Έφτασαν στο σημείο να συζητήσουν το ενδεχόμενο οι οδηγοί της UPS να αντιμετωπίσουν τον ύποπτο. Ας ελέγξουμε τώρα αν αυτά που αναφέρονται σε αυτήν τη διαφάνεια είναι νόμιμα;
Να τι λέει η FTC όταν ρωτήθηκε, "Πρέπει να επιστρέψω ή να πληρώσω για ένα αντικείμενο που δεν παρήγγειλα ποτέ;" - "Οχι. Εάν λάβετε ένα αντικείμενο που δεν παραγγείλατε, έχετε το νόμιμο δικαίωμα να το δεχτείτε ως δώρο». Ακούγεται αυτό ηθικό; Πλένω τα χέρια μου από αυτό γιατί δεν είμαι αρκετά έξυπνος για να συζητήσω τέτοια θέματα.
Αλλά αυτό που είναι ενδιαφέρον είναι ότι βλέπουμε μια τάση στην οποία όσο λιγότερη τεχνολογία χρησιμοποιούμε, τόσο περισσότερα χρήματα κερδίζουμε.
Διαδικτυακή απάτη συνεργατών
Τζέρεμι Γκρόσμαν: Είναι πραγματικά πολύ δύσκολο να το καταλάβεις, αλλά μπορείς να βγάλεις έξι νούμερα χρήματα με αυτόν τον τρόπο. Έτσι, όλες οι ιστορίες που ακούσατε έχουν πραγματικούς συνδέσμους και μπορείτε να διαβάσετε για όλα λεπτομερώς. Ένας από τους πιο ενδιαφέροντες τύπους διαδικτυακής απάτης είναι η απάτη συνεργατών. Τα ηλεκτρονικά καταστήματα και οι διαφημιστές χρησιμοποιούν δίκτυα συνεργατών για να προσελκύσουν επισκεψιμότητα και χρήστες στους ιστότοπούς τους με αντάλλαγμα ένα μέρος των κερδών που προέρχονται από αυτό.
Θα μιλήσω για κάτι που πολλοί άνθρωποι γνώριζαν εδώ και χρόνια, αλλά δεν κατάφερα να βρω ούτε μια δημόσια αναφορά που να δείχνει πόση απώλεια έχει προκαλέσει αυτό το είδος απάτης. Από όσο γνωρίζω δεν έγιναν μηνύσεις, ποινικές έρευνες. Έχω μιλήσει με επιχειρηματίες κατασκευαστών, έχω μιλήσει με τύπους δικτύων θυγατρικών, έχω μιλήσει με Black Cats - όλοι πιστεύουν ότι οι απατεώνες έχουν κερδίσει ένα τεράστιο ποσό χρημάτων από θυγατρικές.
Παρακαλώ δεχθείτε το λόγο μου και αναθεωρήστε την εργασία που έχω κάνει για αυτά τα συγκεκριμένα θέματα. Οι απατεώνες τα χρησιμοποιούν για να κάνουν 5-6ψήφια, και μερικές φορές επταψήφια ποσά μηνιαίως, χρησιμοποιώντας ειδικές τεχνικές. Υπάρχουν άτομα σε αυτό το δωμάτιο που μπορούν να το ελέγξουν εάν δεν δεσμεύονται από μια συμφωνία εμπιστευτικότητας. Θα σας δείξω λοιπόν πώς λειτουργεί. Υπάρχουν αρκετοί παίκτες που εμπλέκονται σε αυτό το σχέδιο. Θα δείτε τι είναι το "παιχνίδι" θυγατρικών επόμενης γενιάς.
Το παιχνίδι περιλαμβάνει έναν έμπορο που έχει έναν ιστότοπο ή ένα προϊόν και πληρώνει προμήθειες συνεργατών για κλικ χρηστών, λογαριασμούς που δημιουργήθηκαν, αγορές που έγιναν κ.λπ. Πληρώνετε τη θυγατρική για το γεγονός ότι κάποιος επισκέπτεται τον ιστότοπό του, κάνει κλικ σε έναν σύνδεσμο, πηγαίνει στον ιστότοπο του πωλητή σας και αγοράζει κάτι από εκεί.
