Ili iris ĝis nun por diskuti la eblecon havi UPS-ŝoforojn alfronti la suspektaton. Ni nun kontrolu ĉu tio, kio estas citita sur ĉi tiu diapozitivo, estas laŭleĝa?
Jen kion diras la FTC kiam oni demandas, "Ĉu mi devas reveni aŭ pagi por objekto, kiun mi neniam mendis?" - "Ne. Se vi ricevas objekton, kiun vi ne mendis, vi havas la leĝan rajton akcepti ĝin kiel senpagan donacon." Ĉu ĉi tio sonas etika? Mi lavas miajn manojn de tio, ĉar mi ne estas sufiĉe saĝa por diskuti tiajn aferojn.
Sed kio estas interesa estas, ke ni vidas tendencon en kiu ju malpli da teknologio ni uzas, des pli da mono ni gajnas.
Filia Interreta Fraŭdo
Jeremy Grossman: estas vere tre malfacile kompreni, sed vi povas fari ses monsumojn tiamaniere. Do, ĉiuj rakontoj, kiujn vi aŭdis, havas verajn ligilojn kaj vi povas legi pri ĉio detale. Unu el la plej interesaj specoj de interreta fraŭdo estas filia fraŭdo. Retaj vendejoj kaj reklamantoj uzas filiajn retojn por altiri trafikon kaj uzantojn al siaj retejoj kontraŭ parto de la profitoj ricevitaj de ĉi tio.
Mi parolos pri io, pri kio multaj homoj scias dum jaroj, sed mi ne povis trovi ununuran publikan referencon, kiu indikas kiom da perdo kaŭzis ĉi tiu tipo de fraŭdo. Kiom mi scias, ne estis procesoj, nek krimaj esploroj. Mi parolis kun fabrikaj entreprenistoj, mi parolis kun filiaj retuloj, mi parolis kun Nigraj Katoj - ili ĉiuj kredas, ke skamantoj gajnis grandegan kvanton da mono de filioj.
Bonvolu preni mian vorton kaj revizii la hejmtaskon, kiun mi faris pri ĉi tiuj specifaj aferoj. Fraŭdistoj uzas ilin por fari 5-6-ciferajn, kaj foje sep-ciferajn sumojn ĉiumonate, uzante specialajn teknikojn. Estas homoj en ĉi tiu ĉambro, kiuj povas kontroli tion, se ili ne estas ligitaj per konfidenca interkonsento. Do mi montros al vi kiel ĝi funkcias. Estas pluraj ludantoj implikitaj en ĉi tiu skemo. Vi vidos pri kio temas la venontgeneracia filio "ludo".
La ludo implikas komerciston kiu havas retejon aŭ produkton kaj pagas filiajn komisionojn por uzantklakoj, kontoj kreitaj, aĉetoj faritaj, ktp. Vi pagas la filion pro tio, ke iu vizitas sian retejon, alklakas ligilon, iras al la retejo de via vendisto kaj aĉetas ion tie.
La sekva ludanto estas la filio, kiu ricevas monon en formo de kosto por klako (CPC) aŭ en formo de komisionoj (CPA) por redirekti aĉetantojn al la retejo de la vendisto.
Komisionoj implicas, ke kiel rezulto de la agadoj de la partnero, la kliento faris aĉeton en la retejo de la vendisto.
La aĉetanto estas la persono kiu faras aĉetojn aŭ abonas la akciojn de la vendisto.
Filiaj retoj provizas teknologiojn, kiuj konektas kaj spuras la agadojn de la vendisto, partnero kaj aĉetanto. Ili "gluas" ĉiujn ludantojn kune kaj certigas ilian interagon.
Eble vi daŭros kelkajn tagojn aŭ kelkajn semajnojn por ekscii kiel ĉio funkcias, sed ne estas komplika teknologio implikita. Filiaj retoj kaj filiaj programoj kovras ĉiujn specojn de komerco kaj ĉiujn merkatojn. Guglo, EBay, Amazon havas ilin, iliaj interesoj kiel komisiaj agentoj intersekcas, ili estas ĉie kaj ne mankas enspezoj. Mi certas, ke vi scias, ke eĉ trafiko de via blogo povas generi plurajn centojn da dolaroj en profito ĉiumonate, do ĉi tiu skemo estos facile komprenebla por vi.
