آنها تا آنجا پیش رفتند که در مورد امکان استفاده از درایورهای UPS برای مقابله با مظنون بحث کردند. حال بیایید بررسی کنیم که آیا آنچه در این اسلاید نقل شده قانونی است؟
در اینجا پاسخ FTC به این سوال است که "آیا باید کالایی را که هرگز سفارش نداده ام برگردانم یا پرداخت کنم؟" - "نه. اگر کالایی دریافت کردید که سفارش نداده اید، حق قانونی دارید که آن را به عنوان هدیه رایگان بپذیرید." آیا این اخلاقی به نظر می رسد؟ من دست هایم را می شوم زیرا آنقدر باهوش نیستم که بتوانم در مورد چنین موضوعاتی صحبت کنم.
اما جالب اینجاست که ما شاهد روندی هستیم که در آن هر چه کمتر از تکنولوژی استفاده کنیم، پول بیشتری به دست می آوریم.
کلاهبرداری اینترنتی وابسته
جرمی گروسمن: درک آن واقعاً بسیار دشوار است، اما از این طریق می توانید یک مبلغ شش رقمی دریافت کنید. بنابراین، تمام داستان هایی که شنیده اید پیوندهای واقعی دارند و می توانید در مورد همه اینها با جزئیات بخوانید. یکی از جالب ترین انواع کلاهبرداری اینترنتی، کلاهبرداری های وابسته است. فروشگاههای آنلاین و تبلیغکنندگان از شبکههای وابسته برای هدایت ترافیک و کاربران به سایتهای خود در ازای سهمی از سودی که به دست میآورند، استفاده میکنند.
من قصد دارم در مورد چیزی صحبت کنم که بسیاری از مردم سال ها می دانستند، اما من نتوانستم یک مرجع عمومی پیدا کنم که نشان دهد این نوع کلاهبرداری چقدر ضرر دارد. تا جایی که من می دانم، هیچ پرونده قضایی و تحقیقات جنایی در کار نبود. من با کارآفرینان تولیدی صحبت کردهام، با بچههای شبکه وابسته صحبت کردهام، با گربههای سیاه صحبت کردهام - همه آنها معتقدند که کلاهبرداران پول زیادی از این شراکت به دست آوردهاند.
از شما می خواهم که حرف من را قبول کنید و با نتیجه "تکلیف" که در مورد این مشکلات خاص انجام دادم آشنا شوید. کلاهبرداران ماهانه مبالغ 5-6 رقمی و گاهی هفت رقمی را با استفاده از تکنیک های خاص روی آنها جوش می دهند. افرادی در این اتاق هستند که می توانند این موضوع را تأیید کنند، البته تا زمانی که به یک توافق نامه محرمانه متعهد نباشند. بنابراین، من به شما نشان خواهم داد که چگونه کار می کند. این طرح شامل چندین بازیکن است. خواهید دید که «بازی» وابسته به نسل جدید چیست.
این بازی شامل یک تاجر است که نوعی وبسایت یا محصول دارد و برای کلیکهای کاربر، حسابهای ایجاد شده، خریدهای انجام شده و غیره به شرکتهای وابسته کمیسیون پرداخت میکند. شما به یک شرکت وابسته پول می پردازید تا شخصی از سایت آنها بازدید کند، روی یک پیوند کلیک کنید، به سایت تاجر خود بروید و در آنجا چیزی بخرید.
بازیکن بعدی یک شرکت وابسته است که به صورت پرداخت به ازای کلیک (CPC) یا کمیسیون (CPA) برای هدایت خریداران به وب سایت فروشنده پول دریافت می کند.
کمیسیون به این معنی است که در نتیجه فعالیت های شریک، مشتری در وب سایت فروشنده خرید کرده است.
خریدار شخصی است که اقدام به خرید یا اشتراک سهام فروشنده می کند.
شبکههای وابسته فناوریای را ارائه میکنند که فعالیتهای فروشنده، شریک و خریدار را به هم متصل و ردیابی میکند. آنها همه بازیکنان را به هم می چسبانند و تعامل آنها را تضمین می کنند.
