Zašli tak ďaleko, že diskutovali o možnosti konfrontácie vodičov UPS s podozrivým. Poďme teraz skontrolovať, či to, čo je uvedené na tejto snímke, je legálne?
Tu je to, čo FTC odpovedalo na otázku: „Mám vrátiť alebo zaplatiť za položku, ktorú som si nikdy neobjednal?“ -"Nie. Ak dostanete položku, ktorú ste si neobjednali, máte zákonné právo prijať ju ako bezplatný darček.“ Znie to eticky? Umývam si nad tým ruky, pretože nie som dosť bystrý na to, aby som o takýchto problémoch diskutoval.
Čo je však zaujímavé, vidíme trend, že čím menej technológií používame, tým viac peňazí zarobíme.
Pridružený internetový podvod
Jeremy Grossman: je to naozaj veľmi ťažké pochopiť, ale týmto spôsobom môžete zarobiť šesťciferné peniaze. Takže všetky príbehy, ktoré ste počuli, majú skutočné odkazy a môžete si o nich prečítať podrobne. Jedným z najzaujímavejších typov internetových podvodov je affiliate podvod. Internetové obchody a inzerenti využívajú pridružené siete na prilákanie návštevnosti a používateľov na svoje stránky výmenou za časť zisku, ktorý z toho získajú.
Budem hovoriť o niečom, o čom veľa ľudí vie už roky, ale nepodarilo sa mi nájsť jediný verejný odkaz, ktorý by naznačoval, akú veľkú stratu tento typ podvodu spôsobil. Pokiaľ viem, neboli žiadne súdne spory, žiadne trestné vyšetrovanie. Hovoril som s výrobnými podnikateľmi, hovoril som s chlapmi z affiliate siete, hovoril som s Black Cats - všetci veria, že podvodníci zarobili obrovské množstvo peňazí na pobočkách.
Prosím, vezmite si moje slovo a preštudujte si domácu úlohu, ktorú som urobil v súvislosti s týmito konkrétnymi problémami. Podvodníci ich používajú na zarábanie 5-6-ciferných a niekedy aj sedemciferných súm mesačne pomocou špeciálnych techník. V tejto miestnosti sú ľudia, ktorí to môžu skontrolovať, ak nie sú viazaní dohodou o mlčanlivosti. Takže vám ukážem, ako to funguje. Do tejto schémy je zapojených viacero hráčov. Uvidíte, o čom je affiliate „hra“ novej generácie.
Hra zahŕňa obchodníka, ktorý má webovú stránku alebo produkt a platí pridruženým províziám za kliknutia používateľov, vytvorené účty, uskutočnené nákupy atď. Partnerovi platíte za to, že niekto navštívi jeho webovú stránku, klikne na odkaz, prejde na webovú stránku vášho predajcu a niečo si tam kúpi.
Ďalším hráčom je affiliate partner, ktorý dostáva peniaze vo forme ceny za kliknutie (CPC) alebo vo forme provízií (CPA) za presmerovanie kupujúcich na webovú stránku predajcu.
Provízie znamenajú, že v dôsledku aktivít partnera klient uskutočnil nákup na webovej stránke predajcu.
Kupujúcim je osoba, ktorá nakupuje alebo upisuje akcie predávajúceho.
Affiliate siete poskytujú technológie, ktoré spájajú a sledujú aktivity predajcu, partnera a kupujúceho. „Zlepia“ všetkých hráčov dohromady a zabezpečia ich interakciu.
Môže vám trvať niekoľko dní alebo týždňov, kým prídete na to, ako to celé funguje, no nie je to žiadna komplikovaná technológia. Affiliate siete a affiliate programy pokrývajú všetky typy obchodov a všetky trhy. Má ich Google, EBay, Amazon, ich záujmy ako komisionárov sa prelínajú, sú všade a príjem im nechýba. Som si istý, že viete, že aj návštevnosť vášho blogu môže generovať zisk niekoľko stoviek dolárov každý mesiac, takže táto schéma bude pre vás ľahko pochopiteľná.
