Тие отидоа дотаму што разговараа за можноста возачите на UPS да се соочат со осомничениот. Ајде сега да провериме дали она што е цитирано на овој слајд е легално?
Еве што вели FTC на прашањето: „Дали треба да се вратам или да платам за предмет што никогаш не сум го нарачал?“. - „Не. Ако добиете предмет што не сте го нарачале, имате законско право да го прифатите како бесплатен подарок“. Дали ова звучи етичко? Ги мијам рацете од ова затоа што не сум доволно паметен да разговарам за такви прашања.
Но, она што е интересно е дека гледаме тренд во кој колку помалку технологија користиме, толку повеќе пари заработуваме.
Огранок Интернет измама
Џереми Гросман: навистина е многу тешко да се разбере, но на овој начин можете да заработите шест цифри пари. Значи, сите приказни што сте ги слушнале имаат вистински врски и можете да прочитате за сето тоа детално. Еден од најинтересните типови на интернет измами е измамата со партнери. Онлајн продавниците и огласувачите користат придружни мрежи за да привлечат сообраќај и корисници на нивните сајтови во замена за дел од добивката добиена од ова.
Ќе зборувам за нешто за што многу луѓе знаат со години, но не успеав да најдам ниту една јавна референца што ќе укаже на колкава загуба предизвикала овој тип на измама. Колку што знам, немаше тужби, немаше кривични истраги. Разговарав со претприемачи во производството, разговарав со момци од партнерската мрежа, разговарав со Црните мачки - сите тие веруваат дека измамниците заработиле огромна сума пари од филијали.
Ве молиме, земете го мојот збор за тоа и прегледајте ја домашната задача што ја направив за овие конкретни прашања. Измамниците ги користат за правење 5-6-цифрени, а понекогаш и седумцифрени суми месечно, користејќи специјални техники. Во оваа соба има луѓе кои можат да го проверат ова ако не се обврзани со договор за доверливост. Затоа ќе ви покажам како функционира. Има неколку играчи вклучени во оваа шема. Ќе видите за што е поврзана „играта“ на следната генерација.
Играта вклучува трговец кој има веб-локација или производ и плаќа провизии на подружниците за кориснички кликови, креирани сметки, направени набавки итн. Плаќате на подружницата за фактот дека некој ја посетува неговата веб-страница, кликнува на врска, оди на веб-страницата на вашиот продавач и купува нешто таму.
Следниот играч е филијалата, која добива пари во форма на цена по клик (CPC) или во форма на провизии (CPA) за пренасочување на купувачите на веб-страницата на продавачот.
Провизиите подразбираат дека како резултат на активностите на партнерот, клиентот извршил купување на веб-страницата на продавачот.
Купувачот е лицето кое купува или се претплати на акциите на продавачот.
Придружните мрежи обезбедуваат технологии кои ги поврзуваат и ги следат активностите на продавачот, партнерот и купувачот. Тие ги „лепат“ сите играчи заедно и ја обезбедуваат нивната интеракција.
Можеби ќе ви требаат неколку дена или неколку недели за да сфатите како функционира сето тоа, но не е вклучена комплицирана технологија. Придружните мрежи и придружните програми ги покриваат сите видови трговија и сите пазари. Ги имаат Гугл, Ибеј, Амазон, им се вкрстуваат интересите како комисионери, ги има насекаде и не им недостасуваат приходи. Сигурен сум дека знаете дека дури и сообраќајот од вашиот блог може да генерира неколку стотици долари профит секој месец, така што оваа шема ќе ви биде лесна за разбирање.
Вака функционира системот. Вие сте поврзани со мала страница или електронска огласна табла, не е важно, потпишувате партнерска програма и добивате специјална врска што ја ставате на вашата Интернет страница. Изгледа вака:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ова ја покажува специфичната придружна програма, вашиот партнер ID, во овој случај е 100 и името на производот што се продава. И ако некој кликне на оваа врска, прелистувачот го пренасочува кон партнерската мрежа, инсталира специјални колачиња за следење кои го поврзуваат со партнерот ID=100.
Set-Cookie: AffiliateID=100И се пренасочува на страницата на продавачот. Ако купувачот подоцна купи некој производ во временски период X, кој може да биде ден, час, три недели, кое било договорено време, и за тоа време колачињата продолжат да постојат, тогаш подружницата ја добива неговата провизија.
Ова е како партнерските компании заработуваат милијарди долари користејќи ефективни тактики за оптимизација. Дозволете ми да ви дадам пример. Следниот слајд ја прикажува сметката, сега ќе ја зголемам за да ви ја покажам сумата. Ова е чек од Google за 132 долари. Презимето на овој господин е Шуман, а тој е сопственик на мрежа на рекламни веб-страници. Ова не се сите пари, Google плаќа такви суми еднаш месечно или еднаш на 2 месеци.
