Mereka pergi lebih jauh untuk membincangkan kemungkinan menggunakan pemandu UPS untuk berhadapan dengan suspek. Mari kita semak sama ada apa yang dipetik pada slaid ini adalah sah?
Berikut ialah jawapan FTC kepada soalan, "Perlukah saya memulangkan atau membayar barang yang tidak pernah saya pesan?" - "Tidak. Jika anda menerima item yang anda tidak pesan, anda mempunyai hak undang-undang untuk menerimanya sebagai hadiah percuma." Adakah ini terdengar beretika? Saya mencuci tangan kerana saya tidak cukup bijak untuk membincangkan perkara sebegitu.
Tetapi apa yang menarik ialah kita melihat trend di mana semakin kurang teknologi yang kita gunakan, semakin banyak wang yang kita dapat.
Penipuan Internet Gabungan
Jeremy Grossman: ia benar-benar sangat sukar untuk difahami, tetapi dengan cara ini anda boleh mendapatkan sejumlah enam angka wang. Jadi, semua cerita yang anda dengar mempunyai pautan sebenar, dan anda boleh membaca secara terperinci tentang semua ini. Salah satu jenis penipuan internet yang paling menarik ialah penipuan ahli gabungan. Kedai dalam talian dan pengiklan menggunakan rangkaian ahli gabungan untuk mendorong trafik dan pengguna ke tapak mereka sebagai pertukaran untuk berkongsi keuntungan yang mereka perolehi.
Saya akan bercakap tentang sesuatu yang diketahui oleh ramai orang selama bertahun-tahun, tetapi saya tidak menemui satu pun rujukan awam yang menunjukkan berapa banyak kerugian yang disebabkan oleh penipuan ini. Setahu saya, tiada saman, tiada siasatan jenayah. Saya telah bercakap dengan usahawan perkilangan, saya telah bercakap dengan rakan rangkaian gabungan, saya telah bercakap dengan Black Cats - mereka semua percaya bahawa penipu memperoleh sejumlah besar wang daripada perkongsian itu.
Saya meminta anda untuk mengambil kata-kata saya untuk itu dan berkenalan dengan hasil "kerja rumah" yang saya selesaikan mengenai masalah khusus ini. Pada mereka, penipu "mengimpal" 5-6 digit, dan kadangkala jumlah tujuh digit setiap bulan, menggunakan teknik khas. Terdapat orang dalam bilik ini yang boleh mengesahkan perkara ini, selagi mereka tidak terikat dengan perjanjian kerahsiaan. Jadi, saya akan menunjukkan kepada anda cara ia berfungsi. Skim ini melibatkan beberapa pemain. Anda akan melihat apa itu "permainan" gabungan generasi baharu.
Permainan ini melibatkan pedagang yang mempunyai beberapa jenis tapak web atau produk, dan dia membayar komisen ahli gabungan untuk klik pengguna, akaun yang dibuat, pembelian yang dibuat dan sebagainya. Anda membayar ahli gabungan untuk seseorang melawat tapak mereka, klik pada pautan, pergi ke tapak pedagang anda dan beli sesuatu di sana.
Pemain seterusnya ialah ahli gabungan yang menerima wang dalam bentuk bayar setiap klik (CPC) atau komisen (CPA) untuk mengubah hala pembeli ke tapak web penjual.
Komisen membayangkan bahawa hasil daripada aktiviti rakan kongsi, pelanggan membuat pembelian di tapak web penjual.
Pembeli ialah orang yang membuat pembelian atau melanggan saham penjual.
Rangkaian ahli gabungan menyediakan teknologi yang menghubungkan dan menjejaki aktiviti penjual, rakan kongsi dan pembeli. Mereka "melekatkan" semua pemain bersama-sama dan memastikan interaksi mereka.
Anda mungkin mengambil masa beberapa hari atau beberapa minggu untuk memahami cara semuanya berfungsi, tetapi tiada teknologi yang kompleks di sini. Rangkaian ahli gabungan dan program gabungan meliputi semua jenis perdagangan dan semua pasaran. Google, EBay, Amazon mempunyainya, kepentingan komisen mereka bertindih, mereka ada di mana-mana dan tidak kekurangan pendapatan. Saya pasti anda tahu bahawa trafik dari blog anda pun boleh mendatangkan beberapa ratus dolar dalam keuntungan bulanan, jadi skim ini akan mudah untuk anda fahami.