Ο επόμενος παίκτης είναι ο συνεργάτης, ο οποίος λαμβάνει χρήματα με τη μορφή κόστους ανά κλικ (CPC) ή με τη μορφή προμηθειών (CPA) για την ανακατεύθυνση των αγοραστών στον ιστότοπο του πωλητή.
Οι προμήθειες υποδηλώνουν ότι ως αποτέλεσμα των δραστηριοτήτων του συνεργάτη, ο πελάτης πραγματοποίησε μια αγορά στον ιστότοπο του πωλητή.
Ο αγοραστής είναι το άτομο που πραγματοποιεί αγορές ή εγγράφεται στο απόθεμα του πωλητή.
Τα δίκτυα συνεργατών παρέχουν τεχνολογίες που συνδέουν και παρακολουθούν τις δραστηριότητες του πωλητή, του συνεργάτη και του αγοραστή. «Συγκολλούν» όλους τους παίκτες και εξασφαλίζουν την αλληλεπίδρασή τους.
Μπορεί να σας πάρει μερικές ημέρες ή μερικές εβδομάδες για να καταλάβετε πώς λειτουργούν όλα, αλλά δεν υπάρχει περίπλοκη τεχνολογία. Τα δίκτυα συνεργατών και τα προγράμματα συνεργατών καλύπτουν όλους τους τύπους εμπορίου και όλες τις αγορές. Το Google, το EBay, το Amazon τα έχουν, τα συμφέροντά τους ως προμήθειες διασταυρώνονται, είναι παντού και δεν στερούνται εισοδήματος. Είμαι βέβαιος ότι γνωρίζετε ότι ακόμη και η επισκεψιμότητα από το ιστολόγιό σας μπορεί να αποφέρει κέρδος πολλών εκατοντάδων δολαρίων κάθε μήνα, επομένως αυτό το σχέδιο θα σας είναι εύκολο να το καταλάβετε.
Έτσι λειτουργεί το σύστημα. Συνεργάζεστε με έναν μικρό ιστότοπο ή έναν ηλεκτρονικό πίνακα ανακοινώσεων, δεν έχει σημασία, υπογράφετε ένα πρόγραμμα συνεργατών και λαμβάνετε έναν ειδικό σύνδεσμο που τοποθετείτε στη σελίδα σας στο Διαδίκτυο. Μοιάζει με αυτό:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Αυτό δείχνει το συγκεκριμένο πρόγραμμα συνεργατών, το αναγνωριστικό συνεργάτη σας, σε αυτήν την περίπτωση είναι 100, και το όνομα του προϊόντος που πωλείται. Και αν κάποιος κάνει κλικ σε αυτόν τον σύνδεσμο, το πρόγραμμα περιήγησης τον ανακατευθύνει στο δίκτυο συνεργατών, εγκαθιστά ειδικά cookies παρακολούθησης που τον συνδέουν με το αναγνωριστικό συνεργάτη=100.
Set-Cookie: AffiliateID=100Και ανακατευθύνει στη σελίδα του πωλητή. Εάν ο αγοραστής αγοράσει αργότερα κάποιο προϊόν εντός χρονικού διαστήματος X, που μπορεί να είναι μία ημέρα, μία ώρα, τρεις εβδομάδες, οποιοσδήποτε συμφωνημένος χρόνος, και κατά τη διάρκεια αυτής της περιόδου τα cookies συνεχίσουν να υπάρχουν, τότε η θυγατρική λαμβάνει την προμήθεια του.
