Se gongen sa fier om de mooglikheid te besprekken dat UPS-bestjoerders de fertochte konfrontearje. Litte wy no kontrolearje as wat op dizze slide wurdt oanhelle legaal is?
Hjir is wat de FTC seit as frege, "Moat ik weromkomme of betelje foar in artikel dat ik noait besteld haw?" - "Nee. As jo in item ûntfange dat jo net besteld hawwe, hawwe jo it wetlik rjocht om it as in fergees kado te akseptearjen." Klinkt dit etysk? Ik waskje myn hannen fan dit omdat ik bin net tûk genôch om te besprekken sokke saken.
Mar wat is nijsgjirrich is dat wy sjogge in trend wêryn de minder technology wy brûke, hoe mear jild wy meitsje.
Affiliate Internet Fraude
Jeremy Grossman: it is echt heul lestich om te begripen, mar jo kinne op dizze manier seis sifers jild meitsje. Dat, alle ferhalen dy't jo hearden hawwe echte keppelings en jo kinne it allegear yn detail lêze. Ien fan 'e meast nijsgjirrige soarten ynternetfraude is affiliate fraude. Online winkels en advertearders brûke affiliate netwurken te lûken ferkear en brûkers nei harren sites yn ruil foar in part fan de winst ûntfongen fan dit.
Ik sil prate oer eat dat in protte minsken hawwe bekend oer jierren, mar ik haw net west by steat om te finen in inkele iepenbiere referinsje dy't oanjout hoefolle ferlies dit soarte fan scam hat feroarsake. Foar safier't ik wit, wiene der gjin rjochtsaken, gjin kriminele ûndersiken. Ik haw praat mei produksjeûndernimmers, ik haw praat mei jonges fan affiliate netwurk, ik haw praat mei Black Cats - se leauwe allegear dat oplichters in enoarm bedrach jild hawwe makke fan filialen.
Nim myn wurd foar it en besjoch it húswurk dat ik haw dien oer dizze spesifike problemen. Fraudeurs brûke se om 5-6-sifers, en soms sân-sifers moanlikse sommen te meitsjen, mei spesjale techniken. D'r binne minsken yn dizze keamer dy't dit kontrolearje kinne as se net bûn binne troch in fertroulikensoerienkomst. Dat ik sil jo sjen litte hoe't it wurket. D'r binne ferskate spilers belutsen by dit skema. Jo sille sjen wêr't de folgjende generaasje affiliate "spultsje" oer giet.
It spultsje giet it om in keapman dy't in webside of produkt hat en kommisjes foar affiliaten betellet foar brûkersklikken, akkounts makke, oankeapen makke, ensfh. Jo betelje de affiliate foar it feit dat immen syn webside besykje, klikt op in keppeling, giet nei de webside fan jo ferkeaper en keapet dêr wat.
De folgjende spiler is de affiliate, dy't jild krijt yn 'e foarm fan kosten per klik (CPC) of yn' e foarm fan kommisjes (CPA) foar it omlieden fan keapers nei de webside fan 'e ferkeaper.
Kommisjes betsjutte dat as gefolch fan 'e aktiviteiten fan' e partner de klant in oankeap makke op 'e webside fan' e ferkeaper.
De keaper is de persoan dy't oankeapen makket of abonnearret op de oandielen fan 'e ferkeaper.
Affiliate netwurken leverje technologyen dy't de aktiviteiten fan 'e ferkeaper, partner en keaper ferbine en folgje. Se "lymje" alle spilers byinoar en soargje foar harren ynteraksje.
It kin jo in pear dagen as in pear wiken duorje om út te finen hoe't it allegear wurket, mar d'r is gjin yngewikkelde technology belutsen. Affiliate netwurken en affiliate programma's dekke alle soarten hannel en alle merken. Google, EBay, Amazon hawwe se, har belangen as kommisje-aginten krúst, se binne oeral en hawwe gjin gebrek oan ynkommen. Ik bin der wis fan dat jo witte dat sels ferkear fan jo blog elke moanne ferskate hûnderten dollars yn winst kin generearje, dus dit skema sil jo maklik te begripen wêze.
