Odáig mentek, hogy megvitassák annak lehetőségét, hogy UPS-vezetők szembesítsék a gyanúsítottat. Most nézzük meg, hogy az ezen a dián idézett legális-e?
Íme, mit mond az FTC, amikor megkérdezik: "Vissza kell-e visszaküldeni vagy fizetnie kell egy olyan terméket, amelyet soha nem rendeltem?" - "Nem. Ha olyan terméket kap, amelyet nem rendelt meg, akkor törvényes joga van ajándékként elfogadni." Ez etikusan hangzik? Mosom a kezem ezen, mert nem vagyok elég okos ahhoz, hogy ilyen kérdéseket megvitassak.
De az az érdekes, hogy azt a tendenciát látjuk, hogy minél kevesebb technológiát használunk, annál több pénzt keresünk.
Affiliate internetes csalás
Jeremy Grossman: tényleg nagyon nehéz megérteni, de hat számjegyű pénzt lehet így keresni. Tehát az összes hallott történethez valódi linkek tartoznak, és részletesen olvashatsz róla. Az internetes csalások egyik legérdekesebb típusa a partnercégekkel kapcsolatos csalás. Az online áruházak és a hirdetők affiliate hálózatok segítségével vonzzák webhelyeikre a forgalmat és a felhasználókat az ebből származó nyereség egy részéért cserébe.
Olyasmiről fogok beszélni, amit sokan évek óta tudnak, de egyetlen nyilvános hivatkozást sem sikerült találnom, amely jelezné, mekkora veszteséget okozott az ilyen típusú átverés. Tudomásom szerint nem volt per, nem indult nyomozás. Beszéltem gyártó vállalkozókkal, affiliate network srácokkal, beszéltem a Black Cats-szel – mindannyian úgy gondolják, hogy a csalók hatalmas összegeket kerestek a leányvállalatoktól.
Kérem, fogadjon szavamat, és tekintse át az ezekkel a konkrét kérdésekkel kapcsolatos házi feladatomat. A csalók havonta 5-6 számjegyű, esetenként hét számjegyű összegeket készítenek velük, speciális technikákkal. Vannak emberek ebben a teremben, akik ezt ellenőrizhetik, ha nem kötik titoktartási megállapodást. Tehát megmutatom, hogyan működik. Ebben a rendszerben több szereplő is részt vesz. Látni fogja, miről szól a következő generációs leányvállalati „játék”.
A játékban egy kereskedő vesz részt, akinek van egy webhelye vagy terméke, és jutalékot fizet a leányvállalatoknak a felhasználói kattintásokért, a létrehozott fiókokért, a vásárlásokért stb. Fizetsz a leányvállalatnak azért, hogy valaki felkeresi a webhelyét, rákattint egy linkre, felkeresi az eladó webhelyét, és ott vásárol valamit.
A következő játékos a leányvállalat, aki pénzt kap kattintásonkénti költség (CPC) vagy jutalék (CPA) formájában, amiért a vásárlókat az eladó webhelyére irányítja.
A jutalékok azt jelentik, hogy a partner tevékenységének eredményeként az ügyfél az eladó weboldalán vásárolt.
A vevő az a személy, aki az eladó részvényeit vásárol vagy jegyzi.
Az affiliate hálózatok olyan technológiákat biztosítanak, amelyek összekötik és nyomon követik az eladó, a partner és a vevő tevékenységét. Összeragasztják az összes játékost és biztosítják interakciójukat.
Eltarthat néhány napig vagy néhány hétig, amíg rájön, hogyan működik az egész, de nincs szükség bonyolult technológiára. A társult hálózatok és társult programok lefedik a kereskedelem minden típusát és minden piacot. A Google, az eBay, az Amazon megvannak, a bizományosok érdekei keresztezik egymást, mindenhol ott vannak, és nincs hiányuk a bevételből. Biztosan tudja, hogy még a blogjából származó forgalom is több száz dollár hasznot termelhet havonta, így ezt a sémát könnyen megértheti.
Így működik a rendszer. Társít egy kis oldalt, vagy egy elektronikus hirdetőtáblát, mindegy, aláír egy affiliate programot, és kap egy speciális linket, amelyet elhelyez az internetes oldalán. Ez így néz ki:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ez mutatja az adott affiliate programot, az Ön affiliate azonosítóját (jelen esetben ez 100), valamint az értékesített termék nevét. És ha valaki rákattint erre a linkre, a böngésző átirányítja őt az affiliate hálózatra, speciális nyomkövető sütiket telepít, amelyek az affiliate ID=100-hoz kapcsolják.
