Jie nuėjo taip toli, kad aptartų galimybę UPS vairuotojams susidurti su įtariamuoju. Dabar patikrinkime, ar tai, kas cituojama šioje skaidrėje, yra teisėta?
Štai ką FTC atsako į klausimą: „Ar turėčiau grąžinti prekę, kurios niekada neužsisakiau, ar sumokėti už ją? - "Ne. Jei gaunate prekę, kurios neužsakėte, turite teisę priimti ją kaip nemokamą dovaną. Ar tai skamba etiškai? Aš nusiplaunu rankas, nes nesu pakankamai protingas tokiais klausimais diskutuoti.
Tačiau įdomu tai, kad matome tendenciją, kad kuo mažiau technologijų naudojame, tuo daugiau uždirbame.
Partnerių interneto sukčiavimas
Jeremy Grossmanas: tai tikrai labai sunku suprasti, bet tokiu būdu galite uždirbti šešiaženklius pinigus. Taigi, visos išgirstos istorijos turi tikras nuorodas ir apie visa tai galite perskaityti išsamiai. Viena įdomiausių sukčiavimo internete rūšių yra sukčiavimas su filialais. Internetinės parduotuvės ir reklamuotojai naudojasi filialų tinklais, kad pritrauktų srautą ir vartotojus į savo svetaines mainais už dalį iš to gauto pelno.
Kalbėsiu apie tai, apie ką daug žmonių žinojo jau daugelį metų, bet man nepavyko rasti nei vienos viešos nuorodos, nurodančios, kiek nuostolių padarė tokio pobūdžio sukčiavimas. Kiek žinau, jokių teisminių procesų, kriminalinių tyrimų nebuvo. Kalbėjausi su gamybos verslininkais, su filialų tinklo vaikinais, su „Black Cats“ – jie visi tiki, kad sukčiai iš filialų uždirbo didžiulę pinigų sumą.
Laikykitės mano žodžio ir peržiūrėkite namų darbus, kuriuos atlikau šiais konkrečiais klausimais. Sukčiai jais specialia technika kas mėnesį padaro 5-6, o kartais ir septynių skaitmenų sumas. Šiame kambaryje yra žmonių, kurie gali tai patikrinti, jei nesaisto konfidencialumo sutarties. Taigi aš jums parodysiu, kaip tai veikia. Šioje schemoje dalyvauja keli žaidėjai. Pamatysite, koks yra naujos kartos filialo „žaidimas“.
Žaidime dalyvauja prekybininkas, kuris turi svetainę ar produktą ir moka filialams komisinius už vartotojo paspaudimus, sukurtas paskyras, pirkinius ir pan. Mokate filialui už tai, kad kažkas apsilanko jo svetainėje, paspaudžia nuorodą, nueina į jūsų pardavėjo svetainę ir ką nors ten nusiperka.
Kitas žaidėjas yra filialas, kuris gauna pinigus mokesčio už paspaudimą (MUP) arba komisinių (CPA) forma už pirkėjų nukreipimą į pardavėjo svetainę.
Komisiniai reiškia, kad dėl partnerio veiklos klientas pirko pardavėjo svetainėje.
Pirkėjas yra asmuo, kuris perka arba pasirašo pardavėjo akcijas.
Filialų tinklai teikia technologijas, kurios sujungia ir seka pardavėjo, partnerio ir pirkėjo veiklą. Jie „sulipdo“ visus žaidėjus ir užtikrina jų sąveiką.
Gali prireikti kelių dienų ar kelių savaičių, kad suprastumėte, kaip visa tai veikia, tačiau nėra sudėtingos technologijos. Partnerių tinklai ir filialų programos apima visų tipų prekybą ir visas rinkas. Jų turi Google, EBay, Amazon, jų, kaip komiso agentų, interesai susikerta, jie yra visur ir nestokoja pajamų. Esu tikras, kad žinote, kad net srautas iš jūsų tinklaraščio kiekvieną mėnesį gali atnešti kelis šimtus dolerių pelno, todėl šią schemą jums bus lengva suprasti.
