Posunęli się nawet do dyskusji na temat możliwości wykorzystania kierowców UPS do konfrontacji z podejrzanym. Sprawdźmy teraz, czy to, co jest zacytowane na tym slajdzie, jest zgodne z prawem?
Oto odpowiedź FTC na pytanie: „Czy powinienem zwrócić lub zapłacić za przedmiot, którego nigdy nie zamówiłem?” - "NIE. Jeśli otrzymasz przedmiot, którego nie zamawiałeś, masz prawo przyjąć go jako darmowy prezent”. Czy to brzmi etycznie? Myję ręce, bo nie jestem na tyle mądry, żeby dyskutować o takich sprawach.
Ale co ciekawe, obserwujemy trend, w którym im mniej technologii używamy, tym więcej pieniędzy otrzymujemy.
Internetowe oszustwo afiliacyjne
Jeremy'ego Grossmana: jest to naprawdę bardzo trudne do zrozumienia, ale w ten sposób można uzyskać sześciocyfrową kwotę pieniędzy. Tak więc wszystkie historie, które słyszałeś, mają prawdziwe powiązania i możesz szczegółowo przeczytać o tym wszystkim. Jednym z najciekawszych rodzajów oszustw internetowych są oszustwa afiliacyjne. Sklepy internetowe i reklamodawcy korzystają z sieci afiliacyjnych, aby przyciągnąć ruch i użytkowników do swoich witryn w zamian za udział w zyskach, jakie osiągają.
Opowiem o czymś, o czym wiele osób wie od lat, ale nie mogłem znaleźć ani jednej publicznej wzmianki, która wskazywałaby, ile strat spowodował ten rodzaj oszustwa. O ile mi wiadomo, nie było procesów sądowych, żadnych dochodzeń karnych. Rozmawiałem z przedsiębiorcami zajmującymi się produkcją, rozmawiałem z facetami z sieci afiliacyjnych, rozmawiałem z Czarnymi Kotami - wszyscy uważają, że oszuści zarobili ogromne pieniądze na partnerstwie.
Proszę o uwierzenie mi na słowo i zapoznanie się z rezultatem "pracy domowej", którą wykonałem na temat tych konkretnych problemów. Na nich oszuści „spawają” 5-6-cyfrowe, a czasem siedmiocyfrowe kwoty miesięcznie, używając specjalnych technik. Są w tym pokoju ludzie, którzy mogą to zweryfikować, o ile nie są związani umową o zachowaniu poufności. Więc pokażę ci, jak to działa. Ten schemat obejmuje kilku graczy. Zobaczysz, czym jest „gra” partnerska nowej generacji.
W grze bierze udział handlarz, który ma jakąś stronę internetową lub produkt i płaci partnerom prowizje za kliknięcia użytkowników, utworzone konta, dokonane zakupy i tak dalej. Płacisz podmiotowi stowarzyszonemu za to, aby ktoś odwiedził jego stronę, kliknął link, przeszedł do witryny sprzedawcy i coś tam kupił.
Kolejnym graczem jest partner, który otrzymuje pieniądze w formie pay-per-click (CPC) lub prowizji (CPA) za przekierowanie kupujących na stronę sprzedawcy.
Prowizje oznaczają, że w wyniku działań partnera klient dokonał zakupu na stronie sprzedawcy.
Kupujący to osoba, która dokonuje zakupów lub zapisuje się na akcje sprzedającego.
Sieci afiliacyjne zapewniają technologię, która łączy i śledzi działania sprzedawcy, partnera i kupującego. „Sklejają” wszystkich graczy i zapewniają ich interakcję.
Zrozumienie, jak to wszystko działa, może zająć kilka dni lub kilka tygodni, ale nie ma tu skomplikowanych technologii. Sieci afiliacyjne i programy partnerskie obejmują wszystkie rodzaje handlu i wszystkie rynki. Google, EBay, Amazon mają je, ich interesy prowizyjne pokrywają się, są wszędzie i nie brakuje im dochodów. Jestem pewien, że wiesz, że nawet ruch z Twojego bloga może przynieść kilkaset dolarów miesięcznych zysków, więc ten schemat będzie dla Ciebie łatwy do zrozumienia.