Уште една проверка од Гугл, ќе ја зголемам и ќе видите дека е за 901 долари.
Дали да прашам некого за етиката на вака заработка? Тишина во салата... Овој чек претставува плаќање за 2 месеци, бидејќи претходниот чек бил одбиен од банката на примачот поради преголемиот износ на уплатата.
Значи, видовме дека може да се заработат вакви пари, а овие пари се исплаќаат. Како можеш да ја победиш оваа шема? Можеме да користиме техника наречена Полнење колачиња. Ова е многу едноставен концепт кој се појави во 2001-2002 година, а овој слајд покажува како изгледаше во 2002 година. Ќе ви ја раскажам приказната за неговото појавување.
Ништо помалку од досадните услови за користење на партнерската мрежа бара корисникот всушност да кликне на врската за неговиот прелистувач да го подигне колачето за ID на партнерот.
Можете автоматски да ја вчитате оваа обично кликната URL-адреса во изворот на сликата или ознаката iframe. Во овој случај, наместо врска:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Го преземате ова:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Или тоа:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>И кога корисникот ќе слета на вашата страница, тој автоматски ќе го земе придружното колаче. Во исто време, без разлика дали тој ќе купи нешто во иднина, ќе ги добивате вашите провизии, без разлика дали сте го пренасочиле сообраќајот или не - не е важно.
Во текот на изминатите неколку години, ова стана забава за оптимизација за момци кои објавуваат сличен материјал на табли со пораки и развиваат секакви сценарија каде на друго место да ги постават своите врски. Агресивните партнери сфатија дека можат да го стават својот код каде било на Интернет, а не само на нивните сопствени сајтови.
На овој слајд можете да видите дека тие имаат свои програми за полнење колачиња кои им помагаат на корисниците да направат свои „полнети колачиња“. И не е само едно колаче, можеш да прикачиш 20-30 афилијални ID во исто време и штом некој купи нешто, ти се плаќа за тоа.
Овие момци набрзо сфатија дека не мора да го ставаат овој код на нивните страници. Тие го напуштија скриптирањето меѓу страниците и едноставно почнаа да ги објавуваат своите мали фрагменти со HTML код на табли со пораки, книги за гости и социјални мрежи.
Околу 2005 година, трговците и партнерските мрежи сфатија што се случува, почнаа да ги следат упатувачите и стапките на кликање и почнаа да исфрлаат сомнителни филијали. На пример, забележале дека корисникот кликнал на страницата на Мајспејс, но таа страница припаѓала на сосема поинаква придружна мрежа од онаа што ја добива легитимната корист.
Овие момци станаа малку помудри и во 2007 година се појави нов вид на полнење колачиња. Партнерите почнаа да го поставуваат својот код на SSL страниците. Според протоколот за пренос на хипертекст RFC 2616, клиентите не треба да вклучуваат поле за заглавие на Referer во небезбедно барање HTTP ако страницата за упатување е мигрирана од безбеден протокол. Ова е затоа што не сакате овие информации да протекуваат од вашиот домен.
Од ова е јасно дека секој упатувач испратен до партнер нема да може да се следи, така што главните партнери ќе видат празна врска и нема да можат да ве исфрлат поради тоа. Сега измамниците имаат можност неказнето да ги направат своите „пополнети колачиња“. Навистина, не секој прелистувач ви го дозволува тоа, но има многу други начини да го направите истото користејќи го автоматското освежување на прелистувачот на тековната страница мета-освежување, мета-ознаки или JavaScript.
Во 2008 година, тие почнаа да користат помоќни алатки за хакерство, како што се нападите за повторно поврзување на DNS, Gifar и малициозните Flash содржини, кои можат целосно да ги уништат постоечките безбедносни модели. Потребно е време за да дознаете како да ги користите, бидејќи момците за полнење колачиња не се особено напредни хакери, тие се само агресивни продавачи со мало знаење за кодирање.
Продажба на полудостапни информации
Значи, разгледавме како да заработиме 6-цифрени суми, а сега да преминеме на седумцифрени. Ни требаат големи пари за да се збогатиме или да умреме. Ќе погледнеме како можете да заработите со продажба на полудостапни информации. Business Wire беше многу популарен пред неколку години и сè уште е важен, го гледаме неговото присуство на многу сајтови. За оние кои не знаат, Business Wire обезбедува услуга со која регистрираните корисници на страницата добиваат тек на ажурирани соопштенија за печатот од илјадници компании. Соопштенија за печатот се испраќаат до оваа компанија од различни организации, кои понекогаш се предмет на привремени забрани или ембарга, па информациите содржани во овие соопштенија за печат може да влијаат на цената на акциите.