Taip veikia sistema. Prijungiate nedidelę svetainę ar elektroninę skelbimų lentą, nesvarbu, jūs pasirašote partnerių programą ir gaunate specialią nuorodą, kurią įdedate į savo interneto puslapį. Tai atrodo taip:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Čia rodoma konkreti filialo programa, jūsų filialo ID, šiuo atveju jis yra 100, ir parduodamo produkto pavadinimas. O jei kas nors paspaudžia šią nuorodą, naršyklė nukreipia jį į filialų tinklą, įdiegia specialius sekimo slapukus, kurie susieja jį su filialo ID=100.
Set-Cookie: AffiliateID=100Ir nukreipia į pardavėjo puslapį. Jei pirkėjas vėliau įsigyja kokią nors prekę per laikotarpį X, kuris gali būti diena, valanda, trys savaitės, bet koks sutartas laikas, ir per tą laiką slapukai išlieka, filialas gauna komisinius.
Taip dukterinės įmonės uždirba milijardus dolerių naudodamos efektyvią SEO taktiką. Pateiksiu pavyzdį. Kitoje skaidrėje rodomas kvitas, dabar jį padidinsiu, kad parodyčiau sumą. Tai 132 2 USD čekis iš „Google“. Šio džentelmeno pavardė yra Schumann, jam priklauso reklaminių svetainių tinklas. Tai dar ne visi pinigai, tokias sumas Google moka kartą per mėnesį arba kartą per XNUMX mėnesius.
Kitas čekis iš Google, aš jį padidinsiu ir pamatysite, kad jis kainuoja 901 XNUMX USD.
Ar turėčiau ko nors paklausti apie tokio pinigų uždirbimo etiką? Tyla salėje... Šis čekis reiškia mokėjimą už 2 mėnesius, nes ankstesnį čekį atmetė gavėjo bankas dėl per didelės mokėjimo sumos.
Taigi, mes pamatėme, kad tokius pinigus galima uždirbti, ir šie pinigai yra išmokami. Kaip galite įveikti šią schemą? Galime naudoti techniką, vadinamą sausainių įdaru. Tai labai paprasta koncepcija, kuri pasirodė 2001–2002 m., o ši skaidrė parodo, kaip ji atrodė 2002 m. Papasakosiu jums jos atsiradimo istoriją.
Be jokių įkyrių filialų tinklo paslaugų teikimo sąlygų reikalaujama, kad vartotojas iš tikrųjų spustelėtų nuorodą, kad jo naršyklė paimtų filialo ID slapuką.
Šį paprastai spustelėtą URL galite automatiškai įkelti į vaizdo šaltinį arba „iframe“ žymą. Šiuo atveju vietoj nuorodos:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Jūs atsisiunčiate tai:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Arba tai:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Kai vartotojas patenka į jūsų puslapį, jis automatiškai pasiims filialo slapuką. Tuo pačiu metu, nepaisant to, ar jis ką nors pirks ateityje, jūs gausite komisinius, nesvarbu, ar nukreipėte srautą, ar ne - nesvarbu.
Per pastaruosius kelerius metus tai tapo SEO vaikinų, kurie skelbia panašią medžiagą pranešimų lentose ir kuria įvairiausius scenarijus, kur dar įdėti savo nuorodas, pramoga. Agresyvūs partneriai suprato, kad gali įdėti savo kodą bet kur internete, ne tik savo svetainėse.
Šioje skaidrėje galite pamatyti, kad jie turi savo slapukų užpildymo programas, kurios padeda vartotojams sukurti savo „įdaryti slapukus“. Ir tai ne vienas slapukas, vienu metu galima įkelti 20-30 affiliate ID ir vos tik kas nors ką nors nusiperka, už tai sumokama.
Šie vaikinai greitai suprato, kad jiems nereikia dėti šio kodo į savo puslapius. Jie atsisakė scenarijų tarp svetainių ir tiesiog pradėjo skelbti savo nedidelius fragmentus su HTML kodu pranešimų lentose, svečių knygose ir socialiniuose tinkluose.
Maždaug 2005 m. prekybininkai ir filialų tinklai išsiaiškino, kas vyksta, pradėjo sekti persiuntimo adresus ir paspaudimų rodiklius bei išvaryti įtartinus filialus. Pavyzdžiui, jie pastebėjo, kad vartotojas spustelėjo „MySpace“ svetainę, tačiau ši svetainė priklausė visiškai kitam filialų tinklui nei tas, kuris gavo teisėtą naudą.
