Алар UPS айдоочуларын шектүү менен беттештирүү мүмкүнчүлүгүн талкуулоого чейин барышты. Эми бул слайдда келтирилгендер мыйзамдуубу, текшерип көрөлү?
Бул жерде FTC: "Мен эч качан заказ кылбаган буюмду кайтарып беришим керекпи же төлөшүм керекпи?" - "Жок. Эгер сиз заказ кылбаган буюмду алсаңыз, аны бекер белек катары кабыл алууга мыйзамдуу укугуңуз бар». Бул этикалык угулабы? Мен мындай нерселерди талкуулоого акылым жетпегендиктен колумду жууйм.
Бирок эң кызыгы, биз технологияны канчалык аз колдонсок, ошончолук көп акча таба турган тенденцияны көрүп жатабыз.
Affiliate Интернет алдамчылык
Джереми Гроссман: аны түшүнүү чындыгында абдан кыйын, бирок ушундай жол менен алты цифра акча жасай аласыз. Ошентип, сиз уккан бардык окуялардын чыныгы шилтемелери бар жана сиз мунун бардыгын майда-чүйдөсүнө чейин окуй аласыз. Интернет алдамчылыктын эң кызыктуу түрлөрүнүн бири - өнөктөштүк алдамчылык. Интернет-дүкөндөр жана жарнак берүүчүлөр трафикти жана колдонуучуларды өз сайттарына тартуу үчүн филиалдык тармактарды колдонушат.
Мен көп адамдар көп жылдар бою билген нерсе жөнүндө айткым келет, бирок бул шылуундуктун түрү канчалык зыян келтиргенин көрсөткөн бир дагы коомдук маалымдаманы таба алган жокмун. Менин билишимче, эч кандай соттук териштирүү, кылмыш иши козголгон эмес. Мен өндүрүштүк ишкерлер менен сүйлөштүм, аффилирленген тармактын балдары менен сүйлөштүм, мен Black Cats менен сүйлөштүм – алардын баары шылуундар филиалдардан чоң суммадагы акча табышкан деп эсептешет.
Сураныч, менин сөзүмдү кабыл алып, ушул конкреттүү маселелер боюнча аткарган үй тапшырмамды карап көрүңүз. Алдамчылар атайын ыкмалар менен ай сайын 5-6, кээде жети орундуу суммаларды жасап турушат. Бул бөлмөдө купуялуулук келишими менен байланышпаган болсо, муну текшере турган адамдар бар. Ошентип, мен сага анын кантип иштээрин көрсөтөм. Бул схемага катышкан бир нече оюнчулар бар. Сиз кийинки муундун өнөктөштүк "оюну" эмне жөнүндө экенин көрөсүз.
Оюнга веб-сайты же продуктусу бар жана колдонуучу чыкылдатуулары, түзүлгөн эсептер, сатып алуулар жана башкалар үчүн филиалдарга комиссияларды төлөгөн соодагер кирет. Кимдир бирөө анын веб-сайтына кирип, шилтемени чыкылдатып, сатуучуңуздун веб-сайтына кирип, ал жерден бир нерсе сатып алганы үчүн сиз филиалга төлөйсүз.
Кийинки оюнчу - бул филиал, ал акчаны чыкылдатуу үчүн чыгым (CPC) түрүндө же сатып алуучуларды сатуучунун веб-сайтына багыттоо үчүн комиссия (CPA) түрүндө алат.
Комиссиялар өнөктөштүн иш-аракеттеринин натыйжасында, кардар сатуучунун веб-сайтында сатып алганын билдирет.
Сатып алуучу - бул сатуучунун акцияларын сатып алган же ага жазылган адам.
Affiliate тармактары сатуучунун, өнөктөштүн жана сатып алуучунун иш-аракеттерин бириктирүүчү жана көзөмөлдөөчү технологияларды камсыз кылат. Алар бардык оюнчуларды «жабыштырып», алардын өз ара аракеттенүүсүн камсыздайт.