Dit is hoe't it systeem wurket. Jo ferbine in lytse side, as in elektroanysk bulletin board, it makket neat út, jo tekenje in filiaalprogramma en ûntfange in spesjale keppeling dy't jo op jo ynternetside pleatse. It sjocht der sa út:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Dit toant it spesifike filiaalprogramma, jo filiaal-ID, yn dit gefal is it 100, en de namme fan it produkt dat ferkocht wurdt. En as immen op dizze keppeling klikt, ferwiist de browser him nei it filiaalnetwurk, ynstallearret spesjale trackingcookies dy't him keppelje oan it filiaal ID = 100.
Set-Cookie: AffiliateID=100En trochferwiist nei de side fan de ferkeaper. As de keaper letter wat produkt binnen in perioade fan tiid X keapet, dat kin in dei, in oere, trije wiken, elke ôfpraat tiid wêze, en yn dizze tiid bliuwe de koekjes bestean, dan krijt de affiliate syn kommisje.
Dit is hoe affiliate bedriuwen miljarden dollars meitsje mei effektive SEO-taktiken. Lit my dy in foarbyld jaan. De folgjende dia lit de kwitânsje sjen, ik sil it no fergrutsje om jo it bedrach sjen te litten. Dit is in sjek fan Google foar $132. De efternamme fan dizze hear is Schumann, en hy hat in netwurk fan advertinsjewebsides. Dit is net al it jild, Google betellet sokke sommen ien kear yn 'e moanne of ien kear yn' e 2 moannen.
In oare kontrôle fan Google, ik sil it fergrutsje en jo sille sjen dat it foar $ 901 is.
Moat ik immen freegje oer de etyk fan it meitsjen fan jild lykas dit? Stilte yn 'e seal... Dizze sjek stiet foar betelling foar 2 moannen, om't de foarige sjek troch de bank fan de ûntfanger ôfwiisd is fanwegen it te grut betellingsbedrach.
Dat, wy hawwe sjoen dat dit soarte jild kin wurde makke, en dit jild wurdt útbetelle. Hoe kinne jo dit skema ferslaan? Wy kinne in technyk brûke dy't Cookie-Stuffing hjit. Dit is in hiel ienfâldich konsept dat ferskynde yn 2001-2002, en dizze slide lit sjen hoe't it seach yn 2002. Ik sil fertelle jo it ferhaal fan syn ferskining.
Neat minder as ferfelende betingsten fan tsjinst fan affiliate netwurk fereasket dat in brûker eins op in keppeling klikt om har browser it koekje fan affiliate ID op te heljen.
Jo kinne dizze typysk oanklikte URL automatysk lade yn 'e ôfbyldingsboarne of iframe-tag. Yn dit gefal, ynstee fan in keppeling:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Jo download dit:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Of dat:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>En as de brûker op jo side komt, sil hy automatysk it filiaalkoekje ophelje. Tagelyk, nettsjinsteande oft hy wat yn 'e takomst keapet, sille jo jo kommisjes krije, of jo ferkear omleare of net - it makket neat út.
Yn 'e ôfrûne jierren is dit in tiidferdriuw wurden foar SEO-jonges dy't ferlykber materiaal op berjochtboerden pleatse en allerhanne senario's ûntwikkelje foar wêr't se har keppelings oars kinne pleatse. Agressive partners realisearre dat se har koade oeral op it ynternet kinne pleatse, net allinich op har eigen siden.
Op dizze slide kinne jo sjen dat se har eigen Cookie-Stuffing-programma's hawwe dy't brûkers helpe har eigen "opgevulde koekjes" te meitsjen. En it is net allinich ien koekje, jo kinne tagelyk 20-30 affiliate-ID's uploade, en sa gau as immen wat keapet, wurde jo der foar betelle.
Dizze jonges realisearren al gau dat se dizze koade net op har siden hoegden te setten. Se ferlieten cross-site scripting en begon gewoan har lytse snippjes mei HTML-koade te pleatsen op berjochtbuorden, gastboeken en sosjale netwurken.
Om 2005 hinne fûnen keaplju en affiliate netwurken út wat der bart, begûnen ferwizers en trochklikraten te folgjen, en begûnen fertochte filialen út te traapjen. Sa seagen se bygelyks dat in brûker op in MySpace-side klikte, mar dy side hearde ta in folslein oar affiliate netwurk as dejinge dy't it legitime foardiel krige.
