Eles chegaram ao ponto de discutir a possibilidade de os motoristas da UPS confrontarem o suspeito. Vamos agora verificar se o que está citado neste slide é legal?
Aqui está o que a FTC diz quando questionada: “Devo devolver ou pagar por um item que nunca encomendei?” - "Não. Se você receber um item que não encomendou, você tem o direito legal de aceitá-lo como presente gratuito." Isso parece ético? Lavo as mãos nisso porque não sou inteligente o suficiente para discutir tais assuntos.
Mas o que é interessante é que vemos uma tendência em que quanto menos tecnologia utilizamos, mais dinheiro ganhamos.
Fraude na Internet de afiliados
Jeremy Grossman: é realmente muito difícil de entender, mas você pode ganhar seis dígitos de dinheiro dessa maneira. Portanto, todas as histórias que você ouviu têm links reais e você pode ler tudo detalhadamente. Um dos tipos mais interessantes de fraude na Internet é a fraude de afiliados. Lojas online e anunciantes usam redes afiliadas para atrair tráfego e usuários para seus sites em troca de uma parte dos lucros recebidos com isso.
Vou falar sobre algo que muita gente já sabe há anos, mas não consegui encontrar uma única referência pública que indique quanto prejuízo esse tipo de golpe tem causado. Pelo que eu sei, não houve processos judiciais, nem investigações criminais. Conversei com empresários industriais, conversei com caras da rede de afiliados, conversei com Black Cats - todos eles acreditam que os golpistas ganharam muito dinheiro com afiliados.
Por favor, acredite na minha palavra e reveja o trabalho de casa que fiz sobre essas questões específicas. Os fraudadores os utilizam para fazer somas mensais de 5 a 6 dígitos e, às vezes, de sete dígitos, usando técnicas especiais. Há pessoas nesta sala que podem verificar isso se não estiverem vinculadas a um acordo de confidencialidade. Então vou mostrar como funciona. Existem vários jogadores envolvidos neste esquema. Você verá do que se trata o “jogo” de afiliados da próxima geração.
O jogo envolve um comerciante que possui um site ou produto e paga comissões aos afiliados por cliques de usuários, contas criadas, compras feitas e assim por diante. Você paga ao afiliado pelo fato de alguém visitar o site dele, clicar em um link, acessar o site do seu vendedor e comprar algo lá.
O próximo jogador é o afiliado, que recebe dinheiro na forma de custo por clique (CPC) ou na forma de comissões (CPA) pelo redirecionamento dos compradores ao site do vendedor.
As comissões implicam que, como resultado das atividades do parceiro, o cliente fez uma compra no site do vendedor.
O comprador é a pessoa que compra ou subscreve as ações do vendedor.
As redes de afiliados fornecem tecnologias que conectam e rastreiam as atividades do vendedor, parceiro e comprador. Eles “colam” todos os jogadores e garantem sua interação.
Pode levar alguns dias ou algumas semanas para você descobrir como tudo funciona, mas não há nenhuma tecnologia complicada envolvida. As redes e programas de afiliados cobrem todos os tipos de comércio e todos os mercados. Google, eBay, Amazon os têm, seus interesses como comissionistas se cruzam, eles estão por toda parte e não lhes faltam receitas. Tenho certeza que você sabe que até mesmo o tráfego do seu blog pode gerar centenas de dólares de lucro todos os meses, então esse esquema será fácil de entender.
É assim que o sistema funciona. Você afilia um pequeno site, ou um quadro de avisos eletrônico, não importa, você assina um programa de afiliados e recebe um link especial que coloca em sua página da Internet. Se parece com isso:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Mostra o programa de afiliados específico, seu ID de afiliado, neste caso é 100, e o nome do produto que está sendo vendido. E se alguém clicar neste link, o navegador o redireciona para a rede de afiliados, instala cookies de rastreamento especiais que o vinculam ao ID de afiliado=100.
Set-Cookie: AffiliateID=100E redireciona para a página do vendedor. Se o comprador posteriormente adquirir algum produto dentro de um período de tempo X, que pode ser um dia, uma hora, três semanas, qualquer tempo acordado, e durante esse tempo os cookies continuarem existindo, o afiliado receberá sua comissão.
