým obchodním procesem a vyvinout všechna opatření k jeho ochraně. Z historie se lze mnohému naučit, protože určité typy útoků se v průběhu času opakují. Pokud vás jednou v noci probudí nárůst CPU, můžete předpokládat, že se nějaký hacker znovu snaží vystopovat platné slevové kupóny. Skutečný způsob, jak rozpoznat typ útoku, je pozorovat aktivní útok, protože jeho rozpoznání na základě historie protokolu bude extrémně obtížné.
Jeremy Grossman: tak tady je to, co jsme se dnes naučili.
Tipováním captcha můžete vydělat čtyřcifernou částku v dolarech. Manipulace online platebních systémů přinese hackerovi pěticiferné zisky. Hackování bank vám může vydělat více než pěticiferné zisky, zvláště pokud to uděláte více než jednou.
Podvody s elektronickým obchodováním vám vynesou šest míst, zatímco používání affiliate sítí vám vynese 5-6 míst nebo dokonce sedm míst. Pokud jste dostatečně odvážní, můžete zkusit oklamat burzu a získat více než sedmimístné zisky. A používat metodu RSnake v soutěžích o nejlepší čivavu je prostě k nezaplacení!
Nové snímky pro tuto prezentaci se pravděpodobně nedostaly na CD, takže si je můžete stáhnout později z mého blogu. V září se chystá konference OPSEC, které se zúčastním, a myslím, že s nimi budeme schopni vytvořit opravdu skvělé věci. Nyní, pokud máte nějaké dotazy, jsme připraveni na ně odpovědět.
Nějaké inzeráty 🙂
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, , 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com