Dizze jonges waarden wat wizer en yn 2007 ûntstie in nij soarte fan Cookie-Stuffing. Partners begûnen har koade op SSL-siden te pleatsen. Neffens Hypertext Transfer Protocol RFC 2616 moatte kliïnten gjin Referer-headerfjild opnimme yn in ûnfeilich HTTP-fersyk as de ferwizende side is migrearre fan in feilich protokol. Dit is om't jo net wolle dat dizze ynformaasje fan jo domein lekt.
Hjirút is it dúdlik dat elke ferwizer dy't nei in partner stjoerd wurdt, net te folgjen wêze sil, sadat de haadpartners in lege keppeling sille sjen en jo der net foar kinne skoppe. No hawwe oplichters de kâns om har "folle koekjes" sûnder straffe te meitsjen. Wier, net elke browser lit jo dit dwaan, mar d'r binne in protte oare manieren om itselde te dwaan mei de automatyske ferfarsking fan 'e blêder fan' e aktuele side meta-refresh, meta-tags of JavaScript.
Yn 2008 begûnen se machtiger hacking-ark te brûken, lykas DNS-rebinding-oanfallen, Gifar en kweade Flash-ynhâld, dy't besteande befeiligingsmodellen folslein kinne ferneatigje. It duorret in skoft om út te finen hoe't se se brûke kinne, om't de Cookie-Stuffing-jonges net bysûnder avansearre hackers binne, se binne gewoan agressive marketeers mei in bytsje kennis fan kodearring.
Selling semi-tagonklike ynformaasje
Dat, wy hawwe sjoen nei hoe't jo 6-sifers sommen kinne fertsjinje, en litte wy no gean nei sân-sifers. Wy hawwe grut jild nedich om ryk te wurden of te stjerren. Wy sille sjen hoe't jo jild kinne fertsjinje troch semy-tagonklike ynformaasje te ferkeapjen. Business Wire wie in pear jier lyn heul populêr en it is noch altyd wichtich, wy sjogge har oanwêzigens op in protte siden. Foar wa't it net wit, biedt Business Wire in tsjinst wêrby't registrearre brûkers fan 'e side in stream fan aktuele parseberjochten krije fan tûzenen bedriuwen. Parseberjochten wurde nei dit bedriuw stjoerd troch ferskate organisaasjes, dy't soms ûnderwurpen binne oan tydlike ferbods of embargo's, sadat de ynformaasje yn dizze parseberjochten de priis fan oandielen kin beynfloedzje.
Parseberjochtbestannen wurde opladen nei de Business Wire-webserver, mar binne net keppele oant it embargo is opheft. Al dy tiid binne de websiden fan 'e parseberjocht keppele oan' e haadwebside, en brûkers wurde har op 'e hichte brocht troch URL's lykas dit:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmSa, wylst jo ûnder it embargo binne, pleatse jo nijsgjirrige gegevens op 'e side, sadat sa gau as it embargo is opheft, brûkers der daliks mei bekend wurde. Dizze keppelings wurde datearre en stjoerd nei brûkers fia e-post. Sadree't it ferbod ferrint, sil de keppeling wurkje en de brûker rjochtsje nei de side wêr't it oerienkommende parseberjocht wurdt pleatst. Foardat jo tagong krije ta de webside fan 'e parseberjocht, moat it systeem ferifiearje dat de brûker legaal is oanmeld.
Se kontrolearje net oft jo it rjocht hawwe om dizze ynformaasje te besjen foardat it embargo ferrint, jo moatte gewoan ynlogge op it systeem. Oant no ta liket it harmless, mar gewoan om't jo wat net sjogge, betsjuttet net dat it der net is.
Estysk finansjele tsjinstbedriuw Lohmus Haavel & Viisemann, hielendal gjin hackers, ûntdutsen dat websiden foar parseberjochten op in foarsisbere manier neamd waarden en begon dy URL's te rieden. Wylst de keppelings miskien noch net bestean omdat in embargo yn wurking is, betsjut dit net dat in hacker de triemnamme net riede kin en dêrmei te betiid tagong krije kin. Dizze metoade wurke omdat Business Wire syn iennichste feiligens kontrôle wie dat de brûker wie oanmeld legaal en neat oars.
