Otišli su toliko daleko da su razgovarali o mogućnosti korištenja UPS vozača za suočavanje s osumnjičenikom. Provjerimo sada je li ono što je citirano na ovom slajdu legalno?
Evo odgovora FTC-a na pitanje "Trebam li vratiti ili platiti artikl koji nikad nisam naručio?" - "Ne. Ako primite artikl koji niste naručili, imate zakonsko pravo prihvatiti ga kao besplatan dar." Zvuči li ovo etički? Perem ruke jer nisam dovoljno pametan da raspravljam o takvim stvarima.
Ali ono što je zanimljivo je da vidimo trend u kojem što manje tehnologije koristimo, to više novca dobivamo.
Affiliate Internet prijevara
Jeremy Grossman: to je zaista vrlo teško razumjeti, ali na ovaj način možete dobiti šesteroznamenkasti iznos novca. Dakle, sve priče koje ste čuli imaju stvarne reference, a o svemu tome možete detaljno pročitati. Jedna od najzanimljivijih vrsta internetske prijevare je affiliate prijevara. Mrežne trgovine i oglašivači koriste pridružene mreže kako bi privukli promet i korisnike na svoje stranice u zamjenu za dio zarade koju ostvaruju.
Govorit ću o nečemu što mnogi ljudi znaju već godinama, ali nisam uspio pronaći niti jednu javnu referencu koja bi pokazala koliki je gubitak prouzročila ova vrsta prijevare. Koliko znam, nije bilo nikakvih tužbi, nikakvih kriminalističkih istraga. Razgovarao sam s proizvođačima poduzetnika, razgovarao sam s momcima iz pridružene mreže, razgovarao sam s Crnim mačkama - svi oni vjeruju da su prevaranti zaradili ogroman novac od partnerstva.
Molim Vas da mi vjerujete na riječ i upoznate se s rezultatom "domaće zadaće" koju sam napravio na ovim konkretnim problemima. Na njima prevaranti posebnim tehnikama mjesečno "zavare" 5-6-znamenkaste, a ponekad i sedmeroznamenkaste iznose. Postoje ljudi u ovoj prostoriji koji to mogu potvrditi, sve dok nisu vezani ugovorom o povjerljivosti. Dakle, pokazat ću vam kako to radi. Ova shema uključuje nekoliko igrača. Vidjet ćete što je affiliate "igra" nove generacije.
Igra uključuje trgovca koji ima neku vrstu web-stranice ili proizvoda i on plaća provizije podružnicama za klikove korisnika, kreirane račune, obavljene kupnje i tako dalje. Plaćate partneru da netko posjeti njihovu stranicu, klikne vezu, ode na vašu stranicu trgovca i tamo nešto kupi.
Sljedeći igrač je affiliate koji prima novac u obliku plaćanja po kliku (CPC) ili provizije (CPA) za preusmjeravanje kupaca na web stranicu prodavača.
Provizije podrazumijevaju da je kao rezultat aktivnosti partnera klijent izvršio kupnju na web stranici prodavatelja.
Kupac je osoba koja kupuje ili upisuje dionice prodavatelja.
Partnerske mreže pružaju tehnologiju koja povezuje i prati aktivnosti prodavatelja, partnera i kupca. Oni "lijepe" sve igrače i osiguravaju njihovu interakciju.
Možda će vam trebati nekoliko dana ili nekoliko tjedana da shvatite kako sve to funkcionira, ali ovdje nema složenih tehnologija. Affiliate mreže i affiliate programi pokrivaju sve vrste trgovine i sva tržišta. Ima ih Google, EBay, Amazon, interesi provizija im se preklapaju, posvuda su i zarade im ne manjka. Siguran sam da znate da čak i promet s vašeg bloga može donijeti nekoliko stotina dolara mjesečne zarade, pa ćete ovu shemu lako razumjeti.
