Ze gingen zelfs zo ver dat ze de mogelijkheid bespraken om UPS-chauffeurs de verdachte te laten confronteren. Laten we nu eens kijken of wat op deze dia wordt geciteerd legaal is?
Dit is wat de FTC zegt als hem wordt gevraagd: "Moet ik een artikel retourneren of betalen dat ik nooit heb besteld?" - "Nee. Als je een artikel ontvangt dat je niet hebt besteld, heb je het wettelijke recht om het als gratis geschenk te accepteren." Klinkt dit ethisch? Ik was mijn handen hiervan af, omdat ik niet slim genoeg ben om dergelijke kwesties te bespreken.
Maar wat interessant is, is dat we een trend zien waarbij hoe minder technologie we gebruiken, hoe meer geld we verdienen.
Internetfraude bij aangesloten bedrijven
Jeremy Grossman: het is echt heel moeilijk te begrijpen, maar je kunt op deze manier zes cijfers verdienen. Alle verhalen die je hebt gehoord, hebben dus echte links en je kunt er alles in detail over lezen. Een van de meest interessante vormen van internetfraude is affiliatefraude. Online winkels en adverteerders gebruiken aangesloten netwerken om verkeer en gebruikers naar hun sites te trekken in ruil voor een deel van de winst die zij hiermee ontvangen.
Ik ga het hebben over iets waar veel mensen al jaren van weten, maar ik heb geen enkele openbare referentie kunnen vinden die aangeeft hoeveel verlies dit soort oplichting heeft veroorzaakt. Voor zover ik weet zijn er geen rechtszaken geweest, geen strafrechtelijk onderzoek. Ik heb met productieondernemers gesproken, ik heb met jongens van aangesloten netwerken gesproken, ik heb met Black Cats gesproken - ze geloven allemaal dat oplichters enorm veel geld hebben verdiend met aangesloten bedrijven.
Geloof mij alstublieft op mijn woord en bekijk het huiswerk dat ik over deze specifieke kwesties heb gedaan. Fraudeurs gebruiken ze om maandelijks bedragen van vijf tot zes cijfers en soms zeven cijfers te verdienen, met behulp van speciale technieken. Er zijn mensen in deze kamer die dit kunnen controleren als ze niet gebonden zijn aan een geheimhoudingsovereenkomst. Dus ik ga je laten zien hoe het werkt. Bij dit plan zijn meerdere spelers betrokken. Je zult zien waar het bij de volgende generatie affiliate “game” om draait.
Bij het spel is een handelaar betrokken die een website of product heeft en de aangesloten commissies betaalt voor gebruikersklikken, aangemaakte accounts, gedane aankopen, enzovoort. Je betaalt de affiliate voor het feit dat iemand zijn website bezoekt, op een link klikt, naar de website van jouw verkoper gaat en daar iets koopt.
De volgende speler is de affiliate, die geld ontvangt in de vorm van kosten per klik (CPC) of in de vorm van commissies (CPA) voor het doorverwijzen van kopers naar de website van de verkoper.
Commissies houden in dat de klant als gevolg van de activiteiten van de partner een aankoop heeft gedaan op de website van de verkoper.
De koper is de persoon die aankopen doet of zich abonneert op de aandelen van de verkoper.
Affiliatenetwerken bieden technologieën die de activiteiten van de verkoper, partner en koper met elkaar verbinden en volgen. Ze “lijmen” alle spelers aan elkaar en zorgen voor hun interactie.
Het kan een paar dagen of een paar weken duren voordat je erachter komt hoe het allemaal werkt, maar er komt geen ingewikkelde technologie bij kijken. Affiliatenetwerken en partnerprogramma's bestrijken alle soorten handel en alle markten. Google, EBay, Amazon hebben ze, hun belangen als commissionairs kruisen elkaar, ze zijn overal en hebben geen gebrek aan inkomsten. Ik weet zeker dat je weet dat zelfs verkeer vanaf je blog elke maand honderden dollars aan winst kan genereren, dus dit schema zal voor je gemakkelijk te begrijpen zijn.
