Chegaron a discutir a posibilidade de que os condutores de UPS se enfronten ao sospeitoso. Imos comprobar agora se o que se cita nesta diapositiva é legal?
Isto é o que di a FTC cando se lle pregunta: "Debo devolver ou pagar un artigo que nunca pedín?" - "Non. Se recibes un artigo que non pediches, tes o dereito legal de aceptalo como agasallo". Soa isto ético? Lávome as mans disto porque non son o suficientemente intelixente para discutir estes temas.
Pero o interesante é que vemos unha tendencia na que canta menos tecnoloxía usamos, máis cartos gañamos.
Fraude en Internet de afiliados
Jeremy Grossman: é realmente moi difícil de entender, pero podes gañar seis cifras de diñeiro deste xeito. Entón, todas as historias que escoitaches teñen ligazóns reais e podes ler sobre todo en detalle. Un dos tipos máis interesantes de fraude en Internet é a fraude de afiliados. As tendas en liña e os anunciantes usan redes de afiliados para atraer tráfico e usuarios aos seus sitios a cambio dunha parte dos beneficios que se obteñen deste.
Vou falar de algo que moita xente coñece dende hai anos, pero non conseguín atopar nin unha soa referencia pública que indique cantas perdas causou este tipo de estafas. Que eu saiba, non houbo demandas, nin investigacións penais. Falei con empresarios de fabricación, con rapaces da rede de afiliados, falei con Black Cats: todos cren que os estafadores gañaron unha enorme cantidade de diñeiro cos afiliados.
Por favor, cómpre na miña palabra e revise os deberes que fixen sobre estes temas específicos. Os defraudadores utilízanos para facer sumas mensuais de 5-6 díxitos, e ás veces de sete díxitos, utilizando técnicas especiais. Nesta sala hai persoas que poden comprobar isto se non están obrigadas por un acordo de confidencialidade. Entón vouvos mostrar como funciona. Hai varios actores implicados neste esquema. Verás de que se trata o "xogo" de afiliados da próxima xeración.
O xogo implica un comerciante que ten un sitio web ou produto e paga comisións aos afiliados polos clics dos usuarios, as contas creadas, as compras realizadas, etc. Pagas ao afiliado polo feito de que alguén visita o seu sitio web, fai clic nunha ligazón, vai ao sitio web do teu vendedor e compra algo alí.
O seguinte xogador é o afiliado, que recibe diñeiro en forma de custo por clic (CPC) ou en forma de comisións (CPA) para redirixir aos compradores ao sitio web do vendedor.
As comisións implican que, como resultado das actividades do socio, o cliente realizou unha compra no sitio web do vendedor.
O comprador é a persoa que realiza compras ou subscribe as accións do vendedor.
As redes de afiliados ofrecen tecnoloxías que conectan e rastrexan as actividades do vendedor, o socio e o comprador. "Pegan" a todos os xogadores e aseguran a súa interacción.
Pode levar uns días ou un par de semanas descubrir como funciona todo, pero non hai tecnoloxía complicada. As redes de afiliados e os programas de afiliados cobren todo tipo de comercio e todos os mercados. Google, EBay, Amazon téñenos, os seus intereses como comisionistas se cruzan, están en todas partes e non lles faltan ingresos. Estou seguro de que sabes que mesmo o tráfico do teu blog pode xerar varios centos de dólares en beneficios cada mes, polo que este esquema será fácil de entender para ti.
Así funciona o sistema. Afilias a un sitio pequeno ou a un taboleiro de anuncios electrónico, non importa, asinas un programa de afiliados e recibes unha ligazón especial que colocas na túa páxina de Internet. Parece así:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Isto mostra o programa de afiliados específico, o seu ID de afiliado, neste caso é 100, e o nome do produto que se vende. E se alguén fai clic nesta ligazón, o navegador redirixeo á rede de afiliados, instala cookies especiais de seguimento que o vinculan ao ID de afiliado=100.
Set-Cookie: AffiliateID=100E redirecciona á páxina do vendedor. Se despois o comprador compra algún produto nun período de tempo X, que pode ser un día, unha hora, tres semanas, calquera hora acordada, e durante este tempo as cookies continúan existindo, entón o afiliado recibe a súa comisión.
Así é como as empresas afiliadas gañan miles de millóns de dólares usando tácticas de SEO eficaces. Déixame un exemplo. A seguinte diapositiva mostra o recibo, agora vouno ampliar para mostrarche o importe. Este é un cheque de Google por 132 dólares. O apelido deste señor é Schumann e posúe unha rede de sitios web de publicidade. Este non é todo o diñeiro, Google paga tales cantidades unha vez ao mes ou unha vez cada 2 meses.
