Llegaron incluso a discutir la posibilidad de que los conductores de UPS se enfrentaran al sospechoso. Comprobemos ahora si lo que se cita en esta diapositiva es legal.
Esto es lo que dice la FTC cuando se le pregunta: "¿Debo devolver o pagar un artículo que nunca pedí?" - "No. Si recibe un artículo que no ordenó, tiene el derecho legal de aceptarlo como regalo". ¿Suena esto ético? Me lavo las manos en esto porque no soy lo suficientemente inteligente para discutir este tipo de temas.
Pero lo interesante es que vemos una tendencia en la que cuanto menos tecnología utilizamos, más dinero ganamos.
Fraude en Internet de afiliados
Jeremy Grossman: Es realmente muy difícil de entender, pero puedes ganar seis cifras de dinero de esta manera. Entonces, todas las historias que escuchaste tienen enlaces reales y puedes leerlas en detalle. Uno de los tipos de fraude en Internet más interesantes es el fraude de afiliados. Las tiendas online y los anunciantes utilizan redes de afiliados para atraer tráfico y usuarios a sus sitios a cambio de una parte de los beneficios que obtienen de ello.
Voy a hablar de algo que mucha gente conoce desde hace años, pero no he podido encontrar una sola referencia pública que indique cuántas pérdidas ha causado este tipo de estafa. Hasta donde yo sé, no hubo demandas ni investigaciones penales. Hablé con empresarios manufactureros, hablé con chicos de redes de afiliados, hablé con Black Cats; todos creen que los estafadores han ganado una gran cantidad de dinero con los afiliados.
Por favor, confíe en mi palabra y revise la tarea que he hecho sobre estos temas específicos. Los estafadores los utilizan para ganar sumas mensuales de 5 a 6 dígitos y, a veces, de siete dígitos, utilizando técnicas especiales. Hay personas en esta sala que pueden comprobarlo si no están sujetas a un acuerdo de confidencialidad. Así que les mostraré cómo funciona. Hay varios actores involucrados en este esquema. Verá de qué se trata el “juego” de afiliados de próxima generación.
El juego involucra a un comerciante que tiene un sitio web o producto y paga comisiones a los afiliados por los clics de los usuarios, las cuentas creadas, las compras realizadas, etc. Usted le paga al afiliado por el hecho de que alguien visita su sitio web, hace clic en un enlace, va al sitio web de su vendedor y compra algo allí.
El siguiente jugador es el afiliado, que recibe dinero en forma de coste por clic (CPC) o en forma de comisiones (CPA) por redirigir a los compradores al sitio web del vendedor.
Las comisiones implican que, como resultado de las actividades del socio, el cliente realizó una compra en el sitio web del vendedor.
El comprador es la persona que realiza compras o suscribe acciones del vendedor.
Las redes de afiliados proporcionan tecnologías que conectan y rastrean las actividades del vendedor, socio y comprador. Ellos "pegan" a todos los jugadores y aseguran su interacción.
Puede que le lleve unos días o un par de semanas descubrir cómo funciona todo, pero no implica ninguna tecnología complicada. Las redes de afiliados y los programas de afiliados cubren todo tipo de comercio y todos los mercados. Google, EBay, Amazon los tienen, sus intereses como comisionistas se cruzan, están en todas partes y no les faltan ingresos. Estoy seguro de que sabes que incluso el tráfico de tu blog puede generar varios cientos de dólares de ganancias cada mes, por lo que este esquema te resultará fácil de entender.
Así es como funciona el sistema. Te afilias a un sitio pequeño, o a un tablón de anuncios electrónico, no importa, te registras en un programa de afiliados y recibes un enlace especial que colocas en tu página de Internet. Se parece a esto:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Esto muestra el programa de afiliados específico, su ID de afiliado (en este caso es 100) y el nombre del producto que se vende. Y si alguien hace clic en este enlace, el navegador lo redirige a la red de afiliados, instala cookies de seguimiento especiales que lo vinculan al ID de afiliado=100.
Set-Cookie: AffiliateID=100Y redirige a la página del vendedor. Si luego el comprador compra algún producto dentro de un periodo de tiempo X, que puede ser un día, una hora, tres semanas, cualquier tiempo acordado, y durante ese tiempo las cookies siguen existiendo, entonces el afiliado recibe su comisión.
Así es como las empresas afiliadas ganan miles de millones de dólares utilizando tácticas SEO efectivas. Dejame darte un ejemplo. La siguiente diapositiva muestra el recibo, ahora lo ampliaré para mostrarles el monto. Este es un cheque de Google por 132 dólares. Este señor se apellida Schumann y es propietario de una red de sitios web publicitarios. Esto no es todo el dinero, Google paga esas sumas una vez al mes o una vez cada 2 meses.
