UPSko gidariek susmagarriari aurre egiteko aukeraz eztabaidatzera iritsi ziren. Ikus dezagun orain diapositiba honetan aipatzen dena legezkoa den?
Hona hemen FTCk zer dioen galdetuta: "Itzuli behar al dut edo ordaindu behar dut inoiz eskatu ez dudan elementu bat?" - "Ez. Eskatu ez duzun elementu bat jasotzen baduzu, legezko eskubidea duzu doako opari gisa onartzeko". Honek etikoa al du? Honetaz eskuak garbitzen ditut, ez naizelako nahikoa argia horrelako gaiak eztabaidatzeko.
Baina interesgarria dena da joera bat ikusten dugula: zenbat eta teknologia gutxiago erabili orduan eta diru gehiago irabazten dugun.
Filialen Interneteko iruzurra
Jeremy Grossman: benetan oso zaila da ulertzea, baina sei zifra irabaz ditzakezu horrela. Beraz, entzun dituzun istorio guztiek benetako loturak dituzte eta horri buruz xehetasunez irakur dezakezu. Interneteko iruzurra mota interesgarrienetako bat afiliatuen iruzurra da. Lineako dendek eta iragarleek kideen sareak erabiltzen dituzte trafikoa eta erabiltzaileak euren guneetara erakartzeko, honetatik jasotako irabazien zati baten truke.
Jende askok urte luzez ezagutzen duen zerbaitetaz hitz egingo dut, baina ez dut aurkitu erreferentzia publiko bakar bat ere iruzur mota honek zenbateko galera eragin duen adierazten duenik. Nik dakidala, ez zegoen auzirik, ez ikerketa penalik. Manufakturako ekintzaileekin hitz egin dut, afiliatu sareko mutilekin hitz egin dut, Black Catsekin hitz egin dut - denek uste dute iruzurgileek afiliatuekin diru kopuru handia irabazi dutela.
Mesedez, hartu nire hitza eta berrikusi gai zehatz horiei buruz egin ditudan etxeko lanak. Iruzurgileek 5-6 zifrako eta, batzuetan, zazpi zifrako batuketak hilero egiteko erabiltzen dituzte, teknika bereziak erabiliz. Gela honetan badaude hori egiaztatzeko konfidentzialtasun-akordio batekin lotzen ez badira. Beraz, nola funtzionatzen duen erakutsiko dizut. Hainbat eragilek parte hartzen dute eskema honetan. Hurrengo belaunaldiko afiliatu "jokoa" zer den ikusiko duzu.
Jolasak webgune edo produktu bat duen eta erabiltzaileen klikengatik, sortutako kontuengatik, egindako erosketengatik eta abarrengatik afiliatuei komisioak ordaintzen dizkien merkatari batek hartzen du parte. Afiliatuari ordaintzen diozu norbaitek bere webgunea bisitatzen duelako, esteka batean klik egiten duelako, zure saltzailearen webgunera joan eta bertan zerbait erosten duelako.
Hurrengo jokalaria afiliatua da, erosleak saltzailearen webgunera birbideratzeko dirua klik bakoitzeko kostuaren (CPC) edo komisioen (CPA) moduan jasotzen duena.
Komisioek esan nahi dute bazkidearen jardueren ondorioz, bezeroak erosketa bat egin zuela saltzailearen webgunean.
Erosleak erosketak egiten dituena edo saltzailearen akzioak harpidetzen dituena da.
Afiliatu sareek saltzailearen, bazkidearen eta eroslearen jarduerak konektatu eta jarraitzeko teknologiak eskaintzen dituzte. Jokalari guztiak elkarrekin "kolatzen" dituzte eta elkarrekintza bermatzen dute.
Baliteke egun batzuk edo aste pare bat behar izatea dena nola funtzionatzen duen jakiteko, baina ez dago teknologia konplikaturik. Afiliazio-sareek eta afiliazio-programek merkataritza mota guztiak eta merkatu guztiak hartzen dituzte. Googlek, eBayk, Amazonek dituzte, komisio-agente gisa dituzten interesak gurutzatzen dira, nonahi daude eta ez dute diru-sarrerarik falta. Ziur nago badakizula zure blogeko trafikoak ere ehunka dolar irabaziak sor ditzakeela hilero, beraz, eskema hau erraza izango da ulertzeko.