Tak działa system. Powiązujesz małą witrynę lub elektroniczną tablicę ogłoszeń, to nie ma znaczenia, zarejestruj się w programie partnerskim i uzyskaj specjalny link, który umieścisz na swojej stronie internetowej. To wygląda tak:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Zawiera listę konkretnego programu partnerskiego, identyfikator partnera, który w tym przypadku wynosi 100, oraz nazwę sprzedawanego produktu. A jeśli ktoś kliknie w ten link, przeglądarka przekierowuje go do sieci afiliacyjnej, ustawia specjalne śledzące pliki cookie, które kojarzą go z identyfikatorem afiliacyjnym=100.
Set-Cookie: AffiliateID=100I przekierowuje na stronę sprzedawcy. Jeśli kupujący później kupi jakiś produkt w okresie X, którym może być dzień, godzina, trzy tygodnie, dowolny uzgodniony czas, iw tym czasie pliki cookie nadal istnieją, wówczas partner otrzymuje swoją prowizję.
Jest to schemat, dzięki któremu firmy stowarzyszone zarabiają miliardy dolarów, stosując skuteczne taktyki SEO. Dam ci przykład. Następny slajd pokazuje czek, teraz powiększę, aby pokazać kwotę. To czek od Google na 132 tysiące dolarów. Ten pan nazywa się Schumann, jest właścicielem sieci portali ogłoszeniowych. To nie wszystkie pieniądze, Google wypłaca takie sumy raz w miesiącu lub raz na 2 miesiące.
Kolejny czek od Google, zwiększę go i zobaczysz, że jest wypisany na 901 XNUMX $.
Czy powinienem zapytać kogoś o etykę tych sposobów zarabiania pieniędzy? Cisza na korytarzu... Ten czek reprezentuje płatność za 2 miesiące, ponieważ poprzedni czek został odrzucony przez bank odbiorcy z powodu zbyt dużej wypłaty.
Jesteśmy więc przekonani, że takie pieniądze można zarobić i te pieniądze są wypłacane. Jak można zagrać w ten schemat? Możemy zastosować technikę zwaną Cookie-Stuffing lub Cookie Stuffing. To bardzo prosta koncepcja, która pojawiła się w latach 2001-2002, a ten slajd pokazuje, jak wyglądała w 2002 roku. Opowiem wam historię jej pojawienia się.
Nic poza irytującymi warunkami usług sieci afiliacyjnych nie wymaga od użytkownika faktycznego kliknięcia łącza, aby jego przeglądarka odebrała plik cookie z identyfikatorem afiliacyjnym.
Możesz automatycznie załadować ten adres URL, który jest zwykle klikany przez użytkownika, do źródła obrazu lub do tagu iframe. A zamiast linku:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Pobierasz to:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Albo to:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>A gdy użytkownik wejdzie na Twoją stronę, automatycznie pobierze plik cookie partnera. Jednocześnie niezależnie od tego, czy w przyszłości coś kupi, Ty otrzymasz swoją prowizję, niezależnie od tego, czy przekierowałeś ruch, czy nie – to nie ma znaczenia.
W ciągu ostatnich kilku lat stało się to rozrywką dla facetów SEO, którzy publikują takie rzeczy na forach dyskusyjnych i opracowują wszelkiego rodzaju scenariusze, gdzie jeszcze umieścić swoje linki. Agresywni partnerzy zdali sobie sprawę, że mogą umieścić swój kod w dowolnym miejscu w Internecie, nie tylko na własnych stronach.
Na tym slajdzie widać, że mają własne programy do nadziewania ciasteczek, które pomagają użytkownikom tworzyć własne „nadziewane ciasteczka”. I to nie jest tylko jeden plik cookie, możesz pobrać 20-30 identyfikatorów sieci partnerskich w tym samym czasie, a gdy tylko ktoś coś kupi, otrzymasz za to zapłatę.
Wkrótce ci goście zdali sobie sprawę, że nie mogą umieścić tego kodu na swoich stronach. Zrezygnowali z cross-site scriptingu i po prostu zaczęli publikować swoje małe fragmenty z kodem HTML na forach dyskusyjnych, w księgach gości, w sieciach społecznościowych.
Około 2005 roku sprzedawcy i sieci afiliacyjne zorientowali się, co się dzieje, zaczęli śledzić strony odsyłające i współczynniki klikalności oraz zaczęli wyrzucać podejrzanych partnerów. Na przykład zauważyli, że użytkownik klika witrynę MySpace, ale ta witryna należy do zupełnie innej sieci stowarzyszonej niż ta, która otrzymuje uzasadnioną korzyść.
