Nad läksid nii kaugele, et arutasid võimalust lasta UPS-i draiverid kahtlustatavaga silmitsi seista. Kontrollime nüüd, kas sellel slaidil tsiteeritud on seaduslik?
Siin on see, mida FTC ütleb, kui temalt küsitakse: "Kas ma peaksin tagastama või maksma kauba eest, mida ma pole kunagi tellinud?" - "Ei. Kui saate kauba, mida te ei tellinud, on teil seaduslik õigus see tasuta kingitusena vastu võtta." Kas see kõlab eetiliselt? Ma pesen sellest käed puhtaks, sest ma pole piisavalt tark, et sellistel teemadel arutada.
Huvitav on aga see, et me näeme trendi, mille kohaselt mida vähem tehnoloogiat kasutame, seda rohkem raha teenime.
Sidusettevõtte Interneti-pettus
Jeremy Grossman: seda on tõesti väga raske mõista, aga nii saab kuuekohalist raha teenida. Seega on kõigil kuuldud lugudel tõelised lingid ja saate selle kõige kohta üksikasjalikult lugeda. Üks huvitavamaid Interneti-pettuse liike on sidusettevõtete pettus. Veebipoed ja reklaamijad kasutavad sidusvõrgustikke liikluse ja kasutajate meelitamiseks oma saitidele vastutasuks osa sellest saadavast kasumist.
Ma räägin millestki, millest paljud on juba aastaid teadnud, kuid ma ei ole suutnud leida ühtegi avalikku viidet, mis näitaks, kui palju kahju seda tüüpi kelmused on tekitanud. Minu teada ei olnud kohtuasju ega kriminaaluurimist. Olen vestelnud tootmisettevõtjatega, sidusettevõtete võrgustiku kuttidega, rääkinud Black Catsiga – nad kõik usuvad, et petturid on sidusettevõtetelt tohutult raha teeninud.
Palun võtke sõna ja vaadake üle kodutöö, mille olen nendes konkreetsetes küsimustes teinud. Petturid teevad nende abil eritehnikaid kasutades 5-6- ja mõnikord seitsmekohalisi summasid kuus. Selles ruumis on inimesi, kes saavad seda kontrollida, kui nad ei ole seotud konfidentsiaalsuslepinguga. Nii et ma näitan teile, kuidas see töötab. Sellesse skeemi on kaasatud mitu mängijat. Näete, mida järgmise põlvkonna sidusettevõtte "mäng" endast kujutab.
Mängus osaleb kaupmees, kellel on veebisait või toode ja kes maksab sidusettevõtetele komisjonitasu kasutajate klikkide, loodud kontode, tehtud ostude jms eest. Maksate sidusettevõttele selle eest, et keegi külastab tema veebisaiti, klõpsab lingil, läheb teie müüja veebisaidile ja ostab sealt midagi.
Järgmine mängija on sidusettevõte, kes saab raha klõpsutariifi (CPC) või komisjonitasude (CPA) kujul ostjate müüja veebisaidile suunamise eest.
Komisjonitasud viitavad sellele, et partneri tegevuse tulemusena sooritas klient ostu müüja veebisaidil.
Ostja on isik, kes sooritab oste või märgib müüja aktsiaid.
Sidusettevõtted pakuvad tehnoloogiaid, mis ühendavad ja jälgivad müüja, partneri ja ostja tegevust. Nad "liimivad" kõik mängijad kokku ja tagavad nende suhtluse.
Teil võib kuluda paar päeva või paar nädalat, et aru saada, kuidas see kõik töötab, kuid see ei hõlma keerulist tehnoloogiat. Sidusettevõtete võrgud ja sidusprogrammid hõlmavad igat tüüpi kaubandust ja kõiki turge. Google'il, EBay'l, Amazonil on need olemas, nende kui komisjoniagentide huvid ristuvad, neid on igal pool ja sissetulekust ei puudu. Olen kindel, et teate, et isegi teie ajaveebi liiklus võib iga kuu teenida mitusada dollarit kasumit, nii et seda skeemi on teile lihtne mõista.