ممکن است چند روز یا چند هفته طول بکشد تا بفهمید همه اینها چگونه کار می کند، اما هیچ فناوری پیچیده ای در اینجا وجود ندارد. شبکه های وابسته و برنامه های وابسته همه انواع تجارت و همه بازارها را پوشش می دهند. گوگل، ای بی، آمازون آنها را دارند، منافع کمیسیون آنها همپوشانی دارد، آنها همه جا هستند و کمبود درآمد ندارند. من مطمئن هستم که می دانید حتی ترافیک وبلاگ شما می تواند چندین صد دلار سود ماهانه به همراه داشته باشد، بنابراین درک این طرح برای شما آسان خواهد بود.
سیستم به این صورت است. شما به یک سایت کوچک یا یک تابلوی اعلانات الکترونیکی وابسته هستید، فرقی نمی کند، برای یک برنامه وابسته ثبت نام کنید و یک لینک ویژه که در صفحه وب خود قرار می دهید دریافت کنید. به نظر می رسد این است:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>
این برنامه وابسته خاص، شناسه وابسته شما، که در این مورد 100 است، و نام محصول فروخته شده را فهرست می کند. و اگر شخصی روی این پیوند کلیک کند، مرورگر او را به شبکه وابسته هدایت می کند، کوکی های ردیابی ویژه ای را تنظیم می کند که او را با شناسه وابسته = 100 مرتبط می کند.
Set-Cookie: AffiliateID=100
و به صفحه فروشنده هدایت می شود. اگر خریدار بعداً محصولی را در بازه زمانی X خریداری کند که می تواند یک روز، یک ساعت، سه هفته، هر زمان توافق شده باشد و در این مدت کوکی ها همچنان وجود داشته باشند، شریک کمیسیون خود را دریافت می کند.
این طرحی است که باعث می شود شرکت های وابسته با استفاده از تاکتیک های سئو موثر میلیاردها دلار درآمد کسب کنند. من برای شما یک مثال می زنم. اسلاید بعدی چک را نشان می دهد، اکنون من بزرگنمایی می کنم تا مبلغ را به شما نشان دهم. چکی است از گوگل به مبلغ 132 دلار. نام این آقا شومان است، او صاحب شبکه ای از وب سایت های تبلیغاتی است. این همه پول نیست، گوگل ماهانه یک بار یا هر 2 ماه یک بار چنین مبالغی را پرداخت می کند.
یک چک دیگر از گوگل، آن را افزایش می دهم و می بینید که 901 دلار نوشته شده است.
آیا باید از کسی در مورد اخلاق این روش های کسب درآمد بپرسم؟ سکوت در سالن ... این چک نشان دهنده پرداخت 2 ماهه است زیرا چک قبلی توسط بانک گیرنده به دلیل زیاد بودن مبلغ رد شده است.
بنابراین، ما متقاعد شده ایم که می توان چنین پولی به دست آورد و این پول پرداخت می شود. چگونه می توان این طرح را بازی کرد؟ ما می توانیم از تکنیکی به نام Cookie-Stuffing یا Cookie Stuffing استفاده کنیم. این یک مفهوم بسیار ساده است که در سال 2001-2002 ظاهر شد، و این اسلاید نشان می دهد که در سال 2002 چگونه به نظر می رسید. من داستان ظاهر آن را برای شما تعریف می کنم.
چیزی جز شرایط خدمات مزاحم شبکههای وابسته، کاربر را ملزم میکند که در واقع روی پیوند کلیک کند تا مرورگر او کوکی را با شناسه وابسته دریافت کند.
میتوانید این URL را که معمولاً کاربر روی آن کلیک میکند، بهطور خودکار در یک منبع تصویر یا در یک برچسب iframe بارگیری کنید. و به جای لینک:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>
شما در حال دانلود این هستید:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>
یا اینکه:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>
و هنگامی که کاربر به صفحه شما می رسد، به طور خودکار کوکی وابسته را دریافت می کند. در عین حال، صرف نظر از اینکه آیا او چیزی را در آینده خریداری می کند، شما کمیسیون خود را دریافت خواهید کرد، چه ترافیک را تغییر مسیر داده باشید یا نه - مهم نیست.