Ci goście trochę zmądrzeli iw 2007 roku narodził się nowy rodzaj nadziewania ciasteczek. Partnerzy zaczęli umieszczać swój kod na stronach SSL. Zgodnie z protokołem Hypertext Transfer Protocol RFC 2616 klienci nie mogą umieszczać pola nagłówka strony odsyłającej w niezabezpieczonym żądaniu HTTP, jeśli strona odsyłająca została przeniesiona z bezpiecznego protokołu. Dzieje się tak, ponieważ nie chcesz, aby te informacje wyciekły z Twojej domeny.
Z tego wynika jasno, że żaden Polecający wysłany do partnera nie będzie niemożliwy do namierzenia, więc główni partnerzy zobaczą pusty link i nie będą mogli Cię za to wyrzucić. Teraz oszuści mają możliwość bezkarnego tworzenia własnych „wypełnionych ciasteczek”. To prawda, że nie każda przeglądarka pozwala to zrobić, ale istnieje wiele innych sposobów, aby zrobić to samo, korzystając z automatycznej aktualizacji bieżącej strony przeglądarki, meta-odświeżania, metatagów lub JavaScript.
W 2008 roku zaczęli wykorzystywać potężniejsze narzędzia hakerskie, takie jak ataki typu rebinding – DNS rebinding, Gifar oraz złośliwe treści Flash, które mogą całkowicie zniszczyć istniejące modele ochrony. Potrzeba trochę czasu, aby dowiedzieć się, jak ich używać, ponieważ ludzie z Cookie Stuffing nie są naprawdę zaawansowanymi hakerami, są po prostu agresywnymi marketingowcami, którzy nie wiedzą zbyt wiele o kodowaniu.
Sprzedaż częściowo dostępnych informacji
Przyjrzeliśmy się więc, jak zarobić 6-cyfrowe kwoty, a teraz przejdźmy do siedmiocyfrowych. Potrzebujemy dużych pieniędzy, aby się wzbogacić lub umrzeć. Przyjrzymy się, jak możesz zarabiać, sprzedając częściowo dostępne informacje. Business Wire był bardzo popularny kilka lat temu i nadal jest ważny, widzimy go na wielu stronach. Dla tych, którzy nie wiedzą, Business Wire udostępnia usługę, dzięki której zarejestrowani użytkownicy serwisu otrzymują strumień aktualnych komunikatów prasowych z tysięcy firm. Komunikaty prasowe są wysyłane do tej spółki przez różne organizacje, które czasami są czasowo zakazane lub objęte embargiem, więc informacje zawarte w tych komunikatach prasowych mogą mieć wpływ na wartość akcji.
Pliki komunikatów prasowych są przesyłane na serwer internetowy Business Wire, ale nie są łączone, dopóki embargo nie zostanie zniesione. Przez cały czas strony internetowe z komunikatami prasowymi są połączone z główną witryną, a użytkownicy są o nich powiadamiani za pomocą takich adresów URL:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmTym samym będąc objętym embargiem zamieszczasz w serwisie ciekawe dane, aby jak tylko embargo zostało zniesione, użytkownicy od razu się z nimi zapoznali. Linki te są datowane i wysyłane do użytkowników pocztą elektroniczną. Zaraz po wygaśnięciu zakazu link zacznie działać i przekieruje użytkownika na stronę, na której zamieszczona jest stosowna informacja prasowa. Przed udzieleniem dostępu do strony z informacją prasową system musi upewnić się, że użytkownik jest legalnie zalogowany.
Nie sprawdzają, czy masz prawo wglądu do tych informacji przed wygaśnięciem embarga, wystarczy zalogować się do systemu. Na razie wydaje się to nieszkodliwe, ale to, że czegoś nie widać, nie oznacza, że tego nie ma.
Estońska firma finansowa Lohmus Haavel & Viisemann, która wcale nie była hakerem, odkryła, że strony internetowe z komunikatami prasowymi zostały nazwane w przewidywalny sposób i zaczęła zgadywać te adresy URL. Chociaż łącza mogą jeszcze nie istnieć, ponieważ obowiązuje embargo, nie oznacza to, że haker nie może odgadnąć nazwy pliku, a tym samym uzyskać do niego przedwczesnego dostępu. Ta metoda zadziałała, ponieważ jedyną kontrolą bezpieczeństwa Business Wire było sprawdzenie, czy użytkownik zalogował się legalnie i nic poza tym.