Датотеките со соопштение за печатот се поставуваат на веб-серверот Business Wire, но не се поврзани додека не се укине ембаргото. За цело време, веб-страниците со соопштение за печатот се поврзани со главната веб-локација, а корисниците се известуваат за нив преку URL-адреси како што се:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmТака, додека сте под ембарго, објавувате интересни податоци на страницата, така што веднаш штом ќе се укине ембаргото, корисниците веднаш ќе се запознаат со него. Овие врски се датирани и испратени до корисниците преку е-пошта. Откако ќе истече забраната, врската ќе работи и ќе го насочи корисникот на страницата каде што е објавено соодветното соопштение за печатот. Пред да одобри пристап до веб-страницата со соопштение за печатот, системот мора да потврди дали корисникот е легално најавен.
Тие не проверуваат дали имате право да ги видите овие информации пред истекот на ембаргото; само треба да се најавите на системот. Досега изгледа безопасно, но само затоа што не гледате нешто не значи дека не е таму.
Естонската компанија за финансиски услуги Lohmus Haavel & Viisemann, воопшто не хакери, откри дека веб-страниците за соопштенија за печатот се именувани на предвидлив начин и почнаа да ги погодуваат тие URL-адреси. Иако врските можеби сè уште не постојат бидејќи е на сила ембаргото, тоа не значи дека хакерот не може да го погоди името на датотеката и на тој начин да добие пристап до него предвреме. Овој метод функционираше бидејќи единствената безбедносна проверка на Business Wire беше дали корисникот е легално најавен и ништо друго.
Така, Естонците добија информации пред да се затвори пазарот и ги продадоа овие податоци. Сè додека ДИК не им влезе во трага и ги замрзна нивните сметки, тие успеаја да заработат 8 милиони долари од тргување со полудостапни информации. Размислете за тоа, сè што направија овие момци беше да погледнат како изгледаат врските, да се обидат да ги погодат URL-адресите и заработија 8 милиони од тоа. Обично во овој момент ја прашувам публиката дали ова се смета за легално или нелегално, дали се смета за трговија или не. Но, засега сакам само да ви го свртам вниманието на тоа кој го направил ова.
Пред да се обидете да одговорите на овие прашања, ќе ви го покажам следниот слајд. Ова не е директно поврзано со онлајн измама. Украински хакер го хакираше Thomson Financial, провајдер за деловна интелигенција, и украде податоци за финансиската неволја на IMS Health неколку часа пред информациите да се појават на финансискиот пазар. Нема сомнеж дека тој е виновен за хакирање.
Хакерот направил нарачки за продажба во износ од 42 илјади долари, играјќи пред да паднат стапките. За Украина ова е огромна сума, па хакерот добро знаел во што навлегува. Ненадејниот пад на цената на акциите му донесе околу 300 долари профит за неколку часа. Размената стави „Црвено знаме“, ДИК ги замрзна средствата, забележувајќи дека нешто не е во ред и започна истрага. Сепак, судијката Наоми Реис Бухвалд рече дека средствата треба да се одмрзнат бидејќи наводите за „кражба и тргување“ и „хакирање и тргување“ што и се припишуваат на Дорожко не ги прекршуваат законите за хартии од вредност. Хакерот не бил вработен во оваа компанија и затоа не прекршил никакви закони во врска со откривањето на доверливи финансиски информации.
Тајмс сугерираше дека американското Министерство за правда едноставно го сметаше случајот за залуден поради тешкотиите да ги натера украинските власти да се согласат да соработуваат во фаќањето на сторителот. Така овој хакер многу лесно добил 300 илјади долари.
Сега споредете го ова со претходниот случај кога луѓето заработија пари со едноставно менување на URL-адресите на линковите во нивниот прелистувач и продавање комерцијални информации. Ова се доста интересни, но не и единствените начини да заработите пари на берзата.
Да го разгледаме пасивното собирање информации. Вообичаено, по купувањето преку Интернет, купувачот добива код за следење на нарачката, кој може да биде последователен или псевдосеквенцијален и изгледа вака:
3200411
3200412
3200413
Со него можете да ја следите вашата нарачка. Петестерите или хакерите се обидуваат да ползат URL-адреси за да добијат пристап до податоците за нарачките, кои обично содржат информации за лична идентификација (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Со лизгање низ броевите, тие добиваат пристап до броевите на кредитните картички на купувачот, адресите, имињата и другите лични информации. Сепак, не нè интересираат личните информации на клиентот, туку самиот код за следење на нарачката; ние сме заинтересирани за пасивно извидување.