Αυτός είναι ο τρόπος με τον οποίο οι θυγατρικές εταιρείες κερδίζουν δισεκατομμύρια δολάρια χρησιμοποιώντας αποτελεσματικές τακτικές SEO. Επιτρέψτε μου να σας δώσω ένα παράδειγμα. Η επόμενη διαφάνεια δείχνει την απόδειξη, τώρα θα τη μεγεθύνω για να σας δείξω το ποσό. Αυτή είναι μια επιταγή από την Google για 132 $. Το επώνυμο αυτού του κυρίου είναι Schumann και είναι ιδιοκτήτης ενός δικτύου διαφημιστικών ιστοσελίδων. Δεν είναι όλα αυτά τα χρήματα, η Google πληρώνει τέτοια ποσά μία φορά το μήνα ή μία φορά κάθε 2 μήνες.
Άλλη μια επιταγή από την Google, θα τη μεγεθύνω και θα δείτε ότι είναι για 901 $.
Να ρωτήσω κάποιον για την ηθική του να βγάζεις χρήματα σαν αυτό; Σιωπή στην αίθουσα... Αυτή η επιταγή αντιπροσωπεύει πληρωμή για 2 μήνες, επειδή η προηγούμενη επιταγή απορρίφθηκε από την τράπεζα του παραλήπτη επειδή το ποσό πληρωμής ήταν πολύ μεγάλο.
Έτσι, είδαμε ότι μπορούν να βγουν τέτοιου είδους χρήματα και αυτά τα χρήματα καταβάλλονται. Πώς μπορείτε να νικήσετε αυτό το σχέδιο; Μπορούμε να χρησιμοποιήσουμε μια τεχνική που ονομάζεται Cookie-Stuffing. Αυτή είναι μια πολύ απλή ιδέα που εμφανίστηκε το 2001-2002, και αυτή η διαφάνεια δείχνει πώς φαινόταν το 2002. Θα σας πω την ιστορία της εμφάνισής του.
Τίποτα λιγότερο από τους ενοχλητικούς Όρους Παροχής Υπηρεσιών του δικτύου θυγατρικών απαιτεί ο χρήστης να κάνει πραγματικά κλικ σε έναν σύνδεσμο προκειμένου το πρόγραμμα περιήγησής του να παραλάβει το cookie αναγνωριστικού συνεργάτη.
Μπορείτε να φορτώσετε αυτόματα αυτό το URL στο οποίο γίνεται συνήθως κλικ στην πηγή εικόνας ή στην ετικέτα iframe. Σε αυτήν την περίπτωση, αντί για σύνδεσμο:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Κατεβάζετε αυτό:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Ή αυτό:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Και όταν ο χρήστης προσγειωθεί στη σελίδα σας, θα παραλάβει αυτόματα το affiliate cookie. Ταυτόχρονα, ανεξάρτητα από το αν αγοράσει κάτι στο μέλλον, θα λάβετε τις προμήθειες σας, είτε ανακατευθύνατε την κυκλοφορία είτε όχι - δεν έχει σημασία.
Τα τελευταία χρόνια, αυτό έχει γίνει χόμπι για τους τύπους SEO που δημοσιεύουν παρόμοιο υλικό σε πίνακες μηνυμάτων και αναπτύσσουν κάθε είδους σενάρια για το πού αλλού να τοποθετήσουν τους συνδέσμους τους. Οι επιθετικοί συνεργάτες συνειδητοποίησαν ότι μπορούσαν να τοποθετήσουν τον κωδικό τους οπουδήποτε στο Διαδίκτυο, όχι μόνο στους δικούς τους ιστότοπους.
Σε αυτήν τη διαφάνεια μπορείτε να δείτε ότι έχουν τα δικά τους προγράμματα Cookie-Stuffing που βοηθούν τους χρήστες να φτιάξουν τα δικά τους "γεμισμένα cookies". Και δεν είναι μόνο ένα cookie, μπορείτε να ανεβάσετε 20-30 αναγνωριστικά συνεργατών ταυτόχρονα και μόλις κάποιος αγοράσει κάτι, πληρώνεστε για αυτό.
Αυτοί οι τύποι συνειδητοποίησαν σύντομα ότι δεν χρειαζόταν να βάλουν αυτόν τον κώδικα στις σελίδες τους. Εγκατέλειψαν το σενάριο μεταξύ ιστοτόπων και απλώς άρχισαν να δημοσιεύουν τα μικρά τους αποσπάσματα με κώδικα HTML σε πίνακες μηνυμάτων, βιβλία επισκεπτών και κοινωνικά δίκτυα.
