Sie gingen sogar so weit, die Möglichkeit zu erörtern, UPS-Fahrer einzusetzen, um den Verdächtigen zur Rede zu stellen. Lassen Sie uns nun prüfen, ob das, was auf dieser Folie zitiert wird, legal ist.
Hier ist die Antwort der FTC auf die Frage: „Soll ich einen Artikel, den ich nie bestellt habe, zurückgeben oder bezahlen?“ - "Nein. Wenn Sie einen Artikel erhalten, den Sie nicht bestellt haben, haben Sie das Recht, ihn als Gratisgeschenk anzunehmen.“ Klingt das ethisch? Ich wasche meine Hände, weil ich nicht schlau genug bin, solche Dinge zu besprechen.
Interessant ist jedoch, dass wir einen Trend beobachten, bei dem wir umso mehr Geld verdienen, je weniger Technologie wir nutzen.
Affiliate-Internetbetrug
Jeremy Grossman: Es ist wirklich sehr schwer zu verstehen, aber auf diese Weise kann man einen sechsstelligen Geldbetrag bekommen. Alle Geschichten, die Sie gehört haben, haben also echte Zusammenhänge, und Sie können alles im Detail nachlesen. Eine der interessantesten Arten von Internetbetrug ist der Affiliate-Betrug. Online-Shops und Werbetreibende nutzen Affiliate-Netzwerke, um den Verkehr und die Nutzer auf ihre Websites zu lenken und dafür einen Anteil an den erzielten Gewinnen zu erhalten.
Ich werde über etwas sprechen, das vielen Menschen seit Jahren bekannt ist, aber ich konnte keinen einzigen öffentlichen Hinweis finden, der darauf schließen lässt, wie viel Verlust diese Art von Betrug verursacht hat. Soweit ich weiß, gab es keine Klagen, keine strafrechtlichen Ermittlungen. Ich habe mit Unternehmern aus dem produzierenden Gewerbe gesprochen, ich habe mit Leuten von Affiliate-Netzwerken gesprochen, ich habe mit den Black Cats gesprochen – sie alle glauben, dass die Betrüger mit der Partnerschaft eine Menge Geld verdient haben.
Ich bitte Sie, sich auf mein Wort zu verlassen und sich mit dem Ergebnis der „Hausaufgaben“ vertraut zu machen, die ich zu diesen spezifischen Problemen gemacht habe. Auf ihnen „schweißen“ Betrüger mit speziellen Techniken monatlich 5-6-stellige, teilweise auch siebenstellige Beträge zusammen. Es gibt Leute in diesem Raum, die das überprüfen können, solange sie nicht an eine Geheimhaltungsvereinbarung gebunden sind. Deshalb zeige ich Ihnen, wie es funktioniert. An diesem Schema sind mehrere Spieler beteiligt. Sie werden sehen, was ein Affiliate-„Spiel“ der neuen Generation ist.
Bei dem Spiel handelt es sich um einen Händler, der über eine Website oder ein Produkt verfügt und Affiliate-Provisionen für Benutzerklicks, erstellte Konten, getätigte Käufe usw. zahlt. Sie bezahlen einen Partner dafür, dass jemand seine Website besucht, auf einen Link klickt, auf die Website Ihres Händlers geht und dort etwas kauft.
Der nächste Spieler ist ein Affiliate, der Geld in Form eines Pay-per-Click (CPC) oder einer Provision (CPA) für die Weiterleitung von Käufern auf die Website des Verkäufers erhält.
Provisionen bedeuten, dass der Kunde aufgrund der Aktivitäten des Partners einen Kauf auf der Website des Verkäufers getätigt hat.
Ein Käufer ist eine Person, die Käufe tätigt oder Aktien des Verkäufers zeichnet.
Affiliate-Netzwerke stellen Technologien bereit, die die Aktivitäten von Verkäufer, Partner und Käufer verbinden und verfolgen. Sie „kleben“ alle Spieler zusammen und sorgen für deren Interaktion.