Ovako funkcionira sustav. Priključite malu stranicu, ili elektroničku oglasnu ploču, nije bitno, prijavite se za affiliate program i dobit ćete poseban link koji postavite na svoju web stranicu. Ovako izgleda:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ovdje se navodi određeni partnerski program, vaš ID partnera, koji je u ovom slučaju 100, i naziv proizvoda koji se prodaje. A ako netko klikne na ovu poveznicu, preglednik ga usmjerava na affiliate mrežu, postavlja posebne kolačiće za praćenje koji ga povezuju s affiliate ID=100.
Set-Cookie: AffiliateID=100I preusmjerava na stranicu prodavača. Ako kupac kasnije kupi neki proizvod unutar vremenskog perioda X, koji može biti dan, sat, tri tjedna, bilo koje dogovoreno vrijeme, i za to vrijeme kolačići nastave postojati, tada partner dobiva svoju proviziju.
Ovo je shema pomoću koje pridružene tvrtke zarađuju milijarde dolara koristeći učinkovitu SEO taktiku. Dat ću vam primjer. Sljedeći slajd prikazuje ček, sada ću povećati da vam pokažem iznos. To je ček od Googlea na 132 dolara. Ime ovog gospodina je Schumann, vlasnik je mreže reklamnih web stranica. Ovo nije sav novac, Google isplaćuje takve iznose jednom mjesečno ili jednom svaka 2 mjeseca.
Još jedan ček od Googlea, povećat ću ga i vidjet ćete da je ispisan na 901 dolara.
Trebam li nekoga pitati o etičnosti ovih načina zarade? Tišina u dvorani... Ovaj ček predstavlja plaćanje za 2 mjeseca jer je prethodni ček banka primatelja odbila zbog prevelike isplate.
Dakle, mi smo uvjereni da se takav novac može zaraditi i taj novac je isplaćen. Kako se može igrati ova shema? Možemo koristiti tehniku koja se zove Cookie-Stuffing ili punjenje kolačića. Ovo je vrlo jednostavan koncept koji se pojavio 2001.-2002. godine, a ovaj slajd pokazuje kako je izgledao 2002. godine. Ispričat ću vam priču o njegovom pojavljivanju.
Ništa osim dosadnih uvjeta usluge pridruženih mreža zahtijeva od korisnika da stvarno klikne na vezu kako bi njegov preglednik preuzeo kolačić s pridruženim ID-om.
Ovaj URL, na koji korisnik obično klikne, možete automatski učitati u izvor slike ili u oznaku iframe. I umjesto linka:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Preuzimate ovo:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Ili ono:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>A kada korisnik dođe na vašu stranicu, automatski će preuzeti affiliate kolačić. Pritom, neovisno o tome hoće li on nešto kupiti u budućnosti, vi ćete dobiti svoju proviziju, jeste li preusmjerili promet ili ne - nije bitno.
Tijekom proteklih nekoliko godina ovo je postala zabava za SEO tipove koji objavljuju takve stvari na oglasnim pločama i razvijaju svakakve scenarije gdje drugdje postaviti svoje veze. Agresivni partneri su shvatili da svoj kod mogu postaviti bilo gdje na Internetu, a ne samo na svojim stranicama.
Na ovom slajdu možete vidjeti da imaju vlastite programe za punjenje kolačića koji pomažu korisnicima da naprave vlastite "punjene kolačiće". I nije to samo jedan kolačić, možete preuzeti 20-30 ID-ova affiliate mreže u isto vrijeme, i čim netko nešto kupi, vi ste za to plaćeni.
Ubrzo su ovi dečki shvatili da ne mogu postaviti ovaj kod na svoje stranice. Napustili su cross-site skriptiranje i jednostavno počeli objavljivati svoje male isječke s HTML kodom na oglasnim pločama, u knjigama gostiju, na društvenim mrežama.
