Si sinn esou wäit gaang wéi d'Méiglechkeet ze diskutéieren datt UPS Chauffeuren de Verdächtege konfrontéieren. Loosst eis elo kucken ob dat wat op dësem Rutsch zitéiert ass legal ass?
Hei ass wat de FTC seet wann se gefrot ginn: "Soll ech en Artikel zréckginn oder bezuelen deen ech ni bestallt hunn?" - "Nee. Wann Dir en Artikel kritt deen Dir net bestallt hutt, hutt Dir d'gesetzlech Recht et als gratis Kaddo ze akzeptéieren." Kléngt dëst ethesch? Ech wäschen meng Hänn dovunner well ech net schlau genuch sinn fir sou Themen ze diskutéieren.
Awer wat interessant ass datt mir en Trend gesinn an deem wat manner Technologie mir benotzen, wat mir méi Sue maachen.
Affiliate Internet Bedruch
Jeremy Grossman: et ass wierklech ganz schwéier ze verstoen, awer Dir kënnt sechs Zuele vu Suen op dës Manéier maachen. Also, all d'Geschichten déi Dir héieren hutt hu richteg Linken an Dir kënnt alles am Detail liesen. Eng vun den interessantsten Aarte vu Internetbedruch ass Affiliate Bedruch. Online Geschäfter an Annonceuren benotzen Affiliate Netzwierker fir Traffic a Benotzer op hir Siten unzezéien am Austausch fir en Deel vun de Gewënn dovun.
Ech wäert iwwer eppes schwätzen, datt vill Leit iwwer Jore wousst, awer ech konnt net eng eenzeg ëffentlech Referenz fannen, déi weist wéi vill Verloscht dës Zort vu Betrug verursaacht huet. Souwäit ech weess, gouf et keng Prozesser, keng kriminell Ermëttlungen. Ech hu mat Fabrikatiouns-Entrepreneuren geschwat, ech hu mat Affiliate-Netzwierk Kärelen geschwat, ech hu mat Black Cats geschwat - si gleewen all datt Scammers eng enorm Zomm Suen aus Filialen gemaach hunn.
Huelt w.e.g. mäi Wuert dofir an iwwerpréift d'Hausaufgaben déi ech iwwer dës spezifesch Themen gemaach hunn. Fraudsters benotzen se fir 5-6-Zifferen ze maachen, an heiansdo siwen-Zifferen Mount, mat speziellen Techniken. Et gi Leit an dësem Sall, déi dat iwwerpréiwen kënnen, wa se net un engem Confidentialitéitsofkommes gebonnen sinn. Also ech weisen Iech wéi et funktionnéiert. Et gi verschidde Spiller an dësem Schema involvéiert. Dir wäert gesinn wat déi nächst Generatioun Partner "Spill" alles ass.
D'Spill betrëfft e Händler deen eng Websäit oder Produkt huet a Partnerkommissioune bezilt fir Benotzerklicken, Konten erstallt, Akeef gemaach, a sou weider. Dir bezuelt de Partner fir de Fakt datt een seng Websäit besicht, op e Link klickt, op d'Websäit vun Ärem Verkeefer geet an eppes do kaaft.
Deen nächste Spiller ass de Partner, dee Sue kritt a Form vu Käschte pro Klick (CPC) oder a Form vu Kommissiounen (CPA) fir de Keefer op d'Websäit vum Verkeefer ze redirectéieren.
Kommissiounen implizéieren datt als Resultat vun den Aktivitéiten vum Partner de Client e Kaf op der Websäit vum Verkeefer gemaach huet.
De Keefer ass déi Persoun déi Akeef mécht oder sech op d'Aktie vum Verkeefer abonnéiert.
Affiliate Netzwierker bidden Technologien déi d'Aktivitéite vum Verkeefer, Partner a Keefer verbannen an verfollegen. Si "gekollt" all d'Spiller zesummen a garantéieren hir Interaktioun.
