De gik så langt som til at diskutere muligheden for at få UPS-chauffører til at konfrontere den mistænkte. Lad os nu tjekke, om det, der er citeret på dette dias, er lovligt?
Her er, hvad FTC siger, når de bliver spurgt: "Skal jeg returnere eller betale for en vare, jeg aldrig har bestilt?" - "Nej. Hvis du modtager en vare, som du ikke har bestilt, har du den juridiske ret til at modtage den som en gratis gave." Lyder det etisk? Jeg vasker mine hænder af dette, fordi jeg ikke er klog nok til at diskutere sådanne spørgsmål.
Men det interessante er, at vi ser en tendens, hvor jo mindre teknologi vi bruger, jo flere penge tjener vi.
Affiliate internetsvindel
Jeremy Grossman: det er virkelig meget svært at forstå, men du kan tjene sekscifrede penge på denne måde. Så alle de historier, du har hørt, har rigtige links, og du kan læse om det hele i detaljer. En af de mest interessante typer internetsvindel er affiliate-svindel. Onlinebutikker og annoncører bruger tilknyttede netværk til at tiltrække trafik og brugere til deres websteder i bytte for en del af overskuddet modtaget fra dette.
Jeg vil tale om noget, som mange mennesker har kendt til i årevis, men jeg har ikke været i stand til at finde en eneste offentlig reference, der indikerer, hvor meget tab denne form for fidus har forårsaget. Så vidt jeg ved, var der ingen retssager, ingen strafferetlige undersøgelser. Jeg har talt med produktionsentreprenører, jeg har talt med affiliate netværk fyre, jeg har talt med Black Cats – de tror alle på, at svindlere har tjent enormt mange penge på affiliates.
Vær venlig at tage mit ord for det og gennemgå det hjemmearbejde, jeg har lavet om disse specifikke spørgsmål. Svindlere bruger dem til at lave 5-6-cifrede og nogle gange syvcifrede beløb hver måned ved hjælp af specielle teknikker. Der er folk i dette lokale, som kan tjekke dette, hvis de ikke er bundet af en fortrolighedsaftale. Så jeg vil vise dig, hvordan det fungerer. Der er flere aktører involveret i denne ordning. Du vil se, hvad næste generation af affilierede "spil" handler om.
Spillet involverer en købmand, der har et websted eller et produkt og betaler tilknyttede kommissioner for brugerklik, oprettede konti, foretaget køb og så videre. Du betaler affiliate for det faktum, at nogen besøger hans hjemmeside, klikker på et link, går til din sælgers hjemmeside og køber noget der.
Den næste spiller er affiliate, som modtager penge i form af pris pr. klik (CPC) eller i form af kommission (CPA) for at omdirigere købere til sælgers hjemmeside.
Provision indebærer, at kunden som følge af partnerens aktiviteter har foretaget et køb på sælgers hjemmeside.
Køber er den, der foretager køb eller tegner sælgers aktier.
Tilknyttede netværk leverer teknologier, der forbinder og sporer sælgerens, partnerens og køberens aktiviteter. De "limer" alle spillerne sammen og sikrer deres interaktion.
Det kan tage dig et par dage eller et par uger at finde ud af, hvordan det hele fungerer, men der er ingen kompliceret teknologi involveret. Affiliate netværk og affiliate programmer dækker alle typer handel og alle markeder. Google, EBay, Amazon har dem, deres interesser som kommissionærer krydser hinanden, de er overalt og mangler ikke indkomst. Jeg er sikker på, at du ved, at selv trafik fra din blog kan generere flere hundrede dollars i overskud hver måned, så denne ordning vil være let for dig at forstå.
Sådan fungerer systemet. Du tilknytter et lille websted eller en elektronisk opslagstavle, det er lige meget, du underskriver et affiliate-program og modtager et særligt link, som du placerer på din internetside. Det ser sådan ud:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Dette viser det specifikke affiliate-program, dit affiliate-id, i dette tilfælde er det 100, og navnet på det produkt, der sælges. Og hvis nogen klikker på dette link, omdirigerer browseren ham til affiliate-netværket, installerer særlige sporingscookies, der linker ham til affiliate-ID=100.
Set-Cookie: AffiliateID=100Og omdirigerer til sælgers side. Hvis køberen senere køber et eller andet produkt inden for en periode X, som kan være en dag, en time, tre uger, et hvilket som helst aftalt tidspunkt, og i denne periode fortsætter cookies med at eksistere, så modtager affiliate sin kommission.
