Ata shkuan aq larg sa diskutuan mundësinë e përdorimit të drejtuesve të UPS-së për t'u përballur me të dyshuarin. Le të kontrollojmë tani nëse ajo që citohet në këtë rrëshqitje është e ligjshme?
Këtu është përgjigja e FTC ndaj pyetjes, "A duhet të kthehem apo të paguaj për një artikull që nuk e kam porositur kurrë?" - "Jo. Nëse merrni një artikull që nuk e keni porositur, ju keni të drejtën ligjore ta pranoni atë si një dhuratë falas." A tingëllon kjo etike? I laj duart sepse nuk jam mjaftueshëm i zgjuar për të diskutuar çështje të tilla.
Por ajo që është interesante është se ne shohim një trend në të cilin sa më pak teknologji të përdorim, aq më shumë para marrim.
Mashtrimi në Internet i Filialeve
Jeremy Grossman: është me të vërtetë shumë e vështirë për t'u kuptuar, por në këtë mënyrë ju mund të merrni një shumë gjashtëshifrore parash. Pra, të gjitha historitë që keni dëgjuar kanë lidhje të vërteta dhe ju mund të lexoni në detaje për të gjitha këto. Një nga llojet më interesante të mashtrimeve në internet janë mashtrimet e filialeve. Dyqanet online dhe reklamuesit përdorin rrjetet e filialeve për të drejtuar trafikun dhe përdoruesit në faqet e tyre në këmbim të një pjese të fitimeve që ata bëjnë.
Do të flas për diçka që shumë njerëz e dinë prej vitesh, por nuk gjeta një referencë të vetme publike që do të tregonte se sa humbje ka shkaktuar ky lloj mashtrimi. Me sa di unë nuk ka pasur asnjë proces gjyqësor, asnjë hetim penal. Kam biseduar me sipërmarrës të prodhimit, kam biseduar me djem të rrjetit të filialeve, kam folur me Black Cats - të gjithë besojnë se mashtruesit kanë fituar një shumë të madhe parash nga partneriteti.
Ju kërkoj të merrni fjalën time dhe të njiheni me rezultatin e "detyrave të shtëpisë" që kam përfunduar për këto probleme specifike. Mbi to, mashtruesit "saldojnë" shuma 5-6-shifrore, dhe nganjëherë shtatëshifrore çdo muaj, duke përdorur teknika të veçanta. Në këtë dhomë ka njerëz që mund ta verifikojnë këtë, për sa kohë që nuk janë të detyruar nga një marrëveshje konfidencialiteti. Pra, unë do t'ju tregoj se si funksionon. Kjo skemë përfshin disa lojtarë. Do të shihni se çfarë është një "lojë" e filialeve të gjeneratës së re.
Loja përfshin një tregtar që ka një lloj uebsajti ose produkti, dhe ai paguan komisionet e filialeve për klikimet e përdoruesve, llogaritë e krijuara, blerjet e bëra etj. Ju paguani një filial që dikush të vizitojë faqen e tyre, klikoni në një lidhje, shkoni në faqen tuaj të tregtarit dhe blini diçka atje.
Lojtari tjetër është një filial i cili merr para në formën e një pagese për klikim (CPC) ose komisionit (CPA) për ridrejtimin e blerësve në faqen e internetit të shitësit.
Komisionet nënkuptojnë se si rezultat i aktiviteteve të partnerit, klienti ka bërë një blerje në faqen e internetit të shitësit.
Një blerës është një person që bën blerje ose pajtohet në aksionet e shitësit.
Rrjetet e filialeve ofrojnë teknologji që lidh dhe gjurmon aktivitetet e shitësit, partnerit dhe blerësit. Ata "ngjisin" të gjithë lojtarët së bashku dhe sigurojnë ndërveprimin e tyre.
Mund t'ju duhen disa ditë ose disa javë për të kuptuar se si funksionon gjithçka, por këtu nuk ka teknologji komplekse. Rrjetet e filialeve dhe programet e filialeve mbulojnë të gjitha llojet e tregtisë dhe të gjitha tregjet. Google, EBay, Amazon i kanë ato, interesat e komisioneve të tyre mbivendosen, ato janë kudo dhe nuk u mungojnë të ardhurat. Jam i sigurt që e dini se edhe trafiku nga blogu juaj mund të sjellë disa qindra dollarë në fitime mujore, kështu që kjo skemë do të jetë e lehtë për ju për ta kuptuar.
