Šli so tako daleč, da so razpravljali o možnosti, da bi voznike UPS soočili z osumljencem. Zdaj pa preverimo, ali je to, kar je citirano na tem diapozitivu, zakonito?
FTC pravi na vprašanje: "Ali naj vrnem ali plačam izdelek, ki ga nisem naročil?" - "Ne. Če prejmete izdelek, ki ga niste naročili, ga imate zakonsko pravico sprejeti kot brezplačno darilo." Se to sliši etično? Umivam si roke, ker nisem dovolj pameten, da bi razpravljal o takih vprašanjih.
Toda zanimivo je, da opažamo trend, v katerem manj tehnologije uporabljamo, več denarja zaslužimo.
Povezane internetne goljufije
Jeremy Grossman: to je res zelo težko razumeti, vendar lahko na ta način zaslužite šestmestne zneske. Torej, vse zgodbe, ki ste jih slišali, imajo resnične povezave in o vsem tem lahko podrobno preberete. Ena izmed najzanimivejših vrst internetnih goljufij je affiliate goljufija. Spletne trgovine in oglaševalci uporabljajo pridružena omrežja, da pritegnejo promet in uporabnike na svoja spletna mesta v zameno za del dobička, prejetega s tem.
Govoril bom o nečem, kar veliko ljudi ve že leta, vendar nisem mogel najti niti ene javne reference, ki bi pokazala, koliko izgube je povzročila ta vrsta prevare. Kolikor vem, ni bilo nobenih tožb, nobenih kazenskih preiskav. Pogovarjal sem se s podjetniki iz proizvodnje, s partnerskimi mrežami, s črnimi mačkami – vsi verjamejo, da so prevaranti s svojimi podružnicami zaslužili ogromno denarja.
Prosim, verjemite mi na besedo in preglejte domačo nalogo, ki sem jo opravil glede teh posebnih vprašanj. Prevaranti jih uporabljajo, da s posebnimi tehnikami mesečno obračunavajo 5-6-mestne, včasih pa tudi sedemmestne zneske. V tej sobi so ljudje, ki lahko to preverijo, če niso zavezani pogodbi o zaupnosti. Zato vam bom pokazal, kako deluje. V to shemo je vključenih več igralcev. Videli boste, kaj je affiliate "igra" naslednje generacije.
Igra vključuje trgovca, ki ima spletno stran ali izdelek in plačuje provizije podružnicam za klike uporabnikov, ustvarjene račune, opravljene nakupe itd. Podružniku plačate za dejstvo, da nekdo obišče njegovo spletno mesto, klikne povezavo, obišče spletno mesto vašega prodajalca in tam nekaj kupi.
Naslednji igralec je affiliate, ki prejme denar v obliki cene na klik (CPC) ali v obliki provizije (CPA) za preusmerjanje kupcev na spletno stran prodajalca.
Provizije pomenijo, da je stranka zaradi dejavnosti partnerja opravila nakup na spletni strani prodajalca.
Kupec je oseba, ki opravi nakup ali vpiše delnice prodajalca.
Pridružena omrežja zagotavljajo tehnologije, ki povezujejo in sledijo dejavnostim prodajalca, partnerja in kupca. Vse igralce »zlepijo« skupaj in zagotovijo njihovo interakcijo.
Morda boste potrebovali nekaj dni ali nekaj tednov, da ugotovite, kako vse skupaj deluje, vendar ne gre za zapleteno tehnologijo. Partnerska omrežja in partnerski programi pokrivajo vse vrste trgovine in vse trge. Imajo jih Google, EBay, Amazon, njihovi komisionarski interesi se križajo, povsod so in dohodkov jim ne manjka. Prepričan sem, da veste, da lahko celo promet iz vašega spletnega dnevnika ustvari več sto dolarjev dobička vsak mesec, zato boste to shemo zlahka razumeli.