Dit is hoe het systeem werkt. U sluit zich aan bij een kleine site of bij een elektronisch prikbord, het maakt niet uit, u tekent een partnerprogramma en ontvangt een speciale link die u op uw internetpagina plaatst. Het ziet er zo uit:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Dit toont het specifieke partnerprogramma, uw partner-ID (in dit geval is dit 100) en de naam van het product dat wordt verkocht. En als iemand op deze link klikt, verwijst de browser hem door naar het aangesloten netwerk en installeert hij speciale trackingcookies die hem linken aan het aangesloten ID=100.
Set-Cookie: AffiliateID=100En wordt doorverwezen naar de pagina van de verkoper. Als de koper later een product koopt binnen een periode van tijd X, wat een dag, een uur, drie weken of een afgesproken tijdstip kan zijn, en gedurende deze tijd blijven de cookies bestaan, dan ontvangt de affiliate zijn commissie.
Dit is hoe aangesloten bedrijven miljarden dollars verdienen met behulp van effectieve SEO-tactieken. Laat me je een voorbeeld geven. Op de volgende dia ziet u de bon, ik zal deze nu vergroten om u het bedrag te laten zien. Dit is een cheque van Google ter waarde van $ 132. De achternaam van deze heer is Schumann, en hij is eigenaar van een netwerk van advertentiewebsites. Dit is niet al het geld, Google betaalt dergelijke bedragen eens per maand of eens in de twee maanden.
Nog een cheque van Google, ik vergroot hem en je ziet dat hij $ 901 kost.
Должен ли я спросить кого-то по поводу этичности таких способов заработка? Молчание в зале… Этот чек представляет собой оплату за 2 месяца, потому что предыдущий чек был отклонён банком получателя из-за слишком большой суммы выплаты.
We hebben dus gezien dat dit soort geld verdiend kan worden, en dit geld wordt uitbetaald. Hoe kun je dit plan verslaan? We kunnen een techniek gebruiken die Cookie-Stuffing heet. Dit is een heel eenvoudig concept dat in 2001-2002 verscheen, en deze dia laat zien hoe het er in 2002 uitzag. Ik zal je het verhaal van zijn verschijning vertellen.
Niets minder dan de vervelende servicevoorwaarden van het aangesloten netwerk vereisen dat een gebruiker daadwerkelijk op een link klikt, zodat zijn browser de aangesloten ID-cookie kan ophalen.
U kunt deze doorgaans aangeklikte URL automatisch in de afbeeldingsbron of iframe-tag laden. In dit geval, in plaats van een link:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Je downloadt dit:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Of dat:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>En wanneer de gebruiker op uw pagina terechtkomt, pikt hij automatisch de affiliate-cookie op. Tegelijkertijd ontvangt u, ongeacht of hij in de toekomst iets koopt, uw commissies, of u het verkeer nu heeft omgeleid of niet - het maakt niet uit.
De afgelopen jaren is dit een tijdverdrijf geworden voor SEO-jongens die soortgelijk materiaal op prikborden plaatsen en allerlei scenario's ontwikkelen voor waar ze hun links anders moeten plaatsen. Agressieve partners beseften dat ze hun code overal op internet konden plaatsen, en niet alleen op hun eigen sites.
Op deze dia kun je zien dat ze hun eigen Cookie-Stuffing-programma's hebben waarmee gebruikers hun eigen 'gevulde cookies' kunnen maken. En het is niet slechts één cookie, je kunt 20-30 affiliate-ID's tegelijkertijd uploaden, en zodra iemand iets koopt, krijg je ervoor betaald.
Deze jongens beseften al snel dat ze deze code niet op hun pagina's hoefden te plaatsen. Ze lieten cross-site scripting achterwege en begonnen eenvoudigweg hun kleine fragmenten met HTML-code op prikborden, gastenboeken en sociale netwerken te plaatsen.
Rond 2005 ontdekten verkopers en aangesloten netwerken wat er aan de hand was, begonnen ze verwijzers en klikfrequenties bij te houden en begonnen ze verdachte aangesloten bedrijven eruit te gooien. Ze merkten bijvoorbeeld dat een gebruiker op een MySpace-site klikte, maar dat die site tot een heel ander aangesloten netwerk behoorde dan het netwerk dat het legitieme voordeel ontving.