Set-Cookie: AffiliateID=100És átirányítja az eladó oldalára. Ha a vevő később vásárol valamilyen terméket egy X időtartamon belül, ami lehet egy nap, egy óra, három hét, bármilyen egyeztetett időpont, és ezalatt a cookie-k továbbra is fennállnak, akkor a kapcsolt vállalkozás megkapja a jutalékát.
Így keresnek a leányvállalatok dollármilliárdokat hatékony SEO-taktika használatával. Hadd mondjak egy példát. A következő dián a nyugta látható, most kinagyítom, hogy megmutassa az összeget. Ez egy 132 2 dolláros csekk a Google-tól. Ennek az úriembernek a vezetékneve Schumann, és egy reklámwebhely-hálózat tulajdonosa. Ez nem minden pénz, a Google havonta vagy XNUMX havonta fizet ilyen összegeket.
Újabb csekk a Google-tól, felnagyítom, és látni fogja, hogy 901 XNUMX dollárért van.
Meg kell kérdeznem valakit az ilyen pénzszerzés etikájáról? Csend az előszobában... Ez a csekk 2 hónapos befizetést jelent, mert az előző csekket a címzett bankja elutasította a túl nagy fizetési összeg miatt.
Tehát láttuk, hogy ilyen pénzt lehet keresni, és ezt a pénzt kifizetik. Hogyan lehet legyőzni ezt a sémát? Használhatjuk a Cookie-Stuffing nevű technikát. Ez egy nagyon egyszerű koncepció, amely 2001-2002-ben jelent meg, és ez a dia bemutatja, hogyan nézett ki 2002-ben. Elmondom a megjelenésének történetét.
A bosszantó partnerhálózati szolgáltatási feltételek megkövetelik, hogy a felhasználó ténylegesen rákattintson egy hivatkozásra, hogy böngészője felvegye a társult vállalkozásazonosító cookie-t.
Ezt a tipikusan kattintott URL-t automatikusan betöltheti a képforrásba vagy az iframe címkébe. Ebben az esetben link helyett:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ezt töltöd le:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Vagy az:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>És amikor a felhasználó az Ön oldalára érkezik, automatikusan felveszi az affiliate cookie-t. Ugyanakkor, függetlenül attól, hogy a jövőben vásárol-e valamit, megkapja a jutalékait, függetlenül attól, hogy átirányította-e a forgalmat vagy sem - ez nem számít.
Az elmúlt néhány évben ez a keresőoptimalizáló srácok időtöltésévé vált, akik hasonló anyagokat tesznek közzé az üzenőfalakon, és mindenféle forgatókönyvet kidolgoznak, hogy hol helyezzék el még a linkeiket. Az agresszív partnerek rájöttek, hogy kódjukat bárhol elhelyezhetik az interneten, nem csak a saját oldalaikon.
Ezen a dián láthatja, hogy saját Cookie-Stuffing programjaik vannak, amelyek segítenek a felhasználóknak saját „töltött sütik” elkészítésében. És nem csak egy sütiről van szó, egyszerre 20-30 affiliate azonosítót is fel lehet tölteni, és amint valaki vásárol valamit, kap érte pénzt.
Ezek a srácok hamar rájöttek, hogy nem kell ezt a kódot feltenniük az oldalaikra. Felhagytak a webhelyek közötti szkriptírással, és egyszerűen elkezdték közzétenni kis HTML-kóddal ellátott töredékeiket üzenőfalakon, vendégkönyvekben és közösségi hálózatokon.
2005 körül a kereskedők és a társult hálózatok rájöttek, mi történik, követni kezdték a hivatkozókat és az átkattintási arányokat, és elkezdték kiszorítani a gyanús leányvállalatokat. Például észrevették, hogy egy felhasználó rákattintott egy MySpace webhelyre, de az a webhely egy teljesen más társult hálózathoz tartozik, mint amelyik a jogos előnyben részesült.