Sådan tjener affilierede virksomheder milliarder af dollars ved hjælp af effektive SEO-taktikker. Lad mig give dig et eksempel. Det næste slide viser kvitteringen, jeg vil nu forstørre den for at vise dig beløbet. Dette er en check fra Google på $132. Denne herres efternavn er Schumann, og han ejer et netværk af reklamewebsteder. Dette er ikke alle pengene, Google betaler sådanne beløb én gang om måneden eller én gang hver anden måned.
Endnu en check fra Google, jeg forstørrer den, og du vil se, at den koster 901 USD.
Skal jeg spørge nogen om etikken i at tjene penge som denne? Stilhed i hallen... Denne check repræsenterer betaling i 2 måneder, fordi den tidligere check blev afvist af modtagerens bank på grund af at betalingsbeløbet var for stort.
Så vi har set, at den slags penge kan tjenes, og disse penge bliver udbetalt. Hvordan kan du slå denne ordning? Vi kan bruge en teknik kaldet Cookie-Stuffing. Dette er et meget simpelt koncept, der dukkede op i 2001-2002, og dette dias viser, hvordan det så ud i 2002. Jeg vil fortælle dig historien om dets udseende.
Intet mindre end irriterende servicevilkår for affilierede netværk kræver, at en bruger faktisk klikker på et link, for at deres browser kan opfange affiliate-id-cookien.
Du kan automatisk indlæse denne typisk klikkede URL i billedkilden eller iframe-tagget. I dette tilfælde, i stedet for et link:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Du downloader dette:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Eller det:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Og når brugeren lander på din side, vil han automatisk hente affiliate-cookien. På samme tid, uanset om han køber noget i fremtiden, vil du modtage dine provisioner, uanset om du har omdirigeret trafik eller ej - det er lige meget.
I løbet af de sidste par år er dette blevet et tidsfordriv for SEO-fyre, der poster lignende materiale på opslagstavler og udvikler alle mulige scenarier for, hvor de ellers skal placere deres links. Aggressive partnere indså, at de kunne placere deres kode hvor som helst på internettet, ikke kun på deres egne websteder.
På dette dias kan du se, at de har deres egne Cookie-Stuffing-programmer, der hjælper brugere med at lave deres egne "fyldte cookies". Og det er ikke kun én cookie, du kan uploade 20-30 affiliate-id'er på samme tid, og så snart nogen køber noget, får du betalt for det.
Disse fyre indså hurtigt, at de ikke behøvede at sætte denne kode på deres sider. De opgav cross-site scripting og begyndte simpelthen at poste deres små uddrag med HTML-kode på opslagstavler, gæstebøger og sociale netværk.
Omkring 2005 fandt købmænd og affilierede netværk ud af, hvad der foregik, begyndte at spore henvisninger og klikrater og begyndte at smide mistænkelige partnere ud. For eksempel bemærkede de, at en bruger klikkede på et MySpace-websted, men det websted tilhørte et helt andet affiliate-netværk end det, der modtog den legitime fordel.
Disse fyre blev lidt klogere, og i 2007 dukkede en ny slags Cookie-Stuffing op. Partnere begyndte at placere deres kode på SSL-sider. Ifølge Hypertext Transfer Protocol RFC 2616 bør klienter ikke inkludere et Referer-headerfelt i en usikker HTTP-anmodning, hvis den henvisende side blev migreret fra en sikker protokol. Dette skyldes, at du ikke ønsker, at disse oplysninger skal lække fra dit domæne.
Ud fra dette er det klart, at enhver Referer sendt til en partner ikke vil kunne spores, så hovedpartnerne vil se et tomt link og vil ikke være i stand til at sparke dig ud for det. Nu har svindlere mulighed for at lave deres "fyldte cookies" ustraffet. Det er sandt, at ikke alle browsere tillader dig at gøre dette, men der er mange andre måder at gøre det samme ved at bruge browserens automatiske opdatering af den aktuelle sides meta-opdatering, metatags eller JavaScript.
I 2008 begyndte de at bruge mere kraftfulde hackingværktøjer, såsom DNS-genbindingsangreb, Gifar og ondsindet Flash-indhold, som fuldstændig kan ødelægge eksisterende sikkerhedsmodeller. Det tager et stykke tid at finde ud af, hvordan man bruger dem, fordi Cookie-Stuffing-fyrene ikke er særlig avancerede hackere, de er bare aggressive marketingfolk med lidt kodningsviden.