Otro cheque de Google, lo agrandaré y verás que es por 901 dólares.
¿Debería preguntarle a alguien sobre la ética de ganar dinero de esta manera? Silencio en el pasillo... Este cheque representa el pago por 2 meses, porque el cheque anterior fue rechazado por el banco del destinatario debido a que el monto del pago era demasiado grande.
Hemos visto que se puede ganar esta cantidad de dinero y que ese dinero se está pagando. ¿Cómo puedes vencer este esquema? Podemos utilizar una técnica llamada Cookie-Stuffing. Este es un concepto muy simple que apareció en 2001-2002, y esta diapositiva muestra cómo se veía en 2002. Les contaré la historia de su aparición.
Nada menos que los molestos términos de servicio de la red de afiliados requieren que un usuario haga clic en un enlace para que su navegador recoja la cookie de identificación de afiliado.
Puede cargar automáticamente esta URL en la que normalmente se hace clic en la fuente de la imagen o en la etiqueta iframe. En este caso, en lugar de un enlace:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Te descargas esto:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>O esto:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Y cuando el usuario llegue a su página, automáticamente recogerá la cookie de afiliado. Al mismo tiempo, independientemente de si compra algo en el futuro, usted recibirá sus comisiones, ya sea que haya redirigido el tráfico o no, no importa.
En los últimos años, esto se ha convertido en un pasatiempo para los especialistas en SEO que publican material similar en foros de mensajes y desarrollan todo tipo de escenarios sobre dónde colocar sus enlaces. Los socios agresivos se dieron cuenta de que podían colocar su código en cualquier lugar de Internet, no sólo en sus propios sitios.
En esta diapositiva puedes ver que tienen sus propios programas de relleno de cookies que ayudan a los usuarios a crear sus propias "cookies rellenas". Y no es solo una cookie, puedes cargar entre 20 y 30 ID de afiliado al mismo tiempo, y tan pronto como alguien compra algo, te pagan por ello.
Estos chicos pronto se dieron cuenta de que no tenían que poner este código en sus páginas. Abandonaron las secuencias de comandos entre sitios y simplemente comenzaron a publicar sus pequeños fragmentos con código HTML en foros de mensajes, libros de visitas y redes sociales.
Alrededor de 2005, los comerciantes y las redes de afiliados descubrieron lo que estaba pasando, comenzaron a rastrear a los referentes y las tasas de clics, y comenzaron a expulsar a los afiliados sospechosos. Por ejemplo, notaron que un usuario hizo clic en un sitio de MySpace, pero ese sitio pertenecía a una red de afiliados completamente diferente a la que recibía el beneficio legítimo.
Estos chicos se volvieron un poco más sabios y en 2007 surgió un nuevo tipo de relleno de galletas. Los socios comenzaron a colocar su código en páginas SSL. Según el Protocolo de transferencia de hipertexto RFC 2616, los clientes no deben incluir un campo de encabezado de referencia en una solicitud HTTP insegura si la página de referencia se migró desde un protocolo seguro. Esto se debe a que no desea que esta información se filtre desde su dominio.
De esto queda claro que cualquier Referido enviado a un socio no será rastreable, por lo que los socios principales verán un enlace vacío y no podrán expulsarlo por ello. Ahora los estafadores tienen la oportunidad de hacer sus “galletas rellenas” impunemente. Es cierto que no todos los navegadores permiten hacer esto, pero hay muchas otras formas de hacer lo mismo utilizando la actualización automática del navegador de la metaactualización de la página actual, las metaetiquetas o JavaScript.
En 2008, comenzaron a utilizar herramientas de piratería más potentes, como ataques de vinculación de DNS, Gifar y contenido Flash malicioso, que pueden destruir por completo los modelos de seguridad existentes. Lleva un tiempo descubrir cómo usarlos porque los chicos de Cookie-Stuffing no son hackers particularmente avanzados, solo son vendedores agresivos con pocos conocimientos de codificación.
Vender información semiaccesible
Entonces, hemos visto cómo ganar sumas de 6 cifras y ahora pasemos a las de siete cifras. Necesitamos mucho dinero para enriquecernos o morir. Veremos cómo puede ganar dinero vendiendo información semiaccesible. Business Wire fue muy popular hace un par de años y sigue siendo importante, vemos su presencia en muchos sitios. Para aquellos que no lo saben, Business Wire proporciona un servicio mediante el cual los usuarios registrados del sitio reciben un flujo de comunicados de prensa actualizados de miles de empresas. Los comunicados de prensa son enviados a esta empresa por diversas organizaciones, que en ocasiones están sujetas a prohibiciones o embargos temporales, por lo que la información contenida en estos comunicados de prensa puede afectar el precio de las acciones.