Tak więc Estończycy otrzymali informacje przed zamknięciem rynku i sprzedali te dane. Zanim SEC ich wyśledziła i zamroziła ich konta, udało im się zarobić 8 milionów dolarów na półdostępnych informacjach handlowych. Weź pod uwagę, że ci faceci właśnie spojrzeli, jak wyglądają linki, próbowali odgadnąć adresy URL i zarobili na tym 8 milionów. Zwykle w tym momencie pytam słuchaczy, czy jest to uważane za legalne, czy nielegalne, czy odnosi się do koncepcji handlu, czy nie. Ale na razie chcę tylko zwrócić waszą uwagę na to, kto to zrobił.
Zanim spróbujesz odpowiedzieć na te pytania, pokażę Ci następny slajd. Nie ma to nic wspólnego z oszustwami internetowymi. Ukraiński haker włamał się do firmy Thomson Financial, dostawcy wywiadu biznesowego, i ukradł problemy finansowe IMS Health na kilka godzin przed tym, jak informacje miały wejść na rynek finansowy. Nie ma wątpliwości, że jest winny kradzieży z włamaniem.
Haker złożył zlecenia sprzedaży na kwotę 42 tys. dolarów, grając do momentu, aż kursy spadły. Jak na Ukrainę to ogromna kwota, więc haker dobrze wiedział, w co się pakuje. Nagły spadek ceny akcji przyniósł mu około 300 XNUMX dolarów zysku w ciągu kilku godzin. Giełda wysłała czerwoną flagę, SEC zamroziła fundusze, zauważając, że coś idzie nie tak i wszczęła dochodzenie. Jednak sędzia Naomi Reis Buchwald powiedziała, że fundusze powinny zostać odblokowane, ponieważ rzekoma „kradzież i handel” oraz „hakowanie i handel” Dorożka nie naruszają przepisów dotyczących papierów wartościowych. Haker nie był pracownikiem tej firmy, więc nie naruszył żadnych przepisów dotyczących ujawniania poufnych informacji finansowych.
Gazeta Times zasugerowała, że Departament Sprawiedliwości USA po prostu uznał tę sprawę za daremną ze względu na trudności związane z uzyskaniem zgody władz ukraińskich na współpracę w ujęciu przestępcy. Więc ten haker bardzo łatwo zdobył 300 tysięcy dolarów.
Teraz porównaj to z poprzednim przypadkiem, w którym ludzie zarabiali pieniądze, zmieniając adresy URL linków w przeglądarce i sprzedając informacje handlowe. Są to dość ciekawe, ale nie jedyne sposoby zarabiania pieniędzy na giełdzie.
Rozważ bierne zbieranie informacji. Zwykle po dokonaniu zakupu online kupujący otrzymuje kod śledzenia zamówienia, który może być sekwencyjny lub pseudosekwencyjny i wygląda mniej więcej tak:
3200411
3200412
3200413
Dzięki niemu możesz śledzić swoje zamówienie. Pentesterzy lub hakerzy próbują „przewijać” adresy URL w celu uzyskania dostępu do danych zamówienia, zwykle zawierających dane osobowe (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Przewijając numery, uzyskują dostęp do numerów kart kredytowych, adresów, nazwisk i innych danych osobowych kupującego. Jednak nie interesują nas dane osobowe klienta, ale sam kod śledzenia zamówienia, interesuje nas pasywna inteligencja.
Sztuka wyciągania wniosków
Rozważ sztukę wyciągania wniosków. Jeśli potrafisz dokładnie oszacować, ile „zleceń” realizuje firma na koniec kwartału, to na podstawie danych historycznych można stwierdzić, czy jej sytuacja finansowa jest dobra iw jakim kierunku będzie się wahał kurs jej akcji. Na przykład zamówiłeś lub kupiłeś coś na początku kwartału, to nie ma znaczenia, a następnie złożyłeś nowe zamówienie na koniec kwartału. Z różnicy w liczbach możemy wywnioskować, ile zamówień firma zrealizowała w tym okresie. Jeśli mówimy o tysiącu zamówień w porównaniu do stu tysięcy na ten sam okres, można założyć, że firma ma się słabo.