Outro cheque de Google, vouno ampliar e verás que é por 901 dólares.
Debo preguntarlle a alguén sobre a ética de gañar cartos así? Silencio no salón... Este cheque supón un pago de 2 meses, porque o cheque anterior foi rexeitado pola entidade bancaria do destinatario debido a que o importe do pago era demasiado elevado.
Entón, vimos que este tipo de diñeiro se pode facer, e estes cartos están sendo pagados. Como podes superar este esquema? Podemos usar unha técnica chamada Cookie-Stuffing. Este é un concepto moi sinxelo que apareceu en 2001-2002, e esta diapositiva mostra como estaba en 2002. Vouvos contar a historia da súa aparición.
Nada menos que as molestas condicións de servizo da rede de afiliados require que un usuario faga clic nunha ligazón para que o seu navegador capte a cookie de identificación de afiliado.
Podes cargar automaticamente este URL no que se fai clic normalmente na fonte da imaxe ou na etiqueta iframe. Neste caso, en lugar dunha ligazón:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Descarga isto:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Ou iso:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>E cando o usuario aterriza na túa páxina, recollerá automaticamente a cookie de afiliado. Ao mesmo tempo, independentemente de que compre algo no futuro, recibirá as súas comisións, se redirixiu o tráfico ou non, non importa.
Durante os últimos anos, isto converteuse nun pasatempo para os mozos de SEO que publican material similar en taboleiros de mensaxes e desenvolven todo tipo de escenarios para onde colocar as súas ligazóns. Os socios agresivos déronse conta de que podían colocar o seu código en calquera lugar de Internet, non só nos seus propios sitios.
Nesta diapositiva podes ver que teñen os seus propios programas de recheo de cookies que axudan aos usuarios a crear as súas propias "cookies recheas". E non é só unha cookie, podes cargar 20-30 ID de afiliados ao mesmo tempo e, en canto alguén compra algo, págase por iso.
Estes rapaces pronto entenderon que non tiñan que poñer este código nas súas páxinas. Abandonaron os scripts entre sitios e simplemente comezaron a publicar os seus pequenos fragmentos con código HTML en taboleiros de mensaxes, libros de visitas e redes sociais.
Ao redor de 2005, os comerciantes e as redes de afiliados descubriron o que estaba a suceder, comezaron a rastrexar os referentes e as taxas de clics e comezaron a expulsar os afiliados sospeitosos. Por exemplo, notaron que un usuario fixo clic nun sitio de MySpace, pero ese sitio pertencía a unha rede de afiliados completamente diferente á que recibía o beneficio lexítimo.
Estes rapaces fixéronse un pouco máis sabios e en 2007 xurdiu un novo tipo de recheo de galletas. Os socios comezaron a colocar o seu código en páxinas SSL. Segundo o protocolo de transferencia de hipertexto RFC 2616, os clientes non deben incluír un campo de cabeceira de referencia nunha solicitude HTTP insegura se a páxina de referencia foi migrada desde un protocolo seguro. Isto ocorre porque non queres que esta información se filtre do teu dominio.
A partir diso, está claro que calquera Referer enviado a un compañeiro non será rastrexable, polo que os principais socios verán unha ligazón baleira e non poderán expulsarte por iso. Agora os estafadores teñen a oportunidade de facer as súas "galletas cheas" impunemente. É certo que non todos os navegadores che permiten facelo, pero hai moitas outras formas de facer o mesmo usando a actualización automática do navegador da meta-actualización da páxina actual, as metaetiquetas ou JavaScript.
En 2008, comezaron a utilizar ferramentas de piratería máis poderosas, como ataques de reencuadernación de DNS, Gifar e contido Flash malicioso, que poden destruír completamente os modelos de seguridade existentes. Leva un tempo descubrir como usalos porque os mozos de Cookie-Stuffing non son hackers especialmente avanzados, só son comerciantes agresivos con pouco coñecemento de codificación.
Vendo información semiaccesible
Entón, miramos como gañar sumas de 6 cifras, e agora imos pasar a sete cifras. Necesitamos grandes cartos para facernos ricos ou morrer. Veremos como pode gañar cartos vendendo información semiaccesible. Business Wire foi moi popular hai un par de anos e aínda é importante, vemos a súa presenza en moitos sitios. Para aqueles que non o saiban, Business Wire ofrece un servizo polo que os usuarios rexistrados do sitio reciben un fluxo de notas de prensa actualizadas de miles de empresas. As notas de prensa son enviadas a esta empresa por diversas organizacións, que en ocasións están suxeitas a prohibicións ou embargos temporais, polo que a información contida nestas notas de prensa pode afectar ao prezo das accións.