Kështu funksionon sistemi. Ju lidhni një faqe të vogël, ose një tabelë elektronike buletinesh, nuk ka rëndësi, regjistrohuni për një program filial dhe merrni një lidhje të veçantë që vendosni në faqen tuaj të internetit. Duket kështu:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Këtu renditet programi specifik i filialit, ID-ja juaj e filialit, e cila në këtë rast është 100, dhe emri i produktit që shitet. Dhe nëse dikush klikon në këtë lidhje, shfletuesi e drejton atë në rrjetin e filialeve, vendos cookie speciale të gjurmimit që e lidhin atë me Filialin ID=100.
Set-Cookie: AffiliateID=100Dhe ridrejton në faqen e shitësit. Nëse blerësi më vonë blen një produkt brenda një periudhe kohore X, e cila mund të jetë një ditë, një orë, tre javë, çdo kohë të rënë dakord, dhe gjatë kësaj kohe cookies vazhdojnë të ekzistojnë, atëherë partneri merr komisionin e tij.
Kjo është skema që i bën kompanitë e filialeve të fitojnë miliarda dollarë duke përdorur taktika efektive SEO. Unë do t'ju jap një shembull. Sllajdi tjetër tregon çekun, tani do të zmadhoj për t'ju treguar shumën. Është një çek nga Google për 132 dollarë. Emri i këtij zotëri është Schumann, ai zotëron një rrjet faqesh reklamash. Këto nuk janë të gjitha paratë, Google paguan shuma të tilla një herë në muaj ose një herë në 2 muaj.
Një tjetër kontroll nga Google, do ta rris dhe do të shihni që është shkruar për 901 dollarë.
A duhet të pyes dikë për etikën e këtyre mënyrave të fitimit të parave? Heshtje në sallë... Ky çek përfaqëson pagesën 2 mujore sepse çeku i mëparshëm u refuzua nga banka e marrësit për shkak se pagesa ishte shumë e madhe.
Pra, jemi të bindur se mund të bëhen para të tilla dhe këto para paguhen. Si mund të luhet kjo skemë? Ne mund të përdorim një teknikë të quajtur Cookie-Stuffing, ose Cookie Stuffing. Ky është një koncept shumë i thjeshtë që u shfaq në vitet 2001-2002, dhe ky sllajd tregon se si dukej në vitin 2002. Unë do t'ju tregoj historinë e shfaqjes së tij.
Asgjë përveç kushteve të bezdisshme të shërbimit të rrjeteve të filialeve kërkon që përdoruesi të klikojë në të vërtetë lidhjen në mënyrë që shfletuesi i tij të marrë kuki me ID-në e filialit.
Ju mund ta ngarkoni automatikisht këtë URL, e cila zakonisht klikohet nga përdoruesi, në një burim imazhi ose në një etiketë iframe. Dhe në vend të një lidhjeje:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ju jeni duke shkarkuar këtë:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Ose atë:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Dhe kur përdoruesi të arrijë në faqen tuaj, ai automatikisht do të marrë skedarin e filialit. Në të njëjtën kohë, pavarësisht nëse ai blen diçka në të ardhmen, ju do të merrni komisionin tuaj, pavarësisht nëse keni ridrejtuar trafikun apo jo - nuk ka rëndësi.
Gjatë viteve të fundit, kjo është bërë një argëtim për djemtë e SEO që postojnë gjëra të tilla në bordet e mesazheve dhe zhvillojnë të gjitha llojet e skenarëve se ku tjetër t'i vendosin lidhjet e tyre. Partnerët agresivë e kanë kuptuar se mund ta vendosin kodin e tyre kudo në internet, jo vetëm në faqet e tyre.
Në këtë rrëshqitje, ju mund të shihni se ata kanë programet e tyre të mbushjes së cookie-ve që i ndihmojnë përdoruesit të bëjnë "cookie-t e tyre të mbushura". Dhe nuk është vetëm një cookie, ju mund të shkarkoni 20-30 ID të rrjeteve të filialeve në të njëjtën kohë, dhe sapo dikush blen diçka, ju paguheni për të.
Shumë shpejt këta djem e kuptuan se nuk mund ta vendosnin këtë kod në faqet e tyre. Ata braktisën skriptimin në faqe dhe thjesht filluan të postojnë fragmentet e tyre të vogla me kod HTML në tabelat e mesazheve, në librat e të ftuarve, në rrjetet sociale.
Rreth vitit 2005, tregtarët dhe rrjetet e filialeve kuptuan se çfarë po ndodhte, filluan të gjurmonin referuesit dhe tarifat e klikimeve dhe filluan të sulmonin filialet e dyshimta. Për shembull, ata vunë re se një përdorues klikon në një sajt MySpace, por ai sajt i përket një rrjeti filialesh krejtësisht të ndryshëm nga ai që merr një përfitim legjitim.