Jednak faktem jest, że często te numery sekwencyjne można uzyskać bez rzeczywistej realizacji zamówienia lub zamówienia, które zostało następnie anulowane. Miejmy nadzieję, że te liczby i tak się nie pojawią, a sekwencja będzie kontynuowana z liczbami:
3200418
3200419
3200420
W ten sposób wiesz, że masz możliwość śledzenia zamówień i możesz zacząć biernie zbierać informacje z witryny, którą nam udostępniają. Nie wiemy, czy jest to zgodne z prawem, czy nie, wiemy tylko, że można to zrobić.
Rozważaliśmy więc różne wady logiki biznesowej.
Trey Ford: napastnicy to biznesmeni. Oczekują zwrotu z inwestycji. Im więcej technologii, tym większy i bardziej złożony kod, tym więcej pracy musisz wykonać i tym większe prawdopodobieństwo, że zostaniesz złapany. Ale istnieje wiele bardzo korzystnych sposobów przeprowadzania ataków bez żadnego wysiłku. Logika biznesowa to gigantyczny biznes, a przestępcy mają ogromną motywację, aby ją złamać. Luki w logice biznesowej są głównym celem przestępców i nie mogą zostać wykryte przez zwykłe skanowanie lub przeprowadzanie rutynowych testów kontroli jakości. Istnieje psychologiczny problem z zapewnieniem jakości w kontroli jakości, który nazywa się „błądem potwierdzania”, ponieważ, jak wszyscy inni, chcemy wiedzieć, że mamy rację. Dlatego konieczne jest przeprowadzenie badań w warunkach rzeczywistych.
Trzeba przetestować wszystko i wszystkich, ponieważ nie wszystkie luki można znaleźć na etapie tworzenia, analizy kodu, czy nawet podczas kontroli jakości. Musisz więc przejść przez cały proces biznesowy i opracować wszystkie środki, aby go chronić. Z historii można się wiele nauczyć, ponieważ niektóre rodzaje ataków powtarzają się w czasie. Jeśli pewnej nocy obudzisz się z powodu szczytowego obciążenia procesora, możesz założyć, że jakiś haker ponownie próbuje wyśledzić ważne kupony rabatowe. Prawdziwym sposobem rozpoznania rodzaju ataku jest obserwacja aktywnego ataku, ponieważ rozpoznanie go na podstawie historii logów będzie niezwykle trudnym zadaniem.
Jeremy'ego Grossmana: Oto czego się dzisiaj nauczyliśmy.
Rozwiązywanie captcha może przynieść cztery cyfry w dolarach. Manipulacje systemami płatności online przyniosą hakerowi pięciocyfrowy zysk. Hakowanie banków może przynieść więcej niż pięciocyfrowy zysk, zwłaszcza jeśli robisz to więcej niż raz.
Oszustwa e-commerce dają sześć cyfr, a korzystanie z sieci afiliacyjnych daje 5-6 cyfr, a nawet siedem cyfr. Jeśli jesteś wystarczająco odważny, możesz spróbować oszukać giełdę i uzyskać ponad siedmiocyfrowy zysk. A stosowanie metody RSnake w konkursach na najlepszego chihuahua jest bezcenne!
Nowe slajdy do tej prezentacji prawdopodobnie nie znalazły się na płycie CD, więc możesz je później pobrać z mojego bloga. We wrześniu zbliża się konferencja OPSEC, w której zamierzam uczestniczyć i myślę, że będziemy mogli zrobić z nimi naprawdę fajne rzeczy. A teraz, jeśli masz jakieś pytania, jesteśmy gotowi na nie odpowiedzieć.
Kilka reklam 🙂
Dziękujemy za pobyt z nami. Podobają Ci się nasze artykuły? Chcesz zobaczyć więcej ciekawych treści? Wesprzyj nas składając zamówienie lub polecając znajomym, , 30% zniżki dla użytkowników Habr na unikalny odpowiednik serwerów klasy podstawowej, który został przez nas wymyślony dla Ciebie: (dostępne z RAID1 i RAID10, do 24 rdzeni i do 40 GB DDR4).
Dell R730xd 2 razy tańszy? Tylko tutaj w Holandii! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gb/s 100 TB — od 99 USD! Czytać o
Źródło: www.habr.com