Os ficheiros de notas de prensa cárganse ao servidor web de Business Wire, pero non se vinculan ata que se levanta o embargo. Mentres tanto, as páxinas web das notas de prensa están ligadas ao sitio web principal e os usuarios reciben unha notificación deles mediante URL como este:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmAsí, mentres estás baixo o embargo, publicas datos interesantes no sitio para que, en canto se leve o embargo, os usuarios se familiaricen con el. Estas ligazóns están datadas e enviadas aos usuarios por correo electrónico. Unha vez caducado a prohibición, a ligazón funcionará e dirixirá ao usuario ao sitio onde se publica a nota de prensa correspondente. Antes de conceder o acceso á páxina web do comunicado de prensa, o sistema debe verificar que o usuario está rexistrado legalmente.
Non verifican se tes dereito a ver esta información antes de que caduque o embargo só tes que iniciar sesión no sistema. Ata agora parece inofensivo, pero só porque non vexas algo non significa que non estea.
A empresa de servizos financeiros de Estonia Lohmus Haavel & Viisemann, non hackers en absoluto, descubriu que as páxinas web de comunicados de prensa eran nomeadas de forma previsible e comezou a adiviñar eses URL. Aínda que as ligazóns poden non existir aínda porque hai un embargo en vigor, isto non significa que un hacker non poida adiviñar o nome do ficheiro e, polo tanto, acceder a el antes de tempo. Este método funcionou porque a única comprobación de seguridade de Business Wire foi que o usuario iniciase sesión legalmente e nada máis.
Así, os estonios recibiron información antes do peche do mercado e venderon estes datos. Ata que a SEC os localizou e conxelou as súas contas, conseguiron gañar 8 millóns de dólares co comercio de información semiaccesible. Pense niso, o único que fixeron estes rapaces foi mirar como eran as ligazóns, tentar adiviñar os URL e gañaron 8 millóns con iso. Normalmente neste punto pregunto ao público se isto se considera legal ou ilegal, se se considera un comercio ou non. Pero por agora só quero chamar a súa atención sobre quen fixo isto.
Antes de tentar responder a estas preguntas, mostrareiche a seguinte diapositiva. Isto non está directamente relacionado coa fraude en liña. Un hacker ucraíno pirateou a Thomson Financial, un provedor de intelixencia empresarial, e roubou datos sobre as dificultades financeiras de IMS Health horas antes de que a información chegase ao mercado financeiro. Non hai dúbida de que é culpable de hackear.
O pirata informático fixo pedidos de venda por valor de 42 mil dólares, xogando antes de que as taxas baixasen. Para Ucraína esta é unha cantidade enorme, polo que o hacker sabía ben en que se estaba metiendo. A caída repentina do prezo das accións levoulle uns 300 dólares de beneficios en poucas horas. O intercambio fixo unha "bandeira vermella", a SEC conxelou os fondos, notando que algo estaba a fallar e iniciou unha investigación. Non obstante, a xuíza Naomi Reis Buchwald dixo que os fondos deberían desconxelarse porque as acusacións de "roubo e comercio" e "piratería e comercio" atribuídas a Dorozhko non violan as leis de valores. O hacker non era un empregado desta empresa e, polo tanto, non infrinxiu ningunha lei relativa á divulgación de información financeira confidencial.
O Times suxeriu que o Departamento de Xustiza dos Estados Unidos simplemente considerou o caso inútil debido ás dificultades para conseguir que as autoridades ucraínas acorden cooperar para atrapar ao autor. Entón, este hacker conseguiu 300 mil dólares con moita facilidade.
Agora compara isto co caso anterior no que a xente gañaba diñeiro simplemente cambiando os URL das ligazóns no seu navegador e vendendo información comercial. Estas son bastante interesantes, pero non as únicas formas de gañar cartos na bolsa.