Мунун баары кантип иштээрин түшүнүү үчүн бир нече күн же бир нече жума талап кылынышы мүмкүн, бирок бул жерде татаал технология жок. Affiliate тармактары жана өнөктөштүк программалар сооданын бардык түрлөрүн жана бардык рынокторду камтыйт. Google, EBay, Amazon бар, алардын комиссиялык агенттери катары кызыкчылыктары кесилишет, алар бардык жерде жана кирешеси жок эмес. Сиздин блогуңуздан келген трафик ай сайын бир нече жүз доллар пайда алып келерин билесиз деп ишенем, андыктан бул схема сиз үчүн оңой болот.
Система ушундайча иштейт. Сиз кичинекей сайтты же электрондук тактаны аффилирлейсиз, бул маанилүү эмес, сиз өнөктөштүк программасына кол коюп, интернет баракчаңызга жайгаштырган атайын шилтемени аласыз. Бул төмөнкүдөй көрүнөт:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Бул конкреттүү өнөктөштүк программасын, сиздин өнөктөш ID'ңизди, бул учурда 100 жана сатылып жаткан продуктунун аталышын көрсөтөт. Ал эми кимдир бирөө бул шилтемени чыкылдатса, браузер аны филиалдык тармакка багыттайт, аны ID=100 филиалына байланыштырган атайын көзөмөлдөө кукилерин орнотот.
Set-Cookie: AffiliateID=100Жана сатуучунун баракчасына багыттайт. Эгерде сатып алуучу кийинчерээк X убактысынын ичинде кандайдыр бир продуктуну сатып алса, ал бир күн, бир саат, үч жума, каалаган макулдашылган убакыт болушу мүмкүн жана бул убакыттын ичинде кукилер бар болсо, анда филиал өзүнүн комиссиясын алат.
Кантип филиалдык компаниялар натыйжалуу SEO тактикасын колдонуу менен миллиарддаган доллар табышат. Мен бир мисал келтирейин. Кийинки слайд дүмүрчөктү көрсөтөт, мен азыр сумманы көрсөтүү үчүн аны чоңойтом. Бул Google тарабынан 132 2 долларлык чек. Бул мырзанын фамилиясы Шуман жана ал жарнамалык сайттардын тармагына ээ. Бул акчанын баары эмес, Google мындай суммаларды айына бир же XNUMX айда бир жолу төлөп турат.
Google'дан дагы бир чек, мен аны чоңойтуп коём, сиз анын баасы 901 XNUMX доллар экенин көрөсүз.
Ушинтип акча табуунун этикасын бирөөдөн сурашым керекпи? Залда жымжырттык... Бул чек 2 айлык төлөмдү билдирет, анткени мурунку чекти алуучунун банкы төлөмдүн суммасы өтө чоң болгондугуна байланыштуу четке каккан.
Демек, мындай акчаны тапса болорун, бул акчалар төлөнүп жатканын көрдүк. Бул схеманы кантип жеңе аласыз? Биз Cookie-Tuffing деп аталган ыкманы колдоно алабыз. Бул 2001-2002-жылдары пайда болгон абдан жөнөкөй түшүнүк жана бул слайд анын 2002-жылы кандай болгонун көрсөтөт. Мен анын пайда болуу тарыхын айтып берем.
Өнөктөштүк түйүнүн тейлөө шарттарынан башка эч нерсе жок, колдонуучу чындыгында өзүнүн браузери филиалдын ID кукисин алышы үчүн шилтемени басышын талап кылат.
Бул адатта чыкылдатылган URL дарегин сүрөт булагына же iframe тегине автоматтык түрдө жүктөсөңүз болот. Бул учурда, шилтеменин ордуна:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Сиз муну жүктөп алыңыз:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Же бул:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Жана колдонуучу сиздин баракчаңызга киргенде, ал автоматтык түрдө өнөктөш кукисин алат. Ошол эле учурда, ал келечекте бир нерсе сатып алабы, жокпу, сиз өз комиссияңызды аласыз, трафикти кайра багыттадыңызбы же жокпу - бул маанилүү эмес.