Otprilike do 2005. godine trgovci i partnerske mreže shvatile su što se događa, počele pratiti referere i klikovne stope te počele izbacivati sumnjive partnere. Na primjer, primijetili su da korisnik klikne na stranicu MySpace, ali ta stranica pripada potpuno drugoj affiliate mreži od one koja prima legitimnu korist.
Ovi dečki su se malo opametili i 2007. rođena je nova vrsta Cookie-Stuffinga. Partneri su počeli postavljati svoj kod na SSL stranice. Prema Hypertext Transfer Protocolu RFC 2616, klijenti ne smiju uključiti polje zaglavlja Referer u nesiguran HTTP zahtjev ako je referentna stranica migrirana sa sigurnog protokola. To je zato što ne želite da ti podaci procure iz vaše domene.
Iz ovoga je jasno da nijednom Refereru poslanom partneru neće biti moguće ući u trag, tako da će glavni partneri vidjeti praznu poveznicu i neće vas moći izbaciti zbog toga. Sada prevaranti imaju priliku nekažnjeno praviti vlastite "punjene kolačiće". Istina, ne dopušta svaki preglednik da to učinite, ali postoje mnogi drugi načini da učinite isto, koristeći automatsko ažuriranje trenutne stranice meta-osvježavanja preglednika, meta oznaka ili JavaScripta.
2008. godine počeli su koristiti snažnije hakerske alate kao što su rebinding napadi – DNS rebinding, Gifar i maliciozni Flash sadržaj koji može potpuno uništiti postojeće modele zaštite. Potrebno je neko vrijeme da se shvati kako ih koristiti, jer momci iz Cookie Stuffinga nisu baš napredni hakeri, oni su samo agresivni trgovci koji ne znaju puno o kodiranju.
Prodaja poluraspoloživih informacija
Dakle, pogledali smo kako zaraditi šesteroznamenkaste iznose, a sada prijeđimo na sedmeroznamenkaste iznose. Treba nam veliki novac da se obogatimo ili umremo. Pogledat ćemo kako možete zaraditi prodajom poludostupnih informacija. Business Wire je bio vrlo popularan prije nekoliko godina i još uvijek je važan, vidimo ga na mnogim stranicama. Za one koji ne znaju, Business Wire pruža uslugu putem koje registrirani korisnici stranice primaju najnovija priopćenja za tisak tisuća tvrtki. Priopćenja za javnost ovoj tvrtki šalju različiti subjekti, koji su ponekad pod privremenom zabranom ili embargom, tako da informacije sadržane u tim priopćenjima mogu utjecati na vrijednost dionica.
Datoteke priopćenja za javnost učitavaju se na web-poslužitelj Business Wire, ali se ne povezuju dok se embargo ne ukine. Cijelo to vrijeme web-stranice priopćenja za tisak povezane su s glavnom web-stranicom, a korisnici su o njima obaviješteni s ovakvim URL-ovima:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmDakle, dok ste pod embargom, na stranicu postavljate zanimljive podatke tako da čim se embargo ukine, korisnici će se odmah upoznati s njima. Ovi linkovi imaju datum i šalju se korisnicima e-poštom. Čim zabrana istekne, poveznica će raditi i usmjeravati korisnika na stranicu na kojoj je objavljeno relevantno priopćenje za javnost. Prije odobravanja pristupa web stranici s priopćenjem, sustav mora osigurati da je korisnik legalno prijavljen.
Ne provjeravaju imate li pravo uvida u te podatke prije isteka embarga, samo se trebate ulogirati u sustav. Zasad se čini bezopasnim, ali to što nešto ne vidite ne znači da toga nema.
Estonska financijska tvrtka Lohmus Haavel & Viisemann, koja uopće nije haker, otkrila je da su web stranice s priopćenjima imenovana na predvidljiv način i počela pogađati te URL-ove. Iako veze možda još ne postoje jer je na snazi embargo, to ne znači da haker ne može pogoditi naziv datoteke i tako joj prijevremeno pristupiti. Ova je metoda funkcionirala jer je jedina sigurnosna provjera Business Wirea bila da se korisnik legalno prijavio i ništa drugo.