Süsteem toimib nii. Sidusite väikese saidi või elektroonilise teadetetahvli, see pole oluline, allkirjastate sidusprogrammi ja saate spetsiaalse lingi, mille asetate oma Interneti-lehele. See näeb välja selline:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>See näitab konkreetset sidusprogrammi, teie sidusettevõtte ID-d, antud juhul on see 100, ja müüdava toote nime. Ja kui keegi sellel lingil klõpsab, suunab brauser ta sidusettevõtte võrku, installib spetsiaalsed jälgimisküpsised, mis seovad ta sidusettevõtte ID=100-ga.
Set-Cookie: AffiliateID=100Ja suunab ümber müüja lehele. Kui ostja ostab hiljem mõne toote ajavahemiku X jooksul, mis võib olla päev, tund, kolm nädalat või mis tahes kokkulepitud aeg, ja selle aja jooksul on küpsised jätkuvalt olemas, siis saab sidusettevõte oma vahendustasu.
Nii teenivad sidusettevõtted tõhusa SEO taktika abil miljardeid dollareid. Lubage mul tuua teile näide. Järgmisel slaidil on kviitung, nüüd suurendan seda, et näidata teile summat. See on Google'i tšekk 132 2 dollarile. Selle härrasmehe perekonnanimi on Schumann ja ta omab reklaamisaitide võrgustikku. See pole veel kõik raha, Google maksab selliseid summasid kord kuus või kord XNUMX kuu jooksul.
Veel üks tšekk Google'ilt, ma suurendan seda ja näete, et see maksab 901 XNUMX dollarit.
Kas peaksin kelleltki küsima sellise rahateenimise eetika kohta? Vaikus saalis... See tšekk tähistab 2 kuu tasumist, kuna eelmise tšeki saaja pank lükkas tagasi liiga suure maksesumma tõttu.
Niisiis, oleme näinud, et sellist raha on võimalik teenida, ja seda raha makstakse välja. Kuidas saate seda skeemi ületada? Saame kasutada tehnikat nimega Cookie-Stuffing. See on väga lihtne kontseptsioon, mis ilmus aastatel 2001-2002 ja see slaid näitab, kuidas see 2002. aastal välja nägi. Ma räägin teile selle ilmumisloo.
Miski peale tüütu sidusettevõtte võrgu teenusetingimuste nõuab, et kasutaja klõpsaks tegelikult lingil, et tema brauser sidusettevõtte ID küpsise üles korjaks.
Saate selle tavaliselt klikitava URL-i automaatselt laadida pildi allikasse või iframe'i märgendisse. Sel juhul lingi asemel:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Laadite selle alla:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Või see:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Ja kui kasutaja teie lehele jõuab, valib ta automaatselt sidusettevõtte küpsise. Samal ajal saate oma vahendustasud olenemata sellest, kas ta tulevikus midagi ostab, olenemata sellest, kas suunasite liikluse ümber või mitte - see pole oluline.
Viimastel aastatel on sellest saanud ajaviide SEO-meestele, kes postitavad sarnast materjali teadetetahvlitele ja töötavad välja kõikvõimalikke stsenaariume, kuhu veel oma linke paigutada. Agressiivsed partnerid mõistsid, et nad saavad oma koodi paigutada kõikjale Internetis, mitte ainult oma saitidele.
Sellel slaidil näete, et neil on oma küpsiste täitmise programmid, mis aitavad kasutajatel ise "täidetud küpsiseid" teha. Ja see pole ainult üks küpsis, korraga saab üles laadida 20-30 sidusettevõtte ID-d ja niipea, kui keegi midagi ostab, saate selle eest tasu.
Need poisid said peagi aru, et nad ei pea seda koodi oma lehtedele panema. Nad loobusid saidiülesest skriptimisest ja hakkasid lihtsalt postitama oma väikseid HTML-koodiga katkendeid teadetetahvlitele, külalisteraamatutesse ja sotsiaalvõrgustikesse.
