Mereka bahkan membahas kemungkinan meminta pengemudi UPS menghadapi tersangka. Sekarang mari kita periksa apakah yang dikutip pada slide ini legal?
Inilah yang dikatakan FTC ketika ditanya, "Haruskah saya mengembalikan atau membayar barang yang tidak pernah saya pesan?" - "TIDAK. Jika Anda menerima barang yang tidak Anda pesan, Anda mempunyai hak hukum untuk menerimanya sebagai hadiah gratis." Apakah ini terdengar etis? Saya cuci tangan karena saya tidak cukup pintar untuk membahas masalah seperti itu.
Namun yang menarik adalah kita melihat tren di mana semakin sedikit teknologi yang kita gunakan, semakin banyak uang yang kita hasilkan.
Penipuan Internet Afiliasi
Jeremy Grossman: ini sangat sulit untuk dipahami, tetapi Anda dapat menghasilkan uang sebanyak enam digit dengan cara ini. Jadi, semua cerita yang Anda dengar memiliki tautan nyata dan Anda dapat membaca semuanya secara mendetail. Salah satu jenis penipuan internet yang paling menarik adalah penipuan afiliasi. Toko online dan pengiklan menggunakan jaringan afiliasi untuk menarik lalu lintas dan pengguna ke situs mereka dengan imbalan sebagian keuntungan yang diterima darinya.
Saya akan berbicara tentang sesuatu yang telah diketahui banyak orang selama bertahun-tahun, namun saya belum dapat menemukan satu pun referensi publik yang menunjukkan seberapa besar kerugian yang ditimbulkan oleh penipuan jenis ini. Sejauh yang saya tahu, tidak ada tuntutan hukum, tidak ada investigasi kriminal. Saya telah berbicara dengan pengusaha manufaktur, saya telah berbicara dengan orang-orang di jaringan afiliasi, saya telah berbicara dengan Black Cats - mereka semua percaya bahwa penipu telah menghasilkan banyak uang dari afiliasi.
Harap percayai kata-kata saya dan tinjau pekerjaan rumah yang telah saya lakukan mengenai isu-isu spesifik ini. Penipu menggunakannya untuk menghasilkan jumlah 5-6 digit, dan terkadang tujuh digit setiap bulan, dengan menggunakan teknik khusus. Ada orang di ruangan ini yang dapat memeriksanya jika mereka tidak terikat oleh perjanjian kerahasiaan. Jadi saya akan menunjukkan cara kerjanya. Ada beberapa pemain yang terlibat dalam skema ini. Anda akan melihat apa yang dimaksud dengan “permainan” afiliasi generasi berikutnya.
Permainan ini melibatkan pedagang yang memiliki situs web atau produk dan membayar komisi afiliasi untuk klik pengguna, pembuatan akun, pembelian yang dilakukan, dan sebagainya. Anda membayar afiliasi untuk fakta bahwa seseorang mengunjungi situs webnya, mengeklik tautan, mengunjungi situs web penjual Anda, dan membeli sesuatu di sana.
Pemain berikutnya adalah afiliasi, yang menerima uang dalam bentuk biaya per klik (CPC) atau dalam bentuk komisi (CPA) untuk mengarahkan pembeli ke website penjual.
Komisi menyiratkan bahwa sebagai hasil dari aktivitas mitra, klien melakukan pembelian di situs web penjual.
Pembeli adalah orang yang melakukan pembelian atau pengambilan bagian saham penjual.
Jaringan afiliasi menyediakan teknologi yang menghubungkan dan melacak aktivitas penjual, mitra, dan pembeli. Mereka “merekatkan” semua pemain dan memastikan interaksi mereka.
Mungkin diperlukan waktu beberapa hari atau beberapa minggu untuk mengetahui cara kerjanya, namun tidak ada teknologi rumit yang terlibat. Jaringan afiliasi dan program afiliasi mencakup semua jenis perdagangan dan semua pasar. Google, EBay, Amazon memilikinya, kepentingan mereka sebagai agen komisi saling bersilangan, mereka ada dimana-mana dan tidak kekurangan pendapatan. Saya yakin Anda tahu bahwa traffic dari blog Anda pun bisa menghasilkan keuntungan beberapa ratus dolar setiap bulannya, jadi skema ini akan mudah Anda pahami.