Horrela funtzionatzen du sistemak. Gune txiki bat edo iragarki-taul elektroniko bat afiliatzen duzu, berdin dio, afiliazio programa bat sinatzen duzu eta zure Interneteko orrialdean jartzen duzun esteka berezi bat jasotzen duzu. Honela dirudi:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Honek afiliatu programa zehatza, zure kidearen IDa, kasu honetan 100 da, eta saltzen ari den produktuaren izena erakusten ditu. Eta norbaitek esteka honetan klik egiten badu, nabigatzaileak afiliatuen sarera birbideratzen du, afiliatu ID=100arekin lotzen duten jarraipen cookie bereziak instalatzen ditu.
Set-Cookie: AffiliateID=100Eta saltzailearen orrira birbideratzen du. Gero erosleak produkturen bat erosten badu X denbora-tarte batean, hau da, egun bat, ordubete, hiru aste izan daiteke, adostutako edozein ordutan, eta denbora horretan cookieek existitzen jarraitzen badute, orduan afiliatuak bere komisioa jasoko du.
Horrela, afiliatutako enpresek milaka milioi dolar lortzen dituzte SEO taktika eraginkorrak erabiliz. Adibide bat jartzen dizut. Hurrengo diapositibak ordainagiria erakusten du, orain handituko dut zenbatekoa erakusteko. 132 $-ko Google-ren txekea da. Jaun honen abizena Schumann da, eta publizitate webguneen sare baten jabea da. Hau ez da diru guztia, Google-k hilean behin edo 2 hilabetean behin ordaintzen ditu halako kopuruak.
Google-ren beste txeke bat, handituko dut eta ikusiko duzu $ 901 dela.
Galdetu behar al diot norbaiti honelako dirua irabazteko etikari buruz? Isiltasuna aretoan... Txeke honek 2 hilabeteko ordainketa adierazten du, aurreko txekea hartzailearen bankuak baztertu zuelako ordainketaren zenbatekoa handiegia zelako.
Beraz, ikusi dugu horrelako dirua egin daitekeela, eta diru hori ordaintzen ari da. Nola gainditu dezakezu eskema hau? Cookie-Stuffing izeneko teknika erabil dezakegu. Oso kontzeptu sinplea da, 2001-2002an agertu zena, eta diapositiba honek 2002an nola zegoen erakusten du. Bere agerpenaren istorioa kontatuko dizuet.
Afiliatuen sareko zerbitzu-baldintzek ez duten ezerk eskatzen du erabiltzaileak esteka bat sakatzea bere arakatzaileak afiliatuen ID cookiea jaso dezan.
Sakatu ohi den URL hau automatikoki karga dezakezu irudi-iturburuan edo iframe-etiketan. Kasu honetan, esteka baten ordez:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Hau deskargatu duzu:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Edo hori:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Eta erabiltzailea zure orrialdera iristen denean, automatikoki jasoko du afiliatu cookiea. Aldi berean, etorkizunean zerbait erosten duen ala ez, zure komisioak jasoko dituzu, trafikoa birbideratu duzun ala ez - berdin du.
Azken urteotan, hau denbora-pasa bihurtu da mezu-tauletan antzeko materiala bidaltzen duten SEO mutilentzat eta estekak beste non jarri jakiteko eszenatoki mota guztiak garatzen dituzte. Bazkide oldarkorrak konturatu ziren euren kodea Interneten edozein lekutan jar zezaketela, ez bakarrik beren guneetan.
Diapositiba honetan ikus dezakezu beren Cookie-Stuffing programak dituztela, erabiltzaileek beren "beteak diren cookieak" egiten laguntzen dutenak. Eta ez da cookie bakarra, 20-30 afiliatu ID igo ditzakezu aldi berean, eta norbaitek zerbait erosi bezain laster, ordaintzen dizu.
Mutil hauek laster konturatu ziren ez zutela kode hau euren orrialdeetan jarri beharrik. Guneen arteko script-a alde batera utzi eta HTML kodearekin beren zati txikiak argitaratzen hasi ziren mezu-tauletan, bisita-liburuetan eta sare sozialetan.
2005. urtearen inguruan, merkatariek eta afiliatu sareek zer gertatzen ari zen jakin zuten, erreferentziak eta klik-tasak jarraitzen hasi ziren eta afiliatu susmagarriak kanporatzen hasi ziren. Esaterako, konturatu ziren erabiltzaile batek MySpace gune batean klik egin zuela, baina gune hori afiliazio-sare batena zela, legezko etekina jasotzen zuena baino.
