Padha dadi adoh kanggo ngrembug kamungkinan duwe driver UPS ngadhepi tersangka. Ayo saiki priksa manawa apa sing dikutip ing slide iki sah?
Punika ngandika FTC nalika takon, "Apa aku kudu bali utawa mbayar kanggo item aku tau dhawuh?" - "Ora. Yen sampeyan nampa barang sing ora dipesen, sampeyan duwe hak legal kanggo nampa minangka hadiah gratis." Apa iki muni etika? Aku wisuh tangan iki amarga aku ora cukup pinter kanggo ngrembug masalah kuwi.
Nanging sing menarik yaiku yen kita ndeleng tren sing kurang teknologi sing digunakake, luwih akeh dhuwit sing bakal ditindakake.
Penipuan Internet Afiliasi
Jeremy Grossman: iku pancene angel banget mangertos, nanging sampeyan bisa nggawe enem tokoh dhuwit iki. Dadi, kabeh crita sing sampeyan krungu duwe pranala nyata lan sampeyan bisa maca babagan kabeh kanthi rinci. Salah sawijining jinis penipuan Internet sing paling menarik yaiku penipuan afiliasi. Toko online lan pengiklan nggunakake jaringan afiliasi kanggo narik lalu lintas lan pangguna menyang situs kasebut minangka ijol-ijolan kanggo bagean saka bathi sing ditampa saka iki.
Aku arep kanggo pirembagan bab soko sing akèh wong wis dikenal kanggo taun, nanging aku wis ora bisa nemokake referensi umum siji sing nuduhake carane akeh mundhut jinis iki scam wis nyebabake. Aku ngerti, ora ana tuntutan hukum, ora ana investigasi pidana. Aku wis ngomong karo pengusaha manufaktur, Aku wis ngomong karo wong lanang jaringan afiliasi, Aku wis ngomong karo Black Cats - kabeh padha pracaya scammers wis nggawe jumlah ageng dhuwit saka afiliasi.
Mangga njupuk tembung lan deleng peer aku wis rampung ing masalah tartamtu. Penipu digunakake kanggo nggawe 5-6 digit, lan kadhangkala pitung digit jumlah saben wulan, nggunakake teknik khusus. Ana wong ing kamar iki sing bisa mriksa iki yen padha ora kaiket dening persetujuan rahasia. Dadi aku bakal nuduhake sampeyan cara kerjane. Ana sawetara pemain melu ing rencana iki. Sampeyan bakal weruh apa "game" afiliasi generasi sabanjure.
Game kasebut kalebu pedagang sing duwe situs web utawa produk lan mbayar komisi afiliasi kanggo klik pangguna, akun sing digawe, tuku sing digawe, lan liya-liyane. Sampeyan mbayar afiliasi amarga ana wong sing ngunjungi situs web, ngeklik link, menyang situs web penjual lan tuku barang ing kana.
Pamuter sabanjure yaiku afiliasi, sing nampa dhuwit kanthi bentuk biaya per klik (BPK) utawa ing bentuk komisi (CPA) kanggo ngarahake para panuku menyang situs web penjual.
Komisi nyatakake yen minangka asil saka aktivitas partner, klien nggawe tuku ing situs web penjual.
Sing tuku yaiku wong sing tuku utawa lengganan saham penjual.
Jaringan afiliasi nyedhiyakake teknologi sing nyambungake lan nglacak aktivitas penjual, mitra lan panuku. Padha "lem" kabeh pemain bebarengan lan njamin interaksi.
Sampeyan bisa uga butuh sawetara dina utawa sawetara minggu kanggo ngerteni cara kerjane, nanging ora ana teknologi sing rumit. Jaringan afiliasi lan program afiliasi nyakup kabeh jinis perdagangan lan kabeh pasar. Google, EBay, Amazon duwe, kapentingan minangka agen komisi intersect, padha nang endi wae lan ora lack income. Aku yakin sampeyan ngerti manawa lalu lintas saka blog sampeyan bisa ngasilake bathi pirang-pirang atus dolar saben wulan, mula skema iki bakal gampang dingerteni.
