Ишли су толико далеко да су разговарали о могућности да се возачи УПС-а суоче са осумњиченим. Хајде сада да проверимо да ли је оно што је цитирано на овом слајду легално?
Ево шта ФТЦ каже на питање: „Да ли да вратим или платим артикал који никада нисам наручио?“ - "Не. Ако добијете предмет који нисте наручили, имате законско право да га прихватите као бесплатан поклон." Да ли ово звучи етички? Перем руке од овога јер нисам довољно паметан да расправљам о таквим питањима.
Али оно што је интересантно је да видимо тренд у којем што мање технологије користимо, више новца зарађујемо.
Интернет превара придружених партнера
Џереми Гросман: заиста је веома тешко разумети, али на овај начин можете зарадити шестоцифрени новац. Дакле, све приче које сте чули имају праве везе и о свему томе можете детаљно прочитати. Једна од најзанимљивијих врста интернет превара је превара са партнерима. Продавнице на мрежи и оглашивачи користе придружене мреже да привуку саобраћај и кориснике на своје веб локације у замену за део профита добијеног од тога.
Говорићу о нечему за шта многи људи знају годинама, али нисам успео да пронађем ниједну јавну референцу која указује колики је губитак ова врста преваре изазвала. Колико ја знам, није било тужби, није било кривичних истрага. Разговарао сам са предузетницима у производњи, разговарао сам са момцима из придружене мреже, разговарао сам са Црним мачкама - сви они верују да су преваранти зарадили огромну количину новца од филијала.
Верујте ми на реч и прегледајте домаћи задатак који сам урадио о овим конкретним питањима. Преваранти их користе да праве 5-6-цифрене, а понекад и седмоцифрене суме месечно, користећи посебне технике. У овој просторији постоје људи који ово могу проверити ако нису везани уговором о поверљивости. Дакле, показаћу вам како то функционише. Неколико је играча укључено у ову шему. Видећете о чему се ради у придруженој „игри“ следеће генерације.
Игра укључује трговца који има веб локацију или производ и плаћа партнерима провизије за кликове корисника, креиране налоге, извршене куповине и тако даље. Плаћате партнеру за чињеницу да неко посети његову веб локацију, кликне на везу, оде на веб локацију вашег продавца и тамо нешто купи.
Следећи играч је партнер, који прима новац у облику цене по клику (ЦПЦ) или у облику провизије (ЦПА) за преусмеравање купаца на веб локацију продавца.
Провизије подразумевају да је као резултат активности партнера клијент извршио куповину на веб страници продавца.
Купац је особа која купује или се уписује на акције продавца.
Партнерске мреже пружају технологије које повезују и прате активности продавца, партнера и купца. Они „лепе“ све играче заједно и обезбеђују њихову интеракцију.
Можда ће вам требати неколико дана или неколико недеља да схватите како све то функционише, али нема компликоване технологије. Партнерске мреже и партнерски програми покривају све врсте трговине и сва тржишта. Гугл, Ебеј, Амазон их имају, укрштају им се интереси комисионара, свуда су и не оскудевају у приходима. Сигуран сам да знате да чак и саобраћај са вашег блога може да генерише неколико стотина долара профита сваког месеца, тако да ће вам ова шема бити лака за разумевање.
Овако систем функционише. Повезујете мали сајт, или електронску огласну таблу, није важно, потписујете партнерски програм и добијате посебан линк који постављате на своју интернет страницу. изгледа овако:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ово показује одређени партнерски програм, ваш ИД партнера, у овом случају то је 100, и назив производа који се продаје. А ако неко кликне на ову везу, претраживач га преусмерава на партнерску мрежу, инсталира посебне колачиће за праћење који га повезују са ИД=100 партнера.
Set-Cookie: AffiliateID=100И преусмерава на страницу продавца. Ако купац касније купи неки производ у временском периоду Кс, који може бити дан, сат, три недеље, било које договорено време, и за то време колачићи наставе да постоје, тада партнер прима своју провизију.