Ezek a srácok egy kicsit bölcsebbek lettek, és 2007-ben megjelent egy újfajta süti-töltelék. A partnerek elkezdték elhelyezni kódjukat SSL-oldalakon. Az RFC 2616 Hypertext Transfer Protocol szerint az ügyfelek nem tartalmazhatnak Hivatkozó fejléc mezőt egy nem biztonságos HTTP-kérésben, ha a hivatkozó oldalt biztonságos protokollról költöztették át. Ez azért van, mert nem szeretné, hogy ezek az információk kiszivárogjanak a domainjéből.
Ebből világosan látszik, hogy a partnernek küldött Referer nem lesz nyomon követhető, így a fő partnerek üres linket fognak látni, és nem rúghatnak ki érte. Most a csalóknak lehetőségük van büntetlenül elkészíteni „töltött sütiket”. Igaz, nem minden böngésző teszi ezt lehetővé, de sok más módja is van ennek a böngésző által az aktuális oldal metafrissítésének automatikus frissítése, a meta tagek vagy a JavaScript használatával.
2008-ban erőteljesebb hackereszközöket kezdtek használni, mint például a DNS-újrakötési támadások, a Gifar és a rosszindulatú Flash-tartalom, amelyek teljesen tönkretehetik a meglévő biztonsági modelleket. Eltart egy ideig, mire rájönnek, hogyan kell használni őket, mert a Cookie-Stuffing srácok nem különösebben haladó hackerek, csak agresszív marketingesek, kevés kódolási ismeretekkel.
Félig hozzáférhető információk értékesítése
Tehát megvizsgáltuk, hogyan lehet 6 számjegyű összegeket keresni, és most térjünk át a hét számjegyűre. Nagy pénzre van szükségünk ahhoz, hogy meggazdagodjunk vagy meghaljunk. Megvizsgáljuk, hogyan kereshet pénzt félig hozzáférhető információk eladásával. A Business Wire nagy népszerűségnek örvendett pár éve, és ma is fontos, számos oldalon látjuk jelenlétét. Azok számára, akik nem ismerik, a Business Wire olyan szolgáltatást nyújt, amellyel az oldal regisztrált felhasználói több ezer cégtől kapnak naprakész sajtóközleményeket. Ennek a társaságnak különböző szervezetek küldenek sajtóközleményeket, amelyek esetenként ideiglenes tilalmak vagy embargók hatálya alá tartoznak, így a sajtóközleményekben szereplő információk befolyásolhatják a részvények árfolyamát.
A sajtóközlemény-fájlok feltöltésre kerülnek a Business Wire webszerverére, de az embargó feloldásáig nem kapcsolódnak össze. Mindeközben a sajtóközlemény weboldalai a fő weboldalhoz kapcsolódnak, és a felhasználókat a következő URL-eken értesítik róluk:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmÍgy az embargó alatt érdekes adatokat tesz közzé az oldalon, hogy amint az embargót feloldják, a felhasználók azonnal megismerjék azt. Ezek a linkek dátummal vannak ellátva, és e-mailben elküldik a felhasználóknak. A tiltás lejárta után a link működni fog, és arra az oldalra irányítja a felhasználót, ahol a megfelelő sajtóközleményt közzétették. A sajtóközlemény weboldalához való hozzáférés engedélyezése előtt a rendszernek ellenőriznie kell, hogy a felhasználó jogszerűen van-e bejelentkezve.
Az embargó lejárta előtt nem ellenőrzik, hogy jogosult-e megtekinteni ezeket az információkat, csak be kell jelentkeznie a rendszerbe. Eddig ártalmatlannak tűnik, de attól, hogy valamit nem látsz, nem jelenti azt, hogy nincs is.
Az észt pénzügyi szolgáltató, Lohmus Haavel & Viisemann, aki egyáltalán nem hacker, felfedezte, hogy a sajtóközlemény weboldalait kiszámítható módon nevezték el, és elkezdte találgatni ezeket az URL-eket. Bár a hivatkozások még nem léteznek, mert embargó van érvényben, ez nem jelenti azt, hogy a hacker ne találhatná ki a fájl nevét, és így idő előtt nem férhet hozzá. Ez a módszer bevált, mert a Business Wire egyetlen biztonsági ellenőrzése az volt, hogy a felhasználó legálisan jelentkezett be, semmi más.
