Konference BLACK HAT USA. Kļūsti bagāts vai mirsti: pelniet naudu tiešsaistē, izmantojot Black Hat metodes. 3. daļa

Konference BLACK HAT USA. Kļūsti bagāts vai mirsti: pelniet naudu tiešsaistē, izmantojot Black Hat metodes. 1. daļa
Konference BLACK HAT USA. Kļūsti bagāts vai mirsti: pelniet naudu tiešsaistē, izmantojot Black Hat metodes. 2. daļa

Viņi devās tik tālu, lai apspriestu iespēju likt UPS vadītājiem stāties pretī aizdomās turētajam. Tagad pārbaudīsim, vai šajā slaidā citētais ir likumīgs?

Lūk, ko FTC saka, kad jautā: "Vai man ir jāatgriež vai jāmaksā par preci, kuru es nekad neesmu pasūtījis?" - "Nē. Ja saņemat preci, kuru neesat pasūtījis, jums ir likumīgas tiesības to pieņemt kā bezmaksas dāvanu." Vai tas izklausās ētiski? Es par to mazgāju rokas, jo neesmu pietiekami gudrs, lai apspriestu šādus jautājumus.

Bet interesanti ir tas, ka mēs redzam tendenci, ka jo mazāk tehnoloģiju mēs izmantojam, jo ​​vairāk naudas mēs nopelnām.

Filiāles interneta krāpšana

Džeremijs Grosmens: to tiešām ir ļoti grūti saprast, bet šādā veidā var nopelnīt sešciparu naudu. Tātad visiem dzirdētajiem stāstiem ir reālas saites, un par to visu varat izlasīt detalizēti. Viens no interesantākajiem interneta krāpšanas veidiem ir krāpšana ar filiālēm. Tiešsaistes veikali un reklāmdevēji izmanto saistītos tīklus, lai piesaistītu trafiku un lietotājus savām vietnēm apmaiņā pret daļu no peļņas.

Es runāšu par kaut ko, par ko daudzi cilvēki ir zinājuši gadiem ilgi, bet man nav izdevies atrast nevienu publisku atsauci, kas norādītu, cik lielus zaudējumus ir radījusi šāda veida krāpniecība. Cik es zinu, nekādu tiesvedību, kriminālizmeklēšanas nebija. Esmu runājis ar ražošanas uzņēmējiem, esmu runājis ar filiāļu tīkla puišiem, esmu runājis ar Black Cats – viņi visi uzskata, ka krāpnieki no saistītajiem uzņēmumiem ir nopelnījuši milzīgu naudu.

Lūdzu, ievērojiet manu vārdu un pārskatiet mājasdarbus, ko esmu paveicis par šiem konkrētajiem jautājumiem. Krāpnieki tos izmanto, lai ik mēnesi, izmantojot īpašus paņēmienus, sastāda 5-6 ciparu un dažreiz septiņu ciparu summas. Šajā telpā ir cilvēki, kuri var to pārbaudīt, ja viņiem nav saistošs konfidencialitātes līgums. Tāpēc es jums parādīšu, kā tas darbojas. Šajā shēmā ir iesaistīti vairāki spēlētāji. Jūs redzēsiet, kāda ir nākamās paaudzes filiāļu “spēle”.

Spēlē ir iesaistīts tirgotājs, kuram ir vietne vai produkts un kurš maksā saistītajiem uzņēmumiem komisijas maksu par lietotāju klikšķiem, izveidotajiem kontiem, veiktajiem pirkumiem utt. Jūs maksājat filiālei par to, ka kāds apmeklē viņa vietni, noklikšķina uz saites, dodas uz jūsu pārdevēja vietni un tur kaut ko iegādājas.

Nākamais spēlētājs ir saistītais uzņēmums, kurš saņem naudu maksas par klikšķi (MPK) vai komisijas maksas (CPA) veidā par pircēju novirzīšanu uz pārdevēja vietni.