É assim que as empresas afiliadas ganham bilhões de dólares usando táticas eficazes de SEO. Deixe-me lhe dar um exemplo. O próximo slide mostra o recibo, agora vou ampliar para mostrar o valor. Este é um cheque do Google de US$ 132. O sobrenome desse senhor é Schumann e ele é dono de uma rede de sites de publicidade. Isso não é todo o dinheiro, o Google paga essas quantias uma vez por mês ou uma vez a cada 2 meses.
Outro cheque do Google, vou ampliá-lo e você verá que custa US$ 901 mil.
Devo perguntar a alguém sobre a ética de ganhar dinheiro assim? Silêncio na sala... Este cheque representa o pagamento de 2 meses, pois o cheque anterior foi rejeitado pelo banco do destinatário devido ao valor do pagamento ser muito elevado.
Então, vimos que esse tipo de dinheiro pode ser ganho e esse dinheiro está sendo pago. Como você pode vencer esse esquema? Podemos usar uma técnica chamada Cookie-Stuffing. Este é um conceito muito simples que apareceu em 2001-2002, e este slide mostra como era em 2002. Vou contar a história de seu surgimento.
Nada menos que os incômodos termos de serviço da rede de afiliados exigem que o usuário realmente clique em um link para que seu navegador obtenha o cookie de ID do afiliado.
Você pode carregar automaticamente esse URL normalmente clicado na fonte da imagem ou na tag iframe. Neste caso, em vez de um link:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Você baixa isso:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Ou isso:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>E quando o usuário acessar sua página, ele coletará automaticamente o cookie de afiliado. Ao mesmo tempo, independentemente de ele comprar algo no futuro, você receberá suas comissões, redirecionou o tráfego ou não - não importa.
Nos últimos anos, isso se tornou um passatempo para profissionais de SEO que postam material semelhante em fóruns e desenvolvem todos os tipos de cenários sobre onde mais colocar seus links. Parceiros agressivos perceberam que poderiam colocar seu código em qualquer lugar da Internet, não apenas em seus próprios sites.
Neste slide você pode ver que eles têm seus próprios programas de recheio de biscoitos que ajudam os usuários a fazer seus próprios “biscoitos recheados”. E não é apenas um cookie, você pode fazer upload de 20 a 30 IDs de afiliados ao mesmo tempo e, assim que alguém comprar algo, você será pago por isso.
Esses caras logo perceberam que não precisavam colocar esse código em suas páginas. Eles abandonaram os scripts entre sites e simplesmente começaram a postar seus pequenos trechos com código HTML em fóruns, livros de visitas e redes sociais.
Por volta de 2005, comerciantes e redes afiliadas descobriram o que estava acontecendo, começaram a rastrear referências e taxas de cliques e a expulsar afiliados suspeitos. Por exemplo, eles notaram que um usuário clicou em um site do MySpace, mas esse site pertencia a uma rede de afiliados completamente diferente daquela que recebia o benefício legítimo.
Esses caras ficaram um pouco mais espertos e em 2007 surgiu um novo tipo de Recheio de Biscoitos. Os parceiros começaram a colocar seu código em páginas SSL. De acordo com o protocolo de transferência de hipertexto RFC 2616, os clientes não devem incluir um campo de cabeçalho Referer em uma solicitação HTTP insegura se a página de referência tiver sido migrada de um protocolo seguro. Isso ocorre porque você não deseja que essas informações vazem do seu domínio.
A partir disso fica claro que qualquer Referer enviado a um parceiro não será rastreável, então os principais parceiros verão um link vazio e não poderão expulsá-lo por isso. Agora os golpistas têm a oportunidade de fazer seus “biscoitos recheados” impunemente. É verdade que nem todo navegador permite que você faça isso, mas existem muitas outras maneiras de fazer a mesma coisa usando a atualização automática do navegador da meta-atualização da página atual, meta tags ou JavaScript.
Em 2008, eles começaram a usar ferramentas de hacking mais poderosas, como ataques de religação de DNS, Gifar e conteúdo Flash malicioso, que podem destruir completamente os modelos de segurança existentes. Demora um pouco para descobrir como usá-los porque os caras do Cookie-Stuffing não são hackers particularmente avançados, são apenas profissionais de marketing agressivos com pouco conhecimento de codificação.