Sælger semi-tilgængelig information
Så vi har set på, hvordan man tjener 6-cifrede summer, og lad os nu gå videre til syv-cifrede. Vi har brug for store penge for at blive rige eller dø. Vi vil se på, hvordan du kan tjene penge ved at sælge semi-tilgængelig information. Business Wire var meget populær for et par år siden, og det er stadig vigtigt, vi ser dets tilstedeværelse på mange websteder. For dem, der ikke ved det, tilbyder Business Wire en service, hvor registrerede brugere af siden modtager en strøm af opdaterede pressemeddelelser fra tusindvis af virksomheder. Pressemeddelelser sendes til dette selskab af forskellige organisationer, som nogle gange er underlagt midlertidige forbud eller embargoer, så oplysningerne i disse pressemeddelelser kan påvirke prisen på aktier.
Pressemeddelelsesfiler uploades til Business Wire-webserveren, men linkes ikke, før embargoen ophæves. Alt imens er pressemeddelelsens websider knyttet til hovedwebstedet, og brugerne får besked om dem ved hjælp af URL'er som denne:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmMens du er under embargoen, poster du således interessante data på siden, så så snart embargoen er ophævet, vil brugerne straks blive fortrolige med den. Disse links er dateret og sendt til brugere via e-mail. Når forbuddet udløber, vil linket virke og dirigere brugeren til det websted, hvor den tilsvarende pressemeddelelse er offentliggjort. Inden der gives adgang til pressemeddelelsens webside, skal systemet verificere, at brugeren er lovligt logget ind.
De tjekker ikke, om du har ret til at se disse oplysninger, før embargoen udløber, du skal blot logge ind på systemet. Indtil videre virker det harmløst, men bare fordi du ikke ser noget, betyder det ikke, at det ikke er der.
Den estiske finansielle virksomhed Lohmus Haavel & Viisemann, slet ikke hackere, opdagede, at websider med pressemeddelelser blev navngivet på en forudsigelig måde og begyndte at gætte disse URL'er. Selvom linkene muligvis ikke eksisterer endnu, fordi en embargo er i kraft, betyder det ikke, at en hacker ikke kan gætte filnavnet og dermed få adgang til det for tidligt. Denne metode virkede, fordi Business Wires eneste sikkerhedstjek var, at brugeren var logget på lovligt og intet andet.
Esterne modtog således information før markedet lukkede og solgte disse data. Indtil SEC opsporede dem og frøs deres konti, lykkedes det dem at tjene 8 millioner dollars på at handle med semi-tilgængelig information. Tænk over det, alt hvad disse fyre gjorde var at se på, hvordan linkene så ud, prøve at gætte URL'erne og tjente 8 millioner på det. Normalt på dette tidspunkt spørger jeg publikum, om dette anses for lovligt eller ulovligt, om det betragtes som en handel eller ej. Men indtil videre vil jeg gerne henlede din opmærksomhed på, hvem der gjorde dette.
Før du prøver at besvare disse spørgsmål, viser jeg dig det næste slide. Dette er ikke direkte relateret til online svindel. En ukrainsk hacker hackede Thomson Financial, en udbyder af business intelligence, og stjal data om IMS Healths økonomiske nød få timer før oplysningerne skulle ramme det finansielle marked. Der er ingen tvivl om, at han er skyldig i hacking.
Hackeren afgav salgsordrer for 42 tusind dollars, og spillede før kurserne faldt. For Ukraine er det et enormt beløb, så hackeren vidste godt, hvad han gik ind til. Det pludselige fald i aktiekursen bragte ham omkring 300 dollars i overskud inden for få timer. Børsen udsendte et "rødt flag", SEC frøs midlerne, bemærkede, at noget gik galt, og begyndte en undersøgelse. Dommer Naomi Reis Buchwald sagde dog, at midlerne skulle frigøres, fordi anklagerne om "tyveri og handel" og "hacking og handel", der tilskrives Dorozhko, ikke overtræder værdipapirlovgivningen. Hackeren var ikke ansat i dette firma og overtrådte derfor ingen love vedrørende videregivelse af fortrolige finansielle oplysninger.
The Times foreslog, at det amerikanske justitsministerium simpelthen betragtede sagen som en forgæves sag på grund af vanskelighederne med at få de ukrainske myndigheder til at gå med til at samarbejde om at fange gerningsmanden. Så denne hacker fik 300 tusind dollars meget nemt.
Sammenlign nu dette med det tidligere tilfælde, hvor folk tjente penge ved blot at ændre URL'erne på links i deres browser og sælge kommerciel information. Disse er ret interessante, men ikke de eneste måder at tjene penge på børsen.