در چند سال گذشته، این به یک سرگرمی برای افراد SEO تبدیل شده است که مواردی مانند این را در تابلوهای پیام ارسال می کنند و انواع سناریوها را برای مکان دیگری برای قرار دادن پیوندهای خود ایجاد می کنند. شرکای تهاجمی متوجه شده اند که می توانند کد خود را در هر نقطه از اینترنت قرار دهند، نه فقط در سایت های خود.
در این اسلاید، می بینید که آنها برنامه های پر کردن کوکی خود را دارند که به کاربران کمک می کند تا "کوکی های پر شده" خود را بسازند. و این فقط یک کوکی نیست، شما می توانید 20-30 شناسه شبکه وابسته را به طور همزمان دانلود کنید، و به محض اینکه شخصی چیزی را خریداری کرد، برای آن پول دریافت می کنید.
به زودی این بچه ها متوجه شدند که نمی توانند این کد را در صفحات خود قرار دهند. آنها اسکریپتنویسی بین سایتی را کنار گذاشتند و به سادگی شروع کردند به پست کردن تکههای کوچک خود با کد HTML بر روی تابلوهای پیام، کتابهای مهمان و شبکههای اجتماعی.
در حدود سال 2005، تاجران و شبکههای وابسته متوجه شدند که چه اتفاقی میافتد، شروع به ردیابی ارجاعدهندهها و نرخهای کلیک کردند و شروع به لگد زدن به وابستگان مشکوک کردند. به عنوان مثال، آنها متوجه شدند که یک کاربر روی یک سایت MySpace کلیک می کند، اما آن سایت متعلق به یک شبکه وابسته کاملاً متفاوت از شبکه ای است که مزایای قانونی دریافت می کند.
این بچه ها کمی عاقل تر شدند و در سال 2007 نوع جدیدی از پر کردن کوکی ها متولد شد. شرکا شروع به قرار دادن کد خود در صفحات SSL کردند. طبق پروتکل انتقال ابرمتن RFC 2616، اگر صفحه ارجاع دهنده از یک پروتکل ایمن منتقل شده باشد، کلاینت ها نباید فیلد هدر Referer را در یک درخواست HTTP ناامن وارد کنند. این به این دلیل است که شما نمی خواهید این اطلاعات از دامنه شما به بیرون درز کند.
از اینجا مشخص می شود که هیچ ارجاعی که به شریک ارسال می شود غیرقابل ردیابی نخواهد بود، بنابراین شرکای اصلی یک پیوند خالی را می بینند و نمی توانند شما را به خاطر آن اخراج کنند. اکنون کلاهبرداران این فرصت را دارند که "کوکی های پر" خود را بدون مجازات بسازند. درست است که همه مرورگرها به شما اجازه انجام این کار را نمی دهند، اما راه های زیادی برای انجام همین کار وجود دارد، با استفاده از به روز رسانی خودکار صفحه فعلی متا تجدید مرورگر، متا تگ ها یا جاوا اسکریپت.
در سال 2008، آنها شروع به استفاده از ابزارهای هک قدرتمندتری مانند حملات rebinding کردند - DNS rebinding، Gifar و محتوای مخرب Flash که می تواند مدل های حفاظتی موجود را به طور کامل از بین ببرد. فهمیدن نحوه استفاده از آنها مدتی طول می کشد، زیرا بچه های Cookie Stuffing واقعاً هکرهای پیشرفته ای نیستند، آنها فقط بازاریاب های تهاجمی هستند که چیز زیادی در مورد کدنویسی نمی دانند.