Mutil hauek pixka bat jakintsuagoak ziren eta 2007an Cookie-Stuffing mota berri bat sortu zen. Bazkideek beren kodea SSL orrietan jartzen hasi ziren. Hypertext Transfer Protocol RFC 2616-ren arabera, bezeroek ez lukete erreferentearen goiburuko eremurik sartu behar HTTP eskaera seguru batean erreferentzia orria protokolo seguru batetik migratu bada. Hau da, ez duzulako nahi informazio hori zure domeinutik ihes egitea.
Hortik argi dago bazkide bati bidalitako edozein erreferentzia ez dela jarraipena izango, beraz, bazkide nagusiek esteka huts bat ikusiko dute eta ezin izango zaituzte horregatik bota. Orain iruzurgileek beren "betetako cookieak" egiteko aukera dute inpunitaterik gabe. Egia da, arakatzaile guztiek ez dizute hori egiteko aukera ematen, baina beste modu asko daude gauza bera egiteko arakatzailearen uneko orriaren meta-freskatze automatikoa, meta-etiketak edo JavaScript erabiliz.
2008an, hacking tresna indartsuagoak erabiltzen hasi ziren, hala nola DNS birbinding erasoak, Gifar eta maltzurren Flash edukiak, lehendik zeuden segurtasun-ereduak erabat suntsitu ditzaketenak. Denbora pixka bat behar da nola erabili jakiteko Cookie-Stuffing mutilak ez baitira bereziki hacker aurreratuak, kodeketa ezagutza gutxi duten merkatari oldarkorrak besterik ez dira.
Informazio erdi irisgarria saltzea
Beraz, 6 zifrako zenbatekoak nola irabazi aztertu dugu, eta orain zazpi zifrara pasa gaitezen. Diru handia behar dugu aberasteko edo hiltzeko. Erdi irisgarria den informazioa salduz dirua nola irabazi dezakezun aztertuko dugu. Business Wire oso ezaguna zen duela pare bat urte eta oraindik garrantzitsua da, gune askotan ikusten dugu bere presentzia. Ezagutzen ez dutenentzat, Business Wire-k zerbitzu bat eskaintzen du webgunean erregistratutako erabiltzaileek milaka enpresen prentsa-ohar eguneratuak jasotzeko. Prentsa-oharrak hainbat erakundek bidaltzen dizkiote enpresa honi, batzuetan behin-behineko debekuak edo enbargoak jasaten dituztenak, beraz, prentsa ohar hauetan jasotako informazioak akzioen prezioan eragina izan dezake.
Prentsa-oharraren fitxategiak Business Wire-ren web-zerbitzarira kargatzen dira, baina ez dira lotzen enbargoa kendu arte. Bitartean, prentsa oharren web orriak webgune nagusiarekin lotuta daude, eta erabiltzaileei hauen berri ematen zaie honelako URLen bidez:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmHorrela, enbargopean zauden bitartean, datu interesgarriak argitaratzen dituzu gunean, enbargoa kendu bezain laster erabiltzaileek berehala ezagutu dezaten. Esteka hauek datatuta daude eta erabiltzaileei posta elektroniko bidez bidaltzen zaizkie. Debekua amaitutakoan, estekak funtzionatuko du eta erabiltzailea dagokion prentsa-oharra argitaratzen den gunera bideratuko du. Prentsa-oharraren web orrirako sarbidea eman aurretik, sistemak egiaztatu beharko du erabiltzailea legez saioa hasita dagoela.
Ez dute egiaztatzen informazio hori ikusteko eskubiderik duzun ala ez enbargoa iraungi baino lehen; sisteman saioa hasi besterik ez duzu egin behar. Orain arte kaltegabea dirudi, baina zerbait ez ikusteak ez du esan nahi hor ez dagoenik.
Lohmus Haavel & Viisemann Estoniako finantza-zerbitzuen konpainiak, batere ez hackerrak, ohartu ziren prentsa oharren web orriak modu aurreikusgarri batean izendatzen zirela eta URL horiek asmatzen hasi zen. Estekak oraindik existitzen ez diren arren, enbargoa indarrean dagoelako, horrek ez du esan nahi hacker batek fitxategiaren izena asmatzen ez duenik eta, beraz, lehenago atzitu ez duenik. Metodo honek funtzionatu zuen Business Wire-ren segurtasun egiaztapen bakarra erabiltzailea legez saioa hasi zela eta kito.