Így az észtek a piac bezárása előtt kaptak információkat, és eladták ezeket az adatokat. Amíg a SEC a nyomukra nem bukkant és befagyasztotta a számláikat, 8 millió dollárt sikerült keresniük félig hozzáférhető információk kereskedéséből. Gondolj csak bele, ezek a srácok csak megnézték, hogy néznek ki a linkek, megpróbálták kitalálni az URL-eket, és 8 milliót kerestek belőle. Általában ezen a ponton kérdezem meg a hallgatóságot, hogy ez legálisnak vagy illegálisnak számít-e, kereskedelemnek minősül-e vagy sem. De most csak arra szeretném felhívni a figyelmet, hogy ki tette ezt.
Mielőtt megpróbálna válaszolni ezekre a kérdésekre, megmutatom a következő diát. Ez nem kapcsolódik közvetlenül az online csaláshoz. Egy ukrán hacker feltörte a Thomson Financial üzleti intelligencia-szolgáltatót, és órákkal azelőtt adatokat lopott el az IMS Health pénzügyi nehézségeiről, hogy az információnak a pénzügyi piacra kellett volna kerülnie. Kétségtelen, hogy bűnös a hackelésben.
A hacker 42 ezer dollár értékben adott eladási megbízásokat, még mielőtt az árfolyamok csökkentek volna. Ukrajna számára ez óriási összeg, így a hacker jól tudta, mibe keveredett bele. A részvények árfolyamának hirtelen zuhanása néhány órán belül körülbelül 300 XNUMX dollár nyereséget hozott neki. A tőzsde kihelyezett egy „Vörös zászlót”, a SEC befagyasztotta a pénzeszközöket, mivel észrevette, hogy valami nem stimmel, és vizsgálatot indított. Naomi Reis Buchwald bíró azonban azt mondta, hogy a pénzeszközöket fel kell oldani, mert a Dorozskónak tulajdonított „lopás és kereskedés” és „hackelés és kereskedés” vádak nem sértik az értékpapír-törvényeket. A hacker nem ennek a cégnek az alkalmazottja volt, ezért nem sértett meg semmilyen törvényt a bizalmas pénzügyi információk nyilvánosságra hozatalára vonatkozóan.
A The Times azt javasolta, hogy az Egyesült Államok Igazságügyi Minisztériuma egyszerűen hiábavalónak ítélte az esetet, mivel az ukrán hatóságokat nehezen sikerült rávenni, hogy együttműködjenek az elkövető elfogásában. Így ez a hacker nagyon könnyen kapott 300 ezer dollárt.
Hasonlítsa össze ezt az előző esettel, amikor az emberek azzal kerestek pénzt, hogy egyszerűen megváltoztatták a hivatkozások URL-jét a böngészőjükben, és kereskedelmi információkat adtak el. Ezek elég érdekesek, de nem az egyetlen módja annak, hogy pénzt keress a tőzsdén.
Nézzük a passzív információgyűjtést. Általában az online vásárlást követően a vásárló egy rendelés-követő kódot kap, amely lehet szekvenciális vagy pszeudoszekvenciális, és valahogy így néz ki:
3200411
3200412
3200413
Ezzel nyomon követheti a rendelést. Pentesters vagy hackerek megpróbálják feltérképezni az URL-eket, hogy hozzáférjenek a rendelési adatokhoz, amelyek általában személyazonosításra alkalmas információkat (PII) tartalmaznak:
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417A számok görgetésével hozzáférnek a vevő hitelkártyaszámaihoz, címeihez, nevéhez és egyéb személyes adataihoz. Minket azonban nem az ügyfél személyes adatai érdekelnek, hanem maga a megrendelés nyomkövetési kódja, hanem a passzív felderítés.
A következtetések levonásának művészete
Tekintsük „A következtetés művészetét”. Ha pontosan meg tudja becsülni, hogy egy cég hány „megrendelést” dolgoz fel a negyedév végén, akkor a historikus adatok alapján következtethet arra, hogy jó-e a pénzügyi helyzete, és hogyan alakul a részvényárfolyama. Például a negyedév elején rendelt vagy vásárolt valamit, ez nem számít, majd a negyedév végén új rendelést adott. A számbeli különbségek alapján megállapítható, hogy ezalatt az időszak alatt hány rendelést dolgozott fel a cég. Ha ezer megrendelésről beszélünk, szemben az előző időszakra vonatkozó százezerrel, akkor feltételezhető, hogy a cég rosszul teljesít.
