Sono arrivati al punto di discutere la possibilità che gli autisti UPS affrontassero il sospettato. Controlliamo ora se quanto riportato in questa slide è legale?
Ecco cosa dice la FTC quando viene chiesto: "Devo restituire o pagare un articolo che non ho mai ordinato?" - "NO. Se ricevi un articolo che non hai ordinato, hai il diritto legale di accettarlo come regalo gratuito." Sembra etico? Me ne lavo le mani perché non sono abbastanza intelligente per discutere di tali questioni.
Ma la cosa interessante è che osserviamo una tendenza secondo cui meno tecnologia utilizziamo, più soldi guadagniamo.
Frode su Internet di affiliazione
Jeremy Grossmann: è davvero molto difficile da capire, ma in questo modo puoi guadagnare denaro a sei cifre. Quindi, tutte le storie che hai ascoltato hanno collegamenti reali e puoi leggerle tutte in dettaglio. Uno dei tipi più interessanti di frode su Internet è la frode di affiliazione. I negozi online e gli inserzionisti utilizzano reti di affiliazione per attirare traffico e utenti sui propri siti in cambio di una parte dei profitti ricevuti da questo.
Parlerò di qualcosa che molte persone conoscono da anni, ma non sono riuscito a trovare un solo riferimento pubblico che indichi quante perdite ha causato questo tipo di truffa. Per quanto ne so, non ci sono stati processi, né indagini penali. Ho parlato con imprenditori manifatturieri, ho parlato con ragazzi di reti di affiliazione, ho parlato con Black Cats: tutti credono che i truffatori abbiano guadagnato enormi quantità di denaro dagli affiliati.
Per favore, credimi sulla parola e rivedi i compiti che ho svolto su queste questioni specifiche. I truffatori li usano per effettuare mensilmente somme di 5-6 cifre e talvolta di sette cifre, utilizzando tecniche speciali. Ci sono persone in questa stanza che possono verificarlo se non sono vincolate da un accordo di riservatezza. Quindi ti mostrerò come funziona. Ci sono diversi attori coinvolti in questo schema. Vedrai in cosa consiste il "gioco" di affiliazione di prossima generazione.
Il gioco coinvolge un commerciante che ha un sito Web o un prodotto e paga commissioni agli affiliati per i clic degli utenti, gli account creati, gli acquisti effettuati e così via. Paghi l'affiliato per il fatto che qualcuno visita il suo sito web, fa clic su un collegamento, va al sito web del tuo venditore e acquista qualcosa lì.
Il giocatore successivo è l'affiliato, che riceve denaro sotto forma di costo per clic (CPC) o sotto forma di commissioni (CPA) per reindirizzare gli acquirenti al sito web del venditore.
Le commissioni implicano che, come risultato delle attività del partner, il cliente ha effettuato un acquisto sul sito web del venditore.
L'acquirente è la persona che effettua acquisti o sottoscrive le azioni del venditore.
Le reti di affiliazione forniscono tecnologie che collegano e tracciano le attività del venditore, del partner e dell'acquirente. “Incollano” tutti i giocatori insieme e garantiscono la loro interazione.
Potrebbero volerci alcuni giorni o un paio di settimane per capire come funziona il tutto, ma non è coinvolta alcuna tecnologia complicata. Le reti di affiliazione e i programmi di affiliazione coprono tutti i tipi di scambi e tutti i mercati. Google, eBay, Amazon li hanno, i loro interessi di commissionari si incrociano, sono ovunque e non mancano di entrate. Sono sicuro che sai che anche il traffico dal tuo blog può generare diverse centinaia di dollari di profitto ogni mese, quindi questo schema sarà facile per te da capire.
