De gikk så langt som å diskutere muligheten for å bruke UPS-sjåfører for å konfrontere den mistenkte. La oss nå sjekke om det som er sitert på dette lysbildet er lovlig?
Her er FTCs svar på spørsmålet "Bør jeg returnere eller betale for en vare jeg aldri har bestilt?" - "Nei. Hvis du mottar en vare du ikke har bestilt, har du rett til å akseptere den som en gratis gave." Høres dette etisk ut? Jeg vasker hendene fordi jeg ikke er smart nok til å diskutere slike saker.
Men det som er interessant er at vi ser en trend der jo mindre teknologi vi bruker, jo mer penger får vi.
Tilknyttet internettsvindel
Jeremy Grossman: det er egentlig veldig vanskelig å forstå, men på denne måten kan du få et sekssifret beløp. Så alle historiene du har hørt har ekte linker, og du kan lese i detalj om alt dette. En av de mest interessante typene internettsvindel er affiliate-svindel. Nettbutikker og annonsører bruker tilknyttede nettverk for å lede trafikk og brukere til nettstedene deres i bytte mot en andel av fortjenesten de tjener.
Jeg skal snakke om noe som mange mennesker har kjent i årevis, men jeg kunne ikke finne en eneste offentlig referanse som skulle indikere hvor mye tap denne typen svindel forårsaket. Så vidt jeg vet var det ingen rettssaker, ingen kriminelle etterforskninger. Jeg har snakket med entreprenører i produksjon, jeg har snakket med gutter fra tilknyttede nettverk, jeg har snakket med Black Cats - de tror alle at svindlerne tjente en enorm sum penger på partnerskapet.
Jeg ber deg om å ta mitt ord for det og gjøre deg kjent med resultatet av "leksene" som jeg fullførte på disse spesifikke problemene. På dem "sveiser" svindlere 5-6-sifrede, og noen ganger syvsifrede beløp månedlig, ved hjelp av spesielle teknikker. Det er folk i dette rommet som kan verifisere dette, så lenge de ikke er bundet av en taushetsplikt. Så jeg skal vise deg hvordan det fungerer. Denne ordningen involverer flere aktører. Du vil se hva en ny generasjons affiliate "spill" er.
Spillet involverer en kjøpmann som har en slags nettside eller et produkt, og han betaler tilknyttede provisjoner for brukerklikk, opprettede kontoer, kjøp gjort, og så videre. Du betaler en affiliate for at noen skal besøke siden deres, klikker på en lenke, går til selgernettstedet ditt og kjøper noe der.
Den neste spilleren er en affiliate som mottar penger i form av en betal-per-klikk (CPC) eller provisjon (CPA) for å omdirigere kjøpere til selgerens nettside.
Provisjon innebærer at som et resultat av partnerens aktiviteter, foretok klienten et kjøp på selgerens nettside.
En kjøper er en person som foretar kjøp eller tegner seg for selgers aksjer.
Tilknyttede nettverk gir teknologi som kobler sammen og sporer aktivitetene til selgeren, partneren og kjøperen. De «limer» alle spillerne sammen og sikrer samspillet deres.
Det kan ta deg noen dager eller et par uker å forstå hvordan det hele fungerer, men det er ingen komplekse teknologier her. Tilknyttede nettverk og tilknyttede programmer dekker alle typer handel og alle markeder. Google, EBay, Amazon har dem, deres provisjonsinteresser overlapper hverandre, de er overalt og mangler ikke inntekter. Jeg er sikker på at du vet at selv trafikk fra bloggen din kan gi flere hundre dollar i månedlig fortjeneste, så dette opplegget vil være enkelt for deg å forstå.
Slik fungerer systemet. Du tilknytter et lite nettsted, eller en elektronisk oppslagstavle, det spiller ingen rolle, meld deg på et affiliateprogram og få en spesiell lenke som du plasserer på nettsiden din. Det ser slik ut:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Dette viser det spesifikke affiliateprogrammet, din affiliate-ID, som i dette tilfellet er 100, og navnet på produktet som selges. Og hvis noen klikker på denne lenken, leder nettleseren ham til affiliate-nettverket, setter spesielle sporingsinformasjonskapsler som knytter ham til affiliate-ID=100.
Set-Cookie: AffiliateID=100Og omdirigerer til selgerens side. Hvis kjøperen senere kjøper et produkt innen et tidsrom X, som kan være en dag, en time, tre uker, et hvilket som helst avtalt tidspunkt, og i løpet av denne tiden fortsetter informasjonskapslene å eksistere, så mottar partneren sin provisjon.