Takto systém funguje. Pridružíte malú stránku alebo elektronickú nástenku, na tom nezáleží, podpíšete partnerský program a dostanete špeciálny odkaz, ktorý umiestnite na svoju internetovú stránku. Vyzerá to takto:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Toto zobrazuje konkrétny partnerský program, vaše ID pridruženého partnera, v tomto prípade je to 100, a názov predávaného produktu. A ak niekto klikne na tento odkaz, prehliadač ho presmeruje do affiliate siete, nainštaluje špeciálne sledovacie cookies, ktoré ho prepoja s affiliate ID=100.
Set-Cookie: AffiliateID=100A presmeruje na stránku predajcu. Ak kupujúci neskôr zakúpi nejaký produkt v časovom období X, čo môže byť deň, hodina, tri týždne, ľubovoľný dohodnutý čas, a počas tohto obdobia budú cookies naďalej existovať, potom pridružený subjekt dostane svoju províziu.
Takto pridružené spoločnosti zarábajú miliardy dolárov pomocou efektívnej SEO taktiky. Uvediem príklad. Ďalšia snímka zobrazuje účtenku, teraz ju zväčším, aby som vám ukázal sumu. Toto je šek od spoločnosti Google na 132 2 USD. Priezvisko tohto pána je Schumann a vlastní sieť reklamných webových stránok. To nie sú všetky peniaze, Google takéto sumy vypláca raz za mesiac alebo raz za XNUMX mesiace.
Ďalší šek od Googlu, zväčším to a uvidíte, že je to 901 XNUMX dolárov.
Mám sa niekoho opýtať na etiku zarábania peňazí takýmto spôsobom? Ticho v sále... Tento šek predstavuje platbu na 2 mesiace, pretože predchádzajúci šek bol bankou príjemcu odmietnutý z dôvodu príliš vysokej sumy platby.
Takže sme videli, že takýto druh peňazí sa dá zarobiť a tieto peniaze sa vyplácajú. Ako môžete poraziť túto schému? Môžeme použiť techniku nazývanú Cookie-Stuffing. Toto je veľmi jednoduchý koncept, ktorý sa objavil v rokoch 2001-2002 a tento slide ukazuje, ako vyzeral v roku 2002. Poviem vám príbeh jeho vzhľadu.
Nič iné ako otravné zmluvné podmienky pridruženej siete vyžadujú, aby používateľ skutočne klikol na odkaz, aby jeho prehliadač vybral súbor cookie s ID pridruženého subjektu.
Túto webovú adresu, na ktorú sa zvyčajne kliká, môžete automaticky načítať do zdroja obrázka alebo značky iframe. V tomto prípade namiesto odkazu:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Stiahneš si toto:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Alebo že:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>A keď sa používateľ dostane na vašu stránku, automaticky si vyberie affiliate cookie. Zároveň, bez ohľadu na to, či si niečo kúpi v budúcnosti, dostanete svoje provízie, či už ste presmerovali návštevnosť alebo nie - na tom nezáleží.
Za posledných pár rokov sa to stalo zábavou pre SEO ľudí, ktorí uverejňujú podobný materiál na nástenkách a vyvíjajú najrôznejšie scenáre, kam inam umiestniť svoje odkazy. Agresívni partneri si uvedomili, že svoj kód môžu umiestniť kdekoľvek na internete, nielen na svojich vlastných stránkach.
Na tejto snímke môžete vidieť, že majú svoje vlastné programy na plnenie súborov cookie, ktoré pomáhajú používateľom vytvárať ich vlastné „plnené súbory cookie“. A nie je to len jeden cookie, môžete naraz nahrať 20-30 affiliate ID a akonáhle si niekto niečo kúpi, dostanete za to zaplatené.
Títo chlapci si čoskoro uvedomili, že tento kód nemusia umiestniť na svoje stránky. Opustili skriptovanie medzi stránkami a jednoducho začali zverejňovať svoje malé úryvky s kódom HTML na nástenkách, knihách hostí a sociálnych sieťach.
Okolo roku 2005 obchodníci a affiliate siete prišli na to, čo sa deje, začali sledovať sprostredkovateľov a miery prekliknutí a začali vyháňať podozrivých affiliate partnerov. Všimli si napríklad, že používateľ klikol na stránku MySpace, no táto stránka patrila do úplne inej pridruženej siete ako tej, ktorá dostáva legitímnu výhodu.