Iki cara kerjane sistem. Sampeyan afiliasi situs cilik, utawa papan buletin elektronik, ora masalah, sampeyan mlebu program afiliasi lan nampa link khusus sing sampeyan pasang ing kaca Internet. Katon kaya mangkene:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Iki nuduhake program afiliasi tartamtu, ID afiliasi sampeyan, ing kasus iki yaiku 100, lan jeneng produk sing didol. Lan yen ana wong ngeklik link iki, browser bakal ngarahake menyang jaringan afiliasi, nginstal cookie pelacakan khusus sing nyambungake menyang ID afiliasi = 100.
Set-Cookie: AffiliateID=100Lan pangalihan menyang kaca bakul. Yen panuku mengko tuku sawetara produk sajrone wektu X, sing bisa dadi dina, jam, telung minggu, wektu sing disepakati, lan sajrone wektu kasebut cookie terus ana, mula afiliasi kasebut nampa komisi.
Iki carane perusahaan afiliasi nggawe milyaran dolar nggunakake taktik SEO efektif. Ayo kula menehi conto. Slide sabanjure nuduhake kuitansi, saiki aku bakal nggedhekake kanggo nuduhake jumlahe. Iki cek saka Google kanggo $132. Jeneng mburi wong iki yaiku Schumann, lan dheweke duwe jaringan situs web pariwara. Iki ora kabeh dhuwit, Google mbayar jumlah kasebut sapisan sasi utawa sapisan saben 2 sasi.
Priksa liyane saka Google, Aku bakal nggedhekake lan sampeyan bakal weruh iku kanggo $901.
Apa aku kudu takon babagan etika golek dhuwit kaya iki? Meneng ing bale... Cek iki mujudake pembayaran 2 wulan, amarga cek sadurunge ditolak dening bank panampa amarga jumlah pembayaran sing akeh banget.
Dadi, kita wis weruh manawa dhuwit kaya iki bisa digawe, lan dhuwit iki dibayar. Kepiye carane sampeyan bisa ngalahake skema iki? Kita bisa nggunakake teknik sing disebut Cookie-Stuffing. Iki minangka konsep sing prasaja banget sing muncul ing taun 2001-2002, lan slide iki nuduhake tampilan ing taun 2002. Aku bakal nyritakake babagan penampilane.
Ora ana syarat layanan jaringan afiliasi sing sial mbutuhake pangguna bener-bener ngeklik link supaya browser bisa njupuk cookie ID afiliasi.
Sampeyan bisa kanthi otomatis mbukak URL sing biasane diklik iki menyang sumber gambar utawa tag iframe. Ing kasus iki, tinimbang link:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Sampeyan ngundhuh iki:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Utawa sing:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Lan nalika pangguna mlebu ing kaca sampeyan, dheweke bakal kanthi otomatis njupuk cookie afiliasi. Ing wektu sing padha, preduli apa dheweke tuku barang ing mangsa ngarep, sampeyan bakal nampa komisi, manawa sampeyan ngalihake lalu lintas utawa ora - ora masalah.
Ing sawetara taun kepungkur, iki wis dadi hiburan kanggo wong SEO sing ngirim materi sing padha ing papan pesen lan ngembangake macem-macem skenario kanggo panggonan liya kanggo nyelehake tautan. Mitra agresif nyadari yen dheweke bisa nyelehake kode ing ngendi wae ing Internet, ora mung ing situs dhewe.
Ing slide iki sampeyan bisa ndeleng manawa dheweke duwe program Cookie-Stuffing dhewe sing mbantu pangguna nggawe "cookie sing diisi" dhewe. Lan ora mung siji cookie, sampeyan bisa ngunggah 20-30 ID afiliasi ing wektu sing padha, lan sanalika wong tuku soko, sampeyan bakal mbayar.
Wong-wong iki langsung ngerti yen dheweke ora kudu nglebokake kode iki ing kaca. Dheweke ninggalake skrip lintas situs lan mung wiwit ngirim potongan cilik karo kode HTML ing papan pesen, buku tamu, lan jaringan sosial.
Kira-kira taun 2005, pedagang lan jaringan afiliasi ngerteni apa sing kedadeyan, miwiti nglacak referrer lan tarif klik-tayang, lan wiwit nendhang afiliasi sing curiga. Contone, dheweke ngerteni manawa pangguna ngeklik situs MySpace, nanging situs kasebut kalebu jaringan afiliasi sing beda banget tinimbang sing entuk manfaat sing sah.