Venda de informações semi-acessíveis
Então, vimos como ganhar somas de 6 dígitos e agora vamos passar para sete dígitos. Precisamos de muito dinheiro para ficar rico ou morrer. Veremos como você pode ganhar dinheiro vendendo informações semi-acessíveis. A Business Wire era muito popular há alguns anos e ainda é importante, vemos a sua presença em muitos sites. Para quem não sabe, a Business Wire oferece um serviço pelo qual os usuários registrados do site recebem um fluxo de comunicados de imprensa atualizados de milhares de empresas. Os comunicados de imprensa são enviados a esta empresa por diversas organizações, que por vezes estão sujeitas a proibições ou embargos temporários, pelo que a informação contida nestes comunicados de imprensa pode afetar o preço das ações.
Os arquivos do comunicado de imprensa são carregados no servidor web da Business Wire, mas não são vinculados até que o embargo seja suspenso. Ao mesmo tempo, as páginas de comunicados à imprensa estão vinculadas ao site principal e os usuários são notificados sobre elas por URLs como este:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmAssim, enquanto estiver sob embargo, você publica dados interessantes no site para que, assim que o embargo for levantado, os usuários se familiarizem imediatamente com ele. Esses links são datados e enviados aos usuários por e-mail. Assim que o banimento expirar, o link funcionará e direcionará o usuário ao site onde o comunicado de imprensa correspondente foi publicado. Antes de conceder acesso à página web do comunicado de imprensa, o sistema deve verificar se o usuário está logado legalmente.
Eles não verificam se você tem o direito de visualizar essas informações antes que o embargo expire; basta fazer login no sistema. Até agora parece inofensivo, mas só porque você não vê algo não significa que não esteja lá.
A empresa de serviços financeiros da Estônia, Lohmus Haavel & Viisemann, e não um hacker, descobriu que as páginas de comunicados à imprensa eram nomeadas de maneira previsível e começou a adivinhar esses URLs. Embora os links possam ainda não existir porque um embargo está em vigor, isso não significa que um hacker não possa adivinhar o nome do arquivo e, assim, obter acesso a ele prematuramente. Esse método funcionou porque a única verificação de segurança da Business Wire era se o usuário estava logado legalmente e nada mais.
Assim, os estonianos receberam informações antes do fechamento do mercado e venderam esses dados. Até a SEC os localizar e congelar as suas contas, eles conseguiram ganhar 8 milhões de dólares com a negociação de informações semi-acessíveis. Pense nisso, tudo o que esses caras fizeram foi olhar a aparência dos links, tentar adivinhar os URLs e ganharam 8 milhões com isso. Normalmente, neste momento, pergunto ao público se isto é considerado legal ou ilegal, se é considerado um comércio ou não. Mas por enquanto só quero chamar sua atenção para quem fez isso.
Antes de tentar responder a essas perguntas, mostrarei o próximo slide. Isso não está diretamente relacionado à fraude online. Um hacker ucraniano invadiu a Thomson Financial, uma fornecedora de inteligência de negócios, e roubou dados sobre as dificuldades financeiras da IMS Health horas antes de as informações chegarem ao mercado financeiro. Não há dúvida de que ele é culpado de hackear.
O hacker fez ordens de venda no valor de 42 mil dólares, jogando antes que as taxas caíssem. Para a Ucrânia, esta é uma quantia enorme, então o hacker sabia bem no que estava se metendo. A queda repentina no preço das ações rendeu-lhe um lucro de cerca de US$ 300 em poucas horas. A bolsa emitiu uma “bandeira vermelha”, a SEC congelou os fundos, percebendo que algo estava errado, e iniciou uma investigação. No entanto, a juíza Naomi Reis Buchwald disse que os fundos deveriam ser descongelados porque as alegações de “roubo e negociação” e “hacking e negociação” atribuídas a Dorozhko não violam as leis de valores mobiliários. O hacker não era funcionário desta empresa e, portanto, não violou nenhuma lei relativa à divulgação de informações financeiras confidenciais.
O Times sugeriu que o Departamento de Justiça dos EUA simplesmente considerou o caso fútil devido às dificuldades em conseguir que as autoridades ucranianas concordassem em cooperar na captura do perpetrador. Então esse hacker conseguiu 300 mil dólares com muita facilidade.
Agora compare isso com o caso anterior, onde as pessoas ganharam dinheiro simplesmente alterando as URLs dos links em seus navegadores e vendendo informações comerciais. Estas são bastante interessantes, mas não são as únicas formas de ganhar dinheiro na bolsa de valores.