Овако придружене компаније зарађују милијарде долара користећи ефикасне СЕО тактике. Дозволите ми да вам дам пример. Следећи слајд приказује рачун, сада ћу га увећати да вам покажем износ. Ово је чек од Гугла на 132 долара. Овај господин се презива Шуман и поседује мрежу рекламних сајтова. Ово није сав новац, Гоогле плаћа такве суме једном месечно или једном у 2 месеца.
Још један чек од Гугла, повећаћу га и видећете да кошта 901 долара.
Да питам некога о етици оваквог зарађивања новца? Тишина у сали... Овај чек представља плаћање за 2 месеца, јер је претходни чек одбила банка примаоца због превеликог износа уплате.
Дакле, видели смо да се овакав новац може зарадити и овај новац се исплаћује. Како можете победити ову шему? Можемо користити технику која се зове Цоокие-Суффинг. Ово је врло једноставан концепт који се појавио 2001-2002, а овај слајд показује како је изгледао 2002. Испричаћу вам причу о његовом изгледу.
Ништа осим досадних услова коришћења услуге придружене мреже не захтевају да корисник заиста кликне на везу како би њихов прегледач покупио колачић ИД партнера.
Можете аутоматски да учитате ову УРЛ адресу на коју се обично кликне у извор слике или ифраме ознаку. У овом случају, уместо везе:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ви преузимате ово:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Или овај:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>А када корисник дође на вашу страницу, аутоматски ће преузети придружени колачић. У исто време, без обзира да ли ће нешто купити у будућности, ви ћете добити своје провизије, да ли сте преусмерили саобраћај или не - није важно.
Током протеклих неколико година, ово је постало забава за СЕО момке који објављују сличан материјал на огласним плочама и развијају све врсте сценарија где другде могу поставити своје везе. Агресивни партнери су схватили да свој код могу да поставе било где на интернету, а не само на сопственим сајтовима.
На овом слајду можете видети да они имају сопствене програме за пуњење колачића који помажу корисницима да направе сопствене „пуњене колачиће“. И то није само један колачић, можете истовремено да отпремите 20-30 ИД-ова партнера, а чим неко нешто купи, за то вам се плаћа.
Ови момци су убрзо схватили да не морају да стављају овај код на своје странице. Напустили су скриптовање на више локација и једноставно су почели да постављају своје мале исечке са ХТМЛ кодом на огласне табле, књиге гостију и друштвене мреже.
Отприлике 2005. године, трговци и придружене мреже су схватили шта се дешава, почели су да прате препоруке и стопе кликова и почели да избацују сумњиве филијале. На пример, приметили су да је корисник кликнуо на МиСпаце сајт, али та локација припада потпуно другој партнерској мрежи од оне која је добила легитимну корист.
Ови момци су постали мало мудрији и 2007. године појавила се нова врста Цоокие-Суффинга. Партнери су почели да постављају свој код на ССЛ странице. Према протоколу Хипертект Трансфер Протоцол РФЦ 2616, клијенти не би требало да укључују поље заглавља Реферер у небезбедни ХТТП захтев ако је референтна страница мигрирана са безбедног протокола. То је зато што не желите да ове информације процуре са вашег домена.
Из овога је јасно да било који Реферер послат партнеру неће бити праћен, тако да ће главни партнери видети празну везу и неће моћи да вас избаце због тога. Сада преваранти имају прилику да некажњено праве своје „пуњене колачиће“. Истина, не дозвољава вам сваки прегледач то, али постоји много других начина да урадите исту ствар користећи аутоматско освежавање мета-освежавања тренутне странице, мета ознака или ЈаваСцрипт-а претраживача.
У 2008. су почели да користе моћније алате за хаковање, као што су напади поновног повезивања ДНС-а, Гифар и злонамерни Фласх садржај, који могу у потпуности да униште постојеће безбедносне моделе. Потребно је неко време да схватите како да их користите јер момци из Цоокие-Стуффинга нису нарочито напредни хакери, они су само агресивни трговци са мало знања о кодирању.