Γύρω στο 2005, έμποροι και δίκτυα συνεργατών κατάλαβαν τι συνέβαινε, άρχισαν να παρακολουθούν τους παραπομπούς και τα ποσοστά κλικ προς αριθμό εμφανίσεων και άρχισαν να διώχνουν ύποπτες συνεργάτες. Για παράδειγμα, παρατήρησαν ότι ένας χρήστης έκανε κλικ σε έναν ιστότοπο του MySpace, αλλά αυτός ο ιστότοπος ανήκε σε ένα εντελώς διαφορετικό δίκτυο συνεργατών από αυτό που λάμβανε το νόμιμο όφελος.
Αυτοί οι τύποι έγιναν λίγο σοφότεροι και το 2007 εμφανίστηκε ένα νέο είδος Cookie-Stuffing. Οι συνεργάτες άρχισαν να τοποθετούν τον κώδικά τους σε σελίδες SSL. Σύμφωνα με το πρωτόκολλο μεταφοράς υπερκειμένου RFC 2616, οι πελάτες δεν πρέπει να περιλαμβάνουν πεδίο κεφαλίδας παραπομπής σε ένα μη ασφαλές αίτημα HTTP, εάν η σελίδα παραπομπής έχει μετεγκατασταθεί από ένα ασφαλές πρωτόκολλο. Αυτό συμβαίνει επειδή δεν θέλετε να διαρρεύσει αυτές οι πληροφορίες από τον τομέα σας.
Από αυτό είναι σαφές ότι οποιοσδήποτε Παραπομπής αποστέλλεται σε έναν συνεργάτη δεν θα είναι ανιχνεύσιμος, επομένως οι κύριοι συνεργάτες θα βλέπουν έναν κενό σύνδεσμο και δεν θα μπορούν να σας διώξουν για αυτό. Τώρα οι απατεώνες έχουν την ευκαιρία να φτιάχνουν τα «γεμισμένα cookies» τους ατιμώρητα. Είναι αλήθεια ότι δεν σας επιτρέπει κάθε πρόγραμμα περιήγησης να το κάνετε αυτό, αλλά υπάρχουν πολλοί άλλοι τρόποι για να κάνετε το ίδιο χρησιμοποιώντας την αυτόματη ανανέωση του προγράμματος περιήγησης της τρέχουσας μετα-ανανέωσης σελίδας, μετα-ετικέτες ή JavaScript.
Το 2008, άρχισαν να χρησιμοποιούν πιο ισχυρά εργαλεία hacking, όπως επιθέσεις επανασύνδεσης DNS, Gifar και κακόβουλο περιεχόμενο Flash, το οποίο μπορεί να καταστρέψει εντελώς τα υπάρχοντα μοντέλα ασφαλείας. Χρειάζεται λίγος χρόνος για να καταλάβετε πώς να τα χρησιμοποιήσετε, επειδή οι τύποι του Cookie-Stuffing δεν είναι ιδιαίτερα προχωρημένοι χάκερ, είναι απλώς επιθετικοί έμποροι με λίγες γνώσεις κωδικοποίησης.
Πώληση ημι-προσβάσιμων πληροφοριών
Έτσι, εξετάσαμε πώς να κερδίσετε 6ψήφια ποσά και τώρα ας προχωρήσουμε στα επταψήφια. Χρειαζόμαστε πολλά χρήματα για να πλουτίσουμε ή να πεθάνουμε. Θα εξετάσουμε πώς μπορείτε να κερδίσετε χρήματα πουλώντας ημι-προσβάσιμες πληροφορίες. Το Business Wire ήταν πολύ δημοφιλές πριν από μερικά χρόνια και εξακολουθεί να είναι σημαντικό, βλέπουμε την παρουσία του σε πολλά sites. Για όσους δεν γνωρίζουν, το Business Wire παρέχει μια υπηρεσία με την οποία οι εγγεγραμμένοι χρήστες του ιστότοπου λαμβάνουν μια ροή ενημερωμένων δελτίων τύπου από χιλιάδες εταιρείες. Τα δελτία τύπου αποστέλλονται σε αυτήν την εταιρεία από διάφορους οργανισμούς, οι οποίοι μερικές φορές υπόκεινται σε προσωρινές απαγορεύσεις ή εμπάργκο, επομένως οι πληροφορίες που περιέχονται σε αυτά τα δελτία τύπου ενδέχεται να επηρεάσουν την τιμή των μετοχών.