Ecco come funziona il sistema. Affilii un piccolo sito, o una bacheca elettronica, non importa, firmi un programma di affiliazione e ricevi un link speciale che inserisci nella tua pagina Internet. Sembra questo:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Questo mostra il programma di affiliazione specifico, il tuo ID affiliato, in questo caso è 100, e il nome del prodotto venduto. E se qualcuno clicca su questo link, il browser lo reindirizza alla rete di affiliazione, installa speciali cookie di tracciamento che lo collegano all'ID affiliato=100.
Set-Cookie: AffiliateID=100E reindirizza alla pagina del venditore. Se l'acquirente successivamente acquista qualche prodotto entro un periodo di tempo X, che può essere un giorno, un'ora, tre settimane, qualsiasi tempo concordato, e durante questo periodo i cookie continuano ad esistere, allora l'affiliato riceve la sua commissione.
È così che le società affiliate guadagnano miliardi di dollari utilizzando tattiche SEO efficaci. Lasciate che vi faccia un esempio. La diapositiva successiva mostra la ricevuta, ora la ingrandirò per mostrarti l'importo. Questo è un assegno di Google da $ 132. Il cognome di questo signore è Schumann e possiede una rete di siti Web pubblicitari. Questo non è tutto il denaro, Google paga tali somme una volta al mese o una volta ogni 2 mesi.
Un altro assegno da Google, lo ingrandisco e vedrai che vale 901 dollari.
Dovrei chiedere a qualcuno qual è l'etica di fare soldi in questo modo? Silenzio nell'atrio... Questo assegno rappresenta un pagamento per 2 mesi, perché l'assegno precedente è stato rifiutato dalla banca del destinatario perché l'importo del pagamento era troppo elevato.
Quindi, abbiamo visto che questo tipo di denaro può essere guadagnato, e questo denaro viene pagato. Come puoi sconfiggere questo schema? Possiamo utilizzare una tecnica chiamata Cookie-Stuffing. Questo è un concetto molto semplice apparso nel 2001-2002 e questa diapositiva mostra come appariva nel 2002. Vi racconterò la storia del suo aspetto.
Solo i fastidiosi termini di servizio della rete di affiliazione richiedono che un utente faccia effettivamente clic su un collegamento affinché il proprio browser possa rilevare il cookie ID affiliato.
Puoi caricare automaticamente l'URL su cui si fa clic di solito nell'origine dell'immagine o nel tag iframe. In questo caso, invece di un collegamento:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Scarichi questo:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>O questo:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>E quando l'utente arriva sulla tua pagina, rileverà automaticamente il cookie di affiliazione. Allo stesso tempo, indipendentemente dal fatto che acquisterà qualcosa in futuro, riceverai le tue commissioni, indipendentemente dal fatto che tu abbia reindirizzato il traffico o meno, non importa.
Negli ultimi anni, questo è diventato un passatempo per i SEO che pubblicano materiale simile sulle bacheche e sviluppano tutti i tipi di scenari su dove altro posizionare i propri collegamenti. I partner aggressivi si sono resi conto che potevano inserire il proprio codice ovunque su Internet, non solo sui propri siti.
In questa diapositiva puoi vedere che hanno i propri programmi di Cookie-Stuffing che aiutano gli utenti a creare i propri "cookie ripieni". E non si tratta di un solo cookie, puoi caricare 20-30 ID di affiliazione contemporaneamente e non appena qualcuno acquista qualcosa, vieni pagato per questo.
Questi ragazzi si sono presto resi conto che non dovevano inserire questo codice nelle loro pagine. Hanno abbandonato il cross-site scripting e hanno semplicemente iniziato a pubblicare i loro piccoli snippet con codice HTML su bacheche, libri degli ospiti e social network.
Intorno al 2005, i commercianti e le reti di affiliazione capirono cosa stava succedendo, iniziarono a monitorare i referrer e le percentuali di clic e iniziarono a cacciare gli affiliati sospetti. Ad esempio, hanno notato che un utente ha cliccato su un sito MySpace, ma quel sito apparteneva a una rete di affiliazione completamente diversa da quella che riceveva il vantaggio legittimo.