Títo chlapci trochu zmúdreli a v roku 2007 sa objavil nový druh Cookie-Stuffing. Partneri začali umiestňovať svoj kód na SSL stránky. Podľa Hypertext Transfer Protocol RFC 2616 by klienti nemali zahrnúť pole hlavičky Referer do nezabezpečenej požiadavky HTTP, ak bola odkazujúca stránka migrovaná zo zabezpečeného protokolu. Je to preto, že nechcete, aby tieto informácie unikli z vašej domény.
Z toho je jasné, že akýkoľvek Referer poslaný partnerovi nebude sledovateľný, takže hlavní partneri uvidia prázdny odkaz a nebudú vás môcť za to vyhodiť. Teraz majú podvodníci možnosť beztrestne vyrábať svoje „plnené cookies“. Je pravda, že nie každý prehliadač vám to umožňuje, ale existuje mnoho ďalších spôsobov, ako urobiť to isté pomocou automatického obnovenia aktuálnej stránky pomocou meta-refresh, metaznačiek alebo JavaScriptu.
V roku 2008 začali používať výkonnejšie hackerské nástroje, ako sú DNS rebinding útoky, Gifar a škodlivý Flash obsah, ktorý dokáže úplne zničiť existujúce bezpečnostné modely. Chvíľu trvá, kým prídete na to, ako ich používať, pretože chalani z Cookie-Stuffing nie sú obzvlášť pokročilí hackeri, sú to len agresívni obchodníci s malými znalosťami kódovania.
Predaj poloprístupných informácií
Pozreli sme sa teda na to, ako zarobiť 6-ciferné sumy, a teraz prejdime k sedemciferným sumám. Potrebujeme veľké peniaze, aby sme zbohatli alebo zomreli. Pozrieme sa na to, ako sa dá zarobiť predajom poloprístupných informácií. Business Wire bol pred pár rokmi veľmi populárny a stále je dôležité, že jeho prítomnosť vidíme na mnohých stránkach. Pre tých, ktorí nevedia, Business Wire poskytuje službu, pomocou ktorej registrovaní používatelia stránky dostávajú prúd aktuálnych tlačových správ od tisícok spoločností. Tlačové správy zasielajú tejto spoločnosti rôzne organizácie, na ktoré sa niekedy vzťahujú dočasné zákazy alebo embargá, takže informácie obsiahnuté v týchto tlačových správach môžu ovplyvniť cenu akcií.
Súbory tlačových správ sa nahrávajú na webový server Business Wire, ale nie sú prepojené, kým nebude zrušené embargo. Webové stránky tlačových správ sú po celú dobu prepojené s hlavnou webovou stránkou a používatelia sú na ne upozornení adresami URL, ako je táto:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmKým ste teda pod embargom, zverejňujete na stránku zaujímavé údaje, takže akonáhle bude embargo zrušené, používatelia sa s nimi okamžite zoznámia. Tieto odkazy sú označené dátumom a odosielajú sa používateľom prostredníctvom e-mailu. Po vypršaní zákazu bude odkaz fungovať a nasmeruje používateľa na stránku, kde je uverejnená príslušná tlačová správa. Pred udelením prístupu na webovú stránku tlačovej správy musí systém overiť, či je používateľ legálne prihlásený.
Nekontrolujú, či máte právo na zobrazenie týchto informácií pred uplynutím embarga, stačí sa prihlásiť do systému. Zatiaľ to vyzerá neškodne, ale to, že niečo nevidíte, neznamená, že to tam nie je.
Estónska spoločnosť poskytujúca finančné služby Lohmus Haavel & Viisemann, vôbec nie hackeri, zistila, že webové stránky tlačových správ boli pomenované predvídateľným spôsobom, a začali tieto adresy URL hádať. Aj keď odkazy ešte nemusia existovať, pretože platí embargo, neznamená to, že hacker nemôže uhádnuť názov súboru, a tak k nemu predčasne získať prístup. Táto metóda fungovala, pretože jedinou bezpečnostnou kontrolou Business Wire bolo, že používateľ bol prihlásený legálne a nič iné.