Et kann Iech e puer Deeg oder e puer Wochen huelen fir erauszefannen wéi et alles funktionnéiert, awer et ass keng komplizéiert Technologie involvéiert. Affiliate Netzwierker an Affiliate Programmer decken all Typ vun Handel an all Mäert. Google, EBay, Amazon hunn se, hir Interessen als Kommissiounsagenten schneide sech, si sinn iwwerall a feelen net Akommes. Ech si sécher datt Dir wësst datt souguer Traffic vun Ärem Blog all Mount e puer honnert Dollar u Gewënn generéiere kann, sou datt dëst Schema einfach ass fir Iech ze verstoen.
Dëst ass wéi de System funktionnéiert. Dir affiliéiert e klenge Site, oder en elektronesche Bulletin Board, et ass egal, Dir ënnerschreift e Partnerprogramm a kritt e spezielle Link deen Dir op Ärer Internetsäit setzt. Et gesäit esou aus:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Dëst weist de spezifesche Partnerprogramm, Är Partner ID, an dësem Fall ass et 100, an den Numm vum Produkt dat verkaaft gëtt. A wann iergendeen op dëse Link klickt, leet de Browser him an d'Affiliate-Netzwierk, installéiert speziell Tracking-Cookien déi hien un d'Affiliate ID=100 verbannen.
Set-Cookie: AffiliateID=100A Viruleedungen op d'Säit vum Verkeefer. Wann de Keefer spéider e Produit bannent enger Zäit X kaaft, déi kann en Dag, eng Stonn, dräi Wochen, all ausgemaach Zäit sinn, a während dëser Zäit d'Cookien weider existéieren, da kritt de Partner seng Kommissioun.
Dëst ass wéi Affiliate Firmen Milliarden Dollar maachen mat effektiver SEO Taktiken. Loosst mech Iech e Beispill ginn. Déi nächst Rutsch weist d'Empfang, ech vergréisseren se elo fir Iech de Betrag ze weisen. Dëst ass e Scheck vu Google fir $132. Dësen Här säi Familljennumm ass Schumann, an hien huet e Reseau vu Werbewebsäiten. Dëst ass net all d'Suen, Google bezilt esou Zomme eemol am Mount oder eemol all 2 Méint.
Eng aner Scheck vu Google, ech wäert et vergréisseren an Dir gesitt datt et fir $ 901 ass.
Soll ech een iwwer d'Ethik froen fir Suen esou ze maachen? Rou an der Hal... Dëse Scheck stellt eng Bezuelung vun 2 Méint duer, well dee virdrun Scheck vun der Bank vum Empfänger verworf gouf, well de Betrag ze grouss ass.
Also, mir hu gesinn, datt esou Sue kënne gemaach ginn, an déi Sue ginn ausbezuelt. Wéi kënnt Dir dëse Schema schloen? Mir kënnen eng Technik genannt Cookie-Stuffing benotzen. Dëst ass e ganz einfacht Konzept dat 2001-2002 erschéngt, an dës Rutsch weist wéi et am Joer 2002 ausgesinn huet. Ech wäert Iech d'Geschicht vu senger Erscheinung erzielen.
Näischt manner wéi pesky Affiliate Network Servicebedéngungen erfuerdert datt e Benotzer tatsächlech e Link klickt fir datt hire Browser de Partner ID Cookie ophëlt.
Dir kënnt dës typesch geklickte URL automatesch an d'Bildquell oder iframe Tag lueden. An dësem Fall, amplaz vun engem Link:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Dir download dëst:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Oder dat:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>A wann de Benotzer op Ärer Säit landen, wäert hien automatesch de Partner Cookie ophuelen. Zur selwechter Zäit, egal ob hien eppes an der Zukunft kaaft, kritt Dir Är Kommissiounen, egal ob Dir de Verkéier ëmgeleet hutt oder net - et ass egal.