Wong-wong iki dadi luwih wicaksana lan ing taun 2007 muncul jinis Cookie-Stuffing anyar. Mitra wiwit nyelehake kode ing kaca SSL. Miturut Hypertext Transfer Protocol RFC 2616, klien ora kudu nyakup kolom header Referer ing panjalukan HTTP sing ora aman yen kaca referensi dipindhah saka protokol sing aman. Iki amarga sampeyan ora pengin informasi iki bocor saka domain sampeyan.
Saka iki cetha manawa Referer sing dikirim menyang partner ora bakal bisa dilacak, mula mitra utama bakal ndeleng link kosong lan ora bakal bisa nyepak sampeyan. Saiki scammers duwe kesempatan kanggo nggawe "cookie sing diisi" kanthi impunity. Bener, ora saben browser ngidini sampeyan nindakake iki, nanging ana akeh cara liyane kanggo nindakake perkara sing padha nggunakake refresh otomatis browser saka kaca saiki meta-refresh, meta tags utawa JavaScript.
Ing taun 2008, dheweke wiwit nggunakake alat peretasan sing luwih kuat, kayata serangan rebinding DNS, Gifar lan konten Flash sing mbebayani, sing bisa ngrusak model keamanan sing wis ana. Butuh sawetara wektu kanggo ngerti carane nggunakake amarga wong lanang Cookie-Stuffing dudu peretas sing luwih maju, dheweke mung pemasar sing agresif kanthi kawruh coding sing sithik.
Sade informasi semi-diakses
Dadi, kita wis ndeleng carane entuk jumlah 6 angka, lan saiki ayo pindhah menyang pitung angka. Kita butuh dhuwit gedhe kanggo sugih utawa mati. Kita bakal ndeleng carane sampeyan bisa entuk dhuwit kanthi adol informasi sing bisa diakses. Business Wire misuwur banget sawetara taun kepungkur lan isih penting, kita ndeleng ana ing akeh situs. Kanggo sing ora ngerti, Business Wire nyedhiyakake layanan sing pangguna pangguna situs kasebut nampa siaran pers sing paling anyar saka ewonan perusahaan. Siaran pers dikirim menyang perusahaan iki dening macem-macem organisasi, sing kadhangkala tundhuk larangan utawa embargo sauntara, saengga informasi sing ana ing siaran pers kasebut bisa mengaruhi rega saham.
File siaran pers diunggah menyang server web Business Wire nanging ora disambung nganti embargo dicabut. Sauntara, kaca web siaran pers disambung menyang situs web utama, lan pangguna diwenehi kabar babagan URL kaya iki:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmMangkono, nalika sampeyan ana ing embargo, sampeyan ngirim data sing menarik ing situs kasebut supaya sanalika embargo diangkat, pangguna bakal langsung ngerti. Tautan kasebut tanggal lan dikirim menyang pangguna liwat email. Sawise larangan kasebut kadaluwarsa, link kasebut bakal bisa digunakake lan ngarahake pangguna menyang situs ing ngendi siaran pers sing cocog dipasang. Sadurunge menehi akses menyang kaca web siaran pers, sistem kudu verifikasi manawa pangguna wis mlebu kanthi sah.
Dheweke ora mriksa apa sampeyan duwe hak ndeleng informasi iki sadurunge embargo kadaluwarsa; sampeyan mung kudu mlebu menyang sistem. Supaya adoh misale jek ora mbebayani, nanging mung amarga sampeyan ora weruh soko ora ateges ora ana.
Perusahaan layanan finansial Estonia Lohmus Haavel & Viisemann, dudu peretas, nemokake manawa kaca web siaran pers dijenengi kanthi cara sing bisa ditebak lan wiwit ngira URL kasebut. Nalika pranala kasebut bisa uga durung ana amarga ana embargo, iki ora ateges peretas ora bisa ngira jeneng file lan kanthi mangkono entuk akses menyang file kasebut kanthi prematur. Cara iki bisa digunakake amarga mung mriksa keamanan Business Wire yaiku pangguna mlebu kanthi sah lan ora liya.