Tako deluje sistem. Priključite majhno spletno mesto ali elektronsko oglasno desko, ni pomembno, podpišete partnerski program in prejmete posebno povezavo, ki jo postavite na svojo internetno stran. Videti je takole:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>To prikazuje določen pridruženi program, vaš pridruženi ID, v tem primeru je 100, in ime izdelka, ki se prodaja. In če nekdo klikne na to povezavo, ga brskalnik preusmeri na affiliate omrežje, namesti posebne sledilne piškotke, ki ga povežejo z affiliate ID=100.
Set-Cookie: AffiliateID=100In preusmeri na stran prodajalca. Če kupec kasneje kupi nek izdelek v času X, ki je lahko dan, ura, trije tedni, katerikoli dogovorjeni čas, in v tem času piškotki še naprej obstajajo, potem partner prejme svojo provizijo.
Tako pridružena podjetja zaslužijo milijarde dolarjev z uporabo učinkovitih SEO taktik. Naj vam povem primer. Naslednji diapozitiv prikazuje potrdilo, zdaj ga bom povečal, da vam pokažem znesek. To je ček od Googla v vrednosti 132 $. Priimek tega gospoda je Schumann in ima v lasti mrežo oglaševalskih spletnih mest. To ni ves denar, Google plača takšne zneske enkrat na mesec ali enkrat na 2 meseca.
Še en ček od Googla, ga bom povečal in videli boste, da je za 901 $.
Ali naj koga vprašam o etiki takšnega služenja denarja? Tišina v dvorani... Ta ček predstavlja plačilo za 2 meseca, ker je prejšnji ček banka prejemnika zavrnila zaradi prevelikega zneska plačila.
Videli smo torej, da je to vrsto denarja mogoče zaslužiti in ta denar se izplačuje. Kako lahko premagate to shemo? Uporabimo lahko tehniko, imenovano Cookie-Stuffing. To je zelo preprost koncept, ki se je pojavil v letih 2001-2002, ta diapozitiv pa prikazuje, kako je izgledal leta 2002. Povedal vam bom zgodbo o njegovem pojavu.
Nič drugega kot nadležni pogoji storitve pridruženega omrežja zahtevajo, da uporabnik dejansko klikne povezavo, da njegov brskalnik prebere piškotek ID pridruženega podjetja.
Ta pogosto kliknjeni URL lahko samodejno naložite v vir slike ali oznako iframe. V tem primeru namesto povezave:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Prenesete tole:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Ali pa to:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>In ko uporabnik pristane na vaši strani, bo samodejno prevzel pridruženi piškotek. Hkrati, ne glede na to, ali bo nekaj kupil v prihodnosti, boste prejeli svoje provizije, ali ste preusmerili promet ali ne - ni pomembno.
V zadnjih nekaj letih je to postalo zabava za SEO tipe, ki objavljajo podoben material na oglasnih deskah in razvijajo najrazličnejše scenarije, kje drugje postaviti svoje povezave. Agresivni partnerji so spoznali, da lahko svojo kodo postavijo kamor koli na internetu, ne samo na svojih spletnih mestih.
Na tem diapozitivu lahko vidite, da imajo lastne programe za polnjenje piškotkov, ki uporabnikom pomagajo narediti lastne "polnjene piškotke". In ne gre samo za en piškotek, hkrati lahko naložite 20-30 ID-jev partnerjev in takoj ko nekdo nekaj kupi, ste za to plačani.
Ti fantje so kmalu ugotovili, da jim te kode ni treba dati na svoje strani. Opustili so skriptiranje med spletnimi mesti in preprosto začeli objavljati svoje majhne delčke s kodo HTML na oglasnih deskah, knjigah gostov in družbenih omrežjih.
Okoli leta 2005 so trgovci in partnerska omrežja ugotovili, kaj se dogaja, začeli slediti napotiteljem in razmerjem med prikazi in kliki ter začeli izrivati sumljive podružnice. Na primer, opazili so, da je uporabnik kliknil spletno mesto MySpace, vendar je to spletno mesto pripadalo popolnoma drugemu partnerskemu omrežju kot tistemu, ki prejema zakonito korist.