Ini adalah bagaimana sistem berfungsi. Anda bergabung dengan tapak kecil, atau papan buletin elektronik, tidak mengapa, daftar untuk program gabungan dan dapatkan pautan khas yang anda letakkan di halaman web anda. Ia kelihatan seperti ini:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ini menyenaraikan program ahli gabungan tertentu, ID ahli gabungan anda, yang dalam kes ini ialah 100, dan nama produk yang dijual. Dan jika seseorang mengklik pada pautan ini, penyemak imbas mengarahkannya ke rangkaian ahli gabungan, menetapkan kuki penjejakan khas yang mengaitkannya dengan ID ahli gabungan=100.
Set-Cookie: AffiliateID=100Dan ubah hala ke halaman penjual. Jika pembeli kemudiannya membeli beberapa produk dalam tempoh masa X, yang boleh menjadi satu hari, satu jam, tiga minggu, mana-mana masa yang dipersetujui, dan pada masa ini kuki terus wujud, maka rakan kongsi menerima komisennya.
Ini adalah skim yang menjadikan syarikat gabungan memperoleh berbilion dolar menggunakan taktik SEO yang berkesan. Saya akan berikan anda satu contoh. Slaid seterusnya menunjukkan cek, sekarang saya akan zum masuk untuk menunjukkan kepada anda jumlahnya. Ini cek daripada Google untuk $132. Nama lelaki ini ialah Schumann, dia memiliki rangkaian laman web pengiklanan. Ini bukan semua wang, Google membayar jumlah sedemikian sebulan sekali atau 2 bulan sekali.
Semakan lain daripada Google, saya akan meningkatkannya, dan anda akan melihat bahawa ia telah dikeluarkan untuk $901.
Patutkah saya bertanya kepada seseorang tentang etika cara-cara memperoleh wang ini? Sunyi dalam dewan... Cek ini mewakili bayaran 2 bulan kerana cek sebelumnya telah ditolak oleh bank penerima kerana bayaran terlalu besar.
Jadi, kami yakin bahawa wang tersebut boleh dibuat, dan wang ini dibayar. Bagaimanakah skim ini boleh dimainkan? Kita boleh menggunakan teknik yang dipanggil Cookie-Stuffing, atau Cookie Stuffing. Ini adalah konsep yang sangat mudah yang muncul pada tahun 2001-2002, dan slaid ini menunjukkan rupanya pada tahun 2002. Saya akan memberitahu anda kisah penampilannya.
Tiada apa-apa kecuali syarat perkhidmatan yang menjengkelkan rangkaian ahli gabungan memerlukan pengguna untuk benar-benar mengklik pada pautan untuk penyemak imbas mereka mengambil kuki dengan ID ahli gabungan.
Anda boleh memuatkan URL ini secara automatik, yang biasanya diklik oleh pengguna, ke dalam sumber imej atau ke dalam teg iframe. Dan bukannya pautan:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Anda sedang memuat turun ini:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Atau itu:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Dan apabila pengguna sampai ke halaman anda, dia akan secara automatik mengambil kuki ahli gabungan. Pada masa yang sama, tidak kira sama ada dia membeli sesuatu pada masa hadapan, anda akan menerima komisen anda, sama ada anda mengubah hala lalu lintas atau tidak - tidak mengapa.
Sejak beberapa tahun kebelakangan ini, ini telah menjadi hobi untuk lelaki SEO yang menyiarkan perkara seperti ini pada papan mesej dan membangunkan pelbagai senario untuk tempat lain untuk meletakkan pautan mereka. Rakan kongsi yang agresif telah menyedari bahawa mereka boleh meletakkan kod mereka di mana-mana sahaja di Internet, bukan hanya di tapak mereka sendiri.
Pada slaid ini, anda dapat melihat bahawa mereka mempunyai program pemadat kuki mereka sendiri yang membantu pengguna membuat "kuki disumbat" mereka sendiri. Dan ia bukan hanya satu kuki, anda boleh memuat turun 20-30 ID rangkaian ahli gabungan pada masa yang sama, dan sebaik sahaja seseorang membeli sesuatu, anda akan dibayar untuknya.
Tidak lama kemudian lelaki ini menyedari bahawa mereka tidak boleh meletakkan kod ini pada halaman mereka. Mereka meninggalkan skrip merentas tapak dan mula menyiarkan coretan kecil mereka dengan kod HTML pada papan mesej, dalam buku tetamu, di rangkaian sosial.