Los archivos de los comunicados de prensa se cargan en el servidor web de Business Wire, pero no se vinculan hasta que se levante el embargo. Mientras tanto, las páginas web de comunicados de prensa están vinculadas al sitio web principal y los usuarios son notificados de ellas mediante URL como esta:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmPor lo tanto, mientras está bajo embargo, publica datos interesantes en el sitio para que, tan pronto como se levante el embargo, los usuarios se familiaricen inmediatamente con él. Estos enlaces están fechados y se envían a los usuarios por correo electrónico. Una vez que expire la prohibición, el enlace funcionará y dirigirá al usuario al sitio donde se publica el comunicado de prensa correspondiente. Antes de otorgar acceso a la página web del comunicado de prensa, el sistema debe verificar que el usuario haya iniciado sesión legalmente.
No verifican si usted tiene derecho a ver esta información antes de que expire el embargo; solo necesita iniciar sesión en el sistema. Hasta ahora parece inofensivo, pero sólo porque no veas algo no significa que no esté ahí.
La empresa estonia de servicios financieros Lohmus Haavel & Viisemann, que no era ningún pirata informático, descubrió que las páginas web de comunicados de prensa tenían nombres de manera predecible y comenzó a adivinar esas URL. Si bien es posible que los enlaces aún no existan porque hay un embargo vigente, esto no significa que un pirata informático no pueda adivinar el nombre del archivo y, por lo tanto, obtener acceso a él prematuramente. Este método funcionó porque el único control de seguridad de Business Wire era que el usuario hubiera iniciado sesión legalmente y nada más.
Así, los estonios recibieron información antes del cierre del mercado y vendieron estos datos. Hasta que la SEC los localizó y congeló sus cuentas, lograron ganar 8 millones de dólares comerciando con información semiaccesible. Piénselo, todo lo que estos tipos hicieron fue mirar cómo se veían los enlaces, tratar de adivinar las URL y ganaron 8 millones con ello. Generalmente en este punto pregunto a la audiencia si esto se considera legal o ilegal, si se considera un comercio o no. Pero por ahora sólo quiero llamar su atención sobre quién hizo esto.
Antes de intentar responder estas preguntas, le mostraré la siguiente diapositiva. Esto no está directamente relacionado con el fraude en línea. Un hacker ucraniano pirateó Thomson Financial, un proveedor de inteligencia empresarial, y robó datos sobre las dificultades financieras de IMS Health horas antes de que la información llegara al mercado financiero. No hay duda de que es culpable de piratería.
El hacker colocó órdenes de venta por valor de 42 mil dólares, jugando antes de que bajaran las tarifas. Para Ucrania esto es una cantidad enorme, por lo que el hacker sabía bien en lo que se estaba metiendo. La repentina caída del precio de las acciones le reportó unos beneficios de unos 300 dólares en unas pocas horas. El intercambio emitió una "bandera roja", la SEC congeló los fondos, notando que algo iba mal y comenzó una investigación. Sin embargo, la jueza Naomi Reis Buchwald dijo que los fondos deberían descongelarse porque las acusaciones de “robo y comercio” y “piratería y comercio” atribuidas a Dorozhko no violan las leyes de valores. El pirata informático no era empleado de esta empresa y, por lo tanto, no violó ninguna ley relativa a la divulgación de información financiera confidencial.
El Times sugirió que el Departamento de Justicia de Estados Unidos simplemente consideró que el caso era inútil debido a las dificultades para lograr que las autoridades ucranianas aceptaran cooperar para capturar al perpetrador. Entonces este hacker consiguió 300 mil dólares muy fácilmente.
Ahora compare esto con el caso anterior en el que las personas ganaban dinero simplemente cambiando las URL de los enlaces en su navegador y vendiendo información comercial. Estas son formas bastante interesantes, pero no las únicas, de ganar dinero en la bolsa de valores.