A tény azonban az, hogy ezeket a sorszámokat gyakran úgy is meg lehet szerezni, hogy a rendelést vagy egy utólag törölt megbízást ténylegesen teljesíteni kell. Remélem, hogy ezek a számok semmi esetre sem jelennek meg, és a sorozat a számokkal folytatódik:
3200418
3200419
3200420
Így tudja, hogy képes nyomon követni a rendeléseket, és elkezdheti passzív információgyűjtését az általuk számunkra biztosított webhelyről. Nem tudjuk, hogy ez legális-e vagy sem, csak azt tudjuk, hogy meg lehet csinálni.
Tehát megvizsgáltuk az üzleti logika különböző hiányosságait.
Trey Ford: a támadók üzletemberek. Befektetésük megtérülését várják. Minél több technológia, minél nagyobb és összetettebb a kód, annál több munkát kell végezni, és annál nagyobb a valószínűsége annak, hogy elkapják. De sok nagyon jövedelmező módja van a támadások erőfeszítés nélküli végrehajtásának. Az üzleti logika hatalmas üzlet, és a bûnözõk óriási ösztönzést jelentenek, hogy feltörjék. Az üzleti logikai hibák a bûnözõk elsõdleges célpontjai, és olyan dolgok, amelyeket nem lehet pusztán egy szkennelés lefuttatásával vagy a minõségbiztosítási folyamat részeként végzett szabványos teszteléssel észlelni. A minőségbiztosításban van egy pszichológiai probléma, amelyet "megerősítő elfogultságnak" neveznek, mert az emberekhez hasonlóan mi is tudni akarjuk, hogy igazunk van. Ezért a tesztelést valós körülmények között kell elvégezni.
Mindent és mindenkit tesztelni kell, mert nem minden sérülékenység fedezhető fel fejlesztési szakaszban a kód elemzésével, de még a minőségbiztosítás során sem. Tehát végig kell mennie a teljes üzleti folyamaton, és ki kell dolgoznia minden intézkedést annak védelmére. Sokat lehet tanulni a történelemből, mert bizonyos típusú támadások idővel ismétlődnek. Ha egy éjszaka CPU-csúcsra ébreszt, feltételezheti, hogy néhány hacker ismét érvényes kedvezménykuponokat próbál felkutatni. A támadás típusának felismerésének valódi módja egy aktív támadás megfigyelése, mivel a naplózási előzmények alapján történő felismerése rendkívül nehéz lesz.
Jeremy Grossman: szóval a következőket tanultuk ma.
A captcha kitalálásával négy számjegyű dollárnyi összeget kereshet. Az online fizetési rendszerek manipulálása ötszámjegyű nyereséget hoz a hacker számára. A bankok feltörése jóval több mint öt számjegyű nyereséget érhet el, különösen, ha ezt többször is megteszi.
Az e-kereskedelmi csalások hat számjegyű, míg a kapcsolt hálózatok használata 5-6 vagy akár hét számjegyű pénzt eredményez. Ha elég bátor vagy, megpróbálhatod becsapni a tőzsdét, és hét számjegyűnél több profitra tehetsz szert. Az RSnake módszer használata a legjobb Chihuahua versenyeken pedig egyszerűen megfizethetetlen!
A bemutató új diákjai valószínűleg nem kerültek fel a CD-re, így később letöltheti őket a blogoldalamról. Szeptemberben jön egy OPSEC konferencia, amin részt fogok venni, és úgy gondolom, hogy nagyon klassz dolgokat tudunk majd alkotni velük. Most, ha bármilyen kérdése van, készek vagyunk válaszolni rájuk.
Néhány hirdetés 🙂
Köszönjük, hogy velünk tartott. Tetszenek cikkeink? További érdekes tartalmakat szeretne látni? Támogass minket rendeléssel vagy ajánlj ismerőseidnek, , 30% kedvezmény a Habr felhasználóknak a belépő szintű szerverek egyedülálló analógjára, amelyet mi találtunk ki Önnek: (RAID1 és RAID10, akár 24 maggal és akár 40 GB DDR4-gyel is elérhető).
Dell R730xd kétszer olcsóbb? Csak itt Hollandiában! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollártól! Olvasni valamiről
Forrás: will.com