Sa krigen de Esten ynformaasje foardat de merk sluten en dizze gegevens ferkocht. Oant de SEC se opspoarde en har akkounts beferzen, wisten se $ 8 miljoen te fertsjinjen fan hanneljen fan semi-tagonklike ynformaasje. Tink der oer, al dizze jonges diene wie te sjen nei hoe't de keppelings der útseagen, besykje de URL's te rieden, en makken der 8 miljoen fan. Meastal op dit punt freegje ik it publyk oft dit wurdt beskôge as legaal of yllegaal, oft it wurdt beskôge as in hannel of net. Mar ik wol foarearst gewoan jo oandacht meitsje op wa't dit dien hat.
Foardat jo besykje dizze fragen te beantwurdzjen, sil ik jo de folgjende dia sjen litte. Dit is net direkt relatearre oan online fraude. In Oekraynske hacker hackte Thomson Financial, in provider fan saaklike yntelliginsje, en stiel gegevens oer de finansjele need fan IMS Health oeren foardat de ynformaasje de finansjele merk rekke. D'r is gjin twifel dat hy skuldich is oan hacking.
De hacker pleatste ferkeapopdrachten yn it bedrach fan 42 tûzen dollar, spielje foardat de tariven sakken. Foar Oekraïne is dit in enoarm bedrach, sadat de hacker goed wist wêr't hy yn kaam. De hommelse delgong yn 'e oandielpriis brocht him binnen in pear oeren sawat $ 300 yn winst. De útwikseling sette in "reade flagge", de SEC beferzen de fûnsen, merkte op dat der wat mis gie, en begon in ûndersyk. Rjochter Naomi Reis Buchwald sei lykwols dat de fûnsen net beferzen wurde moatte, om't de beskuldigingen fan "stellerij en hannel" en "hacking en hannel" taskreaun oan Dorozhko net yn striid binne mei weardepapieren. De hacker wie gjin meiwurker fan dit bedriuw, en hat dêrom gjin wetten skeind oangeande it iepenbierjen fan fertroulike finansjele ynformaasje.
The Times suggerearre dat it Amerikaanske ministearje fan justysje de saak gewoan as in nutteleaze saak beskôge fanwegen de swierrichheden om Oekraynske autoriteiten yn te stimmen om mei te wurkjen by it fangen fan de dieder. Dat dizze hacker krige 300 tûzen dollar heul maklik.
Fergelykje dit no mei it foarige gefal wêr't minsken jild makken troch gewoan de URL's fan keppelings yn har browser te feroarjen en kommersjele ynformaasje te ferkeapjen. Dit binne frij nijsgjirrich, mar net de ienige manieren om jild te meitsjen op 'e beurs.
Litte wy passive ynformaasjekolleksje beskôgje. Typysk, nei it meitsjen fan in online oankeap, krijt de keaper in folchkoade foar bestelling, dy't sekwinsjele of pseudo-sekwinsjele kin wêze en sjocht der sa út:
3200411
3200412
3200413
Mei it kinne jo jo bestelling folgje. Pentesters of hackers besykje URL's te crawljen om tagong te krijen ta bestellingsgegevens, meastentiids persoanlik identifisearjende ynformaasje (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Troch troch de nûmers te rôljen krije se tagong ta de kredytkaartnûmers, adressen, nammen en oare persoanlike ynformaasje fan 'e keaper. Lykwols, wy binne net ynteressearre yn de klant syn persoanlike ynformaasje, mar yn 'e oarder track koade sels wy binne ynteressearre yn passive ferkenning;
De keunst fan it tekenjen fan konklúzjes
Beskôgje "The Art of Inference." As jo krekt kinne skatte hoefolle "oarders" in bedriuw oan 'e ein fan it kertier ferwurket, dan kinne jo, basearre op histoaryske gegevens, ôfliede oft har finansjele situaasje goed is en hoe't har oandielpriis sil fluktuearje. Bygelyks, jo besteld of kocht wat oan it begjin fan it kertier, it makket neat út, en dan makke in nije bestelling oan 'e ein fan' e kertier. Op grûn fan it ferskil yn oantallen kin men konkludearje hoefolle oarders waarden ferwurke troch it bedriuw yn dizze perioade fan tiid. As wy it hawwe oer tûzen oarders tsjin hûnderttûzen foar deselde foarige perioade, kinne jo oannimme dat it bedriuw it min docht.
