Þeir gengu svo langt að ræða möguleikann á því að láta ökumenn UPS mæta hinum grunaða. Við skulum nú athuga hvort það sem vitnað er í á þessari glæru sé löglegt?
Hér er það sem FTC segir þegar spurt er: "Ætti ég að skila eða borga fyrir hlut sem ég hef aldrei pantað?" — „Nei. Ef þú færð vöru sem þú pantaðir ekki hefurðu lagalegan rétt til að þiggja hana sem ókeypis gjöf.“ Hljómar þetta siðferðilegt? Ég þvæ mér um hendurnar af þessu því ég er ekki nógu klár til að ræða svona mál.
En það sem er áhugavert er að við sjáum þróun þar sem því minni tækni sem við notum, því meiri peningar græðum við.
Netsvindl tengdur
Jeremy Grossman: það er í raun mjög erfitt að skilja, en þú getur fengið sex tölur af peningum með þessum hætti. Svo allar sögurnar sem þú heyrðir eru með alvöru krækjur og þú getur lesið um það allt í smáatriðum. Ein af áhugaverðustu tegundum netsvika er hlutdeildarsvik. Netverslanir og auglýsendur nota tengdanet til að laða að umferð og notendur á síður sínar í skiptum fyrir hluta af hagnaðinum sem fæst af þessu.
Ég ætla að tala um eitthvað sem margir hafa vitað um í mörg ár, en ég hef ekki getað fundið eina einustu opinbera tilvísun sem gefur til kynna hversu miklu tapi þessi tegund af svindli hefur valdið. Eftir því sem ég best veit voru engar málsóknir, engar sakamálarannsóknir. Ég hef talað við frumkvöðla í framleiðslu, ég hef talað við samstarfsaðila, ég hef talað við Black Cats - þeir trúa því allir að svindlarar hafi þénað gríðarlega mikið af hlutdeildarfélögum.
Vinsamlegast taktu orð mín fyrir það og rifjaðu upp heimavinnuna sem ég hef unnið um þessi tilteknu mál. Svindlarar nota þær til að gera 5-6 stafa, og stundum sjö stafa upphæðir mánaðarlega, með sérstökum aðferðum. Það er fólk í þessum sal sem getur athugað þetta ef það er ekki bundið af þagnarskyldu. Svo ég ætla að sýna þér hvernig það virkar. Það eru nokkrir leikmenn sem taka þátt í þessu kerfi. Þú munt sjá hvað næsta kynslóð tengd „leikur“ snýst um.
Leikurinn felur í sér kaupmann sem er með vefsíðu eða vöru og greiðir hlutdeildarfélögum þóknun fyrir notendasmelli, reikninga sem eru búnir til, innkaup o.s.frv. Þú borgar samstarfsaðilanum fyrir þá staðreynd að einhver heimsækir vefsíðu hans, smellir á hlekk, fer á vefsíðu seljanda þíns og kaupir eitthvað þar.
Næsti leikmaður er samstarfsaðilinn, sem fær peninga í formi kostnaðar á smell (CPC) eða í formi þóknunar (CPA) fyrir að vísa kaupendum á vefsíðu seljanda.
Þóknun felur í sér að viðskiptavinurinn gerði kaup á vefsíðu seljanda vegna athafna samstarfsaðilans.
Kaupandi er sá sem kaupir eða gerist áskrifandi að hlutabréfum seljanda.
Samstarfsnet veita tækni sem tengir og fylgist með starfsemi seljanda, samstarfsaðila og kaupanda. Þeir „líma“ alla leikmennina saman og tryggja samskipti þeirra.
Það gæti tekið þig nokkra daga eða nokkrar vikur að átta þig á því hvernig þetta virkar allt saman, en það er engin flókin tækni sem kemur til greina. Samstarfsnet og tengd forrit ná yfir allar tegundir viðskipta og alla markaði. Google, EBay, Amazon hafa þá, hagsmunir þeirra sem þóknunaraðilar skerast, þeir eru alls staðar og skortir ekki tekjur. Ég er viss um að þú veist að jafnvel umferð frá blogginu þínu getur skilað nokkrum hundruðum dollara í hagnað í hverjum mánuði, svo þetta kerfi verður auðvelt fyrir þig að skilja.