Šie vaikinai tapo šiek tiek išmintingesni ir 2007 m. atsirado naujas sausainių įdaras. Partneriai pradėjo dėti savo kodą SSL puslapiuose. Pagal hiperteksto perdavimo protokolą RFC 2616, klientai neturėtų įtraukti nukreipimo antraštės lauko į nesaugią HTTP užklausą, jei nukreipimo puslapis buvo perkeltas iš saugaus protokolo. Taip yra todėl, kad nenorite, kad ši informacija nutekėtų iš jūsų domeno.
Iš to aišku, kad bet kuris partneriui išsiųstas Refereris nebus stebimas, todėl pagrindiniai partneriai matys tuščią nuorodą ir negalės jūsų už tai išmesti. Dabar sukčiai turi galimybę nebaudžiami pasigaminti savo „užpildytus sausainius“. Tiesa, ne kiekviena naršyklė leidžia tai padaryti, tačiau yra daug kitų būdų tą patį padaryti naudojant naršyklės automatinį esamo puslapio meta-refresh, meta žymeles arba JavaScript.
2008 m. jie pradėjo naudoti galingesnius įsilaužimo įrankius, tokius kaip DNS perrišimo atakos, Gifar ir kenkėjiškas „Flash“ turinys, galintis visiškai sunaikinti esamus saugos modelius. Užtrunka šiek tiek laiko, kol išsiaiškinsime, kaip jas naudoti, nes „Cookie-Stuffing“ vaikinai nėra ypač pažengę įsilaužėliai, jie yra tiesiog agresyvūs rinkodaros specialistai, mažai išmanantys kodavimą.
Parduodama pusiau prieinama informacija
Taigi, mes apžvelgėme, kaip uždirbti 6 skaitmenų sumas, o dabar pereikime prie septynženklių sumų. Mums reikia didelių pinigų, kad galėtume praturtėti arba mirti. Pažiūrėsime, kaip galite užsidirbti pinigų parduodant pusiau prieinamą informaciją. „Business Wire“ buvo labai populiarus prieš porą metų ir vis dar yra svarbus, matome, kad jis yra daugelyje svetainių. Tiems, kurie to nežino, „Business Wire“ teikia paslaugą, pagal kurią registruoti svetainės vartotojai gauna naujausių pranešimų spaudai iš tūkstančių įmonių srautą. Pranešimus spaudai šiai bendrovei siunčia įvairios organizacijos, kurioms kartais taikomi laikini draudimai ar embargai, todėl šiuose pranešimuose spaudai esanti informacija gali turėti įtakos akcijų kainai.
Pranešimo spaudai failai įkeliami į „Business Wire“ žiniatinklio serverį, bet nėra susieti, kol embargas nepanaikintas. Visą tą laiką pranešimų spaudai tinklalapiai yra susieti su pagrindine svetaine, o vartotojai apie juos informuojami tokiais URL:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmTaigi, kol jums taikomas embargas, svetainėje skelbiate įdomių duomenų, kad, kai tik embargas bus panaikintas, vartotojai iš karto su juo susipažintų. Šios nuorodos turi datą ir siunčiamos vartotojams el. paštu. Kai draudimas pasibaigs, nuoroda veiks ir nukreips vartotoją į svetainę, kurioje paskelbtas atitinkamas pranešimas spaudai. Prieš suteikdama prieigą prie pranešimo spaudai tinklalapio, sistema turi patikrinti, ar vartotojas yra teisėtai prisijungęs.
Prieš pasibaigiant embargo galiojimui, jie netikrina, ar turite teisę peržiūrėti šią informaciją, tereikia prisijungti prie sistemos. Kol kas tai atrodo nekenksminga, bet tai, kad kažko nematai, nereiškia, kad to nėra.
Estijos finansinių paslaugų bendrovė Lohmus Haavel & Viisemann, kuri nėra įsilaužėliai, atrado, kad spaudos pranešimų tinklalapiai pavadinti nuspėjamai, ir pradėjo spėlioti tuos URL. Nors nuorodų dar gali nebūti, nes galioja embargas, tai nereiškia, kad įsilaužėlis negali atspėti failo pavadinimo ir taip per anksti prieiti prie jo. Šis metodas pasiteisino, nes vienintelė „Business Wire“ saugos patikra buvo ta, kad vartotojas buvo prisijungęs teisėtai ir nieko daugiau.