Deze jongens werden een beetje wijzer en in 2007 ontstond er een nieuw soort Cookie-Stuffing. Partners begonnen hun code op SSL-pagina's te plaatsen. Volgens Hypertext Transfer Protocol RFC 2616 mogen clients geen Referer-headerveld opnemen in een onveilig HTTP-verzoek als de verwijzende pagina is gemigreerd vanuit een beveiligd protocol. Dit komt omdat u niet wilt dat deze informatie uit uw domein lekt.
Hieruit blijkt duidelijk dat elke verwijzing die naar een partner wordt gestuurd, niet traceerbaar zal zijn, dus de hoofdpartners zullen een lege link zien en kunnen u er niet voor verwijderen. Nu hebben oplichters de mogelijkheid om ongestraft hun “gevulde koekjes” te maken. Het is waar dat niet elke browser dit toestaat, maar er zijn veel andere manieren om hetzelfde te doen met behulp van de automatische verversing van de huidige pagina meta-refresh, metatags of JavaScript door de browser.
In 2008 begonnen ze krachtigere hacktools te gebruiken, zoals DNS-rebinding-aanvallen, Gifar en kwaadaardige Flash-inhoud, die bestaande beveiligingsmodellen volledig kunnen vernietigen. Het duurt een tijdje voordat je erachter komt hoe je ze moet gebruiken, omdat de jongens van Cookie-Stuffing geen bijzonder geavanceerde hackers zijn, het zijn gewoon agressieve marketeers met weinig kennis van coderen.
Продажа полудоступной информации
We hebben dus gekeken hoe we bedragen met zes cijfers kunnen verdienen, en laten we nu verder gaan met bedragen met zeven cijfers. We hebben veel geld nodig om rijk te worden of te sterven. We bekijken hoe u geld kunt verdienen door semi-toegankelijke informatie te verkopen. Business Wire was een paar jaar geleden erg populair en het is nog steeds belangrijk: we zien de aanwezigheid ervan op veel sites. Voor degenen die het niet weten: Business Wire biedt een dienst aan waarbij geregistreerde gebruikers van de site een stroom actuele persberichten van duizenden bedrijven ontvangen. Er worden door verschillende organisaties persberichten naar dit bedrijf gestuurd, waarvoor soms tijdelijke verboden of embargo's gelden. De informatie in deze persberichten kan dus van invloed zijn op de koers van aandelen.
Persberichtbestanden worden geüpload naar de Business Wire-webserver, maar worden pas gekoppeld als het embargo wordt opgeheven. Ondertussen zijn de webpagina's met persberichten gelinkt aan de hoofdwebsite en worden gebruikers hiervan op de hoogte gebracht via URL's als deze:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmTerwijl u onder het embargo valt, plaatst u dus interessante gegevens op de site, zodat gebruikers er onmiddellijk mee vertrouwd raken zodra het embargo wordt opgeheven. Deze links zijn gedateerd en worden via e-mail naar gebruikers verzonden. Zodra het verbod afloopt, werkt de link en wordt de gebruiker naar de site geleid waar het bijbehorende persbericht is geplaatst. Voordat toegang wordt verleend tot de webpagina met persberichten, moet het systeem verifiëren dat de gebruiker legaal is ingelogd.
Zij controleren niet of u het recht heeft om deze informatie in te zien voordat het embargo afloopt; u hoeft alleen maar in te loggen op het systeem. Tot nu toe lijkt het onschuldig, maar het feit dat je iets niet ziet, betekent niet dat het er niet is.
De Estse financiële dienstverlener Lohmus Haavel & Viisemann, die helemaal geen hackers waren, ontdekte dat webpagina's van persberichten een voorspelbare naam hadden en begon die URL's te raden. Hoewel de links mogelijk nog niet bestaan omdat er een embargo van kracht is, betekent dit niet dat een hacker de bestandsnaam niet kan raden en er dus voortijdig toegang toe kan krijgen. Deze methode werkte omdat de enige veiligheidscontrole van Business Wire was dat de gebruiker legaal was ingelogd en niets anders.