Svona virkar kerfið. Þú tengir litla síðu, eða rafræna tilkynningatöflu, það skiptir ekki máli, þú skrifar undir samstarfsverkefni og færð sérstakan hlekk sem þú setur á vefsíðuna þína. Það lítur svona út:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Þetta sýnir tiltekið samstarfsverkefni, hlutdeildarauðkenni þitt, í þessu tilfelli er það 100, og nafn vörunnar sem verið er að selja. Og ef einhver smellir á þennan tengil vísar vafrinn honum áfram á hlutdeildarnetið, setur upp sérstakar rakningarkökur sem tengja hann við hlutdeildarauðkennið=100.
Set-Cookie: AffiliateID=100Og vísar á síðu seljanda. Ef kaupandi kaupir síðar einhverja vöru innan tíma X, sem getur verið dagur, klukkutími, þrjár vikur, hvaða tíma sem er, og á þessum tíma halda kökurnar áfram að vera til, þá fær hlutdeildaraðilinn þóknun sína.
Þetta er hvernig hlutdeildarfyrirtæki græða milljarða dollara með áhrifaríkum SEO aðferðum. Leyfðu mér að gefa þér dæmi. Næsta glæra sýnir kvittunina, ég skal nú stækka hana til að sýna þér upphæðina. Þetta er ávísun frá Google upp á $132. Þessi herra heitir eftirnafn Schumann og á net auglýsingavefsíðna. Þetta eru ekki allir peningarnir, Google greiðir slíkar upphæðir einu sinni í mánuði eða einu sinni á 2 mánaða fresti.
Önnur ávísun frá Google, ég stækka hana og þú munt sjá að hún er á $901.
Ætti ég að spyrja einhvern um siðferði þess að græða svona peninga? Þögn í sal... Þessi ávísun táknar greiðslu í 2 mánuði, því fyrri ávísun var hafnað af banka viðtakanda vegna of hárar greiðsluupphæðar.
Þannig að við höfum séð að hægt er að græða svona peninga og það er verið að borga út þessa peninga. Hvernig geturðu sigrað þetta kerfi? Við getum notað tækni sem kallast Cookie-Stuffing. Þetta er mjög einfalt hugtak sem birtist á árunum 2001-2002 og þessi glæra sýnir hvernig það leit út árið 2002. Ég mun segja þér söguna af útliti þess.
Ekkert minna en leiðinlegir þjónustuskilmálar tengdra neta krefjast þess að notandi smelli í raun á hlekk til þess að vafrinn þeirra geti tekið upp auðkennisfótuna tengdu.
Þú getur sjálfkrafa hlaðið þessari venjulega smelltu slóð inn í mynduppsprettu eða iframe merki. Í þessu tilviki, í stað tengils:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Þú halar niður þessu:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Eða það:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Og þegar notandinn lendir á síðunni þinni tekur hann sjálfkrafa upp tengdakökuna. Á sama tíma, burtséð frá því hvort hann kaupir eitthvað í framtíðinni, muntu fá þóknun þína, hvort sem þú sendir umferð eða ekki - það skiptir ekki máli.
Undanfarin ár hefur þetta orðið dægradvöl fyrir SEO krakka sem setja svipað efni á skilaboðatöflur og þróa alls kyns atburðarás fyrir hvar annars staðar að setja hlekkina sína. Árásargjarnir samstarfsaðilar áttuðu sig á því að þeir gætu sett kóðann sinn hvar sem er á netinu, ekki bara á eigin síðum.
Á þessari glæru geturðu séð að þeir eru með sín eigin smákökurfyllingarforrit sem hjálpa notendum að búa til sínar eigin „fylltu kökur“. Og þetta er ekki bara ein kex, þú getur hlaðið upp 20-30 hlutdeildarauðkennum á sama tíma og um leið og einhver kaupir eitthvað færðu borgað fyrir það.
Þessir krakkar áttuðu sig fljótt á því að þeir þurftu ekki að setja þennan kóða á síðurnar sínar. Þeir hættu að skrifa forskriftir á milli vefsvæða og byrjuðu einfaldlega að birta litla bútana sína með HTML kóða á skilaboðaborðum, gestabókum og samfélagsnetum.
Í kringum 2005, kaupmenn og hlutdeildarnet fundu út hvað var að gerast, byrjuðu að fylgjast með tilvísunum og smellihlutfalli og byrjuðu að reka grunsamlega samstarfsaðila út. Til dæmis tóku þeir eftir því að notandi smellti á MySpace síðu, en sú síða tilheyrði allt öðru tengdu neti en það sem fékk lögmætan ávinning.