Dakle, Estonci su dobili informacije prije zatvaranja tržišta i prodali te podatke. Prije nego što im je SEC ušao u trag i zamrznuo im račune, uspjeli su zaraditi 8 milijuna dolara trgujući poludostupnim informacijama. Uzmite u obzir da su ovi tipovi samo pogledali kako veze izgledaju, pokušali pogoditi URL-ove i od toga zaradili 8 milijuna. Obično u ovom trenutku pitam publiku smatra li se to legalnim ili nezakonitim, odnosi li se na koncepte trgovine ili ne. Ali za sada vam samo želim skrenuti pozornost na to tko je to učinio.
Prije nego što pokušate odgovoriti na ova pitanja, pokazat ću vam sljedeći slajd. Ovo nema nikakve veze s internetskim prijevarama. Ukrajinski haker upao je u Thomson Financial, pružatelja poslovnih obavještajnih podataka, i ukrao financijsku nevolju IMS Healtha nekoliko sati prije nego što su informacije trebale ući na financijsko tržište. Nema sumnje da je kriv za provalu.
Haker je dao narudžbe za prodaju u iznosu od 42 tisuće dolara, igrajući dok tečajevi nisu pali. Za Ukrajinu je to ogroman iznos pa je haker dobro znao u što se upušta. Nagli pad cijene dionice donio mu je oko 300 dolara dobiti u roku od nekoliko sati. Burza je objavila crvenu zastavu, SEC je zamrznuo sredstva, primijetivši da nešto nije u redu, i pokrenuo istragu. Međutim, sutkinja Naomi Reis Buchwald rekla je da se sredstva trebaju odmrznuti jer Dorozhkova navodna "krađa i trgovanje" i "hakiranje i trgovanje" ne krše zakone o vrijednosnim papirima. Haker nije bio zaposlenik ove tvrtke, tako da nije prekršio niti jedan zakon o otkrivanju povjerljivih financijskih informacija.
List Times sugerirao je da je Ministarstvo pravosuđa SAD-a ovaj slučaj jednostavno smatralo uzaludnim zbog poteškoća povezanih s dobivanjem suglasnosti ukrajinskih vlasti za suradnju u hvatanju kriminalca. Tako je ovaj haker vrlo lako došao do 300 tisuća dolara.
Sada usporedite ovo s prethodnim slučajem u kojem su ljudi zaradili samo promjenom URL-ova poveznica u svom pregledniku i prodajom komercijalnih informacija. Ovo su prilično zanimljivi, ali ne i jedini načini zarade na burzi.
Razmislite o pasivnom prikupljanju informacija. Obično nakon kupnje putem interneta kupac dobije kod za praćenje narudžbe, koji može biti sekvencijalni ili pseudo-sekvencijalan i izgleda otprilike ovako:
3200411
3200412
3200413
Pomoću njega možete pratiti svoju narudžbu. Pentesteri ili hakeri pokušavaju "pomicati" URL-ove kako bi pristupili podacima o narudžbi, koji obično sadrže podatke koji otkrivaju identitet (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Klizanjem kroz brojeve dobivaju pristup brojevima kreditnih kartica, adresama, imenima i drugim osobnim podacima kupca. No, ne zanimaju nas osobni podaci klijenta, već sam kod praćenja narudžbe, zanima nas pasivna inteligencija.
Umijeće donošenja zaključaka
Razmotrite Umijeće izvlačenja zaključaka. Ako možete točno procijeniti koliko “narudžbi” tvrtka obrađuje na kraju tromjesečja, tada na temelju povijesnih podataka možete zaključiti je li njezina financijska situacija dobra i u kojem smjeru će se kretati cijena dionice. Na primjer, naručili ste ili kupili nešto na početku tromjesečja, nije bitno, a onda ste napravili novu narudžbu na kraju tromjesečja. Po razlici u brojkama možemo zaključiti koliko je narudžbi tvrtka obradila u tom vremenskom razdoblju. Ako je riječ o tisuću narudžbi naspram sto tisuća za isto razdoblje, možete pretpostaviti da tvrtka loše posluje.