Komisijas nozīmē, ka partnera darbību rezultātā klients veica pirkumu pārdevēja vietnē.

Pircējs ir persona, kas veic pirkumus vai abonē pārdevēja akcijas.

Saistītie tīkli nodrošina tehnoloģijas, kas savieno un izseko pārdevēja, partnera un pircēja darbības. Viņi “salīmē” visus spēlētājus un nodrošina viņu mijiedarbību.

Var paiet dažas dienas vai pāris nedēļas, lai saprastu, kā tas viss darbojas, taču nav iesaistīta sarežģīta tehnoloģija. Saistītie tīkli un saistītās programmas aptver visu veidu tirdzniecību un visus tirgus. Google, EBay, Amazon tādi ir, viņu kā komisijas aģentu intereses krustojas, viņi ir visur un ienākumu netrūkst. Esmu pārliecināts, ka zināt, ka pat trafiks no jūsu emuāra katru mēnesi var gūt vairākus simtus dolāru peļņu, tāpēc šī shēma jums būs viegli saprotama.

Sistēma darbojas šādi. Jūs pievienojat nelielu vietni vai elektronisku ziņojumu dēli, tam nav nozīmes, jūs parakstāties partnerprogrammā un saņemat īpašu saiti, kuru ievietojat savā interneta lapā. Tas izskatās šādi:

<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>

Tas parāda konkrēto saistīto programmu, jūsu partnera ID, šajā gadījumā tas ir 100, un pārdodamā produkta nosaukumu. Un, ja kāds noklikšķina uz šīs saites, pārlūkprogramma viņu novirza uz saistīto tīklu, instalē īpašus izsekošanas sīkfailus, kas saista viņu ar filiāli ID=100.

Set-Cookie: AffiliateID=100

Un novirza uz pārdevēja lapu. Ja pircējs vēlāk iegādājas kādu preci laika periodā X, kas var būt diena, stunda, trīs nedēļas, jebkurš norunāts laiks, un šajā laikā sīkdatnes turpina pastāvēt, tad saistītais uzņēmums saņem savu komisijas maksu.

Tādā veidā saistītie uzņēmumi pelna miljardiem dolāru, izmantojot efektīvu SEO taktiku. Ļaujiet man sniegt jums piemēru. Nākamajā slaidā ir redzama kvīts, tagad es to palielināšu, lai parādītu summu. Šis ir Google čeks par USD 132 2. Šī kunga uzvārds ir Šūmans, un viņam pieder reklāmas vietņu tīkls. Tā nav visa nauda, ​​Google šādas summas maksā reizi mēnesī vai reizi XNUMX mēnešos.

Vēl viens čeks no Google, es to palielināšu, un jūs redzēsiet, ka tas ir par 901 XNUMX USD.

Vai man vajadzētu kādam pajautāt par šādas naudas pelnīšanas ētiku? Klusums zālē... Šis čeks apzīmē maksājumu par 2 mēnešiem, jo ​​iepriekšējo čeku saņēmēja banka noraidīja pārāk lielas maksājuma summas dēļ.

Tātad, mēs esam redzējuši, ka šāda veida naudu var nopelnīt, un šī nauda tiek izmaksāta. Kā jūs varat pārspēt šo shēmu? Mēs varam izmantot paņēmienu ar nosaukumu Cookie-Stuffing. Šis ir ļoti vienkāršs jēdziens, kas parādījās 2001.–2002. gadā, un šajā slaidā ir parādīts, kā tas izskatījās 2002. gadā. Es jums pastāstīšu par tā parādīšanos.