Es kann ein paar Tage oder ein paar Wochen dauern, bis Sie verstehen, wie das alles funktioniert, aber hier gibt es keine komplexen Technologien. Affiliate-Netzwerke und Affiliate-Programme decken alle Handelsarten und alle Märkte ab. Google, eBay, Amazon haben sie, ihre Provisionsinteressen überschneiden sich, sie sind überall und es mangelt ihnen nicht an Einnahmen. Ich bin mir sicher, dass Sie wissen, dass selbst der Traffic von Ihrem Blog mehrere hundert Dollar an monatlichen Gewinnen einbringen kann, daher wird dieses Schema für Sie leicht zu verstehen sein.
So funktioniert das System. Wenn Sie eine kleine Website oder ein elektronisches Schwarzes Brett anschließen, melden Sie sich für ein Partnerprogramm an und erhalten Sie einen speziellen Link, den Sie auf Ihrer Webseite platzieren. Es sieht aus wie das:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Hier werden das spezifische Partnerprogramm, Ihre Partner-ID, in diesem Fall 100, und der Name des verkauften Produkts aufgeführt. Und wenn jemand auf diesen Link klickt, leitet ihn der Browser zum Affiliate-Netzwerk weiter und setzt spezielle Tracking-Cookies, die ihn mit der Affiliate-ID=100 verknüpfen.
Set-Cookie: AffiliateID=100Und leitet zur Seite des Verkäufers weiter. Wenn der Käufer später innerhalb eines Zeitraums X, der ein Tag, eine Stunde, drei Wochen oder ein beliebiger vereinbarter Zeitpunkt sein kann, ein Produkt kauft und während dieser Zeit die Cookies weiterhin bestehen, erhält der Partner seine Provision.
Dies ist das Schema, mit dem Affiliate-Unternehmen mithilfe effektiver SEO-Taktiken Milliarden von Dollar verdienen können. Ich gebe Ihnen ein Beispiel. Die nächste Folie zeigt den Scheck. Jetzt zoome ich hinein, um Ihnen den Betrag anzuzeigen. Es handelt sich um einen Scheck von Google über 132 US-Dollar. Der Name dieses Herrn ist Schumann, er besitzt ein Netzwerk von Werbewebsites. Das ist nicht das ganze Geld, Google zahlt solche Beträge einmal im Monat oder alle 2 Monate.
Noch ein Scheck von Google, ich erhöhe ihn, und Sie werden sehen, dass er auf 901 US-Dollar ausgestellt ist.
Sollte ich jemanden nach der Ethik dieser Möglichkeiten des Geldverdienens fragen? Stille im Saal... Dieser Scheck stellt eine 2-Monatszahlung dar, da der vorherige Scheck von der Bank des Empfängers wegen zu hoher Auszahlung abgelehnt wurde.
Deshalb sind wir davon überzeugt, dass dieses Geld verdient werden kann und dieses Geld auch ausgezahlt wird. Wie kann dieses Schema gespielt werden? Wir können eine Technik namens Cookie-Stuffing oder Cookie Stuffing verwenden. Dies ist ein sehr einfaches Konzept, das in den Jahren 2001-2002 erschien, und diese Folie zeigt, wie es im Jahr 2002 aussah. Ich erzähle Ihnen die Geschichte seines Erscheinens.
Lediglich die lästigen Servicebedingungen von Affiliate-Netzwerken erfordern, dass der Nutzer tatsächlich auf den Link klickt, damit sein Browser das Cookie mit der Affiliate-ID abruft.
Sie können diese URL, die normalerweise vom Benutzer angeklickt wird, automatisch in eine Bildquelle oder in einen Iframe-Tag laden. Und statt eines Links:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Sie laden Folgendes herunter:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Oder das:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Und wenn der Benutzer auf Ihre Seite gelangt, holt er sich automatisch das Affiliate-Cookie. Gleichzeitig erhalten Sie Ihre Provision, unabhängig davon, ob er in Zukunft etwas kauft, ob Sie Traffic umgeleitet haben oder nicht – es spielt keine Rolle.