Продаја полудоступних информација
Дакле, погледали смо како да зарадимо шестоцифрене суме, а сада пређимо на седмоцифрене. Потребан нам је велики новац да бисмо се обогатили или умрли. Погледаћемо како можете зарадити новац продајом полудоступних информација. Бусинесс Вире је био веома популаран пре неколико година и још увек је важан, видимо његово присуство на многим сајтовима. За оне који не знају, Бусинесс Вире пружа услугу помоћу које регистровани корисници сајта добијају ток ажурираних саопштења за штампу хиљада компанија. Саопштења за јавност овој компанији шаљу различите организације, које су понекад подложне привременим забранама или ембаргом, па информације садржане у овим саопштењима могу утицати на цену акција.
Датотеке са саопштењима за штампу се постављају на веб сервер Бусинесс Вире, али нису повезане док се ембарго не укине. Све време, веб странице са саопштењима за штампу су повезане са главном веб локацијом, а корисници су обавештени о њима путем УРЛ адреса попут ове:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmТако, док сте под ембаргом, постављате занимљиве податке на сајт тако да чим се ембарго укине, корисници ће се одмах упознати са њим. Ове везе имају датум и шаљу се корисницима путем е-поште. Када забрана истекне, веза ће радити и усмеравати корисника на сајт на којем је објављено одговарајуће саопштење за јавност. Пре него што одобри приступ веб страници са саопштењем за штампу, систем мора да провери да ли је корисник легално пријављен.
Они не проверавају да ли имате право да видите ове информације пре истека ембарга, само се морате пријавити на систем. За сада изгледа безопасно, али само зато што нешто не видите не значи да није ту.
Естонска компанија за финансијске услуге Лохмус Хаавел & Виисеманн, уопште не хакери, открила је да су веб странице са саопштењима за штампу именоване на предвидљив начин и почела да погађа те УРЛ адресе. Иако везе можда још увек не постоје јер је на снази ембарго, то не значи да хакер не може да погоди име датотеке и тако прерано добије приступ до њега. Овај метод је функционисао јер је једина безбедносна провера Бусинесс Вире-а била да је корисник пријављен легално и ништа друго.
Тако су Естонци добили информације пре затварања тржишта и продали ове податке. Све док их СЕЦ није пронашао и замрзнуо њихове рачуне, успели су да зараде 8 милиона долара од трговине полудоступним информацијама. Размислите о томе, све што су ови момци урадили је да су погледали како изгледају линкови, покушали да погоде УРЛ-ове и зарадили 8 милиона од тога. Обично у овом тренутку питам публику да ли се то сматра легалним или нелегалним, да ли се то сматра трговином или не. Али за сада само желим да вам скренем пажњу на то ко је ово урадио.
Пре него што покушате да одговорите на ова питања, показаћу вам следећи слајд. Ово није директно повезано са онлајн преваром. Украјински хакер је хаковао Тхомсон Финанциал, провајдера пословне интелигенције, и украо податке о финансијским проблемима ИМС Хеалтх неколико сати пре него што је информација требало да доспе на финансијско тржиште. Нема сумње да је крив за хаковање.
Хакер је дао налоге за продају у износу од 42 хиљаде долара, играјући пре него што су стопе пале. За Украјину је то огроман износ, тако да је хакер добро знао у шта се упушта. Нагли пад цене акција донео му је око 300 долара профита у року од неколико сати. Берза је објавила „црвену заставу“, СЕЦ је замрзнула средства, приметивши да нешто није у реду, и започела истрагу. Међутим, судија Наоми Реис Бухвалд рекла је да средства треба да буду одмрзнута јер оптужбе за „крађу и трговину” и „хаковање и трговање” које се приписују Дорожку не крше законе о хартијама од вредности. Хакер није био запосленик ове компаније, па стога није прекршио ниједан закон у вези са откривањем поверљивих финансијских информација.
Тајмс је сугерисао да Министарство правде САД једноставно сматра да је случај узалудан због потешкоћа да се украјинске власти пристану да сарађују у хватању починиоца. Тако је овај хакер врло лако добио 300 хиљада долара.
Сада упоредите ово са претходним случајем када су људи зарадили новац једноставном променом УРЛ-ова веза у свом претраживачу и продајом комерцијалних информација. Ово су прилично интересантни, али не и једини начини зараде на берзи.