Þessir krakkar urðu aðeins vitrari og árið 2007 kom fram ný tegund af smákökufyllingu. Samstarfsaðilar byrjuðu að setja kóðann sinn á SSL síður. Samkvæmt Hypertext Transfer Protocol RFC 2616 ættu viðskiptavinir ekki að innihalda Referer header reit í óöruggri HTTP beiðni ef tilvísunarsíðan var flutt úr öruggri samskiptareglu. Þetta er vegna þess að þú vilt ekki að þessar upplýsingar leki frá léninu þínu.
Af þessu er ljóst að ekki er hægt að rekja hvaða tilvísun sem er sendur til samstarfsaðila, þannig að aðalfélagarnir munu sjá tóman hlekk og geta ekki rekið þig út fyrir það. Nú hafa svindlarar tækifæri til að búa til „fylltu kökur“ sínar refsilaust. Að vísu leyfa ekki allir vafrar þér að gera þetta, en það eru margar aðrar leiðir til að gera það sama með því að nota sjálfvirka endurnýjun vafrans á núverandi síðu meta-refresh, meta tags eða JavaScript.
Árið 2008 byrjuðu þeir að nota öflugri tölvuþrjótverkfæri, eins og DNS endurbindingarárásir, Gifar og skaðlegt Flash efni, sem getur algjörlega eyðilagt núverandi öryggislíkön. Það tekur smá tíma að finna út hvernig á að nota þá vegna þess að Cookie-Stuffing krakkar eru ekki sérstaklega háþróaðir tölvuþrjótar, þeir eru bara árásargjarnir markaðsmenn með litla kóðunarþekkingu.
Að selja hálfaðgengilegar upplýsingar
Svo, við höfum skoðað hvernig á að vinna sér inn 6-talna upphæðir, og nú skulum við halda áfram að sjö-tölu. Við þurfum stórfé til að verða rík eða deyja. Við skoðum hvernig þú getur þénað peninga með því að selja hálfaðgengilegar upplýsingar. Business Wire var mjög vinsælt fyrir nokkrum árum og það er enn mikilvægt, við sjáum tilvist þess á mörgum síðum. Fyrir þá sem ekki vita veitir Business Wire þjónustu þar sem skráðir notendur síðunnar fá straum af uppfærðum fréttatilkynningum frá þúsundum fyrirtækja. Fréttatilkynningar eru sendar þessu fyrirtæki af ýmsum samtökum, sem stundum eru háð tímabundnum bönnum eða viðskiptabanni, þannig að upplýsingarnar í þessum fréttatilkynningum geta haft áhrif á verð hlutabréfa.
Fréttatilkynningarskrám er hlaðið upp á Business Wire vefþjóninn en eru ekki tengdar fyrr en viðskiptabanninu er aflétt. Allt á meðan eru fréttatilkynningar vefsíður tengdar við aðalvefsíðuna og notendum er tilkynnt um þær með slóðum eins og þessari:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmÞannig að á meðan þú ert undir viðskiptabanninu birtir þú áhugaverð gögn á síðuna þannig að um leið og viðskiptabanninu er aflétt munu notendur strax kynnast því. Þessir tenglar eru dagsettir og sendir notendum með tölvupósti. Þegar bannið rennur út mun hlekkurinn virka og vísa notandanum á síðuna þar sem samsvarandi fréttatilkynning er birt. Áður en aðgangur er veittur að fréttatilkynningasíðunni verður kerfið að staðfesta að notandinn sé skráður löglega inn.
Þeir athuga ekki hvort þú hafir rétt á að skoða þessar upplýsingar áður en viðskiptabannið rennur út, þú þarft bara að skrá þig inn í kerfið. Enn sem komið er virðist það skaðlaust, en þó þú sérð ekki eitthvað þýðir það ekki að það sé ekki til staðar.
Eistneska fjármálaþjónustufyrirtækið Lohmus Haavel & Viisemann, alls ekki tölvuþrjótar, uppgötvaði að vefsíður fréttatilkynninga voru nefndar á fyrirsjáanlegan hátt og fóru að giska á þessar slóðir. Þó að hlekkirnir séu ekki enn til vegna viðskiptabanns, þá þýðir það ekki að tölvuþrjótur geti ekki giskað á skráarnafnið og þannig fengið aðgang að því of snemma. Þessi aðferð virkaði vegna þess að eina öryggisathugun Business Wire var að notandinn væri skráður löglega inn og ekkert annað.