Jen kiel funkcias la sistemo. Vi aliĝas al malgranda retejo, aŭ elektronika bulteno, ne gravas, vi subskribas filian programon kaj ricevas specialan ligilon, kiun vi metas sur via interreta paĝo. Ĝi aspektas jene:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ĉi tio montras la specifan filian programon, vian filian ID, ĉi-kaze ĝi estas 100, kaj la nomon de la vendota produkto. Kaj se iu klakas sur ĉi tiu ligo, la retumilo alidirektas lin al la filia reto, instalas specialajn spurajn kuketojn, kiuj ligas lin al la filia ID=100.
Set-Cookie: AffiliateID=100Kaj alidirektas al la paĝo de la vendisto. Se la aĉetanto poste aĉetas iun produkton ene de tempodaŭro X, kiu povas esti tago, horo, tri semajnoj, ajna tempo interkonsentita, kaj dum ĉi tiu tempo la kuketoj daŭre ekzistas, tiam la filio ricevas sian komisionon.
Jen kiel filiaj kompanioj faras miliardojn da dolaroj uzante efikajn SEO-taktikojn. Mi donu al vi ekzemplon. La sekva diapozitivo montras la kvitancon, mi nun pligrandigos ĝin por montri al vi la kvanton. Ĉi tio estas ĉeko de Google por $132. La familia nomo de ĉi tiu sinjoro estas Schumann, kaj li posedas reton de reklamaj retejoj. Ĉi tio ne estas la tuta mono, Google pagas tiajn sumojn unufoje monate aŭ unufoje ĉiun 2 monatojn.
Alia ĉeko de Guglo, mi pligrandigos ĝin kaj vi vidos, ke ĝi estas por $901.
Ĉu mi devus demandi iun pri la etiko de gajni monon tiel? Silento en la salono... Ĉi tiu ĉeko reprezentas pagon por 2 monatoj, ĉar la antaŭa ĉeko estis malakceptita de la banko de la ricevanto pro la pagsumo tro granda.
Do, ni vidis, ke ĉi tiu speco de mono povas esti farita, kaj ĉi tiu mono estas elpagita. Kiel vi povas venki ĉi tiun skemon? Ni povas uzi teknikon nomatan Cookie-Stuffing. Ĉi tio estas tre simpla koncepto, kiu aperis en 2001-2002, kaj ĉi tiu lumbildo montras kiel ĝi aspektis en 2002. Mi rakontos al vi la historion de ĝia apero.
Nenio krom ĝenaj filiaj retaj terminoj de servo postulas, ke uzanto efektive klaku ligilon por ke sia retumilo prenu la filian ID-kuketon.
Vi povas aŭtomate ŝargi ĉi tiun tipe klakita URL en la bildfonton aŭ iframe-etikedon. En ĉi tiu kazo, anstataŭ ligo:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Vi elŝutas ĉi tion:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Aŭ tio:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Kaj kiam la uzanto surteriĝas sur vian paĝon, li aŭtomate prenos la filian kuketon. Samtempe, sendepende de ĉu li aĉetos ion estonte, vi ricevos viajn komisionojn, ĉu vi alidirektis trafikon aŭ ne - ne gravas.
Dum la lastaj jaroj, ĉi tio fariĝis ŝatokupo por SEO-uloj, kiuj afiŝas similan materialon sur mesaĝtabuloj kaj disvolvas ĉiajn scenarojn por kie alie meti siajn ligilojn. Agresemaj partneroj rimarkis, ke ili povas meti sian kodon ie ajn en la Interreto, ne nur en siaj propraj retejoj.
Sur ĉi tiu lumbildo vi povas vidi, ke ili havas siajn proprajn programojn pri Kuketo-Stuffing, kiuj helpas uzantojn fari siajn proprajn "plenigitajn kuketojn". Kaj ĝi ne estas nur unu kuketo, vi povas alŝuti 20-30 filiajn identigilojn samtempe, kaj tuj kiam iu aĉetas ion, vi estas pagita pro tio.
Ĉi tiuj uloj baldaŭ rimarkis, ke ili ne devas meti ĉi tiun kodon sur siaj paĝoj. Ili forlasis transretejan skribadon kaj simple komencis afiŝi siajn malgrandajn fragmentojn kun HTML-kodo sur mesaĝtabuloj, gastlibroj kaj sociaj retoj.
Ĉirkaŭ 2005, komercistoj kaj filiaj retoj eltrovis kio okazas, komencis spuri referencilojn kaj alklaktarifojn, kaj komencis elpeli suspektindajn filiojn. Ekzemple, ili rimarkis, ke uzanto klakis sur MySpace-ejo, sed tiu retejo apartenis al tute alia filia reto ol tiu, kiu ricevas la legitiman profiton.