Lad os overveje passiv informationsindsamling. Efter at have foretaget et onlinekøb, modtager køberen typisk en ordresporingskode, som kan være sekventiel eller pseudo-sekventiel og ser sådan ud:
3200411
3200412
3200413
Med den kan du spore din ordre. Pentesters eller hackere forsøger at crawle URL'er for at få adgang til ordredata, som normalt indeholder personligt identificerbare oplysninger (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Ved at scrolle gennem numrene får de adgang til købers kreditkortnumre, adresser, navne og andre personlige oplysninger. Vi er dog ikke interesserede i kundens personlige oplysninger, men i selve ordresporingskoden; vi er interesserede i passiv rekognoscering.
Kunsten at drage konklusioner
Overvej "The Art of Inference." Hvis du nøjagtigt kan estimere, hvor mange "ordrer" en virksomhed behandler ved udgangen af kvartalet, så kan du ud fra historiske data udlede, om dens økonomiske situation er god, og hvordan dens aktiekurs vil svinge. For eksempel har du bestilt eller købt noget i begyndelsen af kvartalet, det er ligegyldigt, og har så lavet en ny ordre i slutningen af kvartalet. Baseret på forskellen i antal kan man konkludere, hvor mange ordrer der blev behandlet af virksomheden i denne periode. Hvis vi taler om tusinde ordrer mod hundrede tusinde for samme tidligere periode, kan du antage, at virksomheden klarer sig dårligt.
Men faktum er, at disse løbenumre ofte kan opnås uden egentlig at gennemføre ordren eller en ordre, der efterfølgende annulleres. Jeg håber, at disse tal ikke vil blive vist under alle omstændigheder, og sekvensen vil fortsætte med tallene:
3200418
3200419
3200420
På denne måde ved du, at du har mulighed for at spore ordrer og kan begynde at passivt indsamle oplysninger fra webstedet, som de giver os. Vi ved ikke, om det er lovligt eller ej, vi ved kun, at det kan lade sig gøre.
Så vi har set på forskellige mangler ved forretningslogik.
Trey Ford: angriberne er forretningsmænd. De forventer et afkast af deres investering. Jo mere teknologi, jo større og mere kompleks koden er, jo mere arbejde skal der gøres og jo større er sandsynligheden for at blive fanget. Men der er mange meget rentable måder at udføre angreb på uden nogen indsats. Forretningslogik er en enorm forretning, og der er et enormt incitament for kriminelle til at hacke den. Forretningslogiske fejl er et primært mål for kriminelle og er noget, der ikke kan opdages ved blot at køre en scanning eller udføre standardtest som en del af en kvalitetssikringsproces. Der er et psykologisk problem i QA kaldet "bekræftelsesbias", fordi vi ligesom mennesker gerne vil vide, at vi har ret. Derfor er det nødvendigt at udføre test under virkelige forhold.
Det er nødvendigt at teste alt og alle, fordi ikke alle sårbarheder kan opdages på udviklingsstadiet ved at analysere koden, eller endda under QA. Så du skal gennemgå hele forretningsprocessen og udvikle alle foranstaltninger til at beskytte den. Meget kan læres af historien, fordi visse typer angreb gentages over tid. Hvis du bliver vækket en nat af en CPU-spids, kan du antage, at en eller anden hacker igen forsøger at spore gyldige rabatkuponer. Den rigtige måde at genkende typen af angreb på er at observere et aktivt angreb, fordi det vil være ekstremt svært at genkende det baseret på loghistorie.
Jeremy Grossman: så her er hvad vi lærte i dag.
At gætte captchaen kan give dig et firecifret dollarbeløb. Manipulering af online betalingssystemer vil give en hacker femcifrede overskud. Hacking banker kan give dig godt over fem cifre i overskud, især hvis du gør det mere end én gang.
E-handel svindel vil give dig seks cifre penge, mens brug af affiliate netværk vil give dig 5-6 cifre eller endda syv cifre. Hvis du er modig nok, kan du forsøge at narre aktiemarkedet og få mere end syvcifret overskud. Og at bruge RSnake-metoden i konkurrencer om den bedste Chihuahua er simpelthen uvurderlig!
De nye slides til denne præsentation kom sandsynligvis ikke ind på cd'en, så du kan downloade dem senere fra min blogside. Der er en OPSEC-konference på vej i september, som jeg skal deltage i, og jeg tror, vi vil være i stand til at skabe nogle virkelig fede ting med dem. Nu, hvis du har spørgsmål, er vi klar til at besvare dem.
Nogle annoncer 🙂
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, , 30% rabat til Habr-brugere på en unik analog af entry-level servere, som er opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com