Þannig fengu Eistlendingar upplýsingar áður en markaðurinn lokaði og seldu þessi gögn. Þangað til SEC elti þá uppi og frysti reikninga þeirra tókst þeim að vinna sér inn 8 milljónir dala með því að versla með hálfaðgengilegar upplýsingar. Hugsaðu um það, allt sem þessir krakkar gerðu var að skoða hvernig hlekkirnir litu út, reyndu að giska á slóðirnar og græddu 8 milljónir á því. Venjulega á þessum tímapunkti spyr ég áhorfendur hvort þetta teljist löglegt eða ólöglegt, hvort það teljist verslun eða ekki. En í bili vil ég bara vekja athygli ykkar á því hver gerði þetta.
Áður en þú reynir að svara þessum spurningum skal ég sýna þér næstu glæru. Þetta er ekki beint tengt netsvikum. Úkraínskur tölvuþrjótur réðst inn í Thomson Financial, viðskiptaleyniþjónustuaðila, og stal gögnum um fjárhagsvandræði IMS Health nokkrum klukkustundum áður en upplýsingarnar áttu að koma á fjármálamarkaðinn. Það er enginn vafi á því að hann er sekur um innbrot.
Tölvuþrjóturinn lagði inn sölupantanir að upphæð 42 þúsund dollara og lék áður en gengi lækkuðu. Fyrir Úkraínu er þetta gríðarleg upphæð, svo tölvuþrjóturinn vissi vel hvað hann var að fara út í. Skyndileg lækkun hlutabréfaverðsins færði honum um 300 dollara í hagnað innan nokkurra klukkustunda. Kauphöllin gaf út „rauðan fána“, SEC frysti fjármunina, tók eftir því að eitthvað var að fara úrskeiðis og hóf rannsókn. Naomi Reis Buchwald, dómari, sagði hins vegar að frysta ætti fjármunina vegna þess að ásakanir um „þjófnað og viðskipti“ og „innbrot og viðskipti“ sem kennd eru við Dorozhko brjóta ekki í bága við verðbréfalög. Tölvuþrjóturinn var ekki starfsmaður þessa fyrirtækis og braut því engin lög varðandi birtingu trúnaðarupplýsinga um fjárhagslegar upplýsingar.
The Times lagði til að bandaríska dómsmálaráðuneytið teldi málið einfaldlega tilgangslaust vegna erfiðleika við að fá úkraínsk yfirvöld til að samþykkja samvinnu við að ná ofbeldismanninum. Þannig að þessi tölvuþrjótur fékk 300 þúsund dollara mjög auðveldlega.
Berðu þetta nú saman við fyrra tilvikið þar sem fólk græddi peninga með því einfaldlega að breyta vefslóðum tengla í vafranum sínum og selja viðskiptaupplýsingar. Þetta eru nokkuð áhugaverðar, en ekki einu leiðirnar til að græða peninga í kauphöllinni.
Við skulum íhuga óvirka upplýsingasöfnun. Venjulega, eftir að hafa keypt á netinu, fær kaupandinn pöntunarrakningarkóða, sem getur verið í röð eða gervi-röð og lítur einhvern veginn svona út:
3200411
3200412
3200413
Með því geturðu fylgst með pöntuninni þinni. Pentesters eða tölvuþrjótar reyna að skríða vefslóðir til að fá aðgang að pöntunargögnum, sem venjulega innihalda persónugreinanlegar upplýsingar (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Með því að fletta í gegnum númerin fá þeir aðgang að kreditkortanúmerum kaupanda, heimilisföngum, nöfnum og öðrum persónulegum upplýsingum. Hins vegar höfum við ekki áhuga á persónulegum upplýsingum viðskiptavinarins, heldur á pöntunarnúmerinu sjálfu; við höfum áhuga á óvirkri könnun.
Listin að draga ályktanir
Lítum á „listina að álykta“. Ef þú getur metið nákvæmlega hversu margar „pantanir“ fyrirtæki er að vinna úr í lok ársfjórðungs, þá geturðu, byggt á sögulegum gögnum, ályktað hvort fjárhagsstaða þess sé góð og hvernig hlutabréfaverð þess muni sveiflast. Til dæmis, þú pantaðir eða keyptir eitthvað í byrjun ársfjórðungs, það skiptir ekki máli, og gerðir svo nýja pöntun í lok ársfjórðungs. Miðað við muninn á tölum má álykta hversu margar pantanir voru afgreiddar af fyrirtækinu á þessu tímabili. Ef við erum að tala um þúsund pantanir á móti hundrað þúsund fyrir sama tímabil á undan má gera ráð fyrir að fyrirtækið gangi illa.