Beginilah cara sistem bekerja. Anda mengafiliasi situs kecil, atau papan buletin elektronik, tidak masalah, Anda menandatangani program afiliasi dan menerima tautan khusus yang Anda tempatkan di halaman Internet Anda. Ini terlihat seperti ini:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ini menunjukkan program afiliasi spesifik, ID afiliasi Anda, dalam hal ini 100, dan nama produk yang dijual. Dan jika seseorang mengeklik tautan ini, browser mengarahkannya ke jaringan afiliasi, memasang cookie pelacakan khusus yang menghubungkannya ke ID afiliasi=100.
Set-Cookie: AffiliateID=100Dan dialihkan ke halaman penjual. Jika pembeli kemudian membeli suatu produk dalam jangka waktu X, yang bisa berupa satu hari, satu jam, tiga minggu, berapa pun waktu yang disepakati, dan selama waktu tersebut cookie tetap ada, maka afiliasi menerima komisinya.
Beginilah cara perusahaan afiliasi menghasilkan miliaran dolar menggunakan taktik SEO yang efektif. Izinkan saya memberi Anda sebuah contoh. Slide berikutnya menunjukkan tanda terima, sekarang saya akan memperbesarnya untuk menunjukkan jumlahnya. Ini adalah cek dari Google sebesar $132. Nama belakang pria ini adalah Schumann, dan dia memiliki jaringan situs periklanan. Ini belum semuanya uang, Google membayar jumlah tersebut sebulan sekali atau 2 bulan sekali.
Cek lagi dari Google, saya akan memperbesarnya dan Anda akan melihatnya seharga $901.
Haruskah saya bertanya kepada seseorang tentang etika menghasilkan uang seperti ini? Keheningan di aula... Cek ini mewakili pembayaran selama 2 bulan, karena cek sebelumnya ditolak oleh bank penerima karena jumlah pembayaran terlalu besar.
Jadi, kita telah melihat bahwa uang sebanyak ini dapat dihasilkan, dan uang ini dibayarkan. Bagaimana Anda bisa mengalahkan skema ini? Kita bisa menggunakan teknik yang disebut Cookie-Stuffing. Ini adalah konsep yang sangat sederhana yang muncul pada tahun 2001-2002, dan slide ini menunjukkan tampilannya pada tahun 2002. Saya akan menceritakan kisah kemunculannya.
Persyaratan layanan jaringan afiliasi yang mengganggu mengharuskan pengguna benar-benar mengeklik tautan agar browser mereka dapat mengambil cookie ID afiliasi.
Anda dapat secara otomatis memuat URL yang biasanya diklik ini ke dalam sumber gambar atau tag iframe. Dalam hal ini, alih-alih menggunakan tautan:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Anda mengunduh ini:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Atau itu:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Dan ketika pengguna membuka halaman Anda, dia akan secara otomatis mengambil cookie afiliasi. Pada saat yang sama, terlepas dari apakah dia membeli sesuatu di masa depan, Anda akan menerima komisi, apakah Anda mengalihkan lalu lintas atau tidak - itu tidak masalah.
Selama beberapa tahun terakhir, ini telah menjadi hobi bagi para ahli SEO yang memposting materi serupa di papan pesan dan mengembangkan segala macam skenario untuk di mana lagi menempatkan tautan mereka. Mitra yang agresif menyadari bahwa mereka dapat menempatkan kode mereka di mana saja di Internet, tidak hanya di situs mereka sendiri.
Pada slide ini Anda dapat melihat bahwa mereka memiliki program Pengisian Cookie sendiri yang membantu pengguna membuat “kue isi” mereka sendiri. Dan ini bukan hanya satu cookie, Anda dapat mengunggah 20-30 ID afiliasi secara bersamaan, dan segera setelah seseorang membeli sesuatu, Anda dibayar untuk itu.
Orang-orang ini segera menyadari bahwa mereka tidak perlu menaruh kode ini di halaman mereka. Mereka meninggalkan skrip lintas situs dan mulai memposting cuplikan kecil mereka dengan kode HTML di papan pesan, buku tamu, dan jejaring sosial.
