Ei au mers până acolo încât au discutat despre posibilitatea ca șoferii UPS să se confrunte cu suspectul. Să verificăm acum dacă ceea ce este citat pe acest slide este legal?
Iată ce spune FTC când este întrebat: „Ar trebui să returnez sau să plătesc pentru un articol pe care nu l-am comandat niciodată?” - "Nu. Dacă primiți un articol pe care nu l-ați comandat, aveți dreptul legal de a-l accepta ca cadou gratuit.” Sună acest lucru etic? Mă spăl pe mâini de asta pentru că nu sunt suficient de inteligent pentru a discuta astfel de probleme.
Dar ceea ce este interesant este că vedem o tendință în care cu cât folosim mai puțină tehnologie, cu atât câștigăm mai mulți bani.
Fraudă pe internet afiliată
Jeremy Grossman: este într-adevăr foarte greu de înțeles, dar poți câștiga șase cifre de bani în acest fel. Deci, toate poveștile pe care le-ați auzit au legături reale și puteți citi despre toate în detaliu. Unul dintre cele mai interesante tipuri de fraudă pe internet este frauda afiliată. Magazinele online și agenții de publicitate folosesc rețelele de afiliați pentru a atrage trafic și utilizatori pe site-urile lor în schimbul unei părți din profiturile primite din aceasta.
O să vorbesc despre ceva despre care mulți oameni știu de ani de zile, dar nu am reușit să găsesc o singură referință publică care să indice cât de multă pierdere a provocat acest tip de înșelătorie. Din câte știu, nu au fost procese, nici cercetări penale. Am vorbit cu antreprenori din producție, am vorbit cu băieți din rețeaua de afiliați, am vorbit cu Black Cats - toți cred că escrocii au câștigat o sumă uriașă de bani de la afiliați.
Vă rugăm să mă credeți pe cuvânt și să revizuiți temele pe care le-am făcut cu privire la aceste probleme specifice. Escrocii le folosesc pentru a face sume de 5-6 cifre și uneori de șapte cifre lunar, folosind tehnici speciale. Există oameni în această cameră care pot verifica acest lucru dacă nu sunt legați de un acord de confidențialitate. Așa că am să vă arăt cum funcționează. Există mai mulți jucători implicați în această schemă. Veți vedea despre ce este vorba despre „jocul” afiliat de următoarea generație.
Jocul implică un comerciant care are un site web sau un produs și plătește comisioane afiliaților pentru clicurile utilizatorilor, conturile create, achizițiile efectuate și așa mai departe. Plătiți afiliatul pentru faptul că cineva îi vizitează site-ul, dă clic pe un link, merge pe site-ul vânzătorului și cumpără ceva de acolo.
Următorul jucător este afiliatul, care primește bani sub formă de cost pe clic (CPC) sau sub formă de comisioane (CPA) pentru redirecționarea cumpărătorilor către site-ul vânzătorului.
Comisioanele implică faptul că, ca urmare a activităților partenerului, clientul a făcut o achiziție pe site-ul vânzătorului.
Cumpărătorul este persoana care face achiziții sau subscrie la acțiunile vânzătorului.
Rețelele de afiliați oferă tehnologii care conectează și urmăresc activitățile vânzătorului, partenerului și cumpărătorului. Ei „lipesc” toți jucătorii împreună și asigură interacțiunea lor.
Vă poate dura câteva zile sau câteva săptămâni pentru a vă da seama cum funcționează totul, dar nu este implicată nicio tehnologie complicată. Rețelele de afiliere și programele de afiliere acoperă toate tipurile de comerț și toate piețele. Google, EBay, Amazon le au, interesele lor de comisionari se intersectează, sunt peste tot și nu duc lipsă de venituri. Sunt sigur că știi că chiar și traficul de pe blogul tău poate genera câteva sute de dolari în profit în fiecare lună, așa că această schemă va fi ușor de înțeles pentru tine.