Këta djem u bënë pak më të mençur dhe në vitin 2007 lindi një lloj i ri i Mbushjes së Biskotave. Partnerët filluan të vendosin kodin e tyre në faqet SSL. Sipas Hypertext Transfer Protocol RFC 2616, klientët nuk duhet të përfshijnë një fushë të kokës Referer në një kërkesë të pasigurt HTTP nëse faqja referuese është migruar nga një protokoll i sigurt. Kjo është për shkak se ju nuk dëshironi që ky informacion të rrjedhë nga domeni juaj.
Nga kjo është e qartë se asnjë referues i dërguar partnerit nuk do të jetë i pagjurmueshëm, kështu që partnerët kryesorë do të shohin një lidhje boshe dhe nuk do të jenë në gjendje t'ju përjashtojnë për të. Tani mashtruesit kanë mundësinë të bëjnë "biskotat e tyre të mbushura" pa u ndëshkuar. Vërtetë, jo çdo shfletues ju lejon ta bëni këtë, por ka shumë mënyra të tjera për të bërë të njëjtën gjë, duke përdorur përditësimin automatik të faqes aktuale të meta-refresh të shfletuesit, meta etiketat ose JavaScript.
Në vitin 2008, ata filluan të përdorin mjete hakerimi më të fuqishme si sulmet e rilidhjes - rilidhja DNS, Gifar dhe përmbajtje me qëllim të keq Flash që mund të shkatërrojnë plotësisht modelet ekzistuese të mbrojtjes. Duhet pak kohë për të kuptuar se si t'i përdorin ato, sepse djemtë e Cookie Stuffing nuk janë hakerë vërtet të avancuar, ata janë thjesht tregtarë agresivë që nuk dinë shumë për kodimin.
Shitja e informacionit gjysmë të disponueshëm
Pra, ne shikuam se si të fitojmë shuma 6-shifrore, dhe tani le të kalojmë në ato shtatë-shifrore. Na duhen para të mëdha për t'u pasuruar ose për të vdekur. Ne do të shikojmë se si mund të fitoni para duke shitur informacione gjysmë të disponueshme. Business Wire ishte shumë popullor disa vite më parë dhe është ende i rëndësishëm, ne e shohim atë në shumë faqe. Për ata që nuk e dinë, Business Wire ofron një shërbim ku përdoruesit e regjistruar të faqes marrin një rrjedhë njoftimesh të përditësuara për shtyp nga mijëra kompani. Deklaratat për shtyp i dërgohen kësaj kompanie nga organizata të ndryshme që ndonjëherë ndalohen ose embargoohen përkohësisht, kështu që informacioni që përmban këto njoftime për shtyp mund të ndikojë në vlerën e aksioneve.
Skedarët e njoftimit për shtyp ngarkohen në serverin e internetit të Business Wire, por nuk lidhen derisa të hiqet embargoja. Gjatë gjithë kohës, faqet e internetit të njoftimit për shtyp janë të lidhura me faqen kryesore të internetit dhe përdoruesit njoftohen për to me URL si kjo:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmKështu, ndërsa jeni nën embargo, ju postoni të dhëna interesante në faqe, në mënyrë që sapo të hiqet embargoja, përdoruesit të njihen menjëherë me to. Këto lidhje janë të datës dhe u dërgohen përdoruesve me email. Sapo të përfundojë ndalimi, lidhja do të funksionojë dhe do ta drejtojë përdoruesin në faqen ku është postuar njoftimi përkatës për shtyp. Përpara dhënies së aksesit në faqen e internetit të njoftimit për shtyp, sistemi duhet të sigurojë që përdoruesi të jetë i identifikuar ligjërisht.
Ata nuk kontrollojnë nëse keni të drejtë ta shihni këtë informacion përpara skadimit të embargos, ju vetëm duhet të identifikoheni në sistem. Deri më tani duket e padëmshme, por vetëm sepse nuk mund të shihni diçka nuk do të thotë se nuk është aty.
Kompania financiare estoneze Lohmus Haavel & Viisemann, aspak një haker, zbuloi se faqet e internetit të njoftimeve për shtyp ishin emërtuar në mënyra të parashikueshme dhe filloi t'i hamendësonte ato URL. Ndërsa lidhjet mund të mos ekzistojnë ende për shkak se një embargo është në fuqi, kjo nuk do të thotë që një haker nuk mund të hamendësojë emrin e skedarit dhe kështu t'i qaset para kohe. Kjo metodë funksionoi sepse kontrolli i vetëm i sigurisë i Business Wire ishte që përdoruesi të identifikohej ligjërisht dhe asgjë tjetër.