Акыркы бир нече жыл ичинде бул билдирүүлөр такталарына окшош материалдарды жайгаштырган жана шилтемелерди башка жерге жайгаштыруу үчүн ар кандай сценарийлерди иштеп чыккан SEO жигиттери үчүн оюнга айланды. Агрессивдүү өнөктөштөр өздөрүнүн кодун өз сайттарында эле эмес, Интернеттин каалаган жеринде жайгаштырса болорун түшүнүштү.
Бул слайдда сиз алардын Cookie-Tooling программалары бар экенин көрө аласыз, алар колдонуучуларга өздөрүнүн "толтурулган кукилерди" жасоого жардам берет. Жана бул бир гана куки эмес, сиз бир эле учурда 20-30 өнөктөш ID жүктөй аласыз жана кимдир бирөө бир нерсе сатып алса, сиз ал үчүн акча аласыз.
Бул балдар бат эле бул кодду өз баракчаларына коюунун кажети жок экенин түшүнүштү. Алар сайттар аралык скрипттен баш тартышты жана жөн гана HTML коду бар кичинекей үзүндүлөрүн билдирүүлөр такталарына, коноктор китептерине жана социалдык тармактарга жайгаштыра башташты.
Болжол менен 2005-жылы, соодагерлер жана аффилирленген тармактар эмне болуп жатканын түшүнүп, шилтеме берүүчүлөргө жана чыкылдатууларга көз салып, шектүү филиалдарды чыгара башташты. Мисалы, алар колдонуучу MySpace сайтын басканын байкашкан, бирок бул сайт мыйзамдуу пайда алганга караганда таптакыр башка филиалдык тармакка таандык.
Бул балдар бир аз акылдуу болуп, 2007-жылы Cookie-Tuffingдин жаңы түрү пайда болгон. Өнөктөштөр коддорун SSL баракчаларына жайгаштыра башташты. Hypertext Transfer Protocol RFC 2616 ылайык, эгер шилтеме берүүчү бет коопсуз протоколдон көчүрүлгөн болсо, кардарлар кооптуу HTTP сурамында Referer баш талааны кошпоосу керек. Себеби бул маалыматтын домениңизден агып кетишин каалабайсыз.
Ушундан көрүнүп тургандай, өнөктөшкө жөнөтүлгөн ар бир Referer көзөмөлдөнбөйт, андыктан негизги өнөктөштөр бош шилтемени көрүшөт жана ал үчүн сизди кууп чыга алышпайт. Эми шылуундар жазасыз эле "толтурулган кукилерди" жасоого мүмкүнчүлүк алышты. Ырас, ар бир браузер муну жасоого мүмкүндүк бербейт, бирок браузердин учурдагы беттин мета-жаңылоосун, мета тегдерин же JavaScriptти автоматтык түрдө жаңыртуусу аркылуу бир эле нерсени жасоонун көптөгөн башка жолдору бар.
2008-жылы алар DNS rebinding чабуулдары, Gifar жана учурдагы коопсуздук моделдерин толугу менен жок кыла турган зыяндуу Flash мазмуну сыяктуу күчтүү хакерлик куралдарды колдоно башташты. Аларды кантип колдонууну түшүнүү бир аз убакытты талап кылат, анткени Cookie-Tuffing балдар өзгөчө өнүккөн хакерлер эмес, алар жөн гана коддоо боюнча аз билими бар агрессивдүү маркетологдор.
Жарым жеткиликтүү маалыматты сатуу
Ошентип, биз 6 цифралык сумманы кантип тапса болорун карап чыктык, эми жети цифрага өтөбүз. Байыш үчүн же өлүш үчүн чоң акча керек. Жарым жеткиликтүү маалыматты сатуу менен кантип акча тапса болорун карап чыгабыз. Business Wire бир нече жыл мурун абдан популярдуу болгон жана ал дагы эле маанилүү, биз көптөгөн сайттарда анын бар экенин көрөбүз. Билбегендер үчүн Business Wire сайттын катталган колдонуучулары миңдеген компаниялардан заманбап пресс-релиздердин агымын ала турган кызматты сунуштайт. Пресс-релиздерди бул компанияга ар кандай уюмдар жөнөтүшөт, алар кээде убактылуу тыюу салууларга же эмбарголорго дуушар болушат, ошондуктан бул пресс-релиздерде камтылган маалыматтар акциялардын баасына таасир этиши мүмкүн.