2005. aasta paiku said kaupmehed ja sidusettevõtete võrgustikud aru, mis toimub, hakkasid jälgima viitajaid ja läbiklõpsamissagedust ning hakkasid kahtlastest sidusettevõtetest välja tõrjuma. Näiteks märkasid nad, et kasutaja klõpsas MySpace'i saidil, kuid see sait kuulus täiesti erinevasse sidusettevõtete võrgustikku kui see, mis sai seaduslikku kasu.
Need tüübid said veidi targemaks ja 2007. aastal tekkis uut tüüpi küpsiste täidis. Partnerid hakkasid oma koodi SSL-lehtedele paigutama. Hüperteksti edastusprotokolli RFC 2616 kohaselt ei tohiks kliendid lisada ebaturvalisse HTTP-päringusse viitaja päise välja, kui viitav leht viidi üle turvalisest protokollist. Seda seetõttu, et te ei soovi, et see teave teie domeenist lekiks.
Sellest on selge, et iga partnerile saadetud soovitaja ei ole jälgitav, seega näevad peamised partnerid tühja linki ega saa teid selle eest välja visata. Nüüd on petturitel võimalus oma "täidetud küpsiseid" karistamatult valmistada. Tõsi, mitte iga brauser ei võimalda seda teha, kuid on palju muid võimalusi, kuidas teha sama asja, kasutades brauseri automaatset aktiivse lehe metavärskendust, metasilte või JavaScripti.
2008. aastal hakkasid nad kasutama võimsamaid häkkimistööriistu, nagu DNS-i uuesti sidumise rünnakud, Gifar ja pahatahtlik Flash-sisu, mis võivad olemasolevad turvamudelid täielikult hävitada. Nende kasutamise väljaselgitamine võtab natuke aega, sest Cookie-Stuffingi tüübid ei ole eriti arenenud häkkerid, nad on lihtsalt agressiivsed turundajad, kellel on vähe kodeerimisteadmisi.
Pooljuurdepääsetava teabe müük
Niisiis, oleme vaadanud, kuidas teenida kuuekohalisi summasid, ja liigume nüüd seitsmekohaliste summade juurde. Meil on vaja palju raha, et saada rikkaks või surra. Vaatame, kuidas saate pooljuurdepääsetava teabe müümisega raha teenida. Business Wire oli paar aastat tagasi väga populaarne ja on siiani oluline, me näeme seda paljudel saitidel. Neile, kes ei tea, pakub Business Wire teenust, mille kaudu saidi registreeritud kasutajad saavad tuhandetelt ettevõtetelt ajakohastatud pressiteateid. Sellele ettevõttele saadavad pressiteateid erinevad organisatsioonid, millele mõnikord kehtivad ajutised keelud või embargod, mistõttu võib nendes pressiteates sisalduv teave mõjutada aktsiate hinda.
Pressiteate failid laaditakse üles Business Wire'i veebiserverisse, kuid neid ei lingita enne, kui embargo on tühistatud. Samal ajal on pressiteadete veebilehed lingitud põhiveebisaidiga ja kasutajaid teavitatakse nendest selliste URL-ide kaudu:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmSeega, kui olete embargo all, postitate saidile huvitavaid andmeid, nii et kohe pärast embargo tühistamist saavad kasutajad sellega kohe tuttavaks. Need lingid on kuupäevastatud ja saadetud kasutajatele e-posti teel. Kui keeld aegub, hakkab link tööle ja suunab kasutaja saidile, kuhu vastav pressiteade postitatakse. Enne pressiteate veebilehele juurdepääsu andmist peab süsteem kontrollima, kas kasutaja on seaduslikult sisse logitud.
Nad ei kontrolli, kas teil on õigus seda teavet vaadata, enne kui embargo aegub, peate lihtsalt süsteemi sisse logima. Siiani tundub see kahjutu, kuid see, et te midagi ei näe, ei tähenda, et seda seal pole.
Eesti finantsteenuste ettevõte Lohmus Haavel & Viisemann, mitte häkkerid, avastas, et pressiteadete veebilehtedel on etteaimatavad nimed, ja hakkas neid URL-e ära arvama. Kuigi embargo kehtivuse tõttu ei pruugi linke veel eksisteerida, ei tähenda see, et häkker ei saaks failinime ära arvata ja seega sellele enneaegselt juurde pääseda. See meetod töötas, sest Business Wire'i ainus turvakontroll oli see, et kasutaja oli seaduslikult sisse logitud ja mitte midagi muud.