Nekas cits kā nepatīkami filiāļu tīkla pakalpojumu sniegšanas noteikumi paredz, ka lietotājam faktiski jānoklikšķina uz saites, lai viņa pārlūkprogramma uztvertu filiāles ID sīkfailu.
Šo parasti noklikšķināto URL varat automātiski ielādēt attēla avotā vai iframe tagā. Šajā gadījumā saites vietā:

<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>

Jūs lejupielādējat šo:

<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>

Vai arī tas:

<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>

Un, kad lietotājs nonāk jūsu lapā, viņš automātiski paņems saistīto sīkfailu. Tajā pašā laikā neatkarīgi no tā, vai viņš kaut ko pērk nākotnē, jūs saņemsit komisijas maksu neatkarīgi no tā, vai novirzījāt trafiku vai nē - tam nav nozīmes.

Dažu pēdējo gadu laikā šī ir kļuvusi par izklaidi SEO puišiem, kuri ievieto līdzīgu materiālu ziņojumu dēļos un izstrādā visdažādākos scenārijus, kur vēl ievietot savas saites. Agresīvie partneri saprata, ka viņi var ievietot savu kodu jebkurā vietā internetā, ne tikai savās vietnēs.

Šajā slaidā varat redzēt, ka viņiem ir savas sīkfailu pildīšanas programmas, kas palīdz lietotājiem izveidot savus “pildītos sīkfailus”. Un tas nav tikai viens sīkfails, jūs varat augšupielādēt 20-30 filiāļu ID vienlaikus, un, tiklīdz kāds kaut ko iegādājas, jūs par to saņemat samaksu.

Šie puiši drīz saprata, ka viņiem šis kods nav jāievieto savās lapās. Viņi atteicās no starpvietņu skriptēšanas un vienkārši sāka publicēt savus mazos fragmentus ar HTML kodu ziņojumu dēļos, viesu grāmatās un sociālajos tīklos.

Ap 2005. gadu tirgotāji un saistītie tīkli saprata, kas notiek, sāka izsekot novirzītājiem un vidējo klikšķu skaitu un sāka izmest aizdomīgos saistītos uzņēmumus. Piemēram, viņi pamanīja, ka lietotājs ir noklikšķinājis uz MySpace vietnes, taču šī vietne piederēja pavisam citam saistīto tīklu tīklam, nevis tam, kas saņēma likumīgo labumu.

Šie puiši kļuva mazliet gudrāki, un 2007. gadā parādījās jauna veida cepumu pildījums. Partneri sāka ievietot savu kodu SSL lapās. Saskaņā ar hiperteksta pārsūtīšanas protokolu RFC 2616, klientiem nevajadzētu iekļaut atsauces galvenes lauku nedrošā HTTP pieprasījumā, ja atsauces lapa ir migrēta no droša protokola. Tas ir tāpēc, ka nevēlaties, lai šī informācija noplūst no jūsu domēna.

No tā ir skaidrs, ka neviens partnerim nosūtīts Referents nebūs izsekojams, tāpēc galvenie partneri redzēs tukšu saiti un nevarēs jūs par to izmest. Tagad krāpniekiem ir iespēja nesodīti pagatavot savus “pildītos cepumus”. Tiesa, ne katra pārlūkprogramma ļauj to izdarīt, taču ir daudz citu veidu, kā to pašu izdarīt, izmantojot pārlūkprogrammas automātisko pašreizējās lapas meta-atsvaidzināšanu, meta tagus vai JavaScript.

2008. gadā viņi sāka izmantot jaudīgākus uzlaušanas rīkus, piemēram, DNS pārsaistīšanas uzbrukumus, Gifar un ļaunprātīgu Flash saturu, kas var pilnībā iznīcināt esošos drošības modeļus. Paiet zināms laiks, lai izdomātu, kā tos izmantot, jo Cookie-Stuffing puiši nav īpaši pieredzējuši hakeri, viņi ir tikai agresīvi tirgotāji ar mazām kodēšanas zināšanām.