Međutim, činjenica je da se često ti redni brojevi mogu dobiti bez stvarnog ispunjenja narudžbe ili narudžbe koja je naknadno otkazana. Nadamo se da se ti brojevi ipak neće pojaviti i da se niz nastavlja brojevima:
3200418
3200419
3200420
Na taj način znate da imate mogućnost pratiti narudžbe i možete početi pasivno prikupljati podatke sa stranice koje nam oni daju. Ne znamo je li to legalno ili nije, znamo samo da se može.
Dakle, razmotrili smo razne nedostatke poslovne logike.
Trey Ford: napadači su biznismeni. Očekuju povrat ulaganja. Što je više tehnologije, veći i složeniji kod, to više posla morate obaviti i veća je vjerojatnost da ćete biti uhvaćeni. Ali postoji mnogo vrlo korisnih načina za izvođenje napada bez ikakvog napora. Poslovna logika je ogroman posao i kriminalci imaju veliku motivaciju da je razbiju. Nedostaci poslovne logike glavna su meta kriminalaca i nešto su što se ne može otkriti jednostavnim pokretanjem skeniranja ili obavljanjem rutinskog QA testiranja. Postoji psihološki problem s osiguranjem kvalitete u QA-u, koji se naziva "pristranost potvrde" jer, kao i svi drugi, želimo znati da smo u pravu. Stoga je potrebno provesti testiranje u stvarnim uvjetima.
Potrebno je testirati sve i svašta, jer se sve ranjivosti ne mogu pronaći u fazi razvoja, analizom koda, pa čak ni tijekom QA-a. Dakle, morate proći kroz cijeli poslovni proces i razviti sve mjere za njegovu zaštitu. Iz povijesti se može mnogo naučiti jer se neke vrste napada ponavljaju tijekom vremena. Ako se jedne noći probudite zbog najvećeg opterećenja CPU-a, možete pretpostaviti da neki haker ponovno pokušava pronaći važeće kupone za popust. Pravi način prepoznavanja vrste napada je promatranje aktivnog napada, jer će njegovo prepoznavanje na temelju povijesti dnevnika biti iznimno težak zadatak.
Jeremy Grossman: Dakle, evo što smo danas naučili.
Rješavanje captcha može vam donijeti četiri znamenke u dolarima. Manipuliranje online sustavima plaćanja donijet će hakeru peteroznamenkasti profit. Hakiranjem banaka možete zaraditi više od pet znamenki, pogotovo ako to učinite više puta.
Prijevare u e-trgovini dat će vam šest znamenki, a korištenje affiliate mreža 5-6 ili čak sedam znamenki. Ako ste dovoljno hrabri, možete pokušati prevariti burzu i dobiti više od sedmeroznamenkaste zarade. A korištenje RSnake metode u natjecanjima za najbolju čivavu je neprocjenjivo!
Novi slajdovi za ovu prezentaciju vjerojatno nisu bili uključeni na CD, pa ih kasnije možete preuzeti s moje blog stranice. U rujnu je OPSEC konferencija kojoj ću prisustvovati i mislim da ćemo s njima moći napraviti neke stvarno super stvari. A sada, ako imate pitanja, spremni smo odgovoriti na njih.
Neki oglasi 🙂
Hvala što ste ostali s nama. Sviđaju li vam se naši članci? Želite li vidjeti više zanimljivog sadržaja? Podržite nas narudžbom ili preporukom prijateljima, , 30% popusta za korisnike Habra na jedinstveni analog početnih poslužitelja, koji smo izmislili za vas: (dostupno s RAID1 i RAID10, do 24 jezgre i do 40 GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Nizozemskoj! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 USD! Pročitaj o
Izvor: www.habr.com