Seega said eestlased enne turu sulgemist info kätte ja müüsid need andmed maha. Kuni SEC neile jälile jõudis ja nende kontod külmutas, õnnestus neil pooljuurdepääsetava teabega kauplemisega teenida 8 miljonit dollarit. Mõelge sellele, need tüübid vaatasid ainult, kuidas lingid välja näevad, proovisid URL-e ära arvata ja teenisid sellest 8 miljonit. Tavaliselt küsin siinkohal publikult, kas seda peetakse seaduslikuks või ebaseaduslikuks, kas seda peetakse kaubanduseks või mitte. Kuid praegu tahan juhtida teie tähelepanu sellele, kes seda tegi.
Enne kui proovite neile küsimustele vastata, näitan teile järgmist slaidi. See ei ole otseselt seotud võrgupettustega. Ukraina häkker häkkis sisse äriteabe pakkuja Thomson Financiali ja varastas andmed IMS Healthi finantsraskuste kohta tund aega enne, kui teave pidi finantsturule jõudma. Pole kahtlust, et ta on häkkimises süüdi.
Häkker esitas müügitellimusi summas 42 tuhat dollarit, mängides enne, kui intressimäärad langesid. Ukraina jaoks on see tohutu summa, nii et häkker teadis hästi, millesse ta sattus. Aktsiahinna järsk langus tõi talle mõne tunniga umbes 300 XNUMX dollari suuruse kasumi. Börs pani välja "punase lipu", SEC külmutas raha, märgates, et midagi läheb valesti, ja alustas uurimist. Kohtunik Naomi Reis Buchwald ütles aga, et raha tuleks külmutada, sest Dorozhkole omistatud "varguse ja kauplemise" ning "häkkimise ja kauplemise" süüdistused ei riku väärtpaberiseadusi. Häkker ei olnud selle ettevõtte töötaja ega rikkunud seetõttu konfidentsiaalse finantsteabe avalikustamist puudutavaid seadusi.
The Times soovitas, et USA justiitsministeerium pidas juhtumit lihtsalt mõttetuks, kuna Ukraina võimudel oli raskusi kurjategija tabamisel koostööd teha. Nii et see häkker sai 300 tuhat dollarit väga lihtsalt.
Nüüd võrrelge seda eelmise juhtumiga, kus inimesed teenisid raha, muutes lihtsalt oma brauseris linkide URL-e ja müües äriteavet. Need on üsna huvitavad, kuid mitte ainsad võimalused börsil raha teenimiseks.
Mõelgem passiivsele teabe kogumisele. Tavaliselt saab ostja pärast veebis ostu sooritamist tellimuse jälgimiskoodi, mis võib olla järjestikune või pseudojärjestus ja näeb välja umbes selline:
3200411
3200412
3200413
Selle abil saate oma tellimust jälgida. Pentestijad või häkkerid üritavad roomata URL-idel, et pääseda juurde tellimuse andmetele, mis tavaliselt sisaldavad isikut tuvastavat teavet (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Numbreid kerides pääsevad nad ligi ostja krediitkaardinumbritele, aadressidele, nimedele ja muule isiklikule teabele. Meid ei huvita aga mitte kliendi isikuandmed, vaid tellimuse jälgimise kood ise;
Järelduste tegemise kunst
Mõelge "Järeldamise kunstile". Kui oskad täpselt hinnata, mitu “tellimust” ettevõte kvartali lõpus töötleb, siis saab ajalooliste andmete põhjal järeldada, kas tema finantsseis on hea ja kuidas aktsia hind kõigub. Näiteks tellisite või ostsite midagi kvartali alguses, see ei oma tähtsust, ja seejärel tegite kvartali lõpus uue tellimuse. Numbrite erinevuse põhjal saab järeldada, kui palju tellimusi ettevõte selle aja jooksul töötles. Kui räägime tuhandest tellimusest versus sada tuhat sama eelneva perioodi tellimust, siis võib eeldada, et ettevõttel läheb kehvasti.