Questi ragazzi sono diventati un po' più saggi e nel 2007 è emerso un nuovo tipo di Cookie-Stuffing. I partner hanno iniziato a inserire il proprio codice nelle pagine SSL. Secondo Hypertext Transfer Protocol RFC 2616, i client non devono includere un campo di intestazione Referer in una richiesta HTTP non sicura se la pagina di riferimento è stata migrata da un protocollo sicuro. Questo perché non vuoi che queste informazioni fuoriescano dal tuo dominio.
Da ciò è chiaro che qualsiasi Referer inviato ad un partner non sarà tracciabile, quindi i partner principali vedranno un link vuoto e non potranno espellerti per questo. Ora i truffatori hanno la possibilità di realizzare impunemente i loro “biscotti ripieni”. È vero, non tutti i browser ti consentono di farlo, ma ci sono molti altri modi per fare la stessa cosa utilizzando l'aggiornamento automatico del browser del meta-refresh della pagina corrente, dei meta tag o di JavaScript.
Nel 2008, hanno iniziato a utilizzare strumenti di hacking più potenti, come gli attacchi DNS rebinding, Gifar e contenuti Flash dannosi, che possono distruggere completamente i modelli di sicurezza esistenti. Ci vuole un po' per capire come usarli perché i ragazzi di Cookie-Stuffing non sono hacker particolarmente avanzati, sono solo esperti di marketing aggressivi con poca conoscenza di programmazione.
Vendere informazioni semi-accessibili
Quindi, abbiamo visto come guadagnare somme a 6 cifre e ora passiamo a quelle a sette cifre. Abbiamo bisogno di grandi soldi per arricchirci o morire. Vedremo come guadagnare vendendo informazioni semi-accessibili. Business Wire era molto popolare un paio di anni fa ed è ancora importante, vediamo la sua presenza su molti siti. Per chi non lo sapesse, Business Wire fornisce un servizio mediante il quale gli utenti registrati del sito ricevono un flusso di comunicati stampa aggiornati da migliaia di aziende. I comunicati stampa vengono inviati a questa società da varie organizzazioni, che talvolta sono soggette a divieti o embarghi temporanei, pertanto le informazioni contenute in questi comunicati stampa possono influenzare il prezzo delle azioni.
I file dei comunicati stampa vengono caricati sul server web di Business Wire ma non vengono collegati finché l'embargo non viene revocato. Nel frattempo, le pagine web dei comunicati stampa sono collegate al sito web principale e gli utenti ne vengono informati tramite URL come questo:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmPertanto, mentre sei sotto embargo, pubblichi dati interessanti sul sito in modo che non appena l'embargo verrà revocato, gli utenti ne prenderanno immediatamente conoscenza. Questi collegamenti sono datati e inviati agli utenti via e-mail. Una volta scaduto il divieto, il collegamento funzionerà e indirizzerà l'utente al sito dove verrà pubblicato il relativo comunicato stampa. Prima di consentire l'accesso alla pagina web del comunicato stampa, il sistema deve verificare che l'utente abbia effettuato l'accesso legalmente.
Non controllano se hai il diritto di visualizzare queste informazioni prima della scadenza dell’embargo; devi solo accedere al sistema. Finora sembra innocuo, ma solo perché non vedi qualcosa non significa che non sia lì.
La società estone di servizi finanziari Lohmus Haavel & Viisemann, non un hacker, ha scoperto che le pagine web dei comunicati stampa avevano nomi prevedibili e ha iniziato a indovinare quegli URL. Anche se i collegamenti potrebbero non esistere ancora perché è in vigore un embargo, ciò non significa che un hacker non possa indovinare il nome del file e quindi accedervi prematuramente. Questo metodo ha funzionato perché l'unico controllo di sicurezza di Business Wire era che l'utente avesse effettuato l'accesso legalmente e nient'altro.