Sekitar tahun 2005, pedagang dan jaringan afiliasi mengetahui apa yang terjadi, mulai melacak perujuk dan rasio klik-tayang, dan mulai mengusir afiliasi yang mencurigakan. Misalnya, mereka memperhatikan bahwa pengguna mengklik situs MySpace, namun situs tersebut berasal dari jaringan afiliasi yang sama sekali berbeda dengan jaringan afiliasi yang menerima manfaat sah.
Orang-orang ini menjadi sedikit lebih bijaksana dan pada tahun 2007 muncul jenis Cookie-Stuffing baru. Mitra mulai menempatkan kode mereka di halaman SSL. Menurut Hypertext Transfer Protocol RFC 2616, klien tidak boleh menyertakan bidang header Perujuk dalam permintaan HTTP yang tidak aman jika halaman perujuk dimigrasikan dari protokol aman. Hal ini karena Anda tidak ingin informasi ini bocor dari domain Anda.
Dari sini jelas bahwa setiap Referer yang dikirim ke mitra tidak akan dapat dilacak, sehingga mitra utama akan melihat tautan kosong dan tidak akan dapat mengeluarkan Anda karenanya. Sekarang para penipu mempunyai kesempatan untuk membuat “kue isi” mereka tanpa mendapat hukuman. Benar, tidak semua browser mengizinkan Anda melakukan ini, tetapi ada banyak cara lain untuk melakukan hal yang sama menggunakan penyegaran otomatis browser terhadap penyegaran meta halaman saat ini, tag meta, atau JavaScript.
Pada tahun 2008, mereka mulai menggunakan alat peretasan yang lebih kuat, seperti serangan rebinding DNS, Gifar, dan konten Flash berbahaya, yang dapat menghancurkan model keamanan yang ada. Butuh beberapa saat untuk mengetahui cara menggunakannya karena orang-orang Cookie-Stuffing bukanlah peretas yang mahir, mereka hanyalah pemasar agresif dengan sedikit pengetahuan coding.
Menjual informasi semi-dapat diakses
Jadi, kita telah melihat cara mendapatkan jumlah 6 digit, dan sekarang mari beralih ke tujuh digit. Kita membutuhkan banyak uang untuk menjadi kaya atau mati. Kami akan melihat bagaimana Anda dapat menghasilkan uang dengan menjual informasi yang semi-dapat diakses. Business Wire sangat populer beberapa tahun yang lalu dan yang penting lagi, kami melihat kehadirannya di banyak situs. Bagi yang belum tahu, Business Wire menyediakan layanan di mana pengguna terdaftar situs tersebut menerima aliran siaran pers terkini dari ribuan perusahaan. Siaran pers dikirimkan ke perusahaan ini oleh berbagai organisasi, yang terkadang dikenakan larangan atau embargo sementara, sehingga informasi yang terkandung dalam siaran pers tersebut dapat mempengaruhi harga saham.
File siaran pers diunggah ke server web Business Wire tetapi tidak ditautkan hingga embargo dicabut. Sementara itu, halaman web siaran pers ditautkan ke situs web utama, dan pengguna diberitahu melalui URL seperti ini:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmJadi, saat Anda berada di bawah embargo, Anda memposting data menarik di situs tersebut sehingga segera setelah embargo dicabut, pengguna akan langsung mengetahuinya. Tautan ini diberi tanggal dan dikirim ke pengguna melalui email. Setelah larangan tersebut berakhir, tautan tersebut akan berfungsi dan mengarahkan pengguna ke situs tempat siaran pers terkait diposting. Sebelum memberikan akses ke halaman web siaran pers, sistem harus memverifikasi bahwa pengguna login secara sah.
Mereka tidak memeriksa apakah Anda berhak melihat informasi ini sebelum embargo berakhir; Anda hanya perlu masuk ke sistem. Sejauh ini tampaknya tidak berbahaya, tetapi hanya karena Anda tidak melihat sesuatu bukan berarti sesuatu itu tidak ada.
Perusahaan jasa keuangan Estonia Lohmus Haavel & Viisemann, yang sama sekali bukan peretas, menemukan bahwa halaman web siaran pers diberi nama dengan cara yang dapat diprediksi dan mulai menebak URL tersebut. Meskipun tautan tersebut mungkin belum ada karena embargo berlaku, ini tidak berarti bahwa peretas tidak dapat menebak nama file dan dengan demikian mendapatkan akses ke file tersebut sebelum waktunya. Metode ini berhasil karena satu-satunya pemeriksaan keamanan Business Wire adalah pengguna masuk secara sah dan tidak ada yang lain.