Kështu, estonezët morën informacion përpara mbylljes së tregut dhe shitën këto të dhëna. Përpara se SEC t'i gjurmonte dhe të ngrinte llogaritë e tyre, ata arritën të fitonin 8 milion dollarë informacione gjysmë të disponueshme për tregtimin. Konsideroni se këta njerëz thjesht shikuan se si duken lidhjet, u përpoqën të merrnin me mend URL-të dhe bënë 8 milionë prej tyre. Zakonisht në këtë pikë pyes audiencën nëse kjo konsiderohet e ligjshme apo e paligjshme, nëse ka të bëjë me konceptet e tregtisë apo jo. Por tani për tani, dua t'ju tërheq vëmendjen se kush e bëri atë.
Përpara se të përpiqeni t'u përgjigjeni këtyre pyetjeve, unë do t'ju tregoj rrëshqitjen tjetër. Kjo nuk ka të bëjë me mashtrimet në internet. Një haker ukrainas hakoi Thomson Financial, një ofrues i inteligjencës së biznesit, dhe vodhi shqetësimin financiar të IMS Health disa orë përpara se informacioni të supozohej të hynte në tregun financiar. Nuk ka dyshim se ai është fajtor për vjedhje.
Hakeri bëri porosi për të shitur në vlerën 42 mijë dollarë, duke luajtur deri në rënien e tarifave. Për Ukrainën, kjo është një shumë e madhe, kështu që hakeri e dinte mirë se çfarë po hynte. Rënia e papritur e çmimit të aksioneve i solli atij rreth 300 dollarë fitim brenda pak orësh. Bursa postoi një flamur të kuq, SEC ngriu fondet, duke vënë re se diçka po shkonte keq dhe filloi një hetim. Megjithatë, gjyqtarja Naomi Reis Buchwald tha se fondet duhet të shkrihen sepse "vjedhja dhe tregtimi" dhe "hakimi dhe tregtimi" i pretenduar i Dorozhkos nuk shkel ligjet e letrave me vlerë. Hakeri nuk ishte punonjës i kësaj kompanie, ndaj nuk ka shkelur asnjë ligj për zbulimin e informacionit financiar konfidencial.
Gazeta Times sugjeroi që Departamenti Amerikan i Drejtësisë thjesht e konsideroi çështjen e kotë për shkak të vështirësive që lidhen me marrjen e pëlqimit të autoriteteve ukrainase për të bashkëpunuar në kapjen e kriminelit. Pra ky haker mori 300 mijë dollarë shumë lehtë.
Tani krahasojeni këtë me rastin e mëparshëm ku njerëzit fituan para vetëm duke ndryshuar URL-të e lidhjeve në shfletuesin e tyre dhe duke shitur informacione komerciale. Këto janë mënyra mjaft interesante, por jo të vetmet për të fituar para në bursë.
Merrni parasysh mbledhjen pasive të informacionit. Zakonisht, pasi bën një blerje në internet, blerësi merr një kod përcjellës të porosisë, i cili mund të jetë sekuencial ose pseudo-sekuencial dhe duket diçka si kjo:
3200411
3200412
3200413
Me të, ju mund të gjurmoni porosinë tuaj. Pentestuesit ose hakerët përpiqen të "lëvizin" URL-të për të hyrë në të dhënat e porosisë, që zakonisht përmbajnë informacione të identifikueshme personale (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Duke lëvizur nëpër numra, ata fitojnë akses në numrat e kartës së kreditit, adresat, emrat dhe informacione të tjera personale të blerësit. Megjithatë, ne nuk jemi të interesuar për informacionin personal të klientit, por për vetë kodin e gjurmës së porosisë, ne jemi të interesuar për inteligjencën pasive.
Arti i nxjerrjes së përfundimeve
Merrni parasysh artin e nxjerrjes së konkluzioneve. Nëse mund të vlerësoni me saktësi se sa "porosi" po përpunon një kompani në fund të tremujorit, atëherë bazuar në të dhënat historike, mund të konkludoni nëse punët e saj financiare janë të mira dhe në cilin drejtim do të luhatet çmimi i aksionit të saj. Për shembull, keni porositur ose blerë diçka në fillim të tremujorit, nuk ka rëndësi, dhe më pas keni bërë një porosi të re në fund të tremujorit. Nga ndryshimi në numra, mund të konkludojmë se sa porosi janë përpunuar nga kompania gjatë kësaj periudhe kohore. Nëse po flasim për një mijë porosi kundrejt njëqind mijë për të njëjtën periudhë, mund të supozoni se kompania po ecën keq.