Pertanto, gli estoni hanno ricevuto informazioni prima della chiusura del mercato e hanno venduto questi dati. Fino a quando la SEC non li ha rintracciati e ha congelato i loro conti, sono riusciti a guadagnare 8 milioni di dollari scambiando informazioni semi-accessibili. Pensaci, tutto ciò che questi ragazzi hanno fatto è stato guardare come apparivano i collegamenti, provare a indovinare gli URL e ci hanno guadagnato 8 milioni. Di solito a questo punto chiedo al pubblico se questo sia considerato legale o illegale, se sia considerato un commercio oppure no. Ma per ora voglio solo attirare la vostra attenzione su chi ha fatto questo.
Prima di provare a rispondere a queste domande, ti mostrerò la diapositiva successiva. Questo non è direttamente correlato alle frodi online. Un hacker ucraino ha hackerato Thomson Financial, un fornitore di business intelligence, e ha rubato dati sulle difficoltà finanziarie di IMS Health poche ore prima che le informazioni arrivassero sul mercato finanziario. Non c'è dubbio che sia colpevole di hacking.
L'hacker ha piazzato ordini di vendita per un valore di 42mila dollari, giocando prima che i prezzi crollassero. Per l'Ucraina si tratta di una cifra enorme, quindi l'hacker sapeva bene in cosa si stava cacciando. L'improvviso calo del prezzo delle azioni gli ha portato un profitto di circa $ 300 in poche ore. L'exchange ha emesso una "bandiera rossa", la SEC ha congelato i fondi, notando che qualcosa stava andando storto, e ha avviato un'indagine. Tuttavia, il giudice Naomi Reis Buchwald ha affermato che i fondi dovrebbero essere sbloccati perché le accuse di “furto e commercio” e “hacking e commercio” attribuite a Dorozhko non violano le leggi sui titoli. L'hacker non era un dipendente di questa azienda e pertanto non ha violato alcuna legge relativa alla divulgazione di informazioni finanziarie riservate.
Il Times ha suggerito che il Dipartimento di Giustizia degli Stati Uniti abbia semplicemente considerato il caso inutile a causa delle difficoltà incontrate nel convincere le autorità ucraine a collaborare per catturare l'autore del reato. Quindi questo hacker ha ottenuto 300mila dollari molto facilmente.
Ora confrontiamo questo con il caso precedente in cui le persone guadagnavano semplicemente modificando gli URL dei collegamenti nel proprio browser e vendendo informazioni commerciali. Questi sono piuttosto interessanti, ma non gli unici modi per fare soldi in borsa.
Consideriamo la raccolta passiva di informazioni. Tipicamente, dopo aver effettuato un acquisto online, l'acquirente riceve un codice di tracciamento dell'ordine, che può essere sequenziale o pseudo-sequenziale e assomiglia a questo:
3200411
3200412
3200413
Con esso puoi monitorare il tuo ordine. I pentester o gli hacker tentano di eseguire la scansione degli URL per ottenere l'accesso ai dati degli ordini, che in genere contengono informazioni di identificazione personale (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Scorrendo i numeri si accede ai numeri di carta di credito, indirizzi, nomi e altre informazioni personali dell'acquirente. A noi però non interessano i dati personali del cliente, bensì il codice di tracciabilità dell’ordine stesso; a noi interessa la ricognizione passiva.
L'arte di trarre conclusioni
Considera "L'arte dell'inferenza". Se riesci a stimare con precisione quanti "ordini" un'azienda sta elaborando alla fine del trimestre, sulla base dei dati storici puoi dedurre se la sua situazione finanziaria è buona e come oscillerà il prezzo delle sue azioni. Ad esempio, hai ordinato o acquistato qualcosa all'inizio del trimestre, non importa, e poi hai effettuato un nuovo ordine alla fine del trimestre. Dalla differenza numerica si può dedurre quanti ordini sono stati elaborati dall'azienda in questo periodo di tempo. Se parliamo di mille ordini contro i centomila dello stesso periodo precedente, si può presumere che l'azienda stia andando male.