Ĉi tiuj uloj fariĝis iom pli saĝaj kaj en 2007 aperis nova speco de Kuketo-Stuffing. Partneroj komencis meti sian kodon sur SSL-paĝojn. Laŭ Hypertext Transfer Protocol RFC 2616, klientoj ne devus inkluzivi Referer-kapokampon en nesekura HTTP-peto se la referencpaĝo estis migrita de sekura protokolo. Ĉi tio estas ĉar vi ne volas, ke ĉi tiu informo elfluu el via domajno.
De ĉi tio estas klare, ke iu ajn Referanto sendita al partnero ne estos spurebla, do la ĉefaj partneroj vidos malplenan ligilon kaj ne povos forpeli vin por ĝi. Nun skamantoj havas la ŝancon fari siajn "plenigitajn kuketojn" senpune. Vere, ne ĉiu retumilo permesas al vi fari tion, sed ekzistas multaj aliaj manieroj fari la samon uzante la aŭtomatan refreŝigon de la retumilo de la nuna paĝa meta-refresiĝo, meta-etikedoj aŭ JavaScript.
En 2008, ili komencis uzi pli potencajn piratajn ilojn, kiel DNS-rebindaj atakoj, Gifar kaj malica Flash-enhavo, kiuj povas tute detrui ekzistantajn sekurecajn modelojn. Necesas iom da tempo por eltrovi kiel uzi ilin, ĉar la Kuketoj-Stuffing-uloj ne estas precipe altnivelaj retpiratoj, ili estas nur agresemaj merkatistoj kun malmulte da kodigscio.
Vendado de duonalireblaj informoj
Do, ni rigardis kiel gajni 6-ciferajn sumojn, kaj nun ni transiru al sep-ciferoj. Ni bezonas grandan monon por riĉiĝi aŭ morti. Ni rigardos kiel vi povas gajni monon vendante duonalireblajn informojn. Business Wire estis tre populara antaŭ kelkaj jaroj kaj ĝi ankoraŭ estas grava, ni vidas ĝian ĉeeston en multaj retejoj. Por tiuj, kiuj ne scias, Business Wire disponigas servon per kiu registritaj uzantoj de la retejo ricevas fluon da ĝisdataj gazetaraj komunikoj de miloj da kompanioj. Gazetaraj komunikoj estas sendataj al ĉi tiu firmao de diversaj organizoj, kiuj foje estas submetitaj al provizoraj malpermesoj aŭ embargoj, do la informoj enhavitaj en ĉi tiuj gazetaraj komunikoj povas influi la prezon de akcioj.
Gazetaraj komunikoj estas alŝutitaj al la retservilo Business Wire sed ne estas ligitaj ĝis la embargo estas nuligita. Dum la tuta tempo, la gazetaraj komunikaj retpaĝoj estas ligitaj al la ĉefa retejo, kaj uzantoj estas sciigitaj pri ili per URL-oj kiel ĉi tio:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmTiel, dum vi estas sub la embargo, vi afiŝas interesajn datumojn en la retejo, por ke tuj kiam la embargo estas nuligita, uzantoj tuj konatiĝos kun ĝi. Ĉi tiuj ligiloj estas datitaj kaj senditaj al uzantoj per retpoŝto. Post kiam la malpermeso eksvalidiĝos, la ligo funkcios kaj direktos la uzanton al la retejo kie la responda gazetara komuniko estas afiŝita. Antaŭ ol doni aliron al la retpaĝo de gazetara komuniko, la sistemo devas kontroli, ke la uzanto estas ensalutinta laŭleĝe.
Ili ne kontrolas ĉu vi havas la rajton vidi ĉi tiujn informojn antaŭ ol la embargo eksvalidiĝas; vi nur bezonas ensaluti al la sistemo. Ĝis nun ĝi ŝajnas sendanĝera, sed nur ĉar vi ne vidas ion ne signifas, ke ĝi ne estas tie.
Estona financa servo-firmao Lohmus Haavel & Viisemann, tute ne piratoj, malkovris ke gazetaraj komunikaj retpaĝoj estis nomitaj en antaŭvidebla maniero kaj komencis diveni tiujn URL-ojn. Kvankam la ligiloj eble ankoraŭ ne ekzistas ĉar embargo estas en efiko, tio ne signifas, ke retpirato ne povas diveni la dosiernomon kaj tiel akiri aliron al ĝi antaŭtempe. Ĉi tiu metodo funkciis ĉar la nura sekureckontrolo de Business Wire estis ke la uzanto estis ensalutinta laŭleĝe kaj nenio alia.