Consideremos a recollida pasiva de información. Normalmente, despois de facer unha compra en liña, o comprador recibe un código de seguimento de pedidos, que pode ser secuencial ou pseudosecuencial e ten un aspecto así:
3200411
3200412
3200413
Con el podes seguir o teu pedido. Os pentistas ou piratas informáticos tentan rastrexar URL para acceder aos datos de pedidos, que normalmente contén información de identificación persoal (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Ao desprazarse polos números, acceden aos números de tarxeta de crédito, enderezos, nomes e outra información persoal do comprador. Non obstante, non nos interesa a información persoal do cliente, senón o propio código de seguimento de pedidos;
A arte de sacar conclusións
Considere "A arte da inferencia". Se pode estimar con precisión cantos "pedidos" está procesando unha empresa ao final do trimestre, entón, baseándose en datos históricos, pode deducir se a súa situación financeira é boa e como os prezos das súas accións oscilarán. Por exemplo, pediches ou compraches algo ao comezo do trimestre, non importa, e despois fixeches un novo pedido ao final do trimestre. En base á diferenza de números, pódese concluír cantos pedidos foron procesados pola empresa durante este período de tempo. Se estamos a falar de mil pedidos fronte a cen mil do mesmo período anterior, pódese supoñer que a empresa está a facer mal.
Non obstante, o feito é que moitas veces estes números de secuencia pódense obter sen completar realmente o pedido ou un pedido que se cancele posteriormente. Espero que estes números non se mostren en ningún caso e que a secuencia continúe cos números:
3200418
3200419
3200420
Deste xeito, sabes que tes a capacidade de rastrexar pedidos e podes comezar a recoller de forma pasiva información do sitio que nos proporcionan. Non sabemos se é legal ou non, só sabemos que se pode facer.
Entón, analizamos varias deficiencias da lóxica empresarial.
Trey Ford: os atacantes son empresarios. Esperan un retorno do seu investimento. Canto máis tecnoloxía, máis grande e complexo é o código, máis traballo hai que facer e maior é a probabilidade de ser atrapado. Pero hai moitas formas moi rendibles de realizar ataques sen ningún esforzo. A lóxica empresarial é un negocio enorme e hai un gran incentivo para que os criminais o pirateen. Os fallos da lóxica empresarial son un obxectivo primordial para os criminais e son algo que non se pode detectar simplemente realizando unha exploración ou realizando probas estándar como parte dun proceso de garantía de calidade. Hai un problema psicolóxico no control de calidade chamado "sesgo de confirmación" porque, como os humanos, queremos saber que temos razón. Polo tanto, é necesario realizar probas en condicións reais.
É necesario probar todo e todos, porque non se poden detectar todas as vulnerabilidades na fase de desenvolvemento mediante a análise do código, nin sequera durante o control de calidade. Polo tanto, cómpre pasar por todo o proceso empresarial e desenvolver todas as medidas para protexelo. Pódese aprender moito da historia porque certos tipos de ataques repítense ao longo do tempo. Se che esperta unha noite por un pico da CPU, pode asumir que algún hacker volve tentar rastrexar cupóns de desconto válidos. A verdadeira forma de recoñecer o tipo de ataque é observar un ataque activo, porque recoñecelo en función do historial de rexistro será extremadamente difícil.
Jeremy Grossman: así que aquí está o que aprendemos hoxe.
Adiviñar o captcha pode gañar unha cantidade de catro díxitos en dólares. A manipulación dos sistemas de pago en liña traerá a un hacker beneficios de cinco cifras. Hackear bancos pode gañar máis de cinco cifras de beneficios, especialmente se o fai máis dunha vez.
As estafas de comercio electrónico conseguirán seis cifras de diñeiro, mentres que o uso de redes de afiliados conseguirá 5-6 cifras ou mesmo sete cifras. Se es o suficientemente valente, podes tentar enganar á bolsa e obter beneficios de máis de sete cifras. E usar o método RSnake en competicións para o mellor Chihuahua non ten prezo!
As novas diapositivas desta presentación probablemente non apareceron no CD, así que podes descargalas máis tarde dende o meu blog. Hai unha conferencia OPSEC en setembro á que vou asistir, e creo que poderemos crear cousas moi interesantes con eles. Agora, se tes algunha dúbida, estamos preparados para respondelas.
Algúns anuncios 🙂
Grazas por estar connosco. Gústanche os nosos artigos? Queres ver máis contido interesante? Apóyanos facendo un pedido ou recomendando a amigos, , Desconto do 30 % para os usuarios de Habr nun análogo único de servidores de nivel de entrada, que inventamos nós para ti: (dispoñible con RAID1 e RAID10, ata 24 núcleos e ata 40 GB DDR4).
Dell R730xd 2 veces máis barato? Só aquí nos Países Baixos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - desde $ 99! Ler sobre
Fonte: www.habr.com