Tuttavia, il fatto è che spesso è possibile ottenere questi numeri di sequenza senza effettivamente completare l'ordine o senza che l'ordine venga successivamente annullato. Spero che questi numeri non vengano visualizzati in ogni caso e la sequenza continui con i numeri:
3200418
3200419
3200420
In questo modo sai di avere la capacità di tracciare gli ordini e puoi iniziare a raccogliere passivamente le informazioni che ci forniscono dal sito. Non sappiamo se sia legale o meno, sappiamo solo che si può fare.
Quindi, abbiamo esaminato varie carenze della logica aziendale.
Trey Ford: gli aggressori sono uomini d'affari. Si aspettano un ritorno sul loro investimento. Maggiore è la tecnologia, più grande e complesso è il codice, maggiore è il lavoro da svolgere e maggiore è la probabilità di essere scoperti. Ma esistono molti modi molto redditizi per sferrare attacchi senza alcuno sforzo. La logica aziendale è un business enorme e i criminali hanno un enorme incentivo a violarla. I difetti della logica aziendale sono un obiettivo primario per i criminali e sono qualcosa che non può essere rilevato semplicemente eseguendo una scansione o eseguendo test standard come parte di un processo di garanzia della qualità. C'è un problema psicologico nel QA chiamato "bias di conferma" perché, come gli esseri umani, vogliamo sapere di avere ragione. Pertanto, è necessario condurre test in condizioni reali.
È necessario testare tutto e tutti, perché non tutte le vulnerabilità possono essere rilevate in fase di sviluppo analizzando il codice, o anche durante il QA. Quindi è necessario seguire l’intero processo aziendale e sviluppare tutte le misure per proteggerlo. Si può imparare molto dalla storia perché alcuni tipi di attacchi si ripetono nel tempo. Se una notte vieni svegliato da un picco della CPU, puoi supporre che qualche hacker stia nuovamente cercando di rintracciare buoni sconto validi. Il vero modo per riconoscere il tipo di attacco è osservare un attacco attivo, perché riconoscerlo in base alla cronologia dei log sarà estremamente difficile.
Jeremy Grossmann: quindi ecco cosa abbiamo imparato oggi.
Indovinare il captcha può farti guadagnare un importo in dollari a quattro cifre. La manipolazione dei sistemi di pagamento online porterà all'hacker profitti a cinque cifre. L'hacking delle banche può farti guadagnare profitti a cinque cifre, soprattutto se lo fai più di una volta.
Le truffe e-commerce ti faranno fruttare sei cifre di denaro, mentre l'utilizzo di reti di affiliazione ti farà fruttare 5-6 cifre o anche sette cifre. Se sei abbastanza coraggioso, puoi provare a ingannare il mercato azionario e ottenere profitti più di sette cifre. E utilizzare il metodo RSnake nelle competizioni per il miglior Chihuahua non ha prezzo!
Le nuove diapositive di questa presentazione probabilmente non sono state inserite nel CD, quindi potrai scaricarle in seguito dalla pagina del mio blog. C'è una conferenza OPSEC in arrivo a settembre alla quale parteciperò e penso che saremo in grado di creare cose davvero interessanti con loro. Ora, se hai qualche domanda, siamo pronti a rispondere.
Alcuni annunci 🙂
Grazie per stare con noi. Ti piacciono i nostri articoli? Vuoi vedere contenuti più interessanti? Sostienici effettuando un ordine o raccomandando agli amici, , Sconto del 30% per gli utenti Habr su un analogo unico di server entry-level, che è stato inventato da noi per te: (disponibile con RAID1 e RAID10, fino a 24 core e fino a 40 GB DDR4).
Dell R730xd 2 volte più economico? Solo qui In Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $99! Leggi
Fonte: habr.com