An de leschte Joren ass dëst e Verméigen fir SEO Kärelen ginn, déi ähnlecht Material op Message Boards posten an all Zort Szenarie entwéckelen fir wou soss hir Linken ze placéieren. Aggressiv Partner hu gemierkt datt se hire Code iwwerall um Internet placéiere kënnen, net nëmmen op hiren eegene Site.
An dëser Rutsch kënnt Dir gesinn datt se hir eege Cookie-Stuffing Programmer hunn, déi d'Benotzer hëllefen hir eege "gefüllte Cookien" ze maachen. An et ass net nëmmen ee Cookie, Dir kënnt gläichzäiteg 20-30 Partner IDen eropluede, a soubal een eppes kaaft, kritt Dir dofir bezuelt.
Dës Kärelen hu séier gemierkt datt se dëse Code net op hir Säite musse setzen. Si hunn Cross-Site Scripting opginn an hunn einfach ugefaang hir kleng Snippets mat HTML Code op Message Boards, Gaaschtbicher a sozialen Netzwierker ze posten.
Ëm 2005 hunn Händler a Partnernetzwierker erausfonnt wat lass war, ugefaang Referrer a Klickraten ze verfolgen, an ugefaang verdächteg Filialen erauszekréien. Zum Beispill hu se gemierkt datt e Benotzer op e MySpace Site geklickt huet, awer dee Site gehéiert zu engem komplett anere Partnernetz wéi deen deen de legitimen Benefice kritt.
Dës Kärelen sinn e bësse méi schlau ginn an 2007 ass eng nei Aart vu Cookie-Stuffing entstanen. Partner hunn ugefaang hire Code op SSL Säiten ze placéieren. Laut Hypertext Transfer Protocol RFC 2616, sollten d'Clienten net e Referer Headerfeld an enger onsécherer HTTP-Ufro enthalen, wann déi referenzéiert Säit vun engem séchere Protokoll migréiert gouf. Dëst ass well Dir net wëllt datt dës Informatioun aus Ärem Domain leeft.
Vun dësem ass et kloer datt all Referer, deen un e Partner geschéckt gëtt, net verfolgbar ass, sou datt d'Haaptpartner en eidele Link gesinn an Iech net fäeg sinn dofir erauszekréien. Elo hunn d'Scammers d'Méiglechkeet hir "gefëllte Cookien" mat Sträitlosegkeet ze maachen. Richteg, net all Browser erlaabt Iech dëst ze maachen, awer et gi vill aner Weeër fir datselwecht ze maachen mat der automatescher Erfrëschung vum Browser vun der aktueller Säit Meta-Refresh, Meta Tags oder JavaScript.
Am Joer 2008 hunn se ugefaang méi mächteg Hacking-Tools ze benotzen, wéi DNS-Rebinding Attacken, Gifar a béiswëlleg Flash Inhalt, déi existent Sécherheetsmodeller komplett zerstéieren. Et dauert eng Zäit fir erauszefannen wéi se se benotzen, well d'Cookie-Stuffing Kärelen net besonnesch fortgeschratt Hacker sinn, si sinn just aggressiv Vermaarter mat wéineg Kodéierungskenntnisser.
Verkafen semi-zougänglech Informatiounen
Also, mir hu gekuckt wéi 6-Figur Zommen ze verdéngen, a loosse mer elo op siwen-Figuren plënneren. Mir brauche grousst Geld fir räich ze ginn oder ze stierwen. Mir kucken wéi Dir Sue verdénge kënnt andeems Dir semi-zougänglech Informatioun verkaaft. Business Wire war virun e puer Joer ganz populär an et ass ëmmer nach wichteg, mir gesinn seng Präsenz op ville Siten. Fir déi déi et net wëssen, Business Wire stellt e Service zur Verfügung, wou registréiert Benotzer vum Site e Stream vun aktuellen Pressematdeelunge vun Dausende vu Firmen kréien. Pressematdeelungen gi vun verschiddenen Organisatiounen un dës Firma geschéckt, déi heiansdo temporäre Verbuet oder Embargo ënnerleien, sou datt d'Informatioun an dësen Pressematdeelungen de Präis vun den Aktien beaflosse kann.