Jadi, orang Estonia menerima informasi sebelum pasar tutup dan menjual data ini. Hingga SEC melacak dan membekukan akun mereka, mereka berhasil memperoleh $8 juta dari perdagangan informasi semi-akses. Coba pikirkan, yang dilakukan orang-orang ini hanyalah melihat seperti apa tautannya, mencoba menebak URL-nya, dan menghasilkan 8 juta dari tautan tersebut. Biasanya di poin ini saya bertanya kepada penonton apakah ini termasuk legal atau ilegal, apakah termasuk perdagangan atau tidak. Namun untuk saat ini saya hanya ingin menarik perhatian Anda kepada siapa yang melakukan ini.
Sebelum Anda mencoba menjawab pertanyaan-pertanyaan ini, saya akan menunjukkan slide berikutnya. Hal ini tidak terkait langsung dengan penipuan online. Seorang peretas Ukraina meretas Thomson Financial, penyedia intelijen bisnis, dan mencuri data tentang kesulitan keuangan IMS Health beberapa jam sebelum informasi tersebut beredar di pasar keuangan. Tidak ada keraguan bahwa dia bersalah atas peretasan.
Peretas menempatkan pesanan jual sejumlah 42 ribu dolar, bermain sebelum harga turun. Bagi Ukraina, jumlah ini adalah jumlah yang sangat besar, sehingga peretas tahu betul apa yang akan ia hadapi. Penurunan harga saham yang tiba-tiba memberinya keuntungan sekitar $300 dalam beberapa jam. Pertukaran tersebut mengeluarkan “Bendera Merah”, SEC membekukan dana, menyadari ada sesuatu yang tidak beres, dan memulai penyelidikan. Namun, Hakim Naomi Reis Buchwald mengatakan dana tersebut harus dicairkan karena tuduhan “pencurian dan perdagangan” dan “peretasan dan perdagangan” yang dikaitkan dengan Dorozhko tidak melanggar undang-undang sekuritas. Peretas bukanlah karyawan perusahaan ini, dan oleh karena itu tidak melanggar undang-undang apa pun terkait pengungkapan informasi keuangan rahasia.
Times berpendapat bahwa Departemen Kehakiman AS hanya menganggap kasus ini sia-sia karena sulitnya mendapatkan persetujuan pihak berwenang Ukraina untuk bekerja sama dalam menangkap pelaku. Jadi hacker ini mendapat 300 ribu dollar dengan sangat mudah.
Sekarang bandingkan dengan kasus sebelumnya dimana orang menghasilkan uang hanya dengan mengubah URL link di browser mereka dan menjual informasi komersial. Ini cukup menarik, tapi bukan satu-satunya cara menghasilkan uang di bursa saham.
Mari kita pertimbangkan pengumpulan informasi pasif. Biasanya, setelah melakukan pembelian online, pembeli menerima kode pelacakan pesanan, yang dapat berurutan atau semu dan terlihat seperti ini:
3200411
3200412
3200413
Dengan itu Anda dapat melacak pesanan Anda. Pentester atau peretas mencoba merayapi URL untuk mendapatkan akses ke data pesanan, biasanya berisi informasi identitas pribadi (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Dengan menelusuri nomor-nomor tersebut, mereka mendapatkan akses ke nomor kartu kredit pembeli, alamat, nama, dan informasi pribadi lainnya. Namun, kami tidak tertarik pada informasi pribadi klien, namun pada kode pelacakan pesanan itu sendiri; kami tertarik pada pengintaian pasif.
Seni menarik kesimpulan
Pertimbangkan “Seni Inferensi.” Jika Anda dapat memperkirakan secara akurat berapa banyak “pesanan” yang diproses suatu perusahaan pada akhir kuartal, maka berdasarkan data historis, Anda dapat menyimpulkan apakah situasi keuangannya baik dan bagaimana harga sahamnya akan berfluktuasi. Misalnya Anda memesan atau membeli sesuatu di awal kuartal, tidak masalah, lalu membuat pesanan baru di akhir kuartal. Berdasarkan selisih angka tersebut, dapat disimpulkan berapa banyak pesanan yang diproses oleh perusahaan selama kurun waktu tersebut. Jika kita berbicara tentang seribu pesanan versus seratus ribu untuk periode yang sama sebelumnya, Anda dapat berasumsi bahwa kinerja perusahaan buruk.