Așa funcționează sistemul. Afiliați un site mic, sau un buletin electronic, nu contează, semnați un program de afiliere și primiți un link special pe care îl plasați pe pagina dvs. de Internet. Arata cam asa:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Acesta arată programul de afiliere specific, ID-ul dvs. de afiliat, în acest caz este 100 și numele produsului vândut. Iar dacă cineva face clic pe acest link, browserul îl redirecționează către rețeaua de afiliat, instalează cookie-uri speciale de urmărire care îl leagă la ID-ul afiliat=100.
Set-Cookie: AffiliateID=100Și redirecționează către pagina vânzătorului. Dacă cumpărătorul achiziționează ulterior un produs într-o perioadă de timp X, care poate fi o zi, o oră, trei săptămâni, orice oră convenită, iar în acest timp cookie-urile continuă să existe, atunci afiliatul își primește comisionul.
Acesta este modul în care companiile afiliate câștigă miliarde de dolari folosind tactici SEO eficiente. Să vă dau un exemplu. Următorul slide arată chitanța, acum o voi mări pentru a vă arăta suma. Acesta este un cec de la Google pentru 132 USD. Numele de familie al acestui domn este Schumann și deține o rețea de site-uri web de publicitate. Nu sunt toți banii, Google plătește astfel de sume o dată pe lună sau o dată la 2 luni.
O altă verificare de la Google, o voi mări și veți vedea că este de 901 USD.
Ar trebui să întreb pe cineva despre etica de a face bani astfel? Tăcere în hol... Acest cec reprezintă plata pentru 2 luni, deoarece cecul anterior a fost respins de banca destinatarului din cauza sumei de plată prea mare.
Deci, am văzut că acest tip de bani pot fi câștigați și acești bani sunt plătiți. Cum poți învinge această schemă? Putem folosi o tehnică numită Cookie-Stuffing. Acesta este un concept foarte simplu care a apărut în 2001-2002, iar acest slide arată cum arăta în 2002. Vă voi spune povestea apariției sale.
Nimic în afară de termenii și condițiile obositoare ale rețelei de afiliați necesită ca un utilizator să facă clic pe un link pentru ca browserul său să preia cookie-ul de identificare a afiliatului.
Puteți încărca automat această adresă URL pe care se face clic de obicei în sursa imaginii sau în eticheta iframe. În acest caz, în loc de un link:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Descarci asta:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Sau asta:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Și când utilizatorul ajunge pe pagina ta, va prelua automat cookie-ul afiliat. În același timp, indiferent dacă cumpără ceva în viitor, îți vei primi comisioanele, indiferent dacă ai redirecționat sau nu trafic - nu contează.
În ultimii câțiva ani, aceasta a devenit o distracție pentru băieții SEO care postează materiale similare pe panouri de mesaje și dezvoltă tot felul de scenarii pentru unde să-și plaseze linkurile. Partenerii agresivi și-au dat seama că își pot plasa codul oriunde pe internet, nu doar pe propriile lor site-uri.
Pe acest diapozitiv puteți vedea că au propriile lor programe Cookie-Stuffing care îi ajută pe utilizatori să-și creeze propriile „cookie-uri umplute”. Și nu este doar un cookie, poți încărca 20-30 de ID-uri de afiliat în același timp și, de îndată ce cineva cumpără ceva, ești plătit pentru asta.
Acești tipi și-au dat seama curând că nu trebuie să pună acest cod pe paginile lor. Au abandonat scripturile pe site-uri și au început pur și simplu să-și posteze micile fragmente cu cod HTML pe panouri de mesaje, cărți de oaspeți și rețele sociale.
În jurul anului 2005, comercianții și rețelele afiliate și-au dat seama ce se întâmplă, au început să urmărească referrerenți și ratele de clic și au început să elimine afiliații suspecti. De exemplu, au observat că un utilizator a făcut clic pe un site MySpace, dar acel site aparținea unei rețele de afiliați complet diferită de cea care primi beneficiul legitim.