Pressematdeelungsdateien ginn op de Business Wire Webserver eropgelueden awer sinn net verlinkt bis den Embargo opgehuewe gëtt. All déi Zäit sinn d'Pressematdeelungssäiten op d'Haaptwebsäit verlinkt, an d'Benotzer gi vun hinnen informéiert duerch URLen wéi dës:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmAlso, wärend Dir ënner dem Embargo sidd, post Dir interessant Donnéeën op de Site, sou datt soubal den Embargo opgehuewe gëtt, d'Benotzer se direkt vertraut ginn. Dës Linken sinn datéiert an un d'Benotzer per E-Mail geschéckt. Wann de Verbuet ofleeft, funktionnéiert de Link a féiert de Benotzer op de Site wou déi entspriechend Pressematdeelung gepost gëtt. Ier Dir Zougang zu der Pressematdeelung Websäit kritt, muss de System verifizéieren datt de Benotzer legal ageloggt ass.
Si iwwerpréiwen net ob Dir d'Recht hutt dës Informatioun ze gesinn ier den Embargo ofleeft, Dir musst Iech just op de System aloggen. Bis elo schéngt et harmlos, awer just well Dir eppes net gesitt heescht net datt et net do ass.
Déi estnesch Finanzdéngschtleeschtungsfirma Lohmus Haavel & Viisemann, guer net Hacker, hunn entdeckt datt d'Websäite vun der Pressematdeelung op eng prévisibel Manéier benannt goufen an hunn ugefaang dës URLen ze roden. Obwuel d'Links vläicht nach net existéieren well en Embargo a Kraaft ass, heescht dat net datt en Hacker den Dateinumm net kann roden an doduerch Zougang zu fréizäiteg kréien. Dës Method huet geschafft well Business Wire seng eenzeg Sécherheetskontroll war datt de Benotzer legal ageloggt war an näischt anescht.
Sou kruten d'Estonier Informatiounen ier de Maart zougemaach huet a verkaf dës Donnéeën. Bis de SEC se verfollegt an hir Konten gefruer huet, hu se et fäerdeg bruecht $ 8 Milliounen aus dem Handel mat semi-zougänglechen Informatioun ze verdéngen. Denkt drun, alles wat dës Kärelen gemaach hunn war kucken wéi d'Links ausgesinn hunn, probéiert d'URLen ze roden, an hunn 8 Millioune doraus gemaach. Normalerweis op dësem Punkt froen ech de Publikum ob dëst als legal oder illegal ugesi gëtt, ob et als Handel ugesi gëtt oder net. Awer fir de Moment wëll ech Iech just opmierksam maachen, wien dat gemaach huet.
Ier Dir probéiert dës Froen ze beäntweren, weisen ech Iech déi nächst Rutsch. Dëst ass net direkt mat Online Bedruch verbonnen. En ukraineschen Hacker huet den Thomson Financial, e Business Intelligence Provider gehackt, an huet Donnéeën iwwer d'finanziell Nout vun IMS Health Stonnen geklaut ier d'Informatioun op de Finanzmaart sollt kommen. Et gëtt keen Zweiwel datt hie schëlleg ass fir Hacking.