فروش اطلاعات نیمه موجود
بنابراین، نحوه کسب مبالغ 6 رقمی را بررسی کردیم و اکنون به سراغ موارد هفت رقمی می رویم. ما برای ثروتمند شدن یا مردن به پول کلان نیاز داریم. ما بررسی خواهیم کرد که چگونه می توانید با فروش اطلاعات نیمه در دسترس درآمد کسب کنید. Business Wire چند سال پیش بسیار محبوب بود و هنوز هم مهم است، ما آن را در بسیاری از سایت ها می بینیم. برای کسانی که نمیدانند، Business Wire سرویسی را ارائه میکند که در آن کاربران ثبتشده سایت جریانی از بیانیههای مطبوعاتی بهروز را از هزاران شرکت دریافت میکنند. اطلاعیه های مطبوعاتی توسط سازمان های مختلفی برای این شرکت ارسال می شود که بعضاً به طور موقت ممنوع یا تحریم می شوند، بنابراین اطلاعات مندرج در این بیانیه ها ممکن است ارزش سهام را تحت تأثیر قرار دهد.
فایلهای انتشار مطبوعاتی در سرور وب Business Wire آپلود میشوند اما تا زمانی که تحریم لغو نشود، پیوند داده نمیشوند. در تمام این مدت، صفحات وب انتشار مطبوعاتی به وبسایت اصلی پیوند داده میشوند و کاربران با آدرسهای زیر در مورد آنها مطلع میشوند:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htm
بدین ترتیب در زمانی که شما تحت تحریم هستید، اطلاعات جالبی را در سایت قرار می دهید تا به محض رفع تحریم، کاربران بلافاصله با آنها آشنا شوند. این پیوندها دارای تاریخ هستند و از طریق ایمیل برای کاربران ارسال می شوند. به محض انقضای ممنوعیت، لینک کار می کند و کاربر را به سایتی هدایت می کند که بیانیه مطبوعاتی مربوطه در آن درج شده است. قبل از اعطای دسترسی به صفحه وب انتشار مطبوعاتی، سیستم باید اطمینان حاصل کند که کاربر بطور قانونی وارد شده است.
آنها بررسی نمی کنند که آیا شما حق دارید این اطلاعات را قبل از پایان تحریم مشاهده کنید، فقط باید وارد سیستم شوید. تا اینجای کار بی ضرر به نظر می رسد، اما فقط به این دلیل که نمی توانید چیزی را ببینید به این معنی نیست که آنجا نیست.
شرکت مالی استونیایی Lohmus Haavel & Viisemann که اصلاً یک هکر نبود، متوجه شد که صفحات وب انتشار مطبوعاتی به روشهای قابل پیشبینی نامگذاری شدهاند و شروع به حدس زدن آن URLها کرد. در حالی که ممکن است پیوندها هنوز وجود نداشته باشند زیرا تحریم در حال اجرا است، اما این بدان معنا نیست که یک هکر نمی تواند نام فایل را حدس بزند و بنابراین زودتر به آن دسترسی پیدا کند. این روش جواب داد زیرا تنها بررسی امنیتی Business Wire این بود که کاربر به صورت قانونی وارد سیستم شده است و نه چیز دیگری.
بنابراین، استونیایی ها اطلاعاتی را قبل از بسته شدن بازار دریافت کردند و این داده ها را فروختند. قبل از اینکه SEC آنها را ردیابی کند و حساب های آنها را مسدود کند، آنها موفق به کسب 8 میلیون دلار اطلاعات نیمه در دسترس در معاملات شدند. در نظر بگیرید که این افراد فقط به ظاهر لینک ها نگاه کردند، سعی کردند URL ها را حدس بزنند و 8 میلیون از آن به دست آوردند. معمولاً در این مرحله از مخاطب میپرسم که آیا این کار قانونی است یا غیرقانونی، آیا به مفاهیم تجارت مربوط میشود یا خیر؟ اما در حال حاضر، فقط می خواهم توجه شما را به اینکه چه کسی این کار را انجام داده است، جلب کنم.
قبل از اینکه بخواهید به این سوالات پاسخ دهید، اسلاید بعدی را به شما نشان خواهم داد. این ربطی به کلاهبرداری اینترنتی ندارد. یک هکر اوکراینی چند ساعت قبل از ورود اطلاعات به بازار مالی، به تامسون فایننشال، ارائهدهنده اطلاعات تجاری، نفوذ کرد و مشکلات مالی IMS Health را به سرقت برد. شکی نیست که او مقصر دزدی است.