Tiel, la estonoj ricevis informojn antaŭ ol la merkato fermiĝis kaj vendis ĉi tiujn datumojn. Ĝis la SEC elspuris ilin kaj frostigis iliajn kontojn, ili sukcesis gajni $ 8 milionojn el komercado de duonalireblaj informoj. Pensu pri tio, ĉiuj ĉi tiuj uloj faris estis rigardi kiel la ligiloj aspektis, provi diveni la URL-ojn, kaj faris 8 milionojn el ĝi. Kutime ĉe ĉi tiu punkto mi demandas la publikon ĉu tio estas konsiderata laŭleĝa aŭ kontraŭleĝa, ĉu ĝi estas konsiderata komerco aŭ ne. Sed nuntempe mi volas nur atentigi vin pri kiu faris tion.
Antaŭ ol vi provos respondi ĉi tiujn demandojn, mi montros al vi la sekvan diapozitivon. Ĉi tio ne rekte rilatas al interreta fraŭdo. Ukraina retpirato hakis Thomson Financial, komercan spionprovizanton, kaj ŝtelis datumojn pri la financa aflikto de IMS Health horojn antaŭ ol la informoj devis trafi la financan merkaton. Ne estas dubo, ke li estas kulpa pri hakado.
La retpirato faris vendomendojn en la kvanto de 42 mil dolaroj, ludante antaŭ ol la tarifoj falis. Por Ukrainio ĉi tio estas grandega kvanto, do la retpirato sciis bone, kion li eniras. La subita falo en la akcia prezo alportis al li proksimume 300 USD en profito ene de kelkaj horoj. La interŝanĝo estigis "Ruĝan Flagon", la SEC frostigis la financon, rimarkante, ke io misfunkcias, kaj komencis esploron. Tamen, juĝisto Naomi Reis Buchwald diris, ke la fundoj devas esti malfrostaj ĉar la "ŝtelo kaj komerco" kaj "kodrompado kaj komerco" akuzoj atribuitaj al Dorozhko ne malobservas valorpaperleĝojn. La retpirato ne estis dungito de ĉi tiu kompanio, kaj tial ne malobservis iujn ajn leĝojn pri la malkaŝo de konfidencaj financaj informoj.
The Times sugestis ke la Usona Sekcio de Justeco simple konsideris la kazon vana pro la malfacilaĵoj de igi ukrainajn aŭtoritatojn konsenti kunlabori por kapti la kriminton. Do ĉi tiu retpirato akiris 300 mil dolarojn tre facile.
Nun komparu ĉi tion kun la antaŭa kazo, kie homoj gajnis monon simple ŝanĝante la URL-ojn de ligiloj en sia retumilo kaj vendante komercajn informojn. Ĉi tiuj estas sufiĉe interesaj, sed ne la solaj manieroj gajni monon en la borso.
Ni konsideru pasivan informkolekton. Tipe, post fari interretan aĉeton, la aĉetanto ricevas mendan spurkodon, kiu povas esti sinsekva aŭ pseŭdo-sinsekva kaj aspektas kiel ĉi tio:
3200411
3200412
3200413
Per ĝi vi povas spuri vian mendon. Pentestantoj aŭ retpiratoj provas rampi URL-ojn por akiri aliron al mendi datumoj, kutime enhavantaj persone identigeblajn informojn (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Rulante tra la nombroj, ili akiras aliron al la kreditkartnumeroj de la aĉetanto, adresoj, nomoj kaj aliaj personaj informoj. Tamen, ni ne interesiĝas pri la personaj informoj de la kliento, sed pri la menda spurkodo mem ni interesiĝas pri pasiva rekono.
La arto de eltiri konkludojn
Konsideru "La Arto de Inferenco". Se vi povas precize taksi kiom da "mendoj" kompanio prilaboras ĉe la fino de la kvara, tiam, surbaze de historiaj datumoj, vi povas dedukti ĉu ĝia financa situacio estas bona kaj kiel ĝia akcia prezo fluktuos. Ekzemple, vi mendis aŭ aĉetis ion komence de la kvara, ne gravas, kaj poste faris novan mendon ĉe la fino de la kvara. Surbaze de la diferenco en nombroj, oni povas konkludi kiom da mendoj estis procesitaj de la kompanio dum ĉi tiu tempodaŭro. Se ni parolas pri mil mendoj kontraŭ cent mil por la sama antaŭa periodo, vi povas supozi, ke la kompanio faras malbone.