Pārdodu daļēji pieejamu informāciju

Tātad, mēs apskatījām, kā nopelnīt 6 ciparu summas, un tagad pāriesim pie septiņciparu summas. Mums ir vajadzīga liela nauda, ​​lai kļūtu bagāts vai mirtu. Apskatīsim, kā jūs varat pelnīt naudu, pārdodot daļēji pieejamu informāciju. Business Wire bija ļoti populārs pirms pāris gadiem un joprojām ir svarīgs, mēs redzam tā klātbūtni daudzās vietnēs. Tiem, kas nezina, Business Wire nodrošina pakalpojumu, ar kuru vietnes reģistrētie lietotāji saņem jaunāko preses relīžu straumi no tūkstošiem uzņēmumu. Preses relīzes šim uzņēmumam sūta dažādas organizācijas, kurām dažkārt tiek noteikti pagaidu aizliegumi vai embargo, tāpēc šajos preses relīzēs ietvertā informācija var ietekmēt akciju cenu.

Preses relīzes faili tiek augšupielādēti Business Wire tīmekļa serverī, bet nav saistīti, kamēr nav atcelts embargo. Visu laiku preses relīzes tīmekļa lapas ir saistītas ar galveno vietni, un lietotāji par tām tiek informēti, izmantojot šādus URL:

http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htm

Tādējādi, kamēr jums ir piemērots embargo, jūs ievietojat vietnē interesantus datus, lai, tiklīdz embargo tiek atcelts, lietotāji ar to nekavējoties iepazīties. Šīs saites ir datētas un nosūtītas lietotājiem pa e-pastu. Kad aizlieguma termiņš beigsies, saite darbosies un novirzīs lietotāju uz vietni, kurā ir ievietots attiecīgais preses relīze. Pirms piekļuves piešķiršanas preses relīzes tīmekļa lapai sistēmai ir jāpārbauda, ​​vai lietotājs ir likumīgi pieteicies.

Viņi nepārbauda, ​​vai jums ir tiesības skatīt šo informāciju pirms embargo termiņa beigām, jums vienkārši jāpiesakās sistēmā. Līdz šim tas šķiet nekaitīgs, taču tas, ka kaut ko neredzat, nenozīmē, ka tā nav.

Igaunijas finanšu pakalpojumu uzņēmums Lohmus Haavel & Viisemann, kas nemaz nebija hakeri, atklāja, ka preses relīžu tīmekļa lapas tika nosauktas paredzamā veidā, un sāka uzminēt šos URL. Lai gan saites vēl var nepastāvēt, jo ir spēkā embargo, tas nenozīmē, ka hakeris nevar uzminēt faila nosaukumu un tādējādi priekšlaicīgi piekļūt tam. Šī metode darbojās, jo Business Wire vienīgā drošības pārbaude bija tāda, ka lietotājs ir pieteicies likumīgi un nekas cits.

Tādējādi igauņi saņēma informāciju pirms tirgus slēgšanas un pārdeva šos datus. Līdz brīdim, kad SEC viņus izsekoja un iesaldēja viņu kontus, viņiem izdevās nopelnīt 8 miljonus ASV dolāru, tirgojot daļēji pieejamu informāciju. Padomājiet par to, visi šie puiši paskatījās, kā izskatās saites, mēģināja uzminēt URL un no tā nopelnīja 8 miljonus. Parasti šajā brīdī es jautāju auditorijai, vai tas tiek uzskatīts par likumīgu vai nelikumīgu, vai tas tiek uzskatīts par tirdzniecību vai nē. Bet pagaidām es tikai vēlos vērst jūsu uzmanību uz to, kas to izdarīja.

Pirms mēģināt atbildēt uz šiem jautājumiem, es jums parādīšu nākamo slaidu. Tas nav tieši saistīts ar krāpšanu tiešsaistē. Ukrainas hakeris uzlauza biznesa informācijas sniedzēju Thomson Financial un nozaga datus par IMS Health finansiālajām grūtībām dažas stundas pirms informācijas nonākšanas finanšu tirgū. Nav šaubu, ka viņš ir vainīgs uzlaušanā.