Mangkono, wong Estonia nampa informasi sadurunge pasar ditutup lan adol data kasebut. Nganti SEC nglacak dheweke lan beku akun, dheweke bisa entuk $ 8 yuta saka perdagangan informasi semi-diakses. Coba pikirake, kabeh sing ditindakake wong lanang iki yaiku ndeleng kaya apa tautan kasebut, coba tebak URL kasebut, lan entuk 8 yuta. Biasane ing wektu iki aku takon marang para rawuh apa iki dianggep legal utawa ilegal, apa iku dianggep dagang utawa ora. Nanging saiki aku mung pengin narik kawigaten sampeyan menyang sapa sing nindakake iki.
Sadurunge sampeyan nyoba mangsuli pitakon kasebut, aku bakal nuduhake slide sabanjure. Iki ora ana hubungane langsung karo penipuan online. Peretas Ukraina nyolong Thomson Financial, panyedhiya intelijen bisnis, lan nyolong data babagan kahanan finansial IMS Health sawetara jam sadurunge informasi kasebut kena ing pasar finansial. Ora ana sangsi sing guilty saka hacking.
Peretas nyelehake pesenan adol kanthi jumlah 42 ewu dolar, muter sadurunge tarif mudhun. Kanggo Ukraina iki jumlah gedhe, mula peretas ngerti apa sing ditindakake. Mudhun tiba ing rega saham nggawa dheweke babagan $ 300 ing bathi ing sawetara jam. Ijol-ijolan kasebut ngetokake "Bendera Merah", SEC beku dana, ngelingi yen ana sing salah, lan miwiti penyelidikan. Nanging, Hakim Naomi Reis Buchwald ujar manawa dana kasebut kudu dibebasake amarga tuduhan "nyolong lan dagang" lan "hacking lan dagang" sing disebabake Dorozhko ora nglanggar hukum sekuritas. Peretas dudu karyawan perusahaan iki, mula ora nglanggar undang-undang babagan pambocoran informasi finansial rahasia.
The Times nyaranake yen Departemen Kehakiman AS mung nganggep kasus kasebut minangka perkara sing ora ana gunane amarga angel njaluk panguwasa Ukraina setuju kerja sama kanggo nyekel pelaku. Dadi peretas iki entuk 300 ewu dolar kanthi gampang.
Saiki mbandhingake iki karo kasus sadurunge ing ngendi wong entuk dhuwit kanthi mung ngganti URL pranala ing browser lan adol informasi komersial. Iki cukup menarik, nanging ora mung cara kanggo nggawe dhuwit ing bursa saham.
Ayo nimbang koleksi informasi pasif. Biasane, sawise tuku online, panuku nampa kode pelacakan pesenan, sing bisa dadi urutan utawa pseudo-sequential lan katon kaya iki:
3200411
3200412
3200413
Kanthi sampeyan bisa nglacak pesenan sampeyan. Pentester utawa peretas nyoba nyusup URL kanggo entuk akses menyang data pesenan, biasane ngemot informasi pengenal pribadi (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Kanthi nggulung nomer kasebut, dheweke entuk akses menyang nomer kertu kredit panuku, alamat, jeneng lan informasi pribadhi liyane. Nanging, kita ora kasengsem ing informasi pribadhi klien, nanging ing urutan kode trek dhewe; kita kasengsem ing pengintaian pasif.
Seni nggambar kesimpulan
Coba "Seni Inferensi." Yen sampeyan bisa ngira kanthi akurat carane akeh "pesenan" perusahaan sing diproses ing pungkasan kuartal, banjur, adhedhasar data historis, sampeyan bisa nyimpulake manawa kahanan finansial apik lan kepiye rega saham bakal fluktuasi. Contone, sampeyan dhawuh utawa tuku soko ing awal waktu, iku ora Matter, lan banjur nggawe pesenan anyar ing mburi waktu. Adhedhasar prabédan ing nomer, siji bisa nyimpulake carane akeh pesenan diproses dening perusahaan ing wektu iki. Yen kita ngomong babagan sewu pesenan lawan satus ewu kanggo periode sadurunge sing padha, sampeyan bisa nganggep manawa perusahaan kasebut ora apik.