Hala, estoniarrek merkatua itxi baino lehen informazioa jaso eta datu horiek saldu zituzten. SECk haien jarraipena egin eta kontuak izoztu arte, 8 milioi dolar irabaztea lortu zuten erdi-eskuragarria den informazio merkataritzarekin. Pentsa, mutil hauek egin zuten guztia estekak nolakoak ziren ikustea izan zen, URLak asmatzen saiatzea eta hortik 8 milioi atera. Normalean une honetan entzuleei galdetzen diet hori legezko edo legez kanpokotzat hartzen den, merkataritzatzat hartzen den ala ez. Baina oraingoz zure arreta erakarri nahi dut nork egin duen hau.
Galdera hauei erantzuten saiatu aurretik, hurrengo diapositiba erakutsiko dizut. Hau ez dago sareko iruzurrarekin zuzenean lotuta. Ukrainako hacker batek Thomson Financial, negozio adimenaren hornitzailea, hackeatu zuen eta IMS Health-en finantza-egoerari buruzko datuak lapurtu zituen informazioa finantza-merkatura iritsi baino ordu lehenago. Zalantzarik ez dago hacking-aren errudun dela.
Hackerrak 42 mila dolarreko salmenta-aginduak jarri zituen, tasak jaitsi aurretik jolastuz. Ukrainarentzat kopuru handia da, beraz, hackerrak ondo zekien zertan sartzen ari zen. Akzioen prezioaren bat-bateko jaitsierak 300 dolar inguruko irabaziak ekarri zizkion ordu gutxiren buruan. Trukeak "bandera gorria" jarri zuen, SECk funtsak izoztu zituen, zerbait gaizki zihoala ohartu eta ikerketa bat hasi zuen. Hala ere, Naomi Reis Buchwald epaileak esan zuen funtsak desizoztu behar zirela, Dorozhkori egotzitako "lapurreta eta merkataritza" eta "pirateatzea eta merkataritza" salaketek ez dutelako baloreen legeak urratzen. Hacker-a ez zen enpresa honetako langilea, eta, beraz, ez zuen isilpeko finantza-informazioa zabaltzeari buruzko legerik urratu.
The Times-ek iradoki zuen AEBetako Justizia Sailak kasua hutsaltzat jo zuela, Ukrainako agintariek erasotzailea harrapatzeko lankidetzan adosteko zailtasunak direla eta. Beraz, hacker honek 300 mila dolar lortu zituen oso erraz.
Orain alderatu hau aurreko kasuarekin, non jendeak dirua irabazten zuen arakatzailean esteken URLak aldatuz eta informazio komertziala salduz. Hauek nahiko interesgarriak dira, baina ez burtsan dirua irabazteko modu bakarrak.
Har dezagun informazio bilketa pasiboa. Normalean, lineako erosketa bat egin ondoren, erosleak eskaeraren jarraipen-kode bat jasotzen du, sekuentziala edo sasi-sekuentziala izan daitekeena eta itxura hau duena:
3200411
3200412
3200413
Harekin zure eskaeraren jarraipena egin dezakezu. Pentesters edo hacker-ak URLak arakatzen saiatzen dira eskaera-datuak atzitzeko, normalean pertsonalki identifikatzeko informazioa (PII) edukita:
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Zenbakiak mugituz gero, eroslearen kreditu-txartelen zenbakiak, helbideak, izenak eta bestelako informazio pertsonaletara sarbidea lortzen dute. Hala ere, ez zaigu bezeroaren informazio pertsonala interesatzen, eskaeraren jarraipenaren kodea bera baizik; ezagutze pasiboa interesatzen zaigu.
Ondorioak ateratzeko artea
Demagun "Inferentziaren artea". Hiruhilekoaren amaieran enpresa batek zenbat "eskaera" prozesatzen dituen zehatz-mehatz kalkulatzen baduzu, datu historikoetan oinarrituta, bere finantza-egoera ona den eta akzioen prezioa nola aldatuko den ondoriozta dezakezu. Esaterako, hiruhileko hasieran zerbait eskatu edo erosi duzu, berdin dio, eta gero hiruhilekoaren amaieran eskaera berri bat egin duzu. Zenbakien aldearen arabera, denbora tarte horretan enpresak zenbat eskaera prozesatu dituen ondoriozta daiteke. Aurreko aldi bereko mila eskaeraz ari bagara, enpresa gaizki ari dela pentsa dezakezu.