Băieții ăștia au devenit puțin mai înțelepți și în 2007 a apărut un nou tip de umplutură de cookie-uri. Partenerii au început să-și plaseze codul pe paginile SSL. În conformitate cu Hypertext Transfer Protocol RFC 2616, clienții nu ar trebui să includă un câmp de antet Referer într-o solicitare HTTP nesigură dacă pagina de referință a fost migrată dintr-un protocol securizat. Acest lucru se datorează faptului că nu doriți ca aceste informații să se scurgă din domeniul dvs.
Din aceasta, este clar că orice Referer trimis unui partener nu va fi urmărit, astfel încât partenerii principali vor vedea un link gol și nu vă vor putea da afară pentru asta. Acum escrocii au posibilitatea de a-și face „prăjiturile umplute” cu impunitate. Adevărat, nu orice browser vă permite să faceți acest lucru, dar există multe alte modalități de a face același lucru folosind reîmprospătarea automată a browserului a meta-reîmprospătării paginii curente, metaetichete sau JavaScript.
În 2008, au început să folosească instrumente de hacking mai puternice, cum ar fi atacurile de relegare a DNS, Gifar și conținutul Flash rău intenționat, care pot distruge complet modelele de securitate existente. Este nevoie de ceva timp pentru a-ți da seama cum să le folosești, deoarece tipii de Cookie-Stuffing nu sunt hackeri deosebit de avansați, sunt doar agenți de marketing agresivi, cu puține cunoștințe de codare.
Vand informatii semi-accesibile
Deci, ne-am uitat la cum să câștigăm sume de 6 cifre, iar acum să trecem la șapte cifre. Avem nevoie de bani mari ca să ne îmbogățim sau să murim. Vom analiza cum puteți face bani prin vânzarea de informații semi-accesibile. Business Wire a fost foarte popular în urmă cu câțiva ani și este încă important, îi vedem prezența pe multe site-uri. Pentru cei care nu știu, Business Wire oferă un serviciu prin care utilizatorii înregistrați ai site-ului primesc un flux de comunicate de presă actualizate de la mii de companii. Comunicatele de presă sunt trimise acestei companii de către diverse organizații, care sunt uneori supuse unor interdicții temporare sau embargouri, astfel că informațiile conținute în aceste comunicate de presă pot afecta prețul acțiunilor.
Fișierele comunicatelor de presă sunt încărcate pe serverul web Business Wire, dar nu sunt conectate până când embargoul nu este ridicat. În tot acest timp, paginile web ale comunicatului de presă sunt legate la site-ul principal, iar utilizatorii sunt anunțați despre acestea prin URL-uri ca aceasta:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmAstfel, în timp ce ești sub embargo, postezi date interesante pe site, astfel încât de îndată ce embargoul este ridicat, utilizatorii să se familiarizeze imediat cu acesta. Aceste link-uri sunt datate și trimise utilizatorilor prin e-mail. Odată ce interdicția expiră, linkul va funcționa și va direcționa utilizatorul către site-ul pe care este postat comunicatul de presă corespunzător. Înainte de a acorda acces la pagina web a comunicatului de presă, sistemul trebuie să verifice dacă utilizatorul este autentificat legal.
Ei nu verifică dacă aveți dreptul de a vizualiza aceste informații înainte de expirarea embargoului, trebuie doar să vă conectați la sistem. Până acum pare inofensiv, dar doar pentru că nu vezi ceva nu înseamnă că nu există.
Compania estonă de servicii financiare Lohmus Haavel & Viisemann, deloc hackeri, a descoperit că paginile web ale comunicatelor de presă erau denumite într-o manieră previzibilă și a început să ghicească acele adrese URL. Deși este posibil ca linkurile să nu existe încă, deoarece este în vigoare un embargo, aceasta nu înseamnă că un hacker nu poate ghici numele fișierului și, prin urmare, nu poate avea acces la acesta prematur. Această metodă a funcționat deoarece singura verificare de securitate a Business Wire a fost că utilizatorul a fost autentificat legal și nimic altceva.