Nanging, kasunyatane asring nomer urutan kasebut bisa dipikolehi tanpa ngrampungake pesenan utawa pesenan sing banjur dibatalake. Muga-muga nomer kasebut ora bakal ditampilake ing kasus apa wae lan urutane bakal terus karo nomer kasebut:
3200418
3200419
3200420
Kanthi cara iki sampeyan ngerti sampeyan duwe kemampuan kanggo nglacak pesenan lan bisa miwiti ngumpulake informasi pasif saka situs sing diwenehake marang kita. Ora ngerti legal apa ora, mung ngerti yen bisa ditindakake.
Dadi, kita wis ndeleng macem-macem kekurangan logika bisnis.
Trey Ford: penyerang iku pengusaha. Padha nyana bali ing investasi. Teknologi sing luwih akeh, kode sing luwih gedhe lan luwih rumit, luwih akeh karya sing kudu ditindakake lan luwih gedhe kemungkinan kejiret. Nanging ana akeh cara sing nguntungake kanggo nindakake serangan tanpa gaweyan. Logika bisnis minangka bisnis gedhe, lan ana insentif gedhe kanggo para kriminal kanggo hack. Cacat logika bisnis minangka target utama kanggo para penjahat lan minangka perkara sing ora bisa dideteksi kanthi mung nglakokake scan utawa nindakake tes standar minangka bagean saka proses jaminan kualitas. Ana masalah psikologis ing QA sing diarani "confirmation bias" amarga, kaya manungsa, kita pengin ngerti yen kita bener. Mulane, perlu kanggo nganakake tes ing kahanan nyata.
Sampeyan kudu nyoba kabeh lan kabeh wong, amarga ora kabeh kerentanan bisa dideteksi ing tahap pangembangan kanthi nganalisa kode kasebut, utawa malah sajrone QA. Dadi sampeyan kudu ngliwati kabeh proses bisnis lan ngembangake kabeh langkah kanggo nglindhungi. Akeh sing bisa disinaoni saka sejarah amarga jinis serangan tartamtu bola-bali liwat wektu. Yen sampeyan tangi ing wayah wengi kanthi spike CPU, sampeyan bisa nganggep manawa sawetara peretas nyoba maneh nglacak kupon diskon sing bener. Cara nyata kanggo ngenali jinis serangan yaiku kanggo mirsani serangan aktif, amarga ngenali iku adhedhasar sajarah log bakal arang banget angel.
Jeremy Grossman: dadi iki sing kita sinau dina iki.
Ngira captcha bisa entuk jumlah dolar papat digit. Manipulasi sistem pembayaran online bakal nggawa hacker limang angka bathi. Bank-bank hacking bisa entuk bathi luwih saka limang angka, utamane yen sampeyan nindakake luwih saka sepisan.
Penipuan E-commerce bakal entuk dhuwit enem angka, nalika nggunakake jaringan afiliasi bakal nggawe sampeyan 5-6 angka utawa malah pitung angka. Yen sampeyan cukup wani, sampeyan bisa nyoba kanggo ngapusi pasar saham lan entuk bathi luwih saka pitung angka. Lan nggunakake metode RSnake ing kompetisi kanggo Chihuahua paling apik mung ora larang!
Slide anyar kanggo presentasi iki mbokmenawa ora mlebu ing CD, dadi sampeyan bisa ngundhuh mengko saka kaca blogku. Ana konferensi OPSEC sing bakal teka ing wulan September sing bakal daklakoni, lan aku mikir bakal bisa nggawe barang sing apik banget karo dheweke. Saiki, yen sampeyan duwe pitakon, kita siyap mangsuli.
Sawetara iklan 🙂
Matur nuwun kanggo tetep karo kita. Apa sampeyan seneng karo artikel kita? Pengin ndeleng konten sing luwih menarik? Ndhukung kita kanthi nggawe pesenan utawa menehi rekomendasi menyang kanca, , Diskon 30% kanggo pangguna Habr ing analog unik saka server level entri, sing diciptakake kanggo sampeyan: (kasedhiya karo RAID1 lan RAID10, munggah 24 intine lan nganti 40GB DDR4).
Dell R730xd 2 kaping luwih murah? Mung kene ing Walanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - saka $99! Maca babagan
Source: www.habr.com