Namun faktanya seringkali nomor urut tersebut bisa didapatkan tanpa benar-benar menyelesaikan pesanan atau pesanan kemudian dibatalkan. Saya berharap angka-angka ini tidak akan ditampilkan dalam hal apapun dan urutannya akan berlanjut dengan angka-angka tersebut:
3200418
3200419
3200420
Dengan cara ini Anda mengetahui bahwa Anda memiliki kemampuan untuk melacak pesanan dan dapat mulai mengumpulkan informasi secara pasif dari situs yang mereka berikan kepada kami. Kita tidak tahu sah atau tidak, kita hanya tahu bisa dilakukan.
Jadi, kita telah melihat berbagai kekurangan logika bisnis.
Trey Ford: penyerangnya adalah pengusaha. Mereka mengharapkan laba atas investasi mereka. Semakin banyak teknologi, semakin besar dan kompleks kodenya, semakin banyak pekerjaan yang harus dilakukan dan semakin besar kemungkinan untuk tertangkap. Namun ada banyak cara yang sangat menguntungkan untuk melakukan serangan tanpa usaha apapun. Logika bisnis adalah bisnis yang sangat besar, dan terdapat insentif besar bagi penjahat untuk meretasnya. Kelemahan logika bisnis adalah target utama para penjahat dan merupakan sesuatu yang tidak dapat dideteksi hanya dengan menjalankan pemindaian atau melakukan pengujian standar sebagai bagian dari proses jaminan kualitas. Ada masalah psikologis dalam QA yang disebut "bias konfirmasi" karena, seperti manusia, kita ingin tahu bahwa kita benar. Oleh karena itu, perlu dilakukan pengujian pada kondisi nyata.
Penting untuk menguji segalanya dan semua orang, karena tidak semua kerentanan dapat dideteksi pada tahap pengembangan dengan menganalisis kode, atau bahkan selama QA. Jadi, Anda perlu menjalani seluruh proses bisnis dan mengembangkan semua langkah untuk melindunginya. Banyak hal yang dapat dipelajari dari sejarah karena jenis serangan tertentu terjadi berulang kali. Jika suatu malam Anda terbangun karena lonjakan CPU, Anda dapat berasumsi bahwa beberapa peretas kembali mencoba melacak kupon diskon yang valid. Cara sebenarnya untuk mengenali jenis serangan adalah dengan mengamati serangan aktif, karena mengenalinya berdasarkan riwayat log akan sangat sulit.
Jeremy Grossman: jadi inilah yang kita pelajari hari ini.
Menebak captcha bisa memberi Anda jumlah dolar empat digit. Memanipulasi sistem pembayaran online akan menghasilkan keuntungan lima digit bagi peretas. Meretas bank dapat memberi Anda keuntungan lebih dari lima digit, terutama jika Anda melakukannya lebih dari sekali.
Penipuan e-niaga akan memberi Anda enam digit uang, sementara menggunakan jaringan afiliasi akan memberi Anda 5-6 digit atau bahkan tujuh digit. Jika Anda cukup berani, Anda bisa mencoba menipu pasar saham dan mendapatkan keuntungan lebih dari tujuh digit. Dan menggunakan metode RSnake dalam kompetisi untuk Chihuahua terbaik sungguh tak ternilai harganya!
Slide baru untuk presentasi ini mungkin tidak dimasukkan ke dalam CD, jadi Anda dapat mendownloadnya nanti dari halaman blog saya. Ada konferensi OPSEC yang akan diadakan pada bulan September yang akan saya hadiri, dan saya pikir kita akan dapat menciptakan beberapa hal yang sangat keren dengan mereka. Sekarang, jika Anda memiliki pertanyaan, kami siap menjawabnya.
Beberapa iklan 🙂
Terima kasih untuk tetap bersama kami. Apakah Anda menyukai artikel kami? Ingin melihat konten yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikan kepada teman, , Diskon 30% untuk pengguna Habr pada analog unik dari server level awal, yang kami ciptakan untuk Anda: (tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya disini di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mulai $99! Membaca tentang
Sumber: www.habr.com