Zo ontvingen de Esten informatie voordat de markt sloot en verkochten deze gegevens. Totdat de SEC ze opspoorde en hun rekeningen bevroor, slaagden ze erin acht miljoen dollar te verdienen met het verhandelen van semi-toegankelijke informatie. Denk er eens over na, het enige wat deze jongens deden was kijken naar hoe de links eruit zagen, proberen de URL's te raden en er 8 miljoen mee verdienen. Meestal vraag ik het publiek op dit punt of dit als legaal of illegaal wordt beschouwd, of het als een handel wordt beschouwd of niet. Maar voor nu wil ik alleen uw aandacht vestigen op wie dit heeft gedaan.
Voordat u deze vragen probeert te beantwoorden, laat ik u de volgende dia zien. Dit houdt niet direct verband met onlinefraude. Een Oekraïense hacker hackte Thomson Financial, een leverancier van bedrijfsinformatie, en stal gegevens over de financiële nood van IMS Health, uren voordat de informatie op de financiële markt zou verschijnen. Er bestaat geen twijfel dat hij zich schuldig heeft gemaakt aan hacken.
De hacker plaatste verkooporders voor een bedrag van 42 duizend dollar en speelde voordat de koersen daalden. Voor Oekraïne is dit een enorm bedrag, dus de hacker wist goed waar hij aan begon. De plotselinge daling van de aandelenkoers leverde hem binnen een paar uur een winst van ongeveer $ 300 op. De beurs liet een “rode vlag” horen, de SEC bevroor het geld, merkte dat er iets misging en startte een onderzoek. Rechter Naomi Reis Buchwald zei echter dat de fondsen moeten worden bevroren omdat de aantijgingen van “diefstal en handel” en “hacking en handel” die aan Dorozhko worden toegeschreven, niet in strijd zijn met de effectenwetten. De hacker was geen werknemer van dit bedrijf en heeft daarom geen wetten overtreden met betrekking tot de openbaarmaking van vertrouwelijke financiële informatie.
The Times suggereerde dat het Amerikaanse ministerie van Justitie de zaak eenvoudigweg als nutteloos beschouwde vanwege de moeilijkheden om de Oekraïense autoriteiten zover te krijgen dat ze zouden samenwerken bij het oppakken van de dader. Deze hacker kreeg dus heel gemakkelijk 300 dollar.
Vergelijk dit nu met het vorige geval waarin mensen geld verdienden door simpelweg de URL's van links in hun browser te wijzigen en commerciële informatie te verkopen. Dit zijn behoorlijk interessant, maar niet de enige manieren om geld te verdienen op de beurs.
Laten we eens kijken naar passieve informatieverzameling. Normaal gesproken ontvangt de koper na een online aankoop een trackingcode voor bestellingen, die opeenvolgend of pseudo-opeenvolgend kan zijn en er ongeveer zo uitziet:
3200411
3200412
3200413
Hiermee kunt u uw bestelling volgen. Pentesters of hackers proberen URL's te crawlen om toegang te krijgen tot bestelgegevens, die meestal persoonlijk identificeerbare informatie (PII) bevatten:
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Door door de nummers te scrollen krijgen ze toegang tot de creditcardnummers, adressen, namen en andere persoonlijke gegevens van de koper. We zijn echter niet geïnteresseerd in de persoonlijke gegevens van de klant, maar in de trackcode van de bestelling zelf; we zijn geïnteresseerd in passieve verkenning.
De kunst van het trekken van conclusies
Denk eens aan ‘De kunst van het concluderen’. Als je nauwkeurig kunt inschatten hoeveel ‘orders’ een bedrijf aan het einde van het kwartaal verwerkt, kun je op basis van historische gegevens afleiden of de financiële situatie goed is en hoe de aandelenkoers zal fluctueren. U heeft bijvoorbeeld aan het begin van het kwartaal iets besteld of gekocht, het maakt niet uit, en vervolgens aan het einde van het kwartaal een nieuwe bestelling geplaatst. Op basis van het verschil in cijfers kan worden afgeleid hoeveel bestellingen er in deze periode door het bedrijf zijn verwerkt. Als we het hebben over duizend bestellingen versus honderdduizend in dezelfde periode daarvoor, kun je ervan uitgaan dat het bedrijf het slecht doet.