Hins vegar er staðreyndin sú að oft er hægt að fá þessar raðnúmer án þess að klára pöntunina eða pöntun sem síðan er afturkölluð. Ég vona að þessar tölur verði ekki sýndar í öllum tilvikum og röðin mun halda áfram með tölunum:
3200418
3200419
3200420
Þannig veistu að þú hefur getu til að fylgjast með pöntunum og getur byrjað að safna upplýsingum á óvirkan hátt af síðunni sem þeir veita okkur. Við vitum ekki hvort það er löglegt eða ekki, við vitum bara að það er hægt að gera það.
Þannig að við höfum skoðað ýmsa galla viðskiptarökfræðinnar.
Trey Ford: árásarmennirnir eru kaupsýslumenn. Þeir búast við arðsemi af fjárfestingu sinni. Því meiri tækni, því stærri og flóknari sem kóðinn er, því meiri vinna þarf að vinna og því meiri líkur eru á að lenda í því. En það eru margar mjög arðbærar leiðir til að framkvæma árásir án nokkurrar fyrirhafnar. Viðskiptarökfræði er risastórt fyrirtæki og það er gríðarlegur hvati fyrir glæpamenn að hakka það. Viðskiptarökfræðigallar eru helsta skotmark glæpamanna og er eitthvað sem ekki er hægt að greina með því einfaldlega að keyra skönnun eða framkvæma staðlaðar prófanir sem hluti af gæðatryggingarferli. Það er sálrænt vandamál í QA sem kallast "staðfestingarhlutdrægni" vegna þess að eins og menn viljum við vita að við höfum rétt fyrir okkur. Þess vegna er nauðsynlegt að framkvæma próf við raunverulegar aðstæður.
Það er nauðsynlegt að prófa allt og alla, því ekki er hægt að greina alla veikleika á þróunarstigi með því að greina kóðann, eða jafnvel meðan á QA stendur. Svo þú þarft að fara í gegnum allt viðskiptaferlið og þróa allar ráðstafanir til að vernda það. Margt er hægt að læra af sögunni vegna þess að ákveðnar tegundir árása eru endurteknar með tímanum. Ef þú ert vakinn upp eina nótt af örgjörvasprengju geturðu gert ráð fyrir að einhver tölvuþrjótur sé aftur að reyna að elta uppi gilda afsláttarmiða. Raunverulega leiðin til að þekkja tegund árásar er að fylgjast með virkri árás, vegna þess að það verður mjög erfitt að þekkja hana á grundvelli logsögu.
Jeremy Grossman: svo hér er það sem við lærðum í dag.
Að giska á captcha getur fengið þér fjögurra stafa dollaraupphæð. Meðhöndlun greiðslukerfa á netinu mun skila tölvuþrjóta fimm stafa hagnaði. Að hakka banka getur fengið þér vel yfir fimm tölur í hagnaði, sérstaklega ef þú gerir það oftar en einu sinni.
Svindl í rafrænum viðskiptum mun gefa þér sex tölur af peningum, en notkun tengd net mun gefa þér 5-6 tölur eða jafnvel sjö tölur. Ef þú ert nógu hugrakkur geturðu reynt að blekkja hlutabréfamarkaðinn og fengið meira en sjö stafa hagnað. Og að nota RSnake aðferðina í keppnum um besta Chihuahua er einfaldlega ómetanlegt!
Nýju glærurnar fyrir þessa kynningu komust líklega ekki inn á geisladiskinn, svo þú getur hlaðið þeim niður síðar af bloggsíðunni minni. Það er OPSEC ráðstefna framundan í september sem ég ætla að fara á og ég held að við getum búið til mjög flott efni með þeim. Nú, ef þú hefur einhverjar spurningar, erum við tilbúin að svara þeim.
Nokkrar auglýsingar 🙂
Þakka þér fyrir að vera hjá okkur. Líkar þér við greinarnar okkar? Viltu sjá meira áhugavert efni? Styðjið okkur með því að leggja inn pöntun eða mæla með því við vini, , 30% afsláttur fyrir Habr notendur á einstökum hliðstæðum upphafsþjónum, sem var fundið upp af okkur fyrir þig: (fáanlegt með RAID1 og RAID10, allt að 24 kjarna og allt að 40GB DDR4).
Dell R730xd 2 sinnum ódýrari? Aðeins hér í Hollandi! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - frá $99! Lestu um
Heimild: www.habr.com