Уметноста на донесување заклучоци
Размислете за „Уметноста на заклучување“. Ако можете точно да процените колку „нарачки“ обработува една компанија на крајот на кварталот, тогаш, врз основа на историските податоци, можете да заклучите дали нејзината финансиска состојба е добра и како цената на акциите ќе флуктуира. На пример, нарачавте или купивте нешто на почетокот на кварталот, не е важно, а потоа направивте нова нарачка на крајот на кварталот. Врз основа на разликата во бројките, може да се заклучи колку нарачки биле обработени од компанијата во овој временски период. Ако зборуваме за илјада нарачки наспроти сто илјади за истиот претходен период, може да се претпостави дека компанијата работи лошо.
Сепак, факт е дека често овие секвенци броеви може да се добијат без всушност да се заврши нарачката или нарачката што последователно се откажува. Се надевам дека овие бројки нема да се прикажат во никој случај и низата ќе продолжи со бројките:
3200418
3200419
3200420
На овој начин знаете дека имате можност да ги следите нарачките и можете да започнете пасивно да собирате информации од страницата што ни ја даваат. Не знаеме дали е легално или не, знаеме само дека може да се направи.
Значи, разгледавме различни недостатоци на деловната логика.
Треј Форд: напаѓачите се бизнисмени. Очекуваат враќање на инвестицијата. Колку повеќе технологија, колку е поголем и покомплексен кодот, толку повеќе работа треба да се заврши и толку е поголема веројатноста да бидете фатени. Но, постојат многу многу профитабилни начини за извршување напади без никаков напор. Бизнис логиката е огромен бизнис и постои огромен поттик за криминалците да ја хакираат. Недостатоците во деловната логика се главна цел за криминалците и се нешто што не може да се открие со едноставно извршување на скенирање или извршување на стандардно тестирање како дел од процесот на обезбедување квалитет. Има психолошки проблем во ОК наречен „пристрасност на потврдата“, бидејќи, како и луѓето, сакаме да знаеме дека сме во право. Затоа, неопходно е да се спроведе тестирање во реални услови.
Неопходно е да се тестира сè и секого, бидејќи не можат да се откријат сите пропусти во фазата на развој со анализа на кодот, па дури и за време на QA. Значи, треба да го поминете целиот деловен процес и да ги развиете сите мерки за да го заштитите. Може многу да се научи од историјата бидејќи одредени видови напади се повторуваат со текот на времето. Ако една ноќ ве разбуди скок на процесорот, може да претпоставите дека некој хакер повторно се обидува да пронајде валидни купони за попуст. Вистинскиот начин да се препознае типот на напад е да се набљудува активен напад, бидејќи препознавањето врз основа на историјата на дневникот ќе биде исклучително тешко.
Џереми Гросман: па еве што научивме денес.
Погодувањето на captcha може да ви заработи четирицифрена сума во долари. Манипулирањето со онлајн системи за плаќање ќе му донесе на хакерот петцифрен профит. Хакирањето на банките може да ви заработи повеќе од пет цифри во профит, особено ако го правите тоа повеќе од еднаш.
Измамите со е-трговија ќе ви пренесат шест цифри пари, додека со користење на придружни мрежи ќе добиете 5-6 цифри или дури седум цифри. Ако сте доволно храбри, можете да се обидете да ја измамите берзата и да добиете повеќе од седумцифрен профит. И користењето на методот RSnake во натпревари за најдобра Чивава е едноставно бесценето!
Новите слајдови за оваа презентација веројатно не се најдоа на ЦД-то, па можете да ги преземете подоцна од страната на мојот блог. Следува конференција на OPSEC во септември на која ќе присуствувам и мислам дека ќе можеме да создадеме навистина кул работи со нив. Сега, ако имате какви било прашања, ние сме подготвени да одговориме на нив.
Некои реклами 🙂
Ви благодариме што останавте со нас. Дали ви се допаѓаат нашите написи? Сакате да видите поинтересна содржина? Поддржете не со нарачка или препорака на пријатели, , 30% попуст за корисниците на Habr на уникатен аналог на сервери на почетно ниво, кој го измисливме ние за вас: (достапен со RAID1 и RAID10, до 24 јадра и до 40 GB DDR4).
Dell R730xd 2 пати поевтин? Само овде во Холандија! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - од 99 долари! Прочитајте за
Извор: www.habr.com