هکر سفارشات فروش را به مبلغ 42 هزار دلار داد، تا زمانی که نرخ ها کاهش یافت. برای اوکراین، این مبلغ هنگفتی است، بنابراین هکر به خوبی میدانست که وارد چه چیزی شده است. افت ناگهانی قیمت سهام برای او در عرض چند ساعت حدود 300 دلار سود به همراه داشت. صرافی یک پرچم قرمز ارسال کرد، SEC وجوه را مسدود کرد و متوجه شد که مشکلی در حال انجام است و تحقیقاتی را آغاز کرد. با این حال، قاضی Naomi Reis Buchwald گفت که وجوه باید مسدود شود زیرا ادعای "دزدی و تجارت" و "هک و تجارت" Dorozhko قوانین اوراق بهادار را نقض نمی کند. هکر کارمند این شرکت نبوده، بنابراین هیچ قانونی در مورد افشای اطلاعات مالی محرمانه را نقض نکرده است.
روزنامه تایمز پیشنهاد داد که وزارت دادگستری ایالات متحده به دلیل مشکلات مربوط به کسب رضایت مقامات اوکراینی برای همکاری در دستگیری جنایتکار، این پرونده را صرفاً بیهوده تلقی می کند. بنابراین این هکر خیلی راحت 300 هزار دلار به دست آورد.
اکنون این مورد را با مورد قبلی مقایسه کنید که در آن افراد فقط با تغییر URL پیوندها در مرورگر خود و فروش اطلاعات تجاری درآمد کسب کردند. اینها بسیار جالب هستند، اما تنها راه های کسب درآمد در بورس نیستند.
جمع آوری اطلاعات غیرفعال را در نظر بگیرید. معمولاً پس از خرید آنلاین، خریدار یک کد رهگیری سفارش دریافت می کند که می تواند متوالی یا شبه ترتیبی باشد و چیزی شبیه به این است:
3200411
3200412
3200413
با آن می توانید سفارش خود را پیگیری کنید. نفوذگران یا هکرها سعی می کنند برای دسترسی به داده های سفارش، URL ها را "پیمایش" کنند، که معمولاً حاوی اطلاعات شناسایی شخصی (PII) است:
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417
با پیمایش در اعداد، آنها به شماره کارت اعتباری، آدرس، نام و سایر اطلاعات شخصی خریدار دسترسی پیدا می کنند. با این حال، ما به اطلاعات شخصی مشتری علاقه مند نیستیم، اما در خود کد پیگیری سفارش، ما به هوش غیرفعال علاقه مند هستیم.
هنر نتیجه گیری
هنر استنتاج کردن را در نظر بگیرید. اگر بتوانید به طور دقیق تخمین بزنید که یک شرکت در پایان سه ماهه چند "سفارش" را پردازش می کند، بر اساس داده های تاریخی، می توانید نتیجه بگیرید که آیا وضعیت مالی آن خوب است و قیمت سهام آن در کدام جهت نوسان خواهد کرد. به عنوان مثال، شما در ابتدای سه ماهه چیزی را سفارش دادید یا خریدید، مهم نیست، و سپس در پایان سه ماهه سفارش جدیدی انجام دادید. با تفاوت اعداد می توان نتیجه گرفت که در این مدت زمان چه تعداد سفارش توسط شرکت پردازش شده است. اگر در مورد هزار سفارش در مقابل صد هزار سفارش برای مدت مشابه صحبت می کنیم، می توانید فرض کنید که شرکت ضعیف عمل می کند.
با این حال، واقعیت این است که اغلب این اعداد دنباله ای را می توان بدون انجام واقعی سفارش یا سفارشی که متعاقباً لغو شده است به دست آورد. امیدوارم این اعداد به هر حال نشان داده نشوند و دنباله با اعداد ادامه یابد:
3200418
3200419
3200420
به این ترتیب می دانید که توانایی ردیابی سفارشات را دارید و می توانید به طور غیر فعال اطلاعات را از سایتی که آنها در اختیار ما قرار می دهند، جمع آوری کنید. ما نمی دانیم قانونی است یا نه، فقط می دانیم که می توان آن را انجام داد.