It feit is lykwols dat dizze folchoardernûmers faaks kinne wurde krigen sûnder de bestelling eins te foltôgjen of in bestelling dy't dêrnei annulearre wurdt. Ik hoopje dat dizze nûmers yn alle gefallen net sille wurde werjûn en de folchoarder sil trochgean mei de nûmers:
3200418
3200419
3200420
Op dizze manier witte jo dat jo de mooglikheid hawwe om bestellingen te folgjen en kinne jo passyf ynformaasje sammelje fan 'e side dy't se ús leverje. Wy witte net oft it legaal is of net, wy witte allinich dat it dien wurde kin.
Dat, wy hawwe sjoen nei ferskate tekortkomingen fan saaklike logika.
Trey Ford: de oanfallers binne sakelju. Se ferwachtsje in rendemint op har ynvestearring. Hoe mear technology, hoe grutter en komplekser de koade, hoe mear wurk moat dien wurde en hoe grutter de kâns dat jo fongen wurde. Mar d'r binne in protte heul rendabele manieren om oanfallen sûnder ynspanning út te fieren. Bedriuwslogika is in enoarm bedriuw, en d'r is in enoarme stimulâns foar kriminelen om it te hacken. Defekten fan bedriuwslogika binne in haaddoel foar kriminelen en binne iets dat net kin wurde ûntdutsen troch gewoan in scan út te fieren of standerttesten út te fieren as ûnderdiel fan in kwaliteitsfersekeringsproses. D'r is in psychologysk probleem yn QA neamd "befêstigingsbias", om't wy, lykas minsken, wolle witte dat wy gelyk hawwe. Dêrom is it needsaaklik om testen út te fieren yn echte omstannichheden.
It is needsaaklik om alles en elkenien te testen, om't net alle kwetsberens kinne wurde ûntdutsen yn 'e ûntwikkelingsstadium troch it analysearjen fan de koade, of sels tidens QA. Dat jo moatte it heule bedriuwsproses trochgean en alle maatregels ûntwikkelje om it te beskermjen. In protte kin leard wurde út 'e skiednis, om't bepaalde soarten oanfallen oer de tiid werhelle wurde. As jo ien nacht wekker wurde troch in CPU-spike, kinne jo oannimme dat guon hacker wer besykje jildige koartingsbonnen op te spoaren. De echte manier om it type oanfal te erkennen is om in aktive oanfal te observearjen, om't it erkennen op basis fan loghistoarje ekstreem lestich sil wêze.
Jeremy Grossman: dus hjir is wat wy hjoed leard hawwe.
It rieden fan 'e captcha kin jo in fjouwer-sifers dollarbedrach fertsjinje. Manipulearjen fan online betellingssystemen sil in hacker fiif-figuer winst bringe. Hacking banken kinne fertsjinje jo goed mear as fiif sifers yn winst, benammen as jo dogge it mear as ien kear.
Scams foar e-commerce sille jo seis sifers jild opleverje, wylst it brûken fan affiliate netwurken jo 5-6 sifers of sels sân sifers sille nettolje. As jo binne dapper genôch, kinne jo besykje te gek de stock merk en krije mear as sân-sifer winst. En it brûken fan de RSnake-metoade yn kompetysjes foar de bêste Chihuahua is gewoan ûnbetelber!
De nije dia's foar dizze presintaasje kamen nei alle gedachten net op de cd, dus jo kinne se letter downloade fan myn blogside. D'r komt yn septimber in OPSEC-konferinsje dy't ik bywenje sil, en ik tink dat wy wat heul coole dingen mei har kinne meitsje. No, as jo fragen hawwe, binne wy ree om se te beantwurdzjen.
Guon advertinsjes 🙂
Tankewol foar it bliuwen by ús. Hâld jo fan ús artikels? Wolle jo mear ynteressante ynhâld sjen? Stypje ús troch in bestelling te pleatsen of oan te befeljen oan freonen, , 30% koarting foar Habr-brûkers op in unike analoog fan servers op yngongsnivo, dy't troch ús foar jo útfûn is: (beskikber mei RAID1 en RAID10, oant 24 kearnen en oant 40GB DDR4).
Dell R730xd 2 kear goedkeaper? Allinne hjir yn Nederlân! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fan $99! Lêze oer
Boarne: www.habr.com