Feit is echter dat deze volgnummers vaak kunnen worden verkregen zonder dat de bestelling daadwerkelijk wordt afgerond of een bestelling die vervolgens wordt geannuleerd. Ik hoop dat deze cijfers in ieder geval niet worden weergegeven en dat de reeks verder gaat met de cijfers:
3200418
3200419
3200420
Op deze manier weet u dat u bestellingen kunt volgen en passief informatie kunt verzamelen van de site die zij aan ons verstrekken. We weten niet of het legaal is of niet, we weten alleen dat het kan.
We hebben dus gekeken naar verschillende tekortkomingen van de bedrijfslogica.
Trey Ford: de aanvallers zijn zakenlieden. Ze verwachten rendement op hun investering. Hoe meer technologie, hoe groter en complexer de code, hoe meer werk er moet worden gedaan en hoe groter de kans om gepakt te worden. Maar er zijn veel zeer winstgevende manieren om zonder enige moeite aanvallen uit te voeren. Bedrijfslogica is een enorme business, en er is een enorme stimulans voor criminelen om deze te hacken. Gebreken in de bedrijfslogica zijn een belangrijk doelwit voor criminelen en kunnen niet worden opgespoord door eenvoudigweg een scan uit te voeren of standaardtests uit te voeren als onderdeel van een kwaliteitsborgingsproces. Er is een psychologisch probleem in QA dat ‘confirmation bias’ wordt genoemd, omdat we, net als mensen, willen weten dat we gelijk hebben. Daarom is het noodzakelijk om tests in reële omstandigheden uit te voeren.
Het is noodzakelijk om alles en iedereen te testen, omdat niet alle kwetsbaarheden in de ontwikkelingsfase kunnen worden opgespoord door de code te analyseren, of zelfs tijdens QA. U moet dus het hele bedrijfsproces doorlopen en alle maatregelen ontwikkelen om het te beschermen. Er kan veel van de geschiedenis worden geleerd omdat bepaalde soorten aanvallen zich in de loop van de tijd herhalen. Als je op een nacht wakker wordt door een CPU-piek, kun je ervan uitgaan dat een hacker opnieuw geldige kortingsbonnen probeert op te sporen. De echte manier om het type aanval te herkennen is door een actieve aanval te observeren, omdat het herkennen ervan op basis van de loggeschiedenis uiterst moeilijk zal zijn.
Jeremy Grossman: dus dit is wat we vandaag hebben geleerd.
Als u de captcha raadt, kunt u een bedrag van vier cijfers in dollars verdienen. Het manipuleren van online betalingssystemen zal een hacker een winst van vijf cijfers opleveren. Het hacken van banken kan je ruim vijf cijfers winst opleveren, vooral als je het meer dan eens doet.
E-commerce-oplichting levert u zes cijfers op, terwijl het gebruik van aangesloten netwerken u vijf tot zes cijfers of zelfs zeven cijfers oplevert. Als je dapper genoeg bent, kun je proberen de aandelenmarkt voor de gek te houden en meer dan zevencijferige winsten te behalen. En het gebruik van de RSnake-methode in wedstrijden voor de beste Chihuahua is gewoonweg van onschatbare waarde!
De nieuwe dia's voor deze presentatie zijn waarschijnlijk niet op de cd terechtgekomen, dus je kunt ze later downloaden van mijn blogpagina. Er komt in september een OPSEC-conferentie aan waar ik naar toe ga, en ik denk dat we met hen hele coole dingen kunnen creëren. Als u vragen heeft, staan wij klaar om ze te beantwoorden.
Sommige advertenties 🙂
Bedankt dat je bij ons bent gebleven. Vind je onze artikelen leuk? Wil je meer interessante inhoud zien? Steun ons door een bestelling te plaatsen of door vrienden aan te bevelen, , 30% korting voor Habr-gebruikers op een unieke analoog van instapservers, die door ons voor u is uitgevonden: (beschikbaar met RAID1 en RAID10, tot 24 cores en tot 40GB DDR4).
Dell R730xd 2 keer goedkoper? Alleen hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees over
Bron: www.habr.com