Den Hacker huet Verkafsbestellungen am Betrag vun 42 Tausend Dollar gesat, gespillt ier d'Tariffer erofgaange sinn. Fir d’Ukraine handelt et sech ëm e grousse Betrag, sou datt den Hacker gutt wousst, wat hien erakënnt. De plötzleche Réckgang vum Aktiepräis huet him bannent e puer Stonnen ongeféier $ 300 u Gewënn bruecht. Den Austausch huet e "roude Fändel" erausginn, de SEC huet d'Fongen gefruer, bemierkt datt eppes falsch gaang ass, an huet eng Enquête ugefaang. Wéi och ëmmer, d'Riichterin Naomi Reis Buchwald sot, datt d'Fongen net gefruer solle ginn, well d'Beleidegungen "Déifstall an Handel" an "Hacking an Handel", déi dem Dorozhko zougeschriwwe ginn, net d'Sécherheetsgesetzer verletzen. Den Hacker war keen Employé vun dëser Firma, an huet dofir keng Gesetzer iwwer d'Verëffentlechung vu vertrauleche finanziellen Informatioune verletzt.
D'Times huet virgeschloen datt den US Department of Justice einfach de Fall als nëtzlos ugesinn huet wéinst de Schwieregkeete fir d'ukrainesch Autoritéiten z'accordéieren fir ze kooperéieren fir den Täter ze fangen. Also krut dësen Hacker 300 dausend Dollar ganz einfach.
Elo vergläicht dëst mam fréiere Fall wou d'Leit Sue gemaach hunn andeems se einfach d'URLen vun de Linken an hirem Browser änneren a kommerziell Informatioune verkafen. Dëst sinn zimlech interessant, awer net déi eenzeg Weeër fir Suen op der Bourse ze maachen.
Loosst eis passiv Informatiounssammlung betruechten. Normalerweis kritt de Keefer no engem Online-Akaaf en Bestellungsverfolgungscode, dee sequenziell oder pseudo-sequenziell ka sinn a sou eppes ausgesäit:
3200411
3200412
3200413
Mat et kënnt Dir Är Bestellung verfollegen. Pentester oder Hacker probéieren URLen ze krauchen fir Zougang zu Bestellungsdaten ze kréien, normalerweis mat perséinlech erkennbarer Informatioun (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Andeems se duerch d'Zuelen scrollen, kréien se Zougang zu de Kreditkartennummeren, Adressen, Nimm an aner perséinlech Informatioun vum Keefer. Wéi och ëmmer, mir sinn net interesséiert an der perséinlecher Informatioun vum Client, mee an der Uerdnung Streck Code selwer mir sinn interesséiert passiv Opklärung.
D'Konscht fir Conclusiounen ze zéien
Betruecht "The Art of Inference." Wann Dir präziist schätze kënnt wéivill "Bestellungen" eng Firma um Enn vum Véierel veraarbecht, dann, baséiert op historeschen Donnéeën, kënnt Dir ofleeën ob hir finanziell Situatioun gutt ass a wéi seng Aktiepräis schwankt. Zum Beispill, Dir hutt eppes am Ufank vum Trimester bestallt oder kaaft, et ass egal, an dann eng nei Bestellung um Enn vum Trimester gemaach. Baséierend op den Ënnerscheed an Zuelen, kann ee schléissen wéi vill Bestellungen vun der Firma während dëser Zäit veraarbecht goufen. Wa mir iwwer dausend Bestellunge versus honnertdausend fir déi selwecht Period virdrun schwätzen, kënnt Dir unhuelen datt d'Firma schlecht geet.
Wéi och ëmmer, d'Tatsaach ass datt dacks dës Sequenznummere kënne kritt ginn ouni tatsächlech d'Bestellung ze kompletéieren oder eng Bestellung déi duerno annuléiert gëtt. Ech hoffen, datt dës Zuelen op alle Fall net ugewise ginn an d'Sequenz geet weider mat den Zuelen:
3200418
3200419
3200420
Op dës Manéier wësst Dir datt Dir d'Fäegkeet hutt Bestellungen ze verfolgen a kënnt ufänken passiv Informatioun vum Site ze sammelen deen se eis ubidden. Mir wëssen net ob et legal ass oder net, mir wëssen nëmmen datt et ka gemaach ginn.
Also hu mir verschidde Mängel vun der Geschäftslogik gekuckt.