Пресс-релиз файлдары Business Wire веб-серверине жүктөлөт, бирок эмбарго алынганга чейин байланыштырылбайт. Ошол эле учурда, пресс-релиздин веб-баракчалары негизги веб-сайтка шилтемеленген жана колдонуучуларга алар жөнүндө төмөнкүдөй URL даректери аркылуу кабарланат:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmОшентип, эмбарго астында турганыңызда, эмбарго алынаары менен колдонуучулар аны менен дароо таанышып калыш үчүн сайтка кызыктуу маалыматтарды жайгаштырасыз. Бул шилтемелер датасы жана электрондук почта аркылуу колдонуучуларга жөнөтүлөт. Тыюу салуу мөөнөтү аяктагандан кийин, шилтеме иштеп, колдонуучуну тиешелүү пресс-релиз жайгаштырылган сайтка багыттайт. Пресс-релиздин веб-баракчасына кирүү мүмкүнчүлүгүн берүүдөн мурун, система колдонуучунун мыйзамдуу түрдө киргендигин текшериши керек.
Эмбаргонун мөөнөтү бүтө электе бул маалыматты көрүүгө укугуңуз бар-жогун текшеришпейт, сиз жөн гана системага кириңиз. Азырынча бул зыянсыз көрүнөт, бирок сиз бир нерсени көрбөй жатсаңыз, бул ал жерде жок дегенди билдирбейт.
Эстониялык каржы кызматтары компаниясы Lohmus Haavel & Viisemann, такыр хакерлер эмес, пресс-релиздин веб-баракчаларынын аталышы алдын ала болоорун аныктап, ал URL даректерин таба башташты. Шилтемелер эмбарго күчүндө болгондуктан, али жок болушу мүмкүн, бирок бул хакер файлдын атын таба албайт жана ага мөөнөтүнөн мурда кире албайт дегенди билдирбейт. Бул ыкма иштеди, анткени Business Wire'дун жалгыз коопсуздук текшерүүсү колдонуучунун мыйзамдуу түрдө киргендигин жана башка эч нерсе жок экенин көрсөткөн.
Ошентип, эстониялыктар базар жабылганга чейин маалымат алып, бул маалыматтарды сатышкан. SEC алардын изине түшүп, эсептерин тоңдурганга чейин, алар жарым-жартылай жеткиликтүү маалыматты соодалоодон 8 миллион доллар таба алышкан. Ойлоп көрүңүз, бул балдардын баары шилтемелердин кандай экенин карап, URL даректерин болжолдоого аракет кылып, андан 8 млн. Адатта, ушул учурда мен аудиториядан бул мыйзамдуу же мыйзамсыз деп эсептелеби, соода болуп эсептелеби же жокпу деп сурайм. Азырынча мен муну ким кылганына көңүлүңүздү бургум келет.
Бул суроолорго жооп берүүдөн мурун мен сизге кийинки слайдды көрсөтөм. Бул түздөн-түз онлайн алдамчылык менен байланышы жок. Украиналык хакер Thomson Financial аттуу бизнес чалгындоо провайдерин бузуп, маалымат каржы рыногуна түшө электе IMS Health компаниясынын каржылык кыйынчылыгы тууралуу маалыматтарды уурдап кеткен. Ал хакердик үчүн күнөөлүү экенинде шек жок.