Τα αρχεία δελτίου τύπου μεταφορτώνονται στον διακομιστή ιστού Business Wire αλλά δεν συνδέονται μέχρι να αρθεί το εμπάργκο. Εν τω μεταξύ, οι ιστοσελίδες του δελτίου τύπου συνδέονται με τον κύριο ιστότοπο και οι χρήστες ειδοποιούνται γι' αυτές μέσω URL όπως αυτή:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmΈτσι, ενώ βρίσκεστε υπό εμπάργκο, δημοσιεύετε ενδιαφέροντα δεδομένα στον ιστότοπο, ώστε μόλις αρθεί το εμπάργκο, οι χρήστες να εξοικειωθούν αμέσως με αυτό. Αυτοί οι σύνδεσμοι έχουν ημερομηνία και αποστέλλονται στους χρήστες μέσω email. Μόλις λήξει η απαγόρευση, ο σύνδεσμος θα λειτουργήσει και θα κατευθύνει τον χρήστη στον ιστότοπο όπου αναρτάται το αντίστοιχο δελτίο τύπου. Πριν παραχωρήσετε πρόσβαση στην ιστοσελίδα του δελτίου τύπου, το σύστημα πρέπει να επαληθεύσει ότι ο χρήστης είναι νόμιμα συνδεδεμένος.
Δεν ελέγχουν εάν έχετε το δικαίωμα να δείτε αυτές τις πληροφορίες πριν λήξει το εμπάργκο, απλά πρέπει να συνδεθείτε στο σύστημα. Μέχρι στιγμής φαίνεται ακίνδυνο, αλλά το ότι δεν βλέπετε κάτι δεν σημαίνει ότι δεν υπάρχει.
Η Εσθονική εταιρεία χρηματοοικονομικών υπηρεσιών Lohmus Haavel & Viisemann, όχι καθόλου χάκερ, ανακάλυψε ότι οι ιστοσελίδες του δελτίου τύπου ονομάζονταν με προβλέψιμο τρόπο και άρχισαν να μαντεύουν αυτές τις διευθύνσεις URL. Αν και οι σύνδεσμοι μπορεί να μην υπάρχουν ακόμη επειδή ισχύει εμπάργκο, αυτό δεν σημαίνει ότι ένας χάκερ δεν μπορεί να μαντέψει το όνομα του αρχείου και έτσι να αποκτήσει πρόωρη πρόσβαση σε αυτό. Αυτή η μέθοδος λειτούργησε επειδή ο μόνος έλεγχος ασφαλείας του Business Wire ήταν ότι ο χρήστης ήταν νόμιμα συνδεδεμένος και τίποτα άλλο.
Έτσι, οι Εσθονοί έλαβαν πληροφορίες πριν κλείσει η αγορά και πούλησαν αυτά τα δεδομένα. Μέχρι να τους εντοπίσει η SEC και να παγώσει τους λογαριασμούς τους, κατάφεραν να κερδίσουν 8 εκατομμύρια δολάρια από τη διαπραγμάτευση ημι-προσβάσιμων πληροφοριών. Σκεφτείτε το, το μόνο που έκαναν αυτοί οι τύποι ήταν να κοιτάξουν πώς μοιάζουν οι σύνδεσμοι, να προσπαθήσουν να μαντέψουν τις διευθύνσεις URL και έβγαλαν 8 εκατομμύρια από αυτό. Συνήθως σε αυτό το σημείο ρωτάω το κοινό αν αυτό θεωρείται νόμιμο ή παράνομο, αν θεωρείται εμπόριο ή όχι. Αλλά προς το παρόν θέλω απλώς να επιστήσω την προσοχή σας στο ποιος το έκανε αυτό.