Hakeris veica pārdošanas pasūtījumus 42 tūkstošu dolāru apmērā, spēlējot pirms likmju krituma. Ukrainai tā ir milzīga summa, tāpēc hakeris labi zināja, ar ko viņš iekļūst. Pēkšņais akciju cenas kritums viņam dažu stundu laikā atnesa aptuveni 300 XNUMX USD peļņu. Birža izlika “Sarkano karogu”, SEC iesaldēja līdzekļus, pamanot, ka kaut kas noiet greizi, un sāka izmeklēšanu. Tomēr tiesnese Naomi Reisa Buhvalde sacīja, ka līdzekļi ir jāatsaldē, jo Dorožko apsūdzības “zādzība un tirdzniecība” un “uzlaušana un tirdzniecība” nepārkāpj vērtspapīru likumus. Hakeris nebija šī uzņēmuma darbinieks, tāpēc nav pārkāpis nekādus likumus par konfidenciālas finanšu informācijas izpaušanu.

The Times ierosināja, ka ASV Tieslietu ministrija vienkārši uzskatīja lietu par veltīgu, jo bija grūti panākt, lai Ukrainas varas iestādes piekristu sadarboties vainīgā notveršanā. Tātad šis hakeris ļoti viegli ieguva 300 tūkstošus dolāru.

Tagad salīdziniet to ar iepriekšējo gadījumu, kad cilvēki pelnīja naudu, vienkārši mainot saišu URL savā pārlūkprogrammā un pārdodot komerciālu informāciju. Tie ir diezgan interesanti, bet ne vienīgie veidi, kā pelnīt naudu biržā.

Apskatīsim pasīvo informācijas vākšanu. Parasti pēc pirkuma tiešsaistē pircējs saņem pasūtījuma izsekošanas kodu, kas var būt secīgs vai pseido secīgs un izskatās apmēram šādi:

3200411
3200412
3200413

Ar to jūs varat izsekot savam pasūtījumam. Pentestētāji vai hakeri mēģina pārmeklēt vietrāžus URL, lai piekļūtu pasūtījuma datiem, kas parasti satur personu identificējošu informāciju (PII).

http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417

Ritinot numurus, viņi iegūst piekļuvi pircēja kredītkaršu numuriem, adresēm, vārdiem un citai personiskai informācijai. Tomēr mūs interesē nevis klienta personiskā informācija, bet gan pats pasūtījuma izsekošanas kods.

Māksla izdarīt secinājumus

Apsveriet "Secinājumu mākslu". Ja var precīzi novērtēt, cik “pasūtījumu” uzņēmums apstrādā ceturkšņa beigās, tad, balstoties uz vēsturiskajiem datiem, var secināt, vai tā finansiālā situācija ir laba un kā mainīsies akciju cena. Piemēram, jūs pasūtījāt vai iegādājāties kaut ko ceturkšņa sākumā, tam nav nozīmes, un pēc tam veicāt jaunu pasūtījumu ceturkšņa beigās. Pēc skaitļu atšķirībām var secināt, cik pasūtījumu uzņēmums ir apstrādājis šajā laika periodā. Ja mēs runājam par tūkstoš pasūtījumiem pret simts tūkstošiem tajā pašā iepriekšējā periodā, varat pieņemt, ka uzņēmumam klājas slikti.

Tomēr fakts ir tāds, ka bieži šos kārtas numurus var iegūt, faktiski nepabeidzot pasūtījumu vai pasūtījumu, kas pēc tam tiek atcelts. Ceru, ka šie cipari nekādā gadījumā netiks parādīti un secība turpināsies ar cipariem:

3200418
3200419
3200420

Tādā veidā jūs zināt, ka varat izsekot pasūtījumiem, un varat sākt pasīvi vākt informāciju no vietnes, ko tie mums sniedz. Mēs nezinām, vai tas ir likumīgi vai nē, mēs tikai zinām, ka to var izdarīt.