Menjelang sekitar tahun 2005, peniaga dan rangkaian ahli gabungan mengetahui perkara yang sedang berlaku, mula menjejaki perujuk dan kadar klik lalu, dan mula menendang ahli gabungan yang mencurigakan. Sebagai contoh, mereka mendapati bahawa pengguna mengklik pada tapak MySpace, tetapi tapak tersebut tergolong dalam rangkaian ahli gabungan yang sama sekali berbeza daripada tapak yang menerima faedah yang sah.
Mereka ini menjadi lebih bijak, dan pada tahun 2007 sejenis Cookie-Stuffing baharu telah dilahirkan. Rakan kongsi mula meletakkan kod mereka pada halaman SSL. Menurut Protokol Pemindahan Hiperteks RFC 2616, pelanggan tidak boleh memasukkan medan pengepala Perujuk dalam permintaan HTTP yang tidak selamat jika halaman rujukan telah dipindahkan daripada protokol selamat. Ini kerana anda tidak mahu maklumat ini dibocorkan daripada domain anda.
Daripada ini adalah jelas bahawa tiada Perujuk yang dihantar kepada rakan kongsi tidak dapat dikesan, jadi rakan kongsi utama akan melihat pautan kosong dan tidak akan dapat menendang anda keluar untuk itu. Kini penipu mempunyai peluang untuk membuat "kuki terisi" mereka sendiri tanpa dikenakan hukuman. Benar, tidak setiap penyemak imbas membenarkan anda melakukan ini, tetapi terdapat banyak cara lain untuk melakukan perkara yang sama, menggunakan pengemaskinian automatik halaman semasa penyemak imbas meta-refresh, tag meta atau JavaScript.
Pada tahun 2008, mereka mula menggunakan alat penggodaman yang lebih berkuasa seperti mengikat semula serangan - mengikat semula DNS, Gifar dan kandungan Flash berniat jahat yang boleh memusnahkan model perlindungan sedia ada sepenuhnya. Ia mengambil sedikit masa untuk memikirkan cara menggunakannya, kerana lelaki Sumbat Kuki bukanlah penggodam yang sangat maju, mereka hanyalah pemasar yang agresif yang tidak tahu banyak tentang pengekodan.
Penjualan maklumat separa tersedia
Jadi, kami melihat bagaimana untuk memperoleh jumlah 6 angka, dan sekarang mari beralih kepada jumlah tujuh angka. Kita perlukan wang yang besar untuk menjadi kaya atau mati. Kami akan melihat bagaimana anda boleh membuat wang dengan menjual maklumat separa tersedia. Business Wire sangat popular beberapa tahun yang lalu dan ia masih penting, kami melihatnya di banyak tapak. Bagi mereka yang tidak tahu, Business Wire menyediakan perkhidmatan di mana pengguna berdaftar tapak menerima aliran siaran akhbar terkini daripada beribu-ribu syarikat. Siaran akhbar dihantar kepada syarikat ini oleh pelbagai organisasi yang kadangkala diharamkan atau diembargo buat sementara waktu, jadi maklumat yang terkandung dalam siaran akhbar ini boleh menjejaskan nilai saham.
Fail siaran akhbar dimuat naik ke pelayan web Business Wire tetapi tidak dipautkan sehingga embargo ditarik balik. Sementara itu, halaman web siaran akhbar dipautkan ke tapak web utama dan pengguna dimaklumkan tentangnya dengan URL seperti ini:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmOleh itu, semasa anda berada di bawah embargo, anda menyiarkan data menarik di tapak supaya sebaik sahaja embargo ditarik balik, pengguna akan segera membiasakan diri dengan mereka. Pautan ini bertarikh dan dihantar kepada pengguna melalui e-mel. Sebaik sahaja larangan tamat, pautan akan berfungsi dan mengarahkan pengguna ke tapak di mana siaran akhbar yang berkaitan disiarkan. Sebelum memberikan akses kepada halaman web siaran akhbar, sistem mesti memastikan bahawa pengguna log masuk secara sah.
Mereka tidak menyemak sama ada anda mempunyai hak untuk melihat maklumat ini sebelum embargo tamat tempoh, anda hanya perlu log masuk ke sistem. Setakat ini ia kelihatan tidak berbahaya, tetapi hanya kerana anda tidak dapat melihat sesuatu tidak bermakna ia tidak ada.
Syarikat kewangan Estonia Lohmus Haavel & Viisemann, bukan penggodam sama sekali, mendapati bahawa halaman web siaran akhbar dinamakan dengan cara yang boleh diramal dan mula meneka URL tersebut. Walaupun pautan mungkin belum wujud kerana embargo sedang berkuat kuasa, ini tidak bermakna penggodam tidak boleh meneka nama fail dan dengan itu mengaksesnya lebih awal. Kaedah ini berkesan kerana satu-satunya semakan keselamatan Business Wire ialah pengguna log masuk secara sah, dan tiada yang lain.