Πριν προσπαθήσετε να απαντήσετε σε αυτές τις ερωτήσεις, θα σας δείξω την επόμενη διαφάνεια. Αυτό δεν σχετίζεται άμεσα με διαδικτυακή απάτη. Ένας Ουκρανός χάκερ χακάρισε την Thomson Financial, έναν πάροχο επιχειρηματικής ευφυΐας, και έκλεψε δεδομένα σχετικά με την οικονομική δυσπραγία του IMS Health ώρες πριν οι πληροφορίες επρόκειτο να κυκλοφορήσουν στην χρηματοπιστωτική αγορά. Δεν υπάρχει αμφιβολία ότι είναι ένοχος για χακάρισμα.
Ο χάκερ έκανε εντολές πώλησης ύψους 42 χιλιάδων δολαρίων, παίζοντας πριν πέσουν οι τιμές. Για την Ουκρανία αυτό είναι ένα τεράστιο ποσό, οπότε ο χάκερ ήξερε καλά σε τι έμπαινε. Η ξαφνική πτώση της τιμής της μετοχής του έφερε περίπου 300 δολάρια σε κέρδος μέσα σε λίγες ώρες. Το χρηματιστήριο έβγαλε μια «Κόκκινη Σημαία», η SEC πάγωσε τα κεφάλαια, παρατηρώντας ότι κάτι δεν πήγαινε καλά, και ξεκίνησε έρευνα. Ωστόσο, η δικαστής Naomi Reis Buchwald είπε ότι τα κεφάλαια πρέπει να αποδεσμευτούν επειδή οι ισχυρισμοί «κλοπής και εμπορίας» και «hacking και trading» που αποδίδονται στον Dorozhko δεν παραβιάζουν τους νόμους περί τίτλων. Ο χάκερ δεν ήταν υπάλληλος αυτής της εταιρείας και ως εκ τούτου δεν παραβίασε κανένα νόμο σχετικά με την αποκάλυψη εμπιστευτικών οικονομικών πληροφοριών.
Οι Times πρότειναν ότι το Υπουργείο Δικαιοσύνης των ΗΠΑ απλώς θεώρησε την υπόθεση μάταιη λόγω των δυσκολιών να πείσουν τις ουκρανικές αρχές να συμφωνήσουν να συνεργαστούν για τη σύλληψη του δράστη. Αυτός ο χάκερ λοιπόν πήρε 300 χιλιάδες δολάρια πολύ εύκολα.
Συγκρίνετε τώρα αυτό με την προηγούμενη περίπτωση όπου οι άνθρωποι κέρδισαν χρήματα αλλάζοντας απλώς τις διευθύνσεις URL των συνδέσμων στο πρόγραμμα περιήγησής τους και πουλώντας εμπορικές πληροφορίες. Αυτοί είναι αρκετά ενδιαφέροντες, αλλά όχι οι μόνοι τρόποι για να κερδίσετε χρήματα στο χρηματιστήριο.
Ας εξετάσουμε την παθητική συλλογή πληροφοριών. Συνήθως, αφού πραγματοποιήσει μια ηλεκτρονική αγορά, ο αγοραστής λαμβάνει έναν κωδικό παρακολούθησης παραγγελίας, ο οποίος μπορεί να είναι διαδοχικός ή ψευδοδιαδοχικός και μοιάζει κάπως έτσι:
3200411
3200412
3200413
Με αυτό μπορείτε να παρακολουθείτε την παραγγελία σας. Οι εισβολείς ή οι χάκερ προσπαθούν να ανιχνεύσουν διευθύνσεις URL για να αποκτήσουν πρόσβαση σε δεδομένα παραγγελιών, που συνήθως περιέχουν στοιχεία προσωπικής ταυτοποίησης (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Με κύλιση στους αριθμούς, αποκτούν πρόσβαση στους αριθμούς, τις διευθύνσεις, τα ονόματα και άλλα προσωπικά στοιχεία της πιστωτικής κάρτας του αγοραστή. Ωστόσο, δεν μας ενδιαφέρουν τα προσωπικά στοιχεία του πελάτη, αλλά ο ίδιος ο κωδικός διαδρομής παραγγελίας· μας ενδιαφέρει η παθητική αναγνώριση.