Estónci teda dostali informácie ešte pred uzavretím trhu a tieto údaje predali. Kým ich SEC nevystopovala a nezmrazila ich účty, podarilo sa im zarobiť 8 miliónov dolárov na obchodovaní s poloprístupnými informáciami. Zamyslite sa nad tým, všetko, čo títo chlapci urobili, bolo, že sa pozreli na to, ako vyzerajú odkazy, pokúsili sa uhádnuť adresy URL a zarobili na tom 8 miliónov. Zvyčajne sa na tomto mieste pýtam publika, či sa to považuje za legálne alebo nelegálne, či sa to považuje za obchod alebo nie. Ale teraz chcem len upozorniť na to, kto to urobil.
Predtým, ako sa pokúsite odpovedať na tieto otázky, ukážem vám ďalšiu snímku. Toto priamo nesúvisí s online podvodmi. Ukrajinský hacker hackol Thomson Financial, poskytovateľa obchodných informácií, a ukradol údaje o finančných problémoch spoločnosti IMS Health niekoľko hodín predtým, ako sa tieto informácie mali dostať na finančný trh. Niet pochýb o tom, že je vinný z hackerstva.
Hacker zadal objednávky na predaj vo výške 42-tisíc dolárov, pričom hral pred poklesom sadzieb. Pre Ukrajinu je to obrovská suma, takže hacker dobre vedel, do čoho ide. Náhly pokles ceny akcií mu v priebehu niekoľkých hodín priniesol zisk okolo 300 XNUMX dolárov. Burza vydala „Červenú vlajku“, SEC zmrazila finančné prostriedky, pričom si všimla, že niečo nie je v poriadku, a začala vyšetrovanie. Sudkyňa Naomi Reis Buchwaldová však uviedla, že prostriedky by sa mali rozmraziť, pretože obvinenia z „krádeže a obchodovania“ a „hackingu a obchodovania“ pripisované Dorožkovi neporušujú zákony o cenných papieroch. Hacker nebol zamestnancom tejto spoločnosti, a preto neporušil žiadne zákony týkajúce sa zverejňovania dôverných finančných informácií.
The Times naznačili, že americké ministerstvo spravodlivosti jednoducho považovalo tento prípad za zbytočný kvôli ťažkostiam pri získavaní ukrajinských úradov, aby súhlasili so spoluprácou pri dolapení páchateľa. Takže tento hacker získal 300-tisíc dolárov veľmi ľahko.
Teraz to porovnajte s predchádzajúcim prípadom, keď ľudia zarábali peniaze jednoduchou zmenou adries URL odkazov vo svojom prehliadači a predajom komerčných informácií. Sú to celkom zaujímavé, no nie jediné spôsoby, ako zarobiť na burze.
Zoberme si pasívny zber informácií. Zvyčajne po nákupe online dostane kupujúci kód sledovania objednávky, ktorý môže byť sekvenčný alebo pseudosekvenčný a vyzerá asi takto:
3200411
3200412
3200413
S ním môžete sledovať svoju objednávku. Pentestri alebo hackeri sa pokúšajú prehľadávať adresy URL, aby získali prístup k údajom o objednávkach, ktoré zvyčajne obsahujú informácie umožňujúce identifikáciu osôb (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Listovaním v číslach získajú prístup k číslam kreditných kariet kupujúceho, adresám, menám a ďalším osobným informáciám. Nás však nezaujímajú osobné údaje klienta, ale samotný kód skladby objednávky, máme záujem o pasívnu rekogníciu.
Umenie vyvodzovať závery
Zamyslite sa nad „Umením vyvodzovania“. Ak viete presne odhadnúť, koľko „objednávok“ spoločnosť na konci štvrťroka vybavuje, potom na základe historických údajov viete vydedukovať, či je jej finančná situácia dobrá a ako sa bude pohybovať cena akcií. Napríklad ste si objednali alebo kúpili niečo na začiatku štvrťroka, na tom nezáleží, a potom ste na konci štvrťroka urobili novú objednávku. Na základe rozdielu v číslach možno usudzovať, koľko objednávok spoločnosť za toto obdobie spracovala. Ak hovoríme o tisícke objednávok verzus stotisíc za rovnaké predchádzajúce obdobie, môžete predpokladať, že spoločnosť je na tom zle.