Dette er ordningen som får tilknyttede selskaper til å tjene milliarder av dollar ved å bruke effektive SEO-taktikker. Jeg skal gi deg et eksempel. Det neste lysbildet viser sjekken, nå skal jeg zoome inn for å vise deg beløpet. Det er en sjekk fra Google på $132 2. Navnet på denne herren er Schumann, han eier et nettverk av reklamenettsteder. Dette er ikke alle pengene, Google betaler slike summer en gang i måneden eller en gang hver XNUMX. måned.
Nok en sjekk fra Google, jeg øker den, og du vil se at den er skrevet ut for $901 XNUMX.
Bør jeg spørre noen om etikken rundt disse måtene å tjene penger på? Stillhet i salen... Denne sjekken representerer 2 måneders betaling fordi forrige sjekk ble avvist av mottakers bank på grunn av for stor utbetaling.
Så vi er overbevist om at slike penger kan tjenes, og disse pengene blir utbetalt. Hvordan kan dette opplegget spilles? Vi kan bruke en teknikk som kalles Cookie-Stuffing, eller Cookie Stuffing. Dette er et veldig enkelt konsept som dukket opp i 2001-2002, og dette lysbildet viser hvordan det så ut i 2002. Jeg skal fortelle deg historien om dets utseende.
Ingenting annet enn de irriterende tjenestevilkårene for tilknyttede nettverk krever at brukeren faktisk klikker på lenken for at nettleseren deres skal hente informasjonskapselen med tilknyttede ID.
Du kan automatisk laste denne URL-en, som vanligvis klikkes av brukeren, inn i en bildekilde eller i en iframe-tag. Og i stedet for en lenke:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Du laster ned dette:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Eller det:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Og når brukeren kommer til siden din, vil han automatisk plukke opp tilknyttede informasjonskapsler. Samtidig, uavhengig av om han kjøper noe i fremtiden, vil du motta provisjonen din, enten du omdirigerte trafikk eller ikke - det spiller ingen rolle.
I løpet av de siste årene har dette blitt et tidsfordriv for SEO-gutta som legger ut ting som dette på oppslagstavler og utvikler alle slags scenarier for hvor ellers de skal plassere lenkene sine. Aggressive partnere har innsett at de kan plassere koden sin hvor som helst på Internett, ikke bare på sine egne sider.
På dette lysbildet kan du se at de har sine egne cookie-stuffing-programmer som hjelper brukere med å lage sine egne "stuffed cookies". Og det er ikke bare én informasjonskapsel, du kan laste ned 20-30 tilknyttede nettverks-IDer samtidig, og så snart noen kjøper noe, får du betalt for det.
Snart innså disse gutta at de ikke kunne plassere denne koden på sidene sine. De forlot skripting på tvers av nettsteder og begynte ganske enkelt å legge ut sine små utdrag med HTML-kode på oppslagstavler, i gjestebøker, på sosiale nettverk.
Rundt 2005 fant selgere og tilknyttede nettverk ut hva som foregikk, begynte å spore henvisninger og klikkfrekvenser, og begynte å sparke mistenkelige tilknyttede selskaper. For eksempel la de merke til at en bruker klikker på et MySpace-nettsted, men det nettstedet tilhører et helt annet tilknyttet nettverk enn det som mottar en legitim fordel.
Disse gutta ble litt klokere, og i 2007 ble en ny type Cookie-Stuffing født. Partnere begynte å plassere koden sin på SSL-sider. I henhold til Hypertext Transfer Protocol RFC 2616, må ikke klienter inkludere et Referer-hodefelt i en usikker HTTP-forespørsel hvis den henvisende siden har blitt migrert fra en sikker protokoll. Dette er fordi du ikke vil at denne informasjonen skal lekkes fra domenet ditt.
Fra dette er det klart at ingen referent som sendes til partneren vil være umulig å spore, så hovedpartnerne vil se en tom lenke og vil ikke kunne sparke deg ut for det. Nå har svindlere muligheten til å lage sine egne "fylte informasjonskapsler" ustraffet. Det er sant at ikke alle nettlesere lar deg gjøre dette, men det er mange andre måter å gjøre det samme på, ved å bruke automatisk oppdatering av den gjeldende siden i nettleserens meta-oppdatering, metakoder eller JavaScript.
I 2008 begynte de å bruke kraftigere hackerverktøy som rebindingsangrep – DNS-rebinding, Gifar og ondsinnet Flash-innhold som fullstendig kan ødelegge eksisterende beskyttelsesmodeller. Det tar litt tid å finne ut hvordan de skal brukes, for Cookie Stuffing-gutta er egentlig ikke avanserte hackere, de er bare aggressive markedsførere som ikke kan mye om koding.