Η τέχνη της εξαγωγής συμπερασμάτων
Σκεφτείτε το «The Art of Inference». Εάν μπορείτε να υπολογίσετε με ακρίβεια πόσες «παραγγελίες» επεξεργάζεται μια εταιρεία στο τέλος του τριμήνου, τότε, με βάση τα ιστορικά δεδομένα, μπορείτε να συμπεράνετε εάν η οικονομική της κατάσταση είναι καλή και πώς θα κυμανθεί η τιμή της μετοχής της. Για παράδειγμα, παραγγείλατε ή αγοράσατε κάτι στην αρχή του τριμήνου, δεν έχει σημασία, και στη συνέχεια κάνατε μια νέα παραγγελία στο τέλος του τριμήνου. Με βάση τη διαφορά στους αριθμούς, μπορεί κανείς να συμπεράνει πόσες παραγγελίες διεκπεραιώθηκαν από την εταιρεία κατά τη διάρκεια αυτής της χρονικής περιόδου. Αν μιλάμε για χίλιες παραγγελίες έναντι εκατό χιλιάδων για την ίδια προηγούμενη περίοδο, μπορείτε να υποθέσετε ότι η εταιρεία δεν τα πάει καλά.
Ωστόσο, το γεγονός είναι ότι συχνά αυτοί οι αριθμοί σειράς μπορούν να ληφθούν χωρίς να ολοκληρωθεί πραγματικά η παραγγελία ή μια παραγγελία που στη συνέχεια ακυρώνεται. Ελπίζω ότι αυτοί οι αριθμοί δεν θα εμφανιστούν σε καμία περίπτωση και η σειρά θα συνεχιστεί με τους αριθμούς:
3200418
3200419
3200420
Με αυτόν τον τρόπο γνωρίζετε ότι έχετε τη δυνατότητα να παρακολουθείτε παραγγελίες και μπορείτε να αρχίσετε να συλλέγετε παθητικά πληροφορίες από τον ιστότοπο που μας παρέχουν. Δεν ξέρουμε αν είναι νόμιμο ή όχι, ξέρουμε μόνο ότι μπορεί να γίνει.
Έτσι, εξετάσαμε διάφορες ελλείψεις της επιχειρηματικής λογικής.
Τρέι Φορντ: οι δράστες είναι επιχειρηματίες. Αναμένουν απόδοση της επένδυσής τους. Όσο περισσότερη τεχνολογία, όσο μεγαλύτερος και πιο σύνθετος είναι ο κώδικας, τόσο περισσότερη δουλειά χρειάζεται να γίνει και τόσο μεγαλύτερη είναι η πιθανότητα να σας πιάσουν. Αλλά υπάρχουν πολλοί πολύ κερδοφόροι τρόποι για να πραγματοποιήσετε επιθέσεις χωρίς καμία προσπάθεια. Η επιχειρηματική λογική είναι μια τεράστια επιχείρηση και υπάρχει τεράστιο κίνητρο για τους εγκληματίες να την χακάρουν. Τα ελαττώματα επιχειρηματικής λογικής αποτελούν πρωταρχικό στόχο για τους εγκληματίες και είναι κάτι που δεν μπορεί να εντοπιστεί με απλή εκτέλεση σάρωσης ή εκτέλεση τυπικών δοκιμών ως μέρος μιας διαδικασίας διασφάλισης ποιότητας. Υπάρχει ένα ψυχολογικό πρόβλημα στο QA που ονομάζεται "προκατάληψη επιβεβαίωσης", επειδή, όπως οι άνθρωποι, θέλουμε να ξέρουμε ότι έχουμε δίκιο. Ως εκ τούτου, είναι απαραίτητο να διεξάγονται δοκιμές σε πραγματικές συνθήκες.