Sidoqoftë, fakti është se shpesh këta numra të sekuencës mund të merren pa përmbushur në të vërtetë një porosi ose një urdhër që është anuluar më pas. Shpresojmë që këta numra të mos shfaqen gjithsesi dhe sekuenca vazhdon me numrat:
3200418
3200419
3200420
Në këtë mënyrë ju e dini se keni aftësinë për të gjurmuar porositë dhe mund të filloni të mbledhni në mënyrë pasive informacionin nga faqja që ata na ofrojnë. Nuk e dimë nëse është e ligjshme apo jo, dimë vetëm se mund të bëhet.
Pra, ne kemi konsideruar disavantazhe të ndryshme të logjikës së biznesit.
Trey Ford: sulmuesit janë biznesmenë. Ata presin një kthim të investimit të tyre. Sa më shumë teknologji, aq më i madh dhe më i ndërlikuar kodi, aq më shumë punë duhet të bëni dhe aq më shumë ka të ngjarë të kapeni. Por ka shumë mënyra shumë të dobishme për të kryer sulme pa asnjë përpjekje. Logjika e biznesit është një biznes gjigant dhe ka një motiv të madh për kriminelët për ta thyer atë. Të metat e logjikës së biznesit janë një objektiv kryesor për kriminelët dhe janë diçka që nuk mund të zbulohet thjesht duke kryer një skanim ose duke kryer testime rutinë të SC. Ekziston një problem psikologjik me sigurimin e cilësisë në SC, i cili quhet "paragjykim konfirmimi", sepse, si gjithë të tjerët, ne duam të dimë se kemi të drejtë. Prandaj, është e nevojshme të kryhet testimi në kushte reale.
Është e nevojshme të testoni gjithçka dhe gjithçka, sepse jo të gjitha dobësitë mund të gjenden në fazën e zhvillimit, duke analizuar kodin, apo edhe gjatë QA. Kështu që ju duhet të kaloni të gjithë procesin e biznesit dhe të zhvilloni të gjitha masat për ta mbrojtur atë. Mund të mësohet shumë nga historia, sepse disa lloje sulmesh përsëriten me kalimin e kohës. Nëse zgjoheni një natë për shkak të përdorimit maksimal të CPU-së, atëherë mund të supozoni se një haker po përpiqet të gjurmojë përsëri kuponët e vlefshëm të zbritjes. Mënyra e vërtetë për të njohur llojin e sulmit është vëzhgimi i një sulmi aktiv, sepse njohja e tij bazuar në historinë e regjistrit do të jetë një detyrë jashtëzakonisht e vështirë.
Jeremy Grossman: Pra, ja çfarë mësuam sot.
Zgjidhja e captchas mund t'ju sjellë katër shifra në dollarë. Manipulimet me sistemet e pagesave në internet do t'i sjellin hakerit një fitim pesëshifror. Hakerimi i bankave mund t'ju fitojë më shumë se pesë shifra, veçanërisht nëse e bëni atë më shumë se një herë.
Mashtrimet e tregtisë elektronike do t'ju japin gjashtë shifra, dhe përdorimi i rrjeteve të filialeve do t'ju japë 5-6 shifra ose edhe shtatë shifra. Nëse jeni mjaft të guximshëm, mund të përpiqeni të mashtroni tregun e aksioneve dhe të merrni më shumë se një fitim shtatëshifror. Dhe përdorimi i metodës RSnake në garat për chihuahua-n më të mirë është i paçmuar!
Sllajdet e reja për këtë prezantim ndoshta nuk janë përfshirë në CD, kështu që mund t'i shkarkoni më vonë nga faqja ime e blogut. Po vjen një konferencë e OPSEC-ut në shtator në të cilën do të marr pjesë dhe mendoj se do të jemi në gjendje të bëjmë disa gjëra vërtet interesante me ta. Dhe tani, nëse keni ndonjë pyetje, ne jemi të gatshëm t'u përgjigjemi atyre.
Disa reklama 🙂
Faleminderit që qëndruat me ne. A ju pëlqejnë artikujt tanë? Dëshironi të shihni përmbajtje më interesante? Na mbështesni duke bërë një porosi ose duke rekomanduar miqve, , 30% zbritje për përdoruesit e Habr në një analog unik të serverëve të nivelit të hyrjes, i cili u shpik nga ne për ju: (e disponueshme me RAID1 dhe RAID10, deri në 24 bërthama dhe deri në 40 GB DDR4).
Dell R730xd 2 herë më lirë? Vetëm këtu në Holandë! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - nga 99 dollarë! Lexoni rreth
Burimi: www.habr.com