Tamen, la fakto estas, ke ofte ĉi tiuj sinsekvaj nombroj povas esti akiritaj sen efektive kompletigi la ordon aŭ ordon kiu estas poste nuligita. Mi esperas, ke ĉi tiuj nombroj neniel montriĝos kaj la vico daŭros kun la nombroj:
3200418
3200419
3200420
Tiel vi scias, ke vi havas la kapablon spuri mendojn kaj povas komenci pasive kolekti informojn de la retejo, kiun ili provizas al ni. Ni ne scias ĉu ĝi estas laŭleĝa aŭ ne, ni nur scias, ke ĝi povas esti farita.
Do, ni rigardis diversajn mankojn de komerca logiko.
Trey Ford: la atakantoj estas komercistoj. Ili atendas profiton de sia investo. Ju pli da teknologio, des pli granda kaj kompleksa estas la kodo, des pli da laboro devas esti farita kaj des pli granda la probableco kaptiĝi. Sed estas multaj tre profitaj manieroj fari atakojn sen ajna peno. Komerca logiko estas grandega komerco, kaj estas grandega instigo por krimuloj haki ĝin. Komercaj logikdifektoj estas ĉefa celo por krimuloj kaj estas io, kio ne povas esti detektita per simple skanado aŭ farado de normaj provoj kiel parto de kvalita certiga procezo. Estas psikologia problemo en QA nomata "konfirmbiaso" ĉar, kiel homoj, ni volas scii, ke ni pravas. Tial necesas fari provojn en realaj kondiĉoj.
Necesas provi ĉion kaj ĉiujn, ĉar ne ĉiuj vundeblecoj povas esti detektitaj en la evolufazo analizante la kodon, aŭ eĉ dum QA. Do vi devas trairi la tutan komercan procezon kaj disvolvi ĉiujn mezurojn por protekti ĝin. Multon oni povas lerni el historio ĉar certaj specoj de atakoj ripetiĝas laŭlonge de la tempo. Se vi vekiĝas nokte per CPU-piko, vi povas supozi, ke iu retpirato denove provas elspuri validajn rabatajn kuponojn. La vera maniero rekoni la specon de atako estas observi aktivan atakon, ĉar rekoni ĝin surbaze de registro-historio estos ege malfacila.
Jeremy Grossman: do jen kion ni lernis hodiaŭ.
Diveni la captcha povas gajni al vi kvarciferan dolaran kvanton. Manipulado de interretaj pagsistemoj alportos al hakisto kvin-ciferajn profitojn. Hacking bankoj povas gajni al vi pli ol kvin ciferojn en profitoj, precipe se vi faras ĝin pli ol unufoje.
E-komercaj fraŭdoj enretigos al vi ses ciferojn da mono, dum uzado de filiaj retoj enretigos al vi 5-6 ciferojn aŭ eĉ sep ciferojn. Se vi estas sufiĉe kuraĝa, vi povas provi trompi la borsmerkaton kaj akiri pli ol sep-ciferajn profitojn. Kaj uzi la metodon RSnake en konkursoj por la plej bona Chihuahua estas simple netaksebla!
La novaj lumbildoj por ĉi tiu prezento verŝajne ne atingis la KD, do vi povas elŝuti ilin poste de mia blogpaĝo. OPSEC-konferenco venos en septembro, kiun mi ĉeestos, kaj mi pensas, ke ni povos krei iujn vere bonegajn aĵojn kun ili. Nun, se vi havas demandojn, ni pretas respondi ilin.
Kelkaj reklamoj 🙂
Dankon pro restado ĉe ni. Ĉu vi ŝatas niajn artikolojn? Ĉu vi volas vidi pli interesan enhavon? Subtenu nin farante mendon aŭ rekomendante al amikoj, , 30% rabato por uzantoj de Habr sur unika analogo de enirnivelaj serviloj, kiu estis inventita de ni por vi: (havebla kun RAID1 kaj RAID10, ĝis 24 kernoj kaj ĝis 40GB DDR4).
Dell R730xd 2 fojojn pli malmultekosta? Nur ĉi tie en Nederlando! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ekde $99! Legu pri
fonto: www.habr.com