Ti fantje so postali malo modrejši in leta 2007 se je pojavila nova vrsta Cookie-Stuffing. Partnerji so začeli postavljati svojo kodo na strani SSL. V skladu s protokolom za prenos hiperteksta RFC 2616 odjemalci ne smejo vključiti polja glave Referer v nevarno zahtevo HTTP, če je bila napotitvena stran preseljena iz varnega protokola. To je zato, ker ne želite, da te informacije uhajajo iz vaše domene.
Iz tega je jasno, da kateremu koli napotitelju, poslanemu partnerju, ne bo mogoče slediti, zato bodo glavni partnerji videli prazno povezavo in vas zaradi nje ne bodo mogli izločiti. Zdaj imajo goljufi možnost, da nekaznovano izdelujejo svoje "polnjene piškote". Res je, da vam tega ne omogoča vsak brskalnik, vendar obstaja veliko drugih načinov za isto stvar z uporabo brskalnikovega samodejnega osveževanja meta-osvežitve trenutne strani, metaoznak ali JavaScripta.
Leta 2008 so začeli uporabljati zmogljivejša hekerska orodja, kot so DNS rebinding napadi, Gifar in zlonamerna vsebina Flash, ki lahko popolnoma uničijo obstoječe varnostne modele. Potrebuje nekaj časa, da ugotovimo, kako jih uporabiti, saj fantje iz Cookie-Stuffinga niso posebej napredni hekerji, so samo agresivni tržniki z malo znanja kodiranja.
Prodaja pol dostopnih informacij
Torej, pogledali smo, kako zaslužiti 6-mestne zneske, zdaj pa preidimo na sedemmestne vsote. Potrebujemo veliko denarja, da obogatimo ali umremo. Preučili bomo, kako lahko zaslužite s prodajo delno dostopnih informacij. Business Wire je bil pred nekaj leti zelo priljubljen in je še vedno pomemben, vidimo njegovo prisotnost na številnih spletnih mestih. Za tiste, ki ne vedo, Business Wire ponuja storitev, pri kateri registrirani uporabniki spletnega mesta prejemajo tok posodobljenih sporočil za javnost tisočih podjetij. Sporočila za javnost tej družbi pošiljajo različne organizacije, za katere včasih veljajo začasne prepovedi ali embargi, zato lahko informacije v teh sporočilih za javnost vplivajo na ceno delnic.
Datoteke sporočil za javnost so naložene na spletni strežnik Business Wire, vendar niso povezane, dokler embargo ni odpravljen. Ves čas so spletne strani s sporočilom za javnost povezane z glavnim spletnim mestom, uporabniki pa so o njih obveščeni prek URL-jev, kot je ta:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmTako v času, ko ste pod embargom, na strani objavljate zanimive podatke, tako da bodo uporabniki takoj po odpravi embarga z njimi seznanjeni. Te povezave so datirane in uporabnikom poslane po e-pošti. Ko prepoved poteče, bo povezava delovala in uporabnika usmerila na spletno mesto, kjer je objavljeno ustrezno sporočilo za javnost. Pred odobritvijo dostopa do spletne strani s sporočilom za javnost mora sistem preveriti, ali je uporabnik zakonito prijavljen.
Pred iztekom embarga ne preverjajo, ali imate pravico do vpogleda v te podatke, dovolj je, da se prijavite v sistem. Zaenkrat se zdi neškodljivo, a če nečesa ne vidite, še ne pomeni, da tega ni.
Estonsko podjetje za finančne storitve Lohmus Haavel & Viisemann, sploh ne hekerji, je odkrilo, da so bile spletne strani sporočil za javnost poimenovane na predvidljiv način, in začelo ugibati te URL-je. Čeprav povezave morda še ne obstajajo, ker je v veljavi embargo, to ne pomeni, da heker ne more uganiti imena datoteke in tako prezgodaj dobiti dostop do nje. Ta metoda je delovala, ker je bil edini varnostni pregled Business Wire, da je bil uporabnik zakonito prijavljen in nič drugega.