In den letzten Jahren ist dies zu einem Zeitvertreib für SEO-Leute geworden, die solche Dinge auf Message Boards veröffentlichen und alle möglichen Szenarien entwickeln, wo sie ihre Links sonst platzieren könnten. Aggressive Partner haben erkannt, dass sie ihren Code überall im Internet platzieren können, nicht nur auf ihren eigenen Websites.
Auf dieser Folie können Sie sehen, dass sie über eigene Cookie-Stuffing-Programme verfügen, mit denen Benutzer ihre eigenen „gefüllten Cookies“ erstellen können. Und es ist nicht nur ein Cookie, Sie können 20–30 Affiliate-Netzwerk-IDs gleichzeitig herunterladen, und sobald jemand etwas kauft, werden Sie dafür bezahlt.
Bald wurde diesen Jungs klar, dass sie diesen Code nicht auf ihren Seiten platzieren konnten. Sie verzichteten auf Cross-Site-Scripting und begannen einfach damit, ihre kleinen Ausschnitte mit HTML-Code auf Message Boards, in Gästebüchern und in sozialen Netzwerken zu veröffentlichen.
Ungefähr im Jahr 2005 erkannten Händler und Affiliate-Netzwerke, was vor sich ging, begannen, Referrer und Klickraten zu verfolgen und begannen, verdächtige Affiliates rauszuschmeißen. Sie stellten beispielsweise fest, dass ein Benutzer auf eine MySpace-Site klickt, diese Site jedoch zu einem völlig anderen Affiliate-Netzwerk gehört als dem, das einen legitimen Vorteil erhält.
Diese Jungs wurden etwas klüger und 2007 wurde eine neue Art der Keksfüllung geboren. Partner begannen, ihren Code auf SSL-Seiten zu platzieren. Gemäß Hypertext Transfer Protocol RFC 2616 dürfen Clients kein Referer-Header-Feld in eine unsichere HTTP-Anfrage einfügen, wenn die verweisende Seite von einem sicheren Protokoll migriert wurde. Dies liegt daran, dass Sie nicht möchten, dass diese Informationen aus Ihrer Domain verloren gehen.
Daraus geht hervor, dass kein an den Partner gesendeter Referrer unauffindbar ist, sodass die Hauptpartner einen leeren Link sehen und Sie nicht dafür rausschmeißen können. Jetzt haben Betrüger die Möglichkeit, ungestraft ihre eigenen „gefüllten Kekse“ zu backen. Zwar ist dies nicht in jedem Browser möglich, aber es gibt viele andere Möglichkeiten, dies zu tun, indem Sie die automatische Aktualisierung der aktuellen Seite des Browsers mittels Meta-Refresh, Meta-Tags oder JavaScript nutzen.
Im Jahr 2008 begannen sie, leistungsfähigere Hacking-Tools wie Rebinding-Angriffe einzusetzen – DNS-Rebinding, Gifar und bösartige Flash-Inhalte, die bestehende Schutzmodelle vollständig zerstören können. Es dauert einige Zeit, herauszufinden, wie man sie verwendet, denn die Leute von Cookie Stuffing sind keine wirklich fortgeschrittenen Hacker, sondern nur aggressive Vermarkter, die nicht viel über Codierung wissen.