Хакер ставкалар түшө электе ойноп, 42 миң долларга сатууга буйрук берген. Украина үчүн бул чоң сумма, андыктан хакер эмнеге кирип жатканын жакшы билген. Акциялардын баасынын кескин төмөндөшү ага бир нече сааттын ичинде 300 XNUMX долларга жакын киреше алып келди. алмашуу "Кызыл желек" коюп, SEC бир нерсе туура эмес болуп жатканын байкап, каражаттарды тоңдурду жана тергөө баштады. Бирок, судья Наоми Рейс Бухвальд "уурулук жана соодалоо" жана "хакердик жана соодалоо" деген Дорожкого коюлган айыптар баалуу кагаздар боюнча мыйзамдарды бузбагандыктан, каражаттар тоңдурулушу керек деп билдирди. Хакер бул компаниянын кызматкери болгон эмес, ошондуктан жашыруун каржылык маалыматты ачыкка чыгаруу боюнча эч кандай мыйзамдарды бузган эмес.
The Times АКШнын Юстиция министрлиги украин бийликтерине кылмышкерди кармоодо кызматташууга макулдук берүү кыйынчылыгынан улам бул ишти жөн эле курулай иш деп эсептейт деп сунуштады. Ошентип бул хакер 300 миң долларды оңой эле алды.
Эми муну адамдар жөн гана браузериндеги шилтемелердин URL даректерин өзгөртүү жана коммерциялык маалыматты сатуу менен акча тапкан мурунку учурга салыштырыңыз. Бул абдан кызыктуу, бирок биржада акча жасоонун жалгыз жолу эмес.
Пассивдүү маалымат чогултууну карап көрөлү. Адатта, онлайн сатып алуудан кийин сатып алуучу заказды көзөмөлдөө кодун алат, ал ырааттуу же псевдо-ырааттуу болушу мүмкүн жана төмөнкүдөй көрүнөт:
3200411
3200412
3200413
Анын жардамы менен сиз заказыңызды көзөмөлдөй аласыз. Пентестер же хакерлер, адатта, инсанды аныктоочу маалыматты (PII) камтыган буйрутма маалыматтарына жетүү үчүн URL даректерин сүзүүгө аракет кылышат:
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Сандарды жылдырып, алар сатып алуучунун кредиттик картасынын номерлерине, даректерине, ысымдарына жана башка жеке маалыматтарына мүмкүнчүлүк алышат. Бирок, бизди кардардын жеке маалыматы кызыктырбайт, бирок биз пассивдүү чалгындоого кызыкдарбыз.
Жыйынтык чыгаруу чеберчилиги
«Чыгым чыгаруу искусствосун» карап көрөлү. Эгерде сиз чейректин аягында компания канча “заказ” иштеп жатканын так эсептей алсаңыз, анда тарыхый маалыматтарга таянып, анын каржылык абалы жакшыбы же жокпу, акциянын баасы кандай өзгөрөөрүн аныктай аласыз. Мисалы, сиз чейректин башында бир нерсеге буйрук бердиңиз же сатып алдыңыз, бул маанилүү эмес, андан кийин чейректин аягында жаңы буйрук жасадыңыз. Сандардын айырмачылыгына таянып, бул убакыттын ичинде компания тарабынан канча буйрутма иштелип чыккан деген тыянак чыгарууга болот. Эгерде биз ошол эле мезгилдеги жүз миңге каршы миң заказ жөнүндө сөз кыла турган болсок, анда компания начар иштеп жатат деп божомолдоого болот.
Бирок, көп учурда бул ырааттуу номерлерди иш жүзүндө буйрук же кийинчерээк жокко чыгарылган буйрук аткарылбай туруп алууга болот. Бул сандар эч кандай учурда көрсөтүлбөйт жана ырааттуулук сандар менен уланат деп үмүттөнөм:
3200418
3200419
3200420
Ушундай жол менен сиз буйрутмаларга көз салуу мүмкүнчүлүгүңүз бар экенин билесиз жана алар бизге берген сайттан маалыматты пассивдүү чогулта баштасаңыз болот. Бул мыйзамдуубу же жокпу, билбейбиз, муну жасоого болорун гана билебиз.
Ошентип, биз бизнес логикасынын ар кандай кемчиликтерин карап чыктык.