Tako so Estonci dobili informacije pred zaprtjem trga in te podatke prodali. Dokler jih SEC ni izsledil in jim zamrznil računov, jim je uspelo zaslužiti 8 milijonov dolarjev s trgovanjem z delno dostopnimi informacijami. Pomislite, ti fantje so samo pogledali, kako izgledajo povezave, poskušali uganiti URL-je in s tem zaslužili 8 milijonov. Običajno na tej točki občinstvo vprašam, ali se to šteje za zakonito ali nezakonito, ali se šteje za trgovino ali ne. Toda zaenkrat vas želim samo opozoriti na to, kdo je to storil.
Preden poskusite odgovoriti na ta vprašanja, vam bom pokazal naslednji diapozitiv. To ni neposredno povezano s spletnimi goljufijami. Ukrajinski heker je vdrl v Thomson Financial, ponudnika poslovne inteligence, in ukradel podatke o finančnih težavah IMS Health nekaj ur, preden naj bi informacije prišle na finančni trg. Nobenega dvoma ni, da je kriv vdora.
Heker je oddal naročila za prodajo v višini 42 tisoč dolarjev, pri čemer je igral, preden so tečaji padli. Za Ukrajino je to ogromen znesek, zato je heker dobro vedel, v kaj se spušča. Nenaden padec tečaja delnic mu je v nekaj urah prinesel približno 300 dolarjev dobička. Borza je postavila "rdečo zastavo", SEC je zamrznila sredstva, ko je opazila, da gre nekaj narobe, in začela preiskavo. Vendar je sodnica Naomi Reis Buchwald dejala, da je treba sredstva odmrzniti, ker obtožbe o "kraji in trgovanju" ter "hekanju in trgovanju", pripisane Dorozhku, ne kršijo zakonov o vrednostnih papirjih. Heker ni bil zaposlen v tem podjetju in zato ni kršil nobenih zakonov glede razkritja zaupnih finančnih informacij.
Časnik Times je namigoval, da je ameriško ministrstvo za pravosodje preprosto menilo, da je primer nesmiseln zaradi težav pri pridobivanju ukrajinskih oblasti, da bi privolile v sodelovanje pri lovljenju storilca. Tako je ta heker zelo enostavno dobil 300 tisoč dolarjev.
Zdaj primerjajte to s prejšnjim primerom, ko so ljudje zaslužili s preprosto spremembo URL-jev povezav v svojem brskalniku in prodajo komercialnih informacij. To so precej zanimivi, a ne edini načini zaslužka na borzi.
Oglejmo si pasivno zbiranje informacij. Običajno kupec po opravljenem spletnem nakupu prejme kodo za sledenje naročilu, ki je lahko zaporedna ali psevdozaporedna in je videti nekako takole:
3200411
3200412
3200413
Z njim lahko sledite svojemu naročilu. Pentesterji ali hekerji poskušajo preiskati URL-je, da bi pridobili dostop do podatkov o naročilih, ki običajno vsebujejo podatke, ki omogočajo osebno identifikacijo (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417S pomikanjem po številkah pridobijo dostop do številk kreditnih kartic kupca, naslovov, imen in drugih osebnih podatkov. Vendar nas ne zanimajo naročnikovi osebni podatki, temveč sama koda sledi naročila, zanima nas pasivno izvidovanje.
Umetnost sklepanja
Razmislite o »Umetnosti sklepanja«. Če lahko natančno ocenite, koliko »naročil« podjetje obdela ob koncu četrtletja, potem lahko na podlagi preteklih podatkov sklepate, ali je njegovo finančno stanje dobro in kako bo nihala cena delnice. Na primer, nekaj ste naročili ali kupili na začetku četrtletja, ni pomembno, in nato na koncu četrtletja naredili novo naročilo. Na podlagi razlike v številkah lahko sklepamo, koliko naročil je podjetje obdelalo v tem času. Če govorimo o tisoč naročilih v primerjavi s sto tisoči za enako prejšnje obdobje, lahko domnevate, da gre podjetju slabo.