Verkauf von halbverfügbaren Informationen
Also haben wir uns angeschaut, wie man sechsstellige Beträge verdient, und nun kommen wir zu siebenstelligen Beträgen. Wir brauchen viel Geld, um reich zu werden oder zu sterben. Wir werden uns ansehen, wie Sie mit dem Verkauf halbverfügbarer Informationen Geld verdienen können. Business Wire war vor ein paar Jahren sehr beliebt und ist immer noch wichtig, wir sehen es auf vielen Websites. Für diejenigen, die es nicht wissen: Business Wire bietet einen Dienst an, bei dem registrierte Benutzer der Website einen Stream aktueller Pressemitteilungen von Tausenden von Unternehmen erhalten. Von verschiedenen Organisationen werden Pressemitteilungen an dieses Unternehmen gesendet, die manchmal vorübergehend verboten oder mit einem Embargo belegt sind, sodass die in diesen Pressemitteilungen enthaltenen Informationen den Wert der Aktien beeinflussen können.
Pressemitteilungsdateien werden auf den Business Wire-Webserver hochgeladen, aber erst nach Aufhebung des Embargos verlinkt. Gleichzeitig sind Webseiten mit Pressemitteilungen mit der Hauptwebsite verlinkt und Benutzer werden über URLs wie diese darüber informiert:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmWährend Sie unter dem Embargo stehen, veröffentlichen Sie also interessante Daten auf der Website, sodass sich die Benutzer sofort mit der Aufhebung des Embargos vertraut machen können. Diese Links sind datiert und werden den Benutzern per E-Mail zugesandt. Sobald die Sperre abläuft, funktioniert der Link und leitet den Benutzer zu der Seite weiter, auf der die entsprechende Pressemitteilung veröffentlicht ist. Bevor der Zugriff auf die Pressemitteilungs-Webseite gewährt wird, muss das System sicherstellen, dass der Benutzer ordnungsgemäß angemeldet ist.
Sie prüfen nicht, ob Sie das Recht haben, diese Informationen vor Ablauf des Embargos einzusehen. Sie müssen sich lediglich im System anmelden. Bisher scheint es harmlos zu sein, aber nur weil man etwas nicht sehen kann, heißt das nicht, dass es nicht da ist.
Das estnische Finanzunternehmen Lohmus Haavel & Viisemann, das überhaupt kein Hacker war, entdeckte, dass Webseiten mit Pressemitteilungen auf vorhersehbare Weise benannt waren, und begann, diese URLs zu erraten. Auch wenn Links aufgrund eines Embargos möglicherweise noch nicht existieren, bedeutet dies nicht, dass ein Hacker den Dateinamen nicht erraten und somit vorzeitig darauf zugreifen kann. Diese Methode funktionierte, weil die einzige Sicherheitsüberprüfung von Business Wire darin bestand, dass sich der Benutzer rechtmäßig angemeldet hatte, und nichts anderes.
So erhielten die Esten vor Börsenschluss Informationen und verkauften diese Daten. Bevor die SEC sie aufspürte und ihre Konten einfror, gelang es ihnen, durch den Handel mit halbverfügbaren Informationen 8 Millionen US-Dollar zu verdienen. Bedenken Sie, dass diese Leute sich einfach angeschaut haben, wie Links aussehen, versucht haben, URLs zu erraten, und damit 8 Millionen verdient haben. Normalerweise frage ich an dieser Stelle das Publikum, ob dies als legal oder illegal angesehen wird, ob es sich auf die Konzepte des Handels bezieht oder nicht. Aber jetzt möchte ich Ihre Aufmerksamkeit nur darauf lenken, wer es getan hat.
Bevor Sie versuchen, diese Fragen zu beantworten, zeige ich Ihnen die nächste Folie. Das hat nichts mit Internetbetrug zu tun. Ein ukrainischer Hacker hackte sich in Thomson Financial, einen Anbieter von Business Intelligence, ein und stahl die Finanznotlage von IMS Health, Stunden bevor die Informationen auf den Finanzmarkt gelangen sollten. Es besteht kein Zweifel, dass er sich des Einbruchs schuldig gemacht hat.