بنابراین، ما معایب مختلف منطق تجاری را در نظر گرفته ایم.
تری فورد: مهاجمان تاجر هستند آنها انتظار بازگشت سرمایه خود را دارند. هرچه فناوری بیشتر، کد بزرگتر و پیچیده تر باشد، کار بیشتری باید انجام دهید و احتمال اینکه گرفتار شوید بیشتر می شود. اما راه های بسیار سودمند زیادی برای انجام حملات بدون هیچ تلاشی وجود دارد. منطق کسب و کار یک تجارت غول پیکر است و برای مجرمان انگیزه زیادی برای شکستن آن وجود دارد. نقصهای منطق کسبوکار هدف اصلی مجرمان است و چیزی است که به سادگی با اجرای یک اسکن یا انجام آزمایش معمول QA قابل شناسایی نیست. یک مشکل روانی در تضمین کیفیت در QA وجود دارد که به آن "سوگیری تایید" می گویند، زیرا مانند بقیه، ما می خواهیم بدانیم که حق با ماست. بنابراین، انجام آزمایش در شرایط واقعی ضروری است.
آزمایش همه چیز و همه چیز ضروری است، زیرا نمی توان همه آسیب پذیری ها را در مرحله توسعه، با تجزیه و تحلیل کد یا حتی در طول QA پیدا کرد. بنابراین باید کل فرآیند کسب و کار را طی کنید و همه اقدامات برای محافظت از آن را توسعه دهید. از تاریخ می توان چیزهای زیادی آموخت زیرا برخی از انواع حملات در طول زمان تکرار می شوند. اگر یک شب به دلیل اوج استفاده از CPU از خواب بیدار شوید، می توانید فرض کنید که یک هکر دوباره سعی دارد کوپن های تخفیف معتبر را ردیابی کند. راه واقعی برای تشخیص نوع حمله مشاهده یک حمله فعال است، زیرا تشخیص آن بر اساس تاریخچه گزارش کار بسیار دشواری خواهد بود.
جرمی گروسمن: بنابراین این چیزی است که امروز یاد گرفتیم.
حل کردن کپچاها می تواند چهار رقم را به دلار برای شما به ارمغان بیاورد. دستکاری با سیستم های پرداخت آنلاین، سود پنج رقمی را برای هکر به همراه خواهد داشت. هک کردن بانک ها می تواند بیش از پنج رقم برای شما به ارمغان بیاورد، به خصوص اگر این کار را بیش از یک بار انجام دهید.
کلاهبرداری های تجارت الکترونیک شش رقمی به شما می دهد و استفاده از شبکه های وابسته به شما 5 تا 6 رقم یا حتی هفت رقم می دهد. اگر به اندازه کافی شجاع هستید، می توانید سعی کنید بازار سهام را فریب دهید و بیش از سود هفت رقمی به دست آورید. و استفاده از روش RSnake در مسابقات بهترین چیهواهوا قیمتی ندارد!
اسلایدهای جدید این ارائه احتمالاً در سی دی موجود نیست، بنابراین می توانید بعداً آنها را از صفحه وبلاگ من دانلود کنید. یک کنفرانس OPSEC در ماه سپتامبر برگزار می شود که من در آن شرکت خواهم کرد و فکر می کنم بتوانیم کارهای بسیار جالبی با آنها انجام دهیم. و اکنون اگر سوالی دارید ما آماده پاسخگویی به آن هستیم.
چند تبلیغ 🙂
از اینکه با ما ماندید متشکرم آیا مقالات ما را دوست دارید؟ آیا می خواهید مطالب جالب تری ببینید؟ با ثبت سفارش یا معرفی به دوستان از ما حمایت کنید
Dell R730xd 2 برابر ارزان تر است؟ فقط اینجا
منبع: www.habr.com