Taigi estai informaciją gavo prieš rinkos uždarymą ir šiuos duomenis pardavė. Kol SEC jų nesuseko ir neįšaldė jų sąskaitų, jiems pavyko uždirbti 8 milijonus dolerių iš prekybos pusiau prieinama informacija. Pagalvokite, viskas, ką šie vaikinai padarė, tai pažiūrėjo, kaip atrodo nuorodos, bandė atspėti URL ir iš to uždirbo 8 mln. Paprastai šiuo metu klausiu auditorijos, ar tai laikoma teisėta, ar neteisėta, ar tai laikoma prekyba, ar ne. Bet kol kas tik noriu atkreipti jūsų dėmesį į tai, kas tai padarė.
Prieš bandydamas atsakyti į šiuos klausimus, parodysiu kitą skaidrę. Tai nėra tiesiogiai susiję su sukčiavimu internete. Ukrainos įsilaužėlis įsilaužė į verslo žvalgybos informacijos teikėją Thomson Financial ir pavogė duomenis apie IMS Health finansinius sunkumus, likus kelioms valandoms iki to, kai informacija turėjo patekti į finansų rinką. Nėra jokių abejonių, kad jis kaltas dėl įsilaužimo.
Įsilaužėlis pateikė pardavimo užsakymus už 42 tūkst. dolerių, žaisdamas prieš nukritus kursams. Ukrainai tai yra didžiulė suma, todėl įsilaužėlis gerai žinojo, į ką pateko. Staigus akcijų kainos kritimas per kelias valandas atnešė jam apie 300 XNUMX USD pelno. Birža išleido „Raudonąją vėliavą“, SEC užšaldė lėšas, pastebėjusi, kad kažkas ne taip, ir pradėjo tyrimą. Tačiau teisėja Naomi Reis Buchwald pareiškė, kad lėšos turėtų būti įšaldytos, nes Dorozhko pateikti kaltinimai „vagyste ir prekyba“ bei „įsilaužimu ir prekyba“ nepažeidžia vertybinių popierių įstatymų. Įsilaužėlis nebuvo šios įmonės darbuotojas, todėl jokių įstatymų dėl konfidencialios finansinės informacijos atskleidimo nepažeidė.
„The Times“ teigė, kad JAV teisingumo departamentas tiesiog laikė šią bylą bergždžia, nes Ukrainos valdžiai buvo sunku sutikti bendradarbiauti sulaikant nusikaltėlį. Taigi šis įsilaužėlis labai lengvai gavo 300 tūkstančių dolerių.
Dabar palyginkite tai su ankstesniu atveju, kai žmonės uždirbo pinigų tiesiog pakeisdami nuorodų URL savo naršyklėje ir pardavinėdami komercinę informaciją. Tai gana įdomūs, bet ne vieninteliai būdai užsidirbti pinigų biržoje.
Panagrinėkime pasyvų informacijos rinkimą. Paprastai po pirkimo internetu pirkėjas gauna užsakymo stebėjimo kodą, kuris gali būti nuoseklus arba pseudonuoseklus ir atrodo maždaug taip:
3200411
3200412
3200413
Su juo galite sekti savo užsakymą. Pentestuotojai arba įsilaužėliai bando nuskaityti URL, kad gautų prieigą prie užsakymų duomenų, kuriuose paprastai yra asmenį identifikuojančios informacijos (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Slinkdami per numerius jie gauna prieigą prie pirkėjo kredito kortelių numerių, adresų, vardų ir kitos asmeninės informacijos. Tačiau mus domina ne asmeninė kliento informacija, o pats užsakymo sekimo kodas;
Menas daryti išvadas
Apsvarstykite „Išvadų meną“. Jei galite tiksliai įvertinti, kiek „užsakymų“ įmonė apdoroja ketvirčio pabaigoje, tai pagal istorinius duomenis galite spręsti, ar jos finansinė padėtis yra gera ir kaip svyruos akcijų kaina. Pavyzdžiui, jūs ką nors užsisakėte ar nusipirkote ketvirčio pradžioje, nesvarbu, o ketvirčio pabaigoje padarėte naują užsakymą. Remiantis skaičių skirtumu, galima spręsti, kiek užsakymų įmonė įvykdė per šį laikotarpį. Jei mes kalbame apie tūkstantį užsakymų, palyginti su šimtu tūkstančių tuo pačiu ankstesniu laikotarpiu, galite manyti, kad įmonei sekasi prastai.