Είναι απαραίτητο να δοκιμάσετε τα πάντα και τους πάντες, γιατί δεν μπορούν να εντοπιστούν όλα τα τρωτά σημεία στο στάδιο της ανάπτυξης με την ανάλυση του κώδικα, ή ακόμα και κατά τη διάρκεια του QA. Πρέπει λοιπόν να περάσετε από ολόκληρη την επιχειρηματική διαδικασία και να αναπτύξετε όλα τα μέτρα για την προστασία της. Πολλά μπορούν να μάθουμε από την ιστορία επειδή ορισμένοι τύποι επιθέσεων επαναλαμβάνονται με την πάροδο του χρόνου. Εάν σας ξυπνήσει μια νύχτα από μια ακίδα της CPU, μπορείτε να υποθέσετε ότι κάποιος χάκερ προσπαθεί ξανά να εντοπίσει έγκυρα εκπτωτικά κουπόνια. Ο πραγματικός τρόπος για να αναγνωρίσετε το είδος της επίθεσης είναι να παρατηρήσετε μια ενεργή επίθεση, επειδή η αναγνώρισή της βάσει του ιστορικού καταγραφής θα είναι εξαιρετικά δύσκολη.
Τζέρεμι Γκρόσμαν: να λοιπόν τι μάθαμε σήμερα.
Μαντεύοντας το captcha μπορεί να κερδίσετε ένα τετραψήφιο ποσό σε δολάρια. Η χειραγώγηση των διαδικτυακών συστημάτων πληρωμών θα αποφέρει στον χάκερ πενταψήφια κέρδη. Οι hacking τράπεζες μπορούν να σας αποφέρουν πολύ περισσότερα από πέντε νούμερα κέρδη, ειδικά αν το κάνετε περισσότερες από μία φορές.
Οι απάτες ηλεκτρονικού εμπορίου θα σας αποφέρουν εξαψήφια χρήματα, ενώ η χρήση δικτύων συνεργατών θα σας συμπληρώσει 5-6 αριθμούς ή ακόμα και επταψήφιους αριθμούς. Εάν είστε αρκετά γενναίοι, μπορείτε να προσπαθήσετε να ξεγελάσετε το χρηματιστήριο και να έχετε περισσότερα από επταψήφια κέρδη. Και η χρήση της μεθόδου RSnake σε διαγωνισμούς για το καλύτερο Τσιουάουα είναι απλά ανεκτίμητη!
Οι νέες διαφάνειες για αυτήν την παρουσίαση μάλλον δεν μπήκαν στο CD, οπότε μπορείτε να τις κατεβάσετε αργότερα από τη σελίδα του ιστολογίου μου. Υπάρχει ένα συνέδριο της OPSEC που έρχεται τον Σεπτέμβριο στο οποίο πρόκειται να παρευρεθώ, και νομίζω ότι θα μπορέσουμε να δημιουργήσουμε μερικά πολύ ωραία πράγματα μαζί τους. Τώρα, αν έχετε οποιεσδήποτε ερωτήσεις, είμαστε έτοιμοι να τις απαντήσουμε.
Μερικές διαφημίσεις 🙂
Σας ευχαριστούμε που μείνατε μαζί μας. Σας αρέσουν τα άρθρα μας; Θέλετε να δείτε πιο ενδιαφέρον περιεχόμενο; Υποστηρίξτε μας κάνοντας μια παραγγελία ή προτείνοντας σε φίλους, , Έκπτωση 30% για χρήστες Habr σε ένα μοναδικό ανάλογο διακομιστών εισαγωγικού επιπέδου, που εφευρέθηκε από εμάς για εσάς: (διατίθεται με RAID1 και RAID10, έως 24 πυρήνες και έως 40 GB DDR4).
Dell R730xd 2 φορές φθηνότερο; Μόνο εδώ στην Ολλανδία! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - από 99$! Διαβάστε σχετικά
Πηγή: www.habr.com