Consideremos la recopilación pasiva de información. Normalmente, después de realizar una compra en línea, el comprador recibe un código de seguimiento del pedido, que puede ser secuencial o pseudosecuencial y tiene un aspecto similar a este:
3200411
3200412
3200413
Con él podrás realizar el seguimiento de tu pedido. Los pentesters o piratas informáticos intentan rastrear las URL para obtener acceso a los datos de los pedidos, que normalmente contienen información de identificación personal (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Al desplazarse por los números, obtienen acceso a los números de tarjeta de crédito, direcciones, nombres y otra información personal del comprador. Sin embargo, no nos interesa la información personal del cliente, sino el código de seguimiento del pedido en sí, nos interesa el reconocimiento pasivo.
El arte de sacar conclusiones.
Considere "El arte de la inferencia". Si se puede estimar con precisión cuántas “órdenes” está procesando una empresa al final del trimestre, entonces, basándose en datos históricos, se puede deducir si su situación financiera es buena y cómo fluctuará el precio de sus acciones. Por ejemplo, ordenó o compró algo al comienzo del trimestre, no importa, y luego realizó un nuevo pedido al final del trimestre. Con base en la diferencia de números, se puede concluir cuántos pedidos procesó la empresa durante este período de tiempo. Si hablamos de mil pedidos frente a cien mil del mismo período anterior, se puede suponer que a la empresa le está yendo mal.
Sin embargo, el hecho es que a menudo estos números de secuencia se pueden obtener sin completar realmente el pedido o un pedido que se cancela posteriormente. Espero que estos números no se muestren en ningún caso y la secuencia continúe con los números:
3200418
3200419
3200420
De esta manera, sabrá que tiene la capacidad de realizar un seguimiento de los pedidos y puede comenzar a recopilar información pasivamente del sitio que nos proporcionan. No sabemos si es legal o no, sólo sabemos que se puede hacer.
Entonces, hemos analizado varias deficiencias de la lógica empresarial.
Trey Ford: Los atacantes son empresarios. Esperan un retorno de su inversión. Cuanta más tecnología, más grande y complejo sea el código, más trabajo habrá que hacer y mayor será la probabilidad de que nos descubran. Pero existen muchas formas muy rentables de realizar ataques sin ningún esfuerzo. La lógica empresarial es un negocio enorme y existe un gran incentivo para que los delincuentes la pirateen. Las fallas en la lógica empresarial son un objetivo principal para los delincuentes y son algo que no se puede detectar simplemente ejecutando un escaneo o realizando pruebas estándar como parte de un proceso de garantía de calidad. Hay un problema psicológico en el control de calidad llamado "sesgo de confirmación" porque, al igual que los humanos, queremos saber que tenemos razón. Por tanto, es necesario realizar pruebas en condiciones reales.
Es necesario probar todo y a todos, porque no todas las vulnerabilidades se pueden detectar en la etapa de desarrollo analizando el código, o incluso durante el control de calidad. Por lo tanto, es necesario recorrer todo el proceso comercial y desarrollar todas las medidas para protegerlo. Se puede aprender mucho de la historia porque ciertos tipos de ataques se repiten a lo largo del tiempo. Si una noche te despierta un pico de CPU, puedes suponer que algún hacker está intentando nuevamente localizar cupones de descuento válidos. La verdadera forma de reconocer el tipo de ataque es observar un ataque activo, porque reconocerlo basándose en el historial de registros será extremadamente difícil.
Jeremy Grossman: Así que esto es lo que aprendimos hoy.
Adivinar el captcha puede hacerte ganar una cantidad de dólares de cuatro dígitos. La manipulación de los sistemas de pago en línea traerá al hacker ganancias de cinco cifras. Hackear bancos puede generar ganancias de más de cinco cifras, especialmente si lo hace más de una vez.
Las estafas de comercio electrónico le generarán seis cifras de dinero, mientras que el uso de redes de afiliados le generará entre 5 y 6 cifras o incluso siete cifras. Si eres lo suficientemente valiente, puedes intentar engañar al mercado de valores y obtener ganancias de más de siete cifras. ¡Y usar el método RSnake en competiciones por el mejor chihuahua no tiene precio!
Las nuevas diapositivas para esta presentación probablemente no llegaron al CD, así que puedes descargarlas más tarde desde la página de mi blog. En septiembre voy a asistir a una conferencia de OPSEC y creo que podremos crear cosas realmente interesantes con ellos. Ahora, si tienes alguna pregunta, estamos listos para responderla.
Algunos anuncios 🙂
Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más contenido interesante? Apóyanos haciendo un pedido o recomendándonos a amigos, , 30% de descuento para usuarios de Habr en un análogo único de servidores de nivel de entrada, que fue inventado por nosotros para usted: (disponible con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
Dell R730xd 2 veces más barato? Solo aqui ¡en los Paises Bajos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $99! Leer acerca de
Fuente: habr.com