Oleh itu, orang Estonia menerima maklumat sebelum pasaran ditutup dan menjual data ini. Sebelum SEC menjejaki mereka dan membekukan akaun mereka, mereka berjaya memperoleh maklumat separa tersedia dagangan $8 juta. Pertimbangkan bahawa lelaki ini hanya melihat rupa pautan, cuba meneka URL dan memperoleh 8 juta daripadanya. Biasanya pada ketika ini saya bertanya kepada penonton sama ada ini dianggap sah atau haram, sama ada ia berkaitan dengan konsep perdagangan atau tidak. Tetapi buat masa ini, saya hanya ingin menarik perhatian anda kepada siapa yang melakukannya.
Sebelum anda cuba menjawab soalan ini, saya akan menunjukkan kepada anda slaid seterusnya. Ini tiada kaitan dengan penipuan internet. Seorang penggodam Ukraine menggodam Thomson Financial, penyedia risikan perniagaan, dan mencuri masalah kewangan IMS Health beberapa jam sebelum maklumat itu sepatutnya memasuki pasaran kewangan. Tidak dinafikan dia bersalah atas kesalahan pecah rumah.
Penggodam membuat pesanan untuk menjual dalam jumlah 42 ribu dolar, bermain sehingga kadar jatuh. Bagi Ukraine, ini adalah jumlah yang besar, jadi penggodam tahu betul apa yang dia hadapi. Penurunan mendadak dalam harga saham membawanya kira-kira $300 keuntungan dalam masa beberapa jam. Pertukaran itu menyiarkan Bendera Merah, SEC membekukan dana, menyedari bahawa ada sesuatu yang tidak kena, dan melancarkan siasatan. Bagaimanapun, Hakim Naomi Reis Buchwald berkata dana itu sepatutnya tidak dibekukan kerana Dorozhko yang didakwa "mencuri dan berdagang" serta "menggoda dan berdagang" tidak melanggar undang-undang sekuriti. Penggodam itu bukan pekerja syarikat ini, jadi dia tidak melanggar mana-mana undang-undang mengenai pendedahan maklumat kewangan sulit.
Akhbar The Times mencadangkan Jabatan Kehakiman AS hanya menganggap kes ini sia-sia kerana kesukaran yang berkaitan dengan mendapatkan persetujuan pihak berkuasa Ukraine untuk bekerjasama dalam penangkapan penjenayah itu. Jadi penggodam ini mendapat 300 ribu dolar dengan sangat mudah.
Sekarang bandingkan ini dengan kes sebelumnya di mana orang membuat wang hanya dengan menukar URL pautan dalam penyemak imbas mereka dan menjual maklumat komersial. Ini agak menarik, tetapi bukan satu-satunya cara untuk membuat wang di bursa saham.
Pertimbangkan pengumpulan maklumat pasif. Biasanya, selepas membuat pembelian dalam talian, pembeli menerima kod penjejakan pesanan, yang boleh mengikut urutan atau pseudo-sequential dan kelihatan seperti ini:
3200411
3200412
3200413
Dengan itu, anda boleh menjejaki pesanan anda. Pentester atau penggodam cuba "menatal" URL untuk mengakses data pesanan, biasanya mengandungi maklumat pengenalan peribadi (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Dengan menatal melalui nombor, mereka mendapat akses kepada nombor kad kredit, alamat, nama dan maklumat peribadi pembeli yang lain. Walau bagaimanapun, kami tidak berminat dengan maklumat peribadi pelanggan, tetapi dalam kod trek pesanan itu sendiri, kami berminat dengan kecerdasan pasif.
Seni membuat kesimpulan
Pertimbangkan Seni Melukis Inferens. Jika anda boleh menganggarkan dengan tepat bilangan "pesanan" yang sedang diproses oleh syarikat pada akhir suku tahun, maka berdasarkan data sejarah, anda boleh membuat kesimpulan sama ada keadaan kewangannya adalah baik dan ke arah mana harga sahamnya akan turun naik. Contohnya, anda memesan atau membeli sesuatu pada awal suku tahun, tidak mengapa, dan kemudian membuat pesanan baharu pada penghujung suku tahun. Dengan perbezaan bilangan, kita boleh membuat kesimpulan berapa banyak pesanan telah diproses oleh syarikat dalam tempoh masa ini. Jika kita bercakap tentang seribu pesanan berbanding seratus ribu untuk tempoh yang sama, anda boleh mengandaikan bahawa syarikat itu menunjukkan prestasi yang teruk.