Трей Форд: кол салгандар бизнесмендер. Алар инвестициянын кайтарымын күтүшөт. Технология канчалык көп болсо, код ошончолук чоңураак жана татаалыраак болсо, ошончолук көп жумуш аткарылышы керек жана кармалып калуу ыктымалдыгы ошончолук жогору. Бирок эч кандай күч-аракет жумшабастан кол салууларды жасоонун көптөгөн пайдалуу жолдору бар. Бизнес логикасы - бул чоң бизнес жана аны бузуп алуу үчүн кылмышкерлер үчүн чоң стимул бар. Бизнес логикалык мүчүлүштүктөр кылмышкерлер үчүн негизги максат болуп саналат жана сапатты камсыздоо процессинин бир бөлүгү катары сканерлөө же стандарттык тестирлөө аркылуу аныктоо мүмкүн эмес. QAда психологиялык көйгөй бар, анткени адамдар сыяктуу эле биз туура экенибизди билгибиз келет. Андыктан тестирлөө реалдуу шарттарда жүргүзүлүшү керек.
Баарын жана бардыгын сынап көрүү керек, анткени кодду талдоо менен иштеп чыгуу стадиясында, атүгүл QA учурунда бардык аялууларды аныктоо мүмкүн эмес. Демек, сиз бүткүл бизнес процессинен өтүп, аны коргоо үчүн бардык чараларды иштеп чыгышыңыз керек. Тарыхтан көп нерсени үйрөнсө болот, анткени кол салуулардын айрым түрлөрү убакыттын өтүшү менен кайталанат. Эгер сизди бир түнү CPU ылдамдыгы ойгонсо, анда кээ бир хакерлер кайрадан жарактуу арзандатуу купондорун издөөгө аракет кылып жатат деп ойлосоңуз болот. Чабуул түрүн таануунун чыныгы жолу - активдүү чабуулду байкоо, анткени аны журналдын тарыхынын негизинде таануу өтө кыйын болот.
Джереми Гроссман: ошондуктан биз бүгүн эмнени үйрөндүк.
Капчаны болжолдоо сизге төрт орундуу долларлык сумманы табышы мүмкүн. Онлайн төлөм системаларын манипуляциялоо хакерге беш цифралык киреше алып келет. Хакердик банктар сизге беш сандан ашык киреше алып келиши мүмкүн, өзгөчө, эгер сиз муну бир нече жолу жасасаңыз.
Электрондук коммерция шылуундары сизге алты цифралык акча алып келет, ал эми филиалдык тармактарды колдонуу сизге 5-6 цифраны же атүгүл жети цифраны алып келет. Эгер жетиштүү эр жүрөк болсо, анда биржада алдамчылык аракет жана жети сандан ашык киреше алууга болот. Ал эми RSnake ыкмасын мыкты Чиуауа үчүн мелдештерде колдонуу - бул жөн эле баа жеткис!
Бул презентациянын жаңы слайддары компакт-дискке түшпөгөндүктөн, аларды кийинчерээк менин блог баракчамдан жүктөп алсаңыз болот. Сентябрда келе жаткан OPSEC конференциясы бар, ага мен катышам жана биз алар менен чындап эле сонун нерселерди түзө алабыз деп ойлойм. Эми суроолоруңуз болсо, биз аларга жооп берүүгө даярбыз.
Кээ бир жарнамалар 🙂
Биз менен болгонуңуз үчүн рахмат. Биздин макалалар сизге жагабы? Көбүрөөк кызыктуу мазмунду көргүңүз келеби? Буйрутма берүү же досторуңузга сунуштоо менен бизди колдоңуз, , Habr колдонуучулары үчүн биз сиз үчүн ойлоп тапкан баштапкы деңгээлдеги серверлердин уникалдуу аналогуна 30% арзандатуу: (RAID1 жана RAID10 менен жеткиликтүү, 24 өзөккө чейин жана 40 ГБ DDR4 чейин).
Dell R730xd 2 эсе арзанбы? Бул жерде гана Нидерландыда! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 доллардан! Жөнүндө окуу
Source: www.habr.com