Tātad esam apskatījuši dažādus biznesa loģikas trūkumus.

Trejs Fords: uzbrucēji ir uzņēmēji. Viņi sagaida atdevi no ieguldījumiem. Jo vairāk tehnoloģiju, jo lielāks un sarežģītāks kods, jo vairāk jāstrādā un lielāka iespēja tikt pieķertam. Bet ir daudz ļoti izdevīgu veidu, kā veikt uzbrukumus bez jebkādas piepūles. Biznesa loģika ir milzīgs bizness, un noziedzniekiem ir milzīgs stimuls to uzlauzt. Biznesa loģikas trūkumi ir galvenais noziedznieku mērķis, un tos nevar atklāt, vienkārši veicot skenēšanu vai standarta testēšanu kā daļu no kvalitātes nodrošināšanas procesa. QA ir psiholoģiska problēma, ko sauc par "apstiprinājuma aizspriedumiem", jo mēs, tāpat kā cilvēki, vēlamies zināt, ka mums ir taisnība. Tāpēc ir nepieciešams veikt testēšanu reālos apstākļos.

Ir nepieciešams pārbaudīt visu un visus, jo ne visas ievainojamības var atklāt izstrādes stadijā, analizējot kodu vai pat QA laikā. Tāpēc jums ir jāiziet viss biznesa process un jāizstrādā visi pasākumi tā aizsardzībai. No vēstures var daudz mācīties, jo noteikta veida uzbrukumi laika gaitā atkārtojas. Ja kādu nakti jūs pamodina CPU lēciens, varat pieņemt, ka kāds hakeris atkal mēģina izsekot derīgus atlaižu kuponus. Īstais veids, kā atpazīt uzbrukuma veidu, ir novērot aktīvu uzbrukumu, jo to atpazīt, pamatojoties uz žurnāla vēsturi, būs ārkārtīgi grūti.

Džeremijs Grosmens: lūk, ko mēs šodien uzzinājām.

Uzminot captcha, jūs varat nopelnīt četrciparu summu dolāros. Manipulācijas ar tiešsaistes maksājumu sistēmām hakeris gūs piecu ciparu peļņu. Uzlaužot bankas, jūs varat nopelnīt vairāk nekā piecus skaitļus, īpaši, ja to darāt vairāk nekā vienu reizi.

Izmantojot e-komercijas krāpniekus, jūs iegūsit sešus skaitļus, savukārt, izmantojot saistītos tīklus, jūs saņemsit 5–6 ciparu vai pat septiņu ciparu lielumu. Ja esat pietiekami drosmīgs, varat mēģināt apmānīt akciju tirgu un iegūt vairāk nekā septiņciparu peļņu. Un RSnake metodes izmantošana konkursos par labāko čivava ir vienkārši nenovērtējama!

Šīs prezentācijas jaunie slaidi, iespējams, netika iekļauti kompaktdiskā, tāpēc vēlāk varat tos lejupielādēt no mana emuāra lapas. Septembrī ir gaidāma OPSEC konference, kurā es apmeklēšu, un es domāju, ka mēs ar viņiem varēsim izveidot dažas patiešām lieliskas lietas. Tagad, ja jums ir kādi jautājumi, mēs esam gatavi uz tiem atbildēt.

Dažas reklāmas 🙂

Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, mākoņa VPS izstrādātājiem no 4.99 USD, 30% atlaide Habr lietotājiem unikālam sākuma līmeņa serveru analogam, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2650 v4 (6 kodoli) 10GB DDR4 240GB SSD 1Gbps no 20$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2 reizes lētāk? Tikai šeit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ Nīderlandē! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB — no 99 USD! Lasīt par Kā izveidot infrastruktūras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantošanu 9000 eiro par santīmu?

Avots: www.habr.com