Faktom však je, že často je možné tieto poradové čísla získať bez skutočného dokončenia objednávky alebo objednávky, ktorá je následne zrušená. Dúfam, že tieto čísla sa v žiadnom prípade nezobrazia a postupnosť bude pokračovať číslami:
3200418
3200419
3200420
Týmto spôsobom viete, že máte možnosť sledovať objednávky a môžete začať pasívne zhromažďovať informácie zo stránok, ktoré nám poskytujú. Nevieme, či je to legálne alebo nie, vieme len, že sa to dá.
Pozreli sme sa teda na rôzne nedostatky obchodnej logiky.
Trey Ford: útočníci sú podnikatelia. Očakávajú návratnosť svojej investície. Čím viac technológií, čím väčší a zložitejší kód, tým viac práce je potrebné vykonať a tým väčšia je pravdepodobnosť, že vás chytia. Existuje však veľa veľmi výnosných spôsobov, ako vykonať útoky bez akéhokoľvek úsilia. Obchodná logika je obrovský biznis a pre zločincov existuje obrovská motivácia, aby ju hackli. Chyby obchodnej logiky sú hlavným cieľom zločincov a nemožno ich odhaliť jednoduchým spustením skenovania alebo vykonaním štandardného testovania v rámci procesu zabezpečenia kvality. V oblasti kontroly kvality je psychologický problém nazývaný „zaujatosť pri potvrdení“, pretože rovnako ako ľudia chceme vedieť, že máme pravdu. Preto je potrebné vykonať testovanie v reálnych podmienkach.
Je potrebné otestovať všetko a všetkých, pretože nie všetky zraniteľnosti sa dajú odhaliť vo fáze vývoja analýzou kódu, alebo dokonca počas QA. Musíte teda prejsť celým obchodným procesom a vypracovať všetky opatrenia na jeho ochranu. Z histórie sa dá veľa naučiť, pretože určité typy útokov sa v priebehu času opakujú. Ak vás jednej noci zobudí prudký nárast CPU, môžete predpokladať, že sa nejaký hacker opäť pokúša vystopovať platné zľavové kupóny. Skutočný spôsob, ako rozpoznať typ útoku, je pozorovať aktívny útok, pretože jeho rozpoznanie na základe histórie protokolu bude mimoriadne ťažké.
Jeremy Grossman: takže tu je to, čo sme sa dnes naučili.
Tipovaním captcha môžete zarobiť štvorcifernú sumu v dolároch. Manipulácia online platobných systémov prinesie hackerovi päťciferné zisky. Hackovanie bánk vám môže zarobiť viac ako päťciferné zisky, najmä ak to urobíte viac ako raz.
Podvody s elektronickým obchodom vám vynesú šesťciferné peniaze, zatiaľ čo používanie pridružených sietí vám prinesie 5-6 alebo dokonca sedemciferných čísel. Ak máte dosť odvahy, môžete skúsiť oklamať burzu a získať viac ako sedemciferné zisky. A používať metódu RSnake v súťažiach o najlepšiu čivavu je jednoducho na nezaplatenie!
Nové snímky pre túto prezentáciu sa pravdepodobne nedostali na CD, takže si ich môžete stiahnuť neskôr z mojej blogovej stránky. V septembri sa chystá konferencia OPSEC, ktorej sa zúčastním a myslím si, že s nimi dokážeme vytvoriť naozaj skvelé veci. Teraz, ak máte nejaké otázky, sme pripravení na ne odpovedať.
Nejaké inzeráty 🙂
Ďakujeme, že ste zostali s nami. Páčia sa vám naše články? Chcete vidieť viac zaujímavého obsahu? Podporte nás zadaním objednávky alebo odporučením priateľom, , 30% zľava pre užívateľov Habr na unikátny analóg serverov základnej úrovne, ktorý sme pre vás vymysleli: (k dispozícii s RAID1 a RAID10, až 24 jadier a až 40 GB DDR4).
Dell R730xd 2 krát lacnejší? Len tu v Holandsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 USD! Čítať o
Zdroj: hab.com