Astfel, estonienii au primit informații înainte ca piața să se închidă și au vândut aceste date. Până când SEC i-a depistat și le-a înghețat conturile, ei au reușit să câștige 8 milioane de dolari din tranzacționarea de informații semi-accesibile. Gândește-te, tot ce au făcut acești băieți a fost să se uite cum arată linkurile, să încerce să ghicească URL-urile și au făcut 8 milioane din ele. De obicei, în acest moment, întreb publicul dacă acest lucru este considerat legal sau ilegal, dacă este considerat un comerț sau nu. Dar deocamdată vreau doar să vă atrag atenția asupra cine a făcut asta.
Înainte de a încerca să răspundeți la aceste întrebări, vă voi arăta următorul diapozitiv. Acest lucru nu este direct legat de frauda online. Un hacker ucrainean a piratat Thomson Financial, un furnizor de informații de afaceri, și a furat date despre dificultățile financiare ale IMS Health cu câteva ore înainte ca informațiile să ajungă pe piața financiară. Nu există nicio îndoială că el este vinovat de hacking.
Hackerul a plasat comenzi de vânzare în valoare de 42 de mii de dolari, jucând înainte ca tarifele să scadă. Pentru Ucraina aceasta este o sumă uriașă, așa că hackerul știa bine în ce se bagă. Scăderea bruscă a prețului acțiunilor i-a adus un profit de aproximativ 300 de dolari în câteva ore. Bursa a scos „steagul roșu”, SEC a înghețat fondurile, observând că ceva nu mergea bine și a început o investigație. Cu toate acestea, judecătorul Naomi Reis Buchwald a spus că fondurile ar trebui dezghețate, deoarece acuzațiile de „furt și tranzacționare” și „hacking și tranzacționare” atribuite lui Dorozhko nu încalcă legile privind valorile mobiliare. Hackerul nu era angajat al acestei companii și, prin urmare, nu a încălcat nicio lege privind divulgarea informațiilor financiare confidențiale.
The Times a sugerat că Departamentul de Justiție al SUA a considerat pur și simplu cazul inutil, din cauza dificultăților de a convinge autoritățile ucrainene să coopereze în prinderea făptuitorului. Deci acest hacker a obținut 300 de mii de dolari foarte ușor.
Acum comparați acest lucru cu cazul anterior în care oamenii au făcut bani prin simpla schimbare a adreselor URL ale linkurilor din browser și vânzând informații comerciale. Acestea sunt destul de interesante, dar nu singurele modalități de a face bani la bursă.
Să luăm în considerare colectarea pasivă de informații. De obicei, după ce face o achiziție online, cumpărătorul primește un cod de urmărire a comenzii, care poate fi secvenţial sau pseudo-secvenţial și arată cam așa:
3200411
3200412
3200413
Cu ajutorul acestuia puteți urmări comanda. Pentesterii sau hackerii încearcă să acceseze cu crawlere adresele URL pentru a obține acces la datele comenzilor, care de obicei conțin informații de identificare personală (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Prin derularea numerelor, aceștia obțin acces la numerele cardurilor de credit ale cumpărătorului, adresele, numele și alte informații personale. Cu toate acestea, nu suntem interesați de informațiile personale ale clientului, ci de codul de urmărire a comenzii în sine, ne interesează recunoașterea pasivă.
Arta de a trage concluzii
Luați în considerare „Arta deducerii”. Dacă puteți estima cu exactitate câte „comenzi” procesează o companie la sfârșitul trimestrului, atunci, pe baza datelor istorice, puteți deduce dacă situația sa financiară este bună și cum va fluctua prețul acțiunilor sale. De exemplu, ați comandat sau ați cumpărat ceva la începutul trimestrului, nu contează, și apoi ați făcut o nouă comandă la sfârșitul trimestrului. Pe baza diferenței de numere, se poate concluziona câte comenzi au fost procesate de companie în această perioadă de timp. Dacă vorbim de o mie de comenzi față de o sută de mii pentru aceeași perioadă anterioară, poți presupune că compania merge prost.