Dena den, kontua da askotan sekuentzia-zenbaki horiek eskaria edo gero bertan behera uzten den agindua benetan osatu gabe lor daitezkeela. Espero dut inolaz ere zenbaki hauek ez agertzea eta sekuentziak zenbakiekin jarraitzea:
3200418
3200419
3200420
Horrela jakingo duzu eskaerak jarraitzeko gaitasuna duzula eta ematen diguten guneko informazioa pasiboki biltzen has zaitezkeela. Ez dakigu legezkoa den ala ez, besterik ez dakigu egin daitekeela.
Beraz, negozio-logikaren hainbat gabezia aztertu ditugu.
Trey Ford: erasotzaileak enpresariak dira. Euren inbertsioaren etekina espero dute. Zenbat eta teknologia gehiago, orduan eta handiagoa eta konplexuagoa den kodea, orduan eta lan gehiago egin behar da eta orduan eta handiagoa izango da harrapatzeko aukera. Baina erasoak ahaleginik gabe egiteko modu oso errentagarriak daude. Negozio-logika negozio izugarria da, eta gaizkileek pirateatzeko pizgarri handia dago. Negozio-logikako akatsak gaizkileen helburu nagusia dira eta eskaneatu edo proba estandarrak eginez kalitatea bermatzeko prozesu baten zati gisa detektatu ezin den zerbait dira. QAn arazo psikologiko bat dago "baiezpen-alborapena" izenekoa, gizakiek bezala, arrazoia dugula jakin nahi dugulako. Hori dela eta, beharrezkoa da probak baldintza errealetan egitea.
Beharrezkoa da dena eta guzti probatzea, ahultasun guztiak ezin baitira detektatu garapen-fasean kodea aztertuz, ezta QA-n ere. Beraz, negozio-prozesu osoa igaro eta hura babesteko neurri guztiak garatu behar dituzu. Historiatik asko ikas daiteke eraso mota batzuk denboran zehar errepikatzen direlako. Gau batean PUZaren erpin batek esnatzen bazaitu, pentsa dezakezu hackerren bat berriro baliozko deskontu kupoiak bilatzen saiatzen ari dela. Eraso mota ezagutzeko benetako modua eraso aktibo bat behatzea da, erregistro-historian oinarrituta antzematea oso zaila izango delako.
Jeremy Grossman: beraz, hona hemen gaur ikasi duguna.
Captcha asmatzeak lau digituko dolarreko zenbatekoa irabaz dezakezu. Lineako ordainketa sistemak manipulatzeak bost zifrako irabaziak ekarriko dizkio hacker bati. Banku piraten bidez bost zifra baino gehiago irabazi ditzakezu, batez ere behin baino gehiagotan egiten baduzu.
Merkataritza elektronikoaren iruzurrek sei diru lortuko dituzu, kideen sareak erabiliz, berriz, 5-6 zifra edo zazpi zifra lortuko dituzu. Nahikoa ausarta bazara, saia zaitezke burtsa engainatzen eta zazpi zifrako irabaziak lortzen. Eta Chihuahua onenaren lehiaketetan RSnake metodoa erabiltzeak ez du preziorik!
Aurkezpen honen diapositiba berriak ziurrenik ez dira CDan sartu, beraz, geroago deskarga ditzakezu nire blog-orritik. Irailean OPSEC konferentzia bat izango da eta bertan parte hartuko dudana, eta haiekin gauza politak sortzeko gai izango garela uste dut. Orain, galderarik baduzu, prest gaude erantzuteko.
Iragarki batzuk 🙂
Eskerrik asko gurekin geratzeagatik. Gustuko dituzu gure artikuluak? Eduki interesgarri gehiago ikusi nahi? Lagun iezaguzu eskaera bat eginez edo lagunei gomendatuz, , % 30eko deskontua Habr erabiltzaileentzat sarrera-mailako zerbitzarien analogo berezi batean, guk zuk asmatu duguna: (RAID1 eta RAID10-ekin erabilgarri, 24 nukleoraino eta 40 GB DDR4 arte).
Dell R730xd 2 aldiz merkeagoa? Hemen bakarrik Herbehereetan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 $-tik aurrera! Irakurri buruz
Iturria: www.habr.com