Salg av semi-tilgjengelig informasjon
Så vi så på hvordan man tjener 6-sifrede beløp, og la oss nå gå videre til syv-sifrede. Vi trenger store penger for å bli rike eller dø. Vi skal se på hvordan du kan tjene penger ved å selge semi-tilgjengelig informasjon. Business Wire var veldig populært for et par år siden, og det er fortsatt viktig, vi ser det på mange nettsteder. For de som ikke vet, tilbyr Business Wire en tjeneste der registrerte brukere av siden mottar en strøm av oppdaterte pressemeldinger fra tusenvis av selskaper. Pressemeldinger sendes til dette selskapet av ulike organisasjoner som noen ganger er midlertidig utestengt eller under embargo, så informasjonen i disse pressemeldingene kan påvirke verdien av aksjene.
Pressemeldingsfiler lastes opp til Business Wire-nettserveren, men kobles ikke til før embargoen er opphevet. Hele tiden er nettsider for pressemeldinger koblet til hovednettstedet, og brukere blir varslet om dem med URL-er som dette:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmDermed, mens du er under embargoen, legger du ut interessante data på nettstedet slik at så snart embargoen er opphevet, vil brukerne umiddelbart gjøre seg kjent med dem. Disse lenkene er datert og sendt til brukere på e-post. Så snart forbudet utløper, vil lenken fungere og lede brukeren til siden der den aktuelle pressemeldingen er lagt ut. Før det gis tilgang til pressemeldingens nettside, må systemet sørge for at brukeren er lovlig pålogget.
De sjekker ikke om du har rett til å se denne informasjonen før embargoen utløper, du trenger kun å logge inn i systemet. Så langt virker det ufarlig, men bare fordi du ikke kan se noe betyr det ikke at det ikke er der.
Det estiske finansselskapet Lohmus Haavel & Viisemann, ikke en hacker i det hele tatt, oppdaget at nettsider til pressemeldinger ble navngitt på forutsigbare måter og begynte å gjette disse nettadressene. Selv om koblinger kanskje ikke eksisterer ennå fordi en embargo er i kraft, betyr ikke dette at en hacker ikke kan gjette filnavnet og dermed få tilgang til det for tidlig. Denne metoden fungerte fordi Business Wires eneste sikkerhetssjekk var at brukeren logget på lovlig, og ingenting annet.
Dermed fikk estere informasjon før markedet stengte og solgte disse dataene. Før SEC sporet dem opp og fryste kontoene deres, klarte de å tjene 8 millioner dollar ved handel med semi-tilgjengelig informasjon. Tenk på at disse gutta bare så på hvordan lenker ser ut, prøvde å gjette URL-er og tjente 8 millioner på det. Vanligvis på dette tidspunktet spør jeg publikum om dette anses som lovlig eller ulovlig, om det er relatert til begrepene handel eller ikke. Men foreløpig vil jeg bare gjøre deg oppmerksom på hvem som gjorde det.
Før du prøver å svare på disse spørsmålene, skal jeg vise deg neste lysbilde. Dette har ingenting med internettsvindel å gjøre. En ukrainsk hacker hacket seg inn i Thomson Financial, en leverandør av business intelligence, og stjal IMS Healths økonomiske nød timer før informasjonen skulle komme inn på finansmarkedet. Det er ingen tvil om at han er skyldig i innbrudd.
Hackeren la inn ordre om å selge til et beløp på 42 tusen dollar, og spilte til prisene falt. For Ukraina er dette et enormt beløp, så hackeren visste godt hva han gikk inn på. Det plutselige fallet i aksjekursen ga ham om lag 300 XNUMX dollar i fortjeneste i løpet av få timer. Børsen postet et rødt flagg, SEC frøs midlene, la merke til at noe gikk galt, og startet en etterforskning. Dommer Naomi Reis Buchwald sa imidlertid at midlene bør fryses opp fordi Dorozhkos påståtte "stjeling og handel" og "hacking og handel" ikke bryter verdipapirlovgivningen. Hackeren var ikke ansatt i dette selskapet, så han brøt ikke noen lover om avsløring av konfidensiell finansiell informasjon.
Avisen Times antydet at det amerikanske justisdepartementet rett og slett betraktet denne saken som nytteløs på grunn av vanskelighetene knyttet til å innhente samtykke fra ukrainske myndigheter til å samarbeide om å fange forbryteren. Så denne hackeren fikk 300 tusen dollar veldig enkelt.
Sammenlign nå dette med det forrige tilfellet der folk tjente penger bare ved å endre nettadressene til koblingene i nettleseren og selge kommersiell informasjon. Dette er ganske interessante, men ikke de eneste måtene å tjene penger på børsen.