Dejstvo pa je, da je te zaporedne številke pogosto mogoče pridobiti brez dejanskega dokončanja naročila ali naročila, ki je nato preklicano. Upam, da te številke v nobenem primeru ne bodo prikazane in se bo zaporedje nadaljevalo s številkami:
3200418
3200419
3200420
Tako veste, da lahko sledite naročilom in lahko začnete pasivno zbirati informacije s spletnega mesta, ki nam jih posredujejo. Ne vemo, ali je zakonito ali ne, vemo le, da je to mogoče.
Torej, pogledali smo različne pomanjkljivosti poslovne logike.
Trey Ford: napadalci so poslovneži. Pričakujejo povrnitev naložbe. Več kot je tehnologije, večja in bolj zapletena kot je koda, več dela je treba opraviti in večja je verjetnost, da vas ujamejo. Obstaja pa veliko zelo donosnih načinov za izvajanje napadov brez truda. Poslovna logika je velik posel in obstaja velika spodbuda za kriminalce, da vanjo vdrejo. Napake poslovne logike so glavna tarča kriminalcev in jih ni mogoče odkriti s preprostim skeniranjem ali standardnim testiranjem v okviru procesa zagotavljanja kakovosti. Pri zagotavljanju kakovosti obstaja psihološka težava, imenovana "potrditvena pristranskost", ker tako kot ljudje želimo vedeti, da imamo prav. Zato je potrebno testiranje opraviti v realnih pogojih.
Potrebno je testirati vse in vsakogar, saj vseh ranljivosti ni mogoče odkriti v fazi razvoja z analizo kode ali celo med QA. Zato morate iti skozi celoten poslovni proces in razviti vse ukrepe za njegovo zaščito. Iz zgodovine se lahko veliko naučimo, saj se določene vrste napadov ponavljajo skozi čas. Če vas neke noči zbudi skok procesorja, lahko predvidevate, da neki heker spet poskuša izslediti veljavne kupone za popust. Pravi način za prepoznavanje vrste napada je opazovanje aktivnega napada, saj bo prepoznavanje na podlagi zgodovine dnevnika zelo težko.
Jeremy Grossman: tole smo se danes naučili.
Z ugibanjem captcha lahko zaslužite štirimestni znesek v dolarjih. Manipulacija spletnih plačilnih sistemov bo hekerju prinesla petmestne dobičke. Vdiranje v banke vam lahko prinese precej več kot petmestni dobiček, še posebej, če to storite večkrat.
Prevare v e-trgovini vam bodo prinesle šestmestne zneske, medtem ko boste z uporabo partnerskih omrežij prinesle 5- do 6-mestne ali celo sedemmestne zneske. Če ste dovolj pogumni, lahko poskusite preslepiti borzo in pridobiti več kot sedemmestne dobičke. In uporaba metode RSnake na tekmovanjih za najboljšo čivavo je preprosto neprecenljiva!
Novi diapozitivi za to predstavitev verjetno niso prišli na CD, zato jih lahko pozneje prenesete s strani mojega bloga. Septembra prihaja konferenca OPSEC, ki se je bom udeležil, in mislim, da bomo z njimi lahko ustvarili nekaj res kul stvari. Zdaj, če imate kakršna koli vprašanja, smo pripravljeni odgovoriti nanje.
Nekaj oglasov 🙂
Hvala, ker ste ostali z nami. So vam všeč naši članki? Želite videti več zanimivih vsebin? Podprite nas tako, da oddate naročilo ali priporočite prijateljem, , 30% popust za uporabnike Habr na edinstvenem analogu začetnih strežnikov, ki smo ga izumili za vas: (na voljo z RAID1 in RAID10, do 24 jeder in do 40 GB DDR4).
Dell R730xd 2-krat cenejši? Samo tukaj na Nizozemskem! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 $! Preberite o
Vir: www.habr.com