Walau bagaimanapun, hakikatnya selalunya nombor jujukan ini boleh diperolehi tanpa benar-benar memenuhi pesanan atau pesanan yang kemudiannya dibatalkan. Semoga nombor tersebut tidak muncul dan urutannya diteruskan dengan nombor:
3200418
3200419
3200420
Dengan cara ini anda tahu bahawa anda mempunyai keupayaan untuk menjejaki pesanan dan boleh mula mengumpul maklumat secara pasif daripada tapak yang mereka berikan kepada kami. Kita tidak tahu sama ada ia sah atau tidak, kita hanya tahu ia boleh dilakukan.
Jadi, kami telah mempertimbangkan pelbagai kelemahan logik perniagaan.
Trey Ford: penyerang adalah ahli perniagaan. Mereka mengharapkan pulangan dari pelaburan mereka. Lebih banyak teknologi, lebih besar dan lebih kompleks kod, lebih banyak kerja yang perlu anda lakukan dan lebih besar kemungkinan anda akan ditangkap. Tetapi terdapat banyak cara yang sangat berfaedah untuk melakukan serangan tanpa sebarang usaha. Logik perniagaan adalah perniagaan yang besar dan terdapat motivasi besar untuk penjenayah untuk memecahkannya. Kepincangan logik perniagaan adalah sasaran utama penjenayah dan merupakan sesuatu yang tidak dapat dikesan dengan hanya menjalankan imbasan atau melakukan ujian QA rutin. Terdapat masalah psikologi dengan jaminan kualiti dalam QA, yang dipanggil "confirmation bias" kerana, seperti orang lain, kami ingin tahu kami betul. Oleh itu, adalah perlu untuk menjalankan ujian dalam keadaan sebenar.
Ia adalah perlu untuk menguji segala-galanya dan segala-galanya, kerana tidak semua kelemahan boleh ditemui pada peringkat pembangunan, dengan menganalisis kod, atau bahkan semasa QA. Oleh itu, anda perlu melalui keseluruhan proses perniagaan dan membangunkan semua langkah untuk melindunginya. Banyak yang boleh dipelajari daripada sejarah kerana beberapa jenis serangan berulang dari semasa ke semasa. Jika anda terjaga pada suatu malam kerana penggunaan CPU yang memuncak, maka anda boleh menganggap bahawa sesetengah penggodam cuba menjejaki kupon diskaun yang sah sekali lagi. Cara sebenar untuk mengenali jenis serangan adalah dengan memerhati serangan aktif, kerana mengiktirafnya berdasarkan sejarah log akan menjadi tugas yang amat sukar.
Jeremy Grossman: Jadi inilah yang kami pelajari hari ini.
Menyelesaikan captcha boleh membawa anda empat angka dalam dolar. Memanipulasi sistem pembayaran dalam talian akan membawa penggodam keuntungan lima angka. Bank penggodaman boleh memberi anda lebih daripada lima angka, terutamanya jika anda melakukannya lebih daripada sekali.
Penipuan e-dagang akan memberi anda enam angka, dan menggunakan rangkaian ahli gabungan akan memberi anda 5-6 angka atau bahkan tujuh angka. Jika anda cukup berani, anda boleh cuba menipu pasaran saham dan mendapat keuntungan lebih daripada tujuh angka. Dan menggunakan kaedah RSnake dalam pertandingan untuk chihuahua terbaik adalah tidak ternilai!
Slaid baharu untuk pembentangan ini mungkin tidak disertakan pada CD, jadi anda boleh memuat turunnya kemudian dari halaman blog saya. Terdapat persidangan OPSEC akan datang pada bulan September yang akan saya hadiri, dan saya fikir kita akan dapat melakukan beberapa perkara yang sangat menarik dengan mereka. Dan sekarang, jika anda mempunyai sebarang soalan, kami bersedia untuk menjawabnya.
Beberapa iklan 🙂
Terima kasih kerana tinggal bersama kami. Adakah anda suka artikel kami? Ingin melihat kandungan yang lebih menarik? Sokong kami dengan membuat pesanan atau mengesyorkan kepada rakan, , Diskaun 30% untuk pengguna Habr pada analog unik pelayan peringkat permulaan, yang kami cipta untuk anda: (tersedia dengan RAID1 dan RAID10, sehingga 24 teras dan sehingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya disini di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - daripada $99! Baca tentang
Sumber: www.habr.com