Der Hacker erteilte Verkaufsaufträge im Wert von 42 Dollar und spielte, bis die Kurse fielen. Für die Ukraine ist das ein riesiger Betrag, daher wusste der Hacker genau, worauf er sich einließ. Der plötzliche Rückgang des Aktienkurses bescherte ihm innerhalb weniger Stunden einen Gewinn von rund 300 US-Dollar. Die Börse gab eine Warnmeldung aus, die SEC fror die Gelder ein, da sie bemerkte, dass etwas schieflief, und leitete eine Untersuchung ein. Richterin Naomi Reis Buchwald sagte jedoch, die Gelder sollten freigegeben werden, da Dorozhkos angeblicher „Diebstahl und Handel“ und „Hacking und Handel“ nicht gegen Wertpapiergesetze verstoßen. Der Hacker war kein Angestellter dieses Unternehmens und hat daher keine Gesetze zur Offenlegung vertraulicher Finanzinformationen verletzt.
Die Zeitung „Times“ deutete an, dass das US-Justizministerium diesen Fall aufgrund der Schwierigkeiten, die Zustimmung der ukrainischen Behörden zur Zusammenarbeit bei der Festnahme des Verbrechers einzuholen, einfach für aussichtslos hielt. Dieser Hacker kam also sehr leicht an 300 Dollar.
Vergleichen Sie dies nun mit dem vorherigen Fall, bei dem Menschen Geld verdienten, indem sie einfach die URLs der Links in ihrem Browser änderten und kommerzielle Informationen verkauften. Das sind recht interessante, aber nicht die einzigen Möglichkeiten, an der Börse Geld zu verdienen.
Erwägen Sie die passive Informationsbeschaffung. Normalerweise erhält der Käufer nach einem Online-Kauf einen Code zur Auftragsverfolgung, der sequentiell oder pseudosequentiell sein kann und etwa so aussieht:
3200411
3200412
3200413
Damit können Sie Ihre Bestellung verfolgen. Pentester oder Hacker versuchen, URLs zu „scrollen“, um an Bestelldaten zu gelangen, die in der Regel personenbezogene Daten (PII) enthalten:
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Indem sie durch die Nummern scrollen, erhalten sie Zugriff auf Kreditkartennummern, Adressen, Namen und andere persönliche Informationen des Käufers. Wir sind jedoch nicht an den persönlichen Daten des Kunden interessiert, sondern am Auftragsverfolgungscode selbst, wir sind an passiver Intelligenz interessiert.
Die Kunst, Schlussfolgerungen zu ziehen
Betrachten Sie die Kunst, Schlussfolgerungen zu ziehen. Wenn Sie genau abschätzen können, wie viele „Aufträge“ ein Unternehmen am Ende des Quartals abwickelt, können Sie anhand historischer Daten schließen, ob seine Finanzlage gut ist und in welche Richtung sich sein Aktienkurs entwickeln wird. Sie haben beispielsweise zu Beginn des Quartals etwas bestellt oder gekauft, das spielt keine Rolle, und dann am Ende des Quartals eine neue Bestellung aufgegeben. Anhand der Zahlendifferenz können wir schließen, wie viele Bestellungen das Unternehmen in diesem Zeitraum bearbeitet hat. Wenn wir im gleichen Zeitraum von tausend Bestellungen gegenüber hunderttausend Bestellungen sprechen, kann man davon ausgehen, dass es dem Unternehmen schlecht geht.
Tatsache ist jedoch, dass diese Sequenznummern häufig erhalten werden können, ohne dass eine Bestellung tatsächlich ausgeführt wird oder eine später stornierte Bestellung ausgeführt wird. Hoffentlich werden diese Zahlen trotzdem nicht angezeigt und die Reihenfolge wird mit den Zahlen fortgesetzt:
3200418
3200419
3200420
Auf diese Weise wissen Sie, dass Sie die Möglichkeit haben, Bestellungen zu verfolgen und passiv Informationen von der Website zu sammeln, die sie uns zur Verfügung stellen. Wir wissen nicht, ob es legal ist oder nicht, wir wissen nur, dass es machbar ist.
Daher haben wir verschiedene Nachteile der Geschäftslogik berücksichtigt.