Tõsiasi on aga see, et sageli saab need järjekorranumbrid kätte ilma tellimust tegelikult täitmata või tellimust, mis hiljem tühistatakse. Loodan, et neid numbreid igal juhul ei kuvata ja jada jätkub numbritega:
3200418
3200419
3200420
Nii teate, et teil on võimalus tellimusi jälgida ja saate hakata passiivselt koguma teavet saidilt, mida nad meile pakuvad. Me ei tea, kas see on seaduslik või mitte, me teame ainult, et seda saab teha.
Niisiis oleme vaadelnud erinevaid äriloogika puudusi.
Trey Ford: ründajad on ärimehed. Nad ootavad oma investeeringult tulu. Mida rohkem tehnoloogiat, seda suurem ja keerulisem kood, seda rohkem tuleb tööd teha ja seda suurem on vahelejäämise tõenäosus. Kuid on palju väga tulusaid viise, kuidas rünnakuid ilma igasuguse pingutuseta läbi viia. Äriloogika on tohutu äri ja kurjategijatel on tohutu stiimul seda häkkida. Äriloogika vead on kurjategijate peamine sihtmärk ja neid ei saa tuvastada lihtsalt skannimise või standardse testimise teel kvaliteedi tagamise protsessi osana. QA-s on psühholoogiline probleem, mida nimetatakse "kinnituskallutatuseks", sest nagu inimesed, tahame ka meie teada, et meil on õigus. Seetõttu on vaja testida reaalsetes tingimustes.
Testida on vaja kõike ja kõiki, sest kõiki turvaauke ei ole võimalik tuvastada arendusetapis koodi analüüsides ega isegi mitte kvaliteedikontrolli käigus. Seega peate läbima kogu äriprotsessi ja töötama välja kõik meetmed selle kaitsmiseks. Ajaloost saab palju õppida, sest teatud tüüpi rünnakuid korratakse aja jooksul. Kui teid ühel ööl äratab CPU hüpe, võite eeldada, et mõni häkker üritab taas leida kehtivaid sooduskuponge. Tõeline viis ründetüübi äratundmiseks on aktiivse rünnaku jälgimine, sest selle tuvastamine logiajaloo põhjal on äärmiselt keeruline.
Jeremy Grossman: nii et siin on see, mida me täna õppisime.
Captcha äraarvamine võib teenida neljakohalise dollarisumma. Interneti-maksesüsteemidega manipuleerimine toob häkkerile viiekohalise kasumi. Pankade häkkimine võib teenida üle viiekohalise kasumi, eriti kui teete seda mitu korda.
E-kaubanduse petuskeemid teenivad teile kuuekohalist raha, samas kui sidusettevõtete võrkude kasutamine teenib teile 5-6 numbrit või isegi seitse numbrit. Kui oled piisavalt julge, võid proovida aktsiaturgu petta ja saada rohkem kui seitsmekohalist kasumit. Ja RSnake meetodi kasutamine parima Chihuahua võistlustel on lihtsalt hindamatu!
Selle esitluse uued slaidid ilmselt CD-le ei jõudnud, nii et saate need hiljem minu ajaveebi lehelt alla laadida. Septembris on tulemas OPSECi konverents, millel ma osalen, ja ma arvan, et suudame nendega väga lahedaid asju luua. Nüüd, kui teil on küsimusi, oleme valmis neile vastama.
Mõned reklaamid 🙂
Täname, et jäite meiega. Kas teile meeldivad meie artiklid? Kas soovite näha huvitavamat sisu? Toeta meid, esitades tellimuse või soovitades sõpradele, , Habri kasutajatele 30% allahindlus ainulaadsele algtaseme serverite analoogile, mille me teie jaoks välja mõtlesime: (saadaval RAID1 ja RAID10, kuni 24 tuuma ja kuni 40 GB DDR4-ga).
Dell R730xd 2 korda odavam? Ainult siin Hollandis! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – alates 99 dollarist! Millegi kohta lugema
Allikas: www.habr.com