Vamos considerar a coleta passiva de informações. Normalmente, após fazer uma compra online, o comprador recebe um código de rastreamento do pedido, que pode ser sequencial ou pseudo-sequencial e tem a seguinte aparência:
3200411
3200412
3200413
Com ele você pode acompanhar seu pedido. Pentesters ou hackers tentam rastrear URLs para obter acesso aos dados do pedido, geralmente contendo informações de identificação pessoal (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Ao percorrer os números, eles obtêm acesso aos números do cartão de crédito do comprador, endereços, nomes e outras informações pessoais. Porém, não estamos interessados nas informações pessoais do cliente, mas sim no próprio código de rastreamento do pedido;
A arte de tirar conclusões
Considere “A Arte da Inferência”. Se conseguir estimar com precisão quantas “encomendas” uma empresa está a processar no final do trimestre, então, com base em dados históricos, poderá deduzir se a sua situação financeira é boa e como o preço das suas ações irá flutuar. Por exemplo, você encomendou ou comprou algo no início do trimestre, não importa, e depois fez um novo pedido no final do trimestre. Com base na diferença de números, pode-se concluir quantos pedidos foram processados pela empresa nesse período. Se estamos falando de mil pedidos contra cem mil do mesmo período anterior, pode-se presumir que a empresa está indo mal.
No entanto, o fato é que muitas vezes esses números de sequência podem ser obtidos sem o cumprimento efetivo do pedido ou de um pedido que é posteriormente cancelado. Espero que esses números não sejam exibidos em nenhum caso e a sequência continue com os números:
3200418
3200419
3200420
Desta forma, você sabe que tem a capacidade de rastrear pedidos e pode começar a coletar passivamente informações do site que eles nos fornecem. Não sabemos se é legal ou não, só sabemos que pode ser feito.
Portanto, examinamos várias deficiências da lógica de negócios.
Trey Ford: os agressores são empresários. Eles esperam um retorno do seu investimento. Quanto mais tecnologia, maior e mais complexo o código, mais trabalho precisa ser feito e maior a probabilidade de ser pego. Mas existem muitas maneiras muito lucrativas de realizar ataques sem nenhum esforço. A lógica de negócios é um grande negócio e há um enorme incentivo para que os criminosos a hackeiem. As falhas de lógica de negócios são o principal alvo dos criminosos e são algo que não pode ser detectado simplesmente executando uma varredura ou realizando testes padrão como parte de um processo de garantia de qualidade. Há um problema psicológico no controle de qualidade chamado “viés de confirmação” porque, como os humanos, queremos saber se estamos certos. Portanto, é necessário realizar testes em condições reais.
É necessário testar tudo e todos, pois nem todas as vulnerabilidades podem ser detectadas na fase de desenvolvimento através da análise do código, ou mesmo durante o QA. Então você precisa passar por todo o processo de negócio e desenvolver todas as medidas para protegê-lo. Muito pode ser aprendido com a história porque certos tipos de ataques se repetem ao longo do tempo. Se você for acordado uma noite por um pico de CPU, poderá presumir que algum hacker está novamente tentando rastrear cupons de desconto válidos. A verdadeira maneira de reconhecer o tipo de ataque é observar um ataque ativo, pois reconhecê-lo com base no histórico de log será extremamente difícil.
Jeremy Grossman: então aqui está o que aprendemos hoje.
Adivinhar o captcha pode render a você uma quantia em dólares de quatro dígitos. Manipular sistemas de pagamento online trará lucros de cinco dígitos ao hacker. Hackear bancos pode gerar lucros bem superiores a cinco dígitos, especialmente se você fizer isso mais de uma vez.
Os golpes de comércio eletrônico renderão seis dígitos em dinheiro, enquanto o uso de redes afiliadas renderá de 5 a 6 dígitos ou até sete dígitos. Se você for corajoso o suficiente, poderá tentar enganar o mercado de ações e obter lucros superiores a sete dígitos. E usar o método RSnake nas competições do melhor Chihuahua não tem preço!
Os novos slides desta apresentação provavelmente não foram incluídos no CD, então você poderá baixá-los mais tarde na página do meu blog. Haverá uma conferência OPSEC em setembro da qual irei participar e acho que seremos capazes de criar coisas muito legais com eles. Agora, se você tiver alguma dúvida, estamos prontos para respondê-la.
Alguns anúncios 🙂
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, , 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com