Trey Ford: Die Angreifer sind Geschäftsleute. Sie erwarten eine Rendite für ihre Investition. Je mehr Technologie, je größer und komplexer der Code, desto mehr Arbeit ist für Sie erforderlich und desto wahrscheinlicher ist es, dass Sie erwischt werden. Es gibt aber viele sehr vorteilhafte Möglichkeiten, Angriffe ohne Aufwand durchzuführen. Geschäftslogik ist ein gigantisches Geschäft und Kriminelle haben eine große Motivation, es zu knacken. Fehler in der Geschäftslogik sind ein Hauptziel für Kriminelle und können nicht durch einen einfachen Scan oder routinemäßige QS-Tests erkannt werden. Es gibt ein psychologisches Problem bei der Qualitätssicherung in der Qualitätssicherung, das als „Bestätigungsfehler“ bezeichnet wird, weil wir wie alle anderen wissen wollen, dass wir Recht haben. Daher ist es notwendig, Tests unter realen Bedingungen durchzuführen.
Es ist notwendig, alles und jedes zu testen, da nicht alle Schwachstellen bereits in der Entwicklungsphase, durch die Analyse des Codes oder sogar während der Qualitätssicherung gefunden werden können. Sie müssen also den gesamten Geschäftsprozess durchgehen und alle Maßnahmen zu seinem Schutz entwickeln. Aus der Geschichte lässt sich viel lernen, da sich einige Angriffsarten im Laufe der Zeit wiederholen. Wenn Sie eines Nachts aufgrund der hohen CPU-Auslastung aufwachen, können Sie davon ausgehen, dass ein Hacker erneut versucht, gültige Rabattgutscheine aufzuspüren. Der eigentliche Weg, die Art des Angriffs zu erkennen, besteht darin, einen aktiven Angriff zu beobachten, da es eine äußerst schwierige Aufgabe sein wird, ihn anhand des Protokollverlaufs zu erkennen.
Jeremy Grossman: Hier ist also, was wir heute gelernt haben.
Das Lösen von Captchas kann Ihnen vierstellige Dollarbeträge einbringen. Manipulationen an Online-Zahlungssystemen bringen dem Hacker einen fünfstelligen Gewinn. Das Hacken von Banken kann Ihnen einen mehr als fünfstelligen Gewinn einbringen, insbesondere wenn Sie es mehr als einmal tun.
Bei E-Commerce-Betrug erhalten Sie einen sechsstelligen Betrag, bei der Nutzung von Affiliate-Netzwerken einen fünf- bis sechsstelligen Betrag oder sogar einen siebenstelligen Betrag. Wenn Sie mutig genug sind, können Sie versuchen, den Aktienmarkt zu täuschen und einen mehr als siebenstelligen Gewinn zu erzielen. Und der Einsatz der RSnake-Methode bei Wettbewerben um die besten Chihuahua ist unbezahlbar!
Die neuen Folien für diese Präsentation waren wahrscheinlich nicht auf der CD enthalten, Sie können sie also später von meiner Blog-Seite herunterladen. Im September findet eine OPSEC-Konferenz statt, an der ich teilnehmen werde, und ich denke, wir werden einige wirklich coole Sachen mit ihnen machen können. Und wenn Sie jetzt Fragen haben, sind wir bereit, diese zu beantworten.
Einige Anzeigen 🙂
Vielen Dank, dass Sie bei uns geblieben sind. Gefallen Ihnen unsere Artikel? Möchten Sie weitere interessante Inhalte sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder an Freunde weiterempfehlen. , 30 % Rabatt für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das von uns für Sie erfunden wurde: (verfügbar mit RAID1 und RAID10, bis zu 24 Kerne und bis zu 40 GB DDR4).
Dell R730xd 2-mal günstiger? Nur hier in den Niederlanden! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbit/s 100 TB – ab 99 $! Lesen über
Source: habr.com