Trey Ford: den Ugräifer sinn Geschäftsleit. Si erwaarden e Rendement op hir Investitioun. Wat méi Technologie, wat méi grouss a méi komplex de Code ass, wat méi Aarbecht muss gemaach ginn an wat d'Wahrscheinlechkeet méi grouss ass fir gefaangen ze ginn. Awer et gi vill ganz rentabel Weeër fir Attacken ouni Effort auszeféieren. Business Logik ass e grousst Geschäft, an et gëtt e groussen Ureiz fir Krimineller et ze hacken. Geschäftslogikfehler sinn e primärt Zil fir Krimineller a sinn eppes wat net festgestallt ka ginn andeems se einfach e Scan ausféieren oder Standardtesten als Deel vun engem Qualitéitssécherungsprozess ausféieren. Et gëtt e psychologesche Problem an der QA genannt "Confirmatiounsbias" well mir wéi Mënschen wësse wëllen datt mir Recht hunn. Dofir ass et néideg Tester an reelle Bedéngungen ze maachen.
Et ass néideg fir alles a jiddereen ze testen, well net all Schwachstelle kënnen an der Entwécklungsstadium erkannt ginn andeems de Code analyséiert, oder souguer während QA. Also musst Dir de ganze Geschäftsprozess duerchgoen an all Moossname entwéckelen fir et ze schützen. Vill kann aus der Geschicht geléiert ginn, well verschidden Aarte vun Attacke mat der Zäit widderholl ginn. Wann Dir eng Nuecht vun enger CPU Spike erwächt sidd, kënnt Dir dovun ausgoen datt e puer Hacker erëm probéiert gëlteg Remise Couponen ze verfollegen. Dee richtege Wee fir d'Aart vun Attack z'erkennen ass en aktiven Attack ze beobachten, well et op Basis vun der Loggeschicht erkennen wäert extrem schwéier sinn.
Jeremy Grossman: also hei ass wat mir haut geléiert hunn.
Den Captcha ze roden kann Iech e véier-Zifferen Dollar Betrag verdéngen. Manipulatioun online bezuelt Systemer bréngt engem Hacker fënnef-Figur Gewënn. Hacking Banken kënnen Iech gutt iwwer fënnef Zuelen am Gewënn verdéngen, besonnesch wann Dir et méi wéi eemol maacht.
E-Commerce Scams wäerten Iech sechs Zuele vu Suen bréngen, wärend Dir Affiliate Netzwierker benotzt 5-6 Figuren oder souguer siwe Figuren. Wann Dir couragéiert genuch ass, kënnt Dir probéieren d'Bourse ze narren a méi wéi siwen-Figur Gewënn ze kréien. A benotzt d'RSnake Method a Concoursen fir dee beschten Chihuahua ass einfach onerwaart!
Déi nei Rutschen fir dës Presentatioun sinn wahrscheinlech net op d'CD gepackt, also kënnt Dir se spéider vu menger Blog Säit eroflueden. Am September ass eng OPSEC Konferenz op déi ech wäert besichen, an ech mengen, mir wäerten fäeg sinn e puer wierklech cool Saachen mat hinnen ze kreéieren. Elo, wann Dir Froen hutt, si mir prett se ze beäntweren.
Puer Annoncen 🙂
Merci datt Dir bei eis bleift. Hutt Dir eis Artikelen gär? Wëllt Dir méi interessant Inhalt gesinn? Ënnerstëtzt eis andeems Dir eng Bestellung maacht oder Frënn empfeelt, , 30% Remise fir Habr Benotzer op engem eenzegaartegen Analog vun Entry-Level Serveren, dee vun eis fir Iech erfonnt gouf: (verfügbar mat RAID1 an RAID10, bis zu 24 Kären a bis zu 40GB DDR4).
Dell R730xd 2 Mol méi bëlleg? Nëmmen hei an Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vun $99! Liest iwwer
Source: will.com