Vurder passiv informasjonsinnsamling. Vanligvis, etter å ha foretatt et nettkjøp, mottar kjøperen en ordresporingskode, som kan være sekvensiell eller pseudosekvensiell og ser omtrent slik ut:
3200411
3200412
3200413
Med den kan du spore bestillingen din. Pentestere eller hackere prøver å "scrolle" URL-er for å få tilgang til ordredata, som vanligvis inneholder personlig identifiserbar informasjon (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Ved å bla gjennom numrene får de tilgang til kredittkortnummer, adresser, navn og annen personlig informasjon om kjøperen. Vi er imidlertid ikke interessert i kundens personopplysninger, men i selve ordresporingskoden er vi interessert i passiv intelligens.
Kunsten å trekke konklusjoner
Tenk på kunsten å trekke slutninger. Hvis du nøyaktig kan estimere hvor mange "ordre" et selskap behandler på slutten av kvartalet, kan du basert på historiske data konkludere om dets økonomiske situasjon er god og i hvilken retning aksjekursen vil svinge. For eksempel, du bestilte eller kjøpte noe i begynnelsen av kvartalet, det spiller ingen rolle, og så gjorde du en ny bestilling på slutten av kvartalet. Ved forskjellen i antall kan vi konkludere hvor mange bestillinger som ble behandlet av selskapet i løpet av denne perioden. Snakker vi om tusen bestillinger kontra hundre tusen for samme periode, kan du anta at bedriften går dårlig.
Faktum er imidlertid at disse sekvensnumrene ofte kan oppnås uten faktisk å oppfylle en ordre eller en ordre som senere ble kansellert. Forhåpentligvis dukker ikke disse tallene opp uansett, og sekvensen fortsetter med tallene:
3200418
3200419
3200420
På denne måten vet du at du har muligheten til å spore bestillinger og kan begynne å passivt samle inn informasjon fra nettstedet som de gir oss. Vi vet ikke om det er lov eller ikke, vi vet bare at det kan gjøres.
Så vi har vurdert ulike ulemper ved forretningslogikk.
Trey Ford: angriperne er forretningsmenn. De forventer avkastning på investeringen. Jo mer teknologi, jo større og mer kompleks koden er, jo mer arbeid må du gjøre og jo større sannsynlighet er det for å bli tatt. Men det er mange svært fordelaktige måter å utføre angrep uten anstrengelse. Forretningslogikk er en gigantisk virksomhet, og det er en enorm motivasjon for kriminelle å bryte den. Forretningslogikkfeil er et hovedmål for kriminelle og er noe som ikke kan oppdages ved bare å kjøre en skanning eller utføre rutinemessig QA-testing. Det er et psykologisk problem med kvalitetssikring i QA, som kalles «confirmation bias» fordi vi, som alle andre, vil vite at vi har rett. Derfor er det nødvendig å utføre testing under reelle forhold.
Det er nødvendig å teste alt og alt, fordi ikke alle sårbarheter kan bli funnet på utviklingsstadiet, ved å analysere koden, eller til og med under QA. Så du må gå gjennom hele forretningsprosessen og utvikle alle tiltakene for å beskytte den. Mye kan læres av historien fordi noen typer angrep gjentas over tid. Hvis du blir vekket en natt på grunn av høy CPU-bruk, kan du anta at en hacker prøver å spore opp gyldige rabattkuponger igjen. Den virkelige måten å gjenkjenne typen angrep på er å observere et aktivt angrep, fordi å gjenkjenne det basert på logghistorikken vil være en ekstremt vanskelig oppgave.
Jeremy Grossman: Så her er det vi lærte i dag.
Å løse captchaer kan gi deg fire tall i dollar. Manipulasjoner med online betalingssystemer vil gi en femsifret fortjeneste til hackeren. Hacking banker kan tjene deg mer enn fem tall, spesielt hvis du gjør det mer enn én gang.
E-handelssvindel vil gi deg seks sifre, og bruk av tilknyttede nettverk vil gi deg 5-6 tall eller til og med syv sifre. Hvis du er modig nok, kan du prøve å lure aksjemarkedet og få mer enn en syvsifret fortjeneste. Og å bruke RSnake-metoden i konkurranser om den beste chihuahuaen er uvurderlig!
De nye lysbildene for denne presentasjonen var sannsynligvis ikke inkludert på CD-en, så du kan laste dem ned senere fra bloggsiden min. Det er en OPSEC-konferanse som kommer opp i september som jeg skal delta på, og jeg tror vi kan gjøre noen veldig kule ting med dem. Og nå, hvis du har spørsmål, er vi klare til å svare på dem.
Noen annonser 🙂
Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, , 30 % rabatt for Habr-brukere på en unik analog av inngangsnivåservere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2 ganger billigere? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com