Cu toate acestea, adevărul este că adesea aceste numere de secvență pot fi obținute fără a finaliza efectiv comanda sau o comandă care este ulterior anulată. Sper că aceste numere nu vor fi afișate în niciun caz și secvența va continua cu numerele:
3200418
3200419
3200420
În acest fel, știți că aveți capacitatea de a urmări comenzile și puteți începe să colectați pasiv informații de pe site-ul pe care ni le furnizează. Nu știm dacă este legal sau nu, știm doar că se poate.
Deci, ne-am uitat la diverse deficiențe ale logicii de afaceri.
Trey Ford: atacatorii sunt oameni de afaceri. Ei așteaptă o rentabilitate a investiției lor. Cu cât este mai multă tehnologie, cu atât codul este mai mare și mai complex, cu atât este nevoie de mai multă muncă și cu atât este mai mare probabilitatea de a fi prins. Dar există multe modalități foarte profitabile de a efectua atacuri fără niciun efort. Logica de afaceri este o afacere uriașă și există un stimulent uriaș pentru infractorii să o pirateze. Defectele logicii de afaceri sunt o țintă principală pentru criminali și sunt ceva ce nu poate fi detectat prin simpla executare a unei scanări sau efectuarea de teste standard ca parte a unui proces de asigurare a calității. Există o problemă psihologică în QA numită „prejudecata de confirmare” pentru că, la fel ca oamenii, vrem să știm că avem dreptate. Prin urmare, este necesar să se efectueze teste în condiții reale.
Este necesar să testați totul și pe toată lumea, deoarece nu toate vulnerabilitățile pot fi detectate în etapa de dezvoltare prin analiza codului, sau chiar în timpul QA. Deci, trebuie să parcurgeți întregul proces de afaceri și să dezvoltați toate măsurile pentru a-l proteja. Se pot învăța multe din istorie, deoarece anumite tipuri de atacuri se repetă în timp. Dacă sunteți trezit într-o noapte de o creștere a procesorului, puteți presupune că un hacker încearcă din nou să descopere cupoane de reducere valide. Adevărata modalitate de a recunoaște tipul de atac este observarea unui atac activ, deoarece recunoașterea acestuia pe baza istoricului jurnalului va fi extrem de dificilă.
Jeremy Grossman: deci iată ce am învățat astăzi.
Ghicirea captcha vă poate aduce o sumă de patru cifre în dolari. Manipularea sistemelor de plată online va aduce unui hacker profituri de cinci cifre. Hackingul băncilor vă poate aduce cu mult peste cinci cifre din profit, mai ales dacă o faceți de mai multe ori.
Înșelătoriile de comerț electronic vă vor aduce șase cifre de bani, în timp ce utilizarea rețelelor afiliate vă va aduce 5-6 cifre sau chiar șapte cifre. Dacă sunteți suficient de curajos, puteți încerca să păcăliți bursa și să obțineți profituri de peste șapte cifre. Și folosirea metodei RSnake în competițiile pentru cel mai bun Chihuahua este pur și simplu neprețuită!
Noile diapozitive pentru această prezentare probabil nu au ajuns pe CD, așa că le puteți descărca mai târziu de pe pagina mea de blog. Urmează o conferință OPSEC în septembrie la care voi participa și cred că vom putea crea niște lucruri foarte interesante cu ei. Acum, dacă aveți întrebări, suntem gata să le răspundem.
Câteva reclame 🙂
Vă mulțumim că ați rămas cu noi. Vă plac articolele noastre? Vrei să vezi mai mult conținut interesant? Susține-ne plasând o comandă sau recomandând prietenilor, , Reducere de 30% pentru utilizatorii Habr la un analog unic de servere entry-level, care a fost inventat de noi pentru tine: (disponibil cu RAID1 și RAID10, până la 24 de nuclee și până la 40 GB DDR4).
Dell R730xd de 2 ori mai ieftin? Numai aici in Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - de la 99 USD! Citește despre
Sursa: www.habr.com