Tačiau faktas yra tas, kad dažnai šiuos eilės numerius galima gauti iš tikrųjų neįvykdžius užsakymo arba užsakymo, kuris vėliau atšaukiamas. Tikiuosi, kad šie skaičiai jokiu būdu nebus rodomi ir seka tęsis su skaičiais:
3200418
3200419
3200420
Taip žinosite, kad turite galimybę sekti užsakymus ir galite pradėti pasyviai rinkti informaciją iš svetainės, kurią jie mums pateikia. Mes nežinome, ar tai teisėta, ar ne, tik žinome, kad tai galima padaryti.
Taigi, pažvelgėme į įvairius verslo logikos trūkumus.
Trey Ford: užpuolikai – verslininkai. Jie tikisi investicijų grąžos. Kuo daugiau technologijų, tuo didesnis ir sudėtingesnis kodas, tuo daugiau reikia nuveikti ir tuo didesnė tikimybė būti sučiuptam. Tačiau yra daug labai pelningų būdų, kaip įvykdyti atakas be jokių pastangų. Verslo logika yra didžiulis verslas, o nusikaltėliams yra didžiulė paskata į ją įsilaužti. Verslo logikos trūkumai yra pagrindinis nusikaltėlių taikinys ir jų negalima aptikti tiesiog nuskaitant arba atliekant standartinius bandymus, kurie yra kokybės užtikrinimo proceso dalis. QA yra psichologinė problema, vadinama „patvirtinimo šališkumu“, nes, kaip ir žmonės, norime žinoti, kad esame teisūs. Todėl būtina atlikti bandymus realiomis sąlygomis.
Būtina išbandyti viską ir visus, nes ne visas spragas galima aptikti kūrimo stadijoje analizuojant kodą ar net atliekant QA. Taigi jūs turite pereiti visą verslo procesą ir sukurti visas priemones jam apsaugoti. Iš istorijos galima daug pasimokyti, nes tam tikros rūšies atakos laikui bėgant kartojasi. Jei vieną naktį jus pažadino procesoriaus šuolis, galite manyti, kad įsilaužėlis vėl bando susekti galiojančius nuolaidų kuponus. Tikras būdas atpažinti atakos tipą yra stebėti aktyvią ataką, nes ją atpažinti pagal žurnalo istoriją bus labai sunku.
Jeremy Grossmanas: taigi štai ko mes šiandien sužinojome.
Atspėję „captcha“ galite uždirbti keturių skaitmenų dolerių sumą. Manipuliavimas internetinėmis mokėjimo sistemomis įsilaužėlis atneš penkiaženklį pelną. Įsilaužę į bankus galite uždirbti daugiau nei penkis skaitmenis, ypač jei tai darote daugiau nei vieną kartą.
Elektroninės prekybos sukčiai uždirbs šešis skaitmenis, o naudodamiesi filialų tinklais gausite 5–6 skaitmenis ar net septynis skaitmenis. Jei esate pakankamai drąsus, galite pabandyti apgauti akcijų rinką ir gauti daugiau nei septynženklį pelną. O RSnake metodo naudojimas geriausio Čihuahua konkursuose yra tiesiog neįkainojamas!
Naujos šio pristatymo skaidrės tikriausiai nepateko į kompaktinį diską, todėl vėliau galėsite jas atsisiųsti iš mano tinklaraščio puslapio. Rugsėjo mėn. vyks OPSEC konferencija, kurioje dalyvausiu, ir manau, kad su jais galėsime sukurti tikrai šaunių dalykų. Dabar, jei turite klausimų, esame pasirengę į juos atsakyti.
Kai kurie skelbimai 🙂
Dėkojame, kad likote su mumis. Ar jums patinka mūsų straipsniai? Norite pamatyti įdomesnio turinio? Palaikykite mus pateikdami užsakymą ar rekomenduodami draugams, , 30% nuolaida Habr vartotojams unikaliam pradinio lygio serverių analogui, kurį mes sugalvojome jums: (galima su RAID1 ir RAID10, iki 24 branduolių ir iki 40 GB DDR4).
Dell R730xd 2 kartus pigiau? Tik čia Olandijoje! „Dell R420“ – 2 x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB – nuo 99 USD! Skaityti apie
Šaltinis: www.habr.com