Хајде да размотримо пасивно прикупљање информација. Обично, након куповине на мрежи, купац добија код за праћење поруџбине, који може бити секвенцијалан или псеудосеквенционалан и изгледа отприлике овако:
3200411
3200412
3200413
Помоћу њега можете пратити своју наруџбу. Пентестери или хакери покушавају да пописују УРЛ адресе да би добили приступ подацима о поруџбини, који обично садрже информације које могу да идентификују (ПИИ):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Скроловањем кроз бројеве добијају приступ бројевима кредитних картица купца, адресама, именима и другим личним подацима. Међутим, нас не занимају лични подаци клијента, већ сам код за праћење наруџбине, заинтересовани смо за пасивно извиђање.
Уметност извођења закључака
Размотрите „Уметност закључивања“. Ако можете тачно да процените колико „поруџбина“ компанија обрађује на крају тромесечја, онда, на основу историјских података, можете закључити да ли је њена финансијска ситуација добра и како ће се њена цена акција флуктуирати. На пример, наручили сте или купили нешто на почетку тромесечја, није важно, а онда сте направили нову наруџбу на крају тромесечја. На основу разлике у бројевима може се закључити колико је поруџбина обрађено од стране компаније у овом периоду. Ако говоримо о хиљаду поруџбина у односу на сто хиљада за исти претходни период, можете претпоставити да компанија послује лоше.
Међутим, чињеница је да се често ови редни бројеви могу добити без стварног завршетка поруџбине или налога који се накнадно отказује. Надам се да ови бројеви ни у ком случају неће бити приказани и да ће се редослед наставити са бројевима:
3200418
3200419
3200420
На овај начин знате да имате могућност да пратите поруџбине и да почнете да пасивно прикупљате информације са сајта које нам они пружају. Не знамо да ли је то легално или не, знамо само да то може да се уради.
Дакле, сагледали смо разне недостатке пословне логике.
Треј Форд: нападачи су бизнисмени. Очекују повраћај улагања. Што је више технологије, већи је и сложенији код, то је потребно више посла и већа је вероватноћа да ћете бити ухваћени. Али постоји много веома исплативих начина да се напади изведу без икаквог напора. Пословна логика је огроман посао и постоји огроман подстицај за криминалце да је хакују. Недостаци пословне логике су главна мета за криминалце и нешто су што се не може открити једноставним скенирањем или извођењем стандардног тестирања као дела процеса осигурања квалитета. Постоји психолошки проблем у КА који се зове „пристрасност потврде“ јер, попут људи, желимо да знамо да смо у праву. Због тога је неопходно спровести тестирање у реалним условима.
Неопходно је тестирати све и свакога, јер се све рањивости не могу открити у фази развоја анализом кода, па чак ни током КА. Дакле, потребно је проћи кроз цео пословни процес и развити све мере за његову заштиту. Много се може научити из историје јер се одређене врсте напада понављају током времена. Ако вас једне ноћи пробуди скок ЦПУ-а, можете претпоставити да неки хакер поново покушава да пронађе важеће купоне за попуст. Прави начин да се препозна тип напада је посматрање активног напада, јер ће његово препознавање на основу историје дневника бити изузетно тешко.
Џереми Гросман: па ево шта смо данас научили.
Погађањем цаптцха можете зарадити четвороцифрени износ у доларима. Манипулисање онлајн платним системима донеће хакеру петоцифрени профит. Хаковање банака може вам донети више од петоцифрених профита, посебно ако то урадите више пута.
Преваре у е-трговини ће вам донети шестоцифрени новац, док ће вам коришћење придружених мрежа донети 5-6 цифара или чак седам цифара. Ако сте довољно храбри, можете покушати да преварите берзу и добијете више од седмоцифреног профита. А коришћење РСнаке методе на такмичењима за најбољу чиваву је једноставно непроцењиво!
Нови слајдови за ову презентацију вероватно нису стигли на ЦД, тако да их касније можете преузети са моје странице блога. Предстоји ОПСЕЦ конференција у септембру којој ћу присуствовати и мислим да ћемо моћи да направимо неке заиста цоол ствари са њима. Сада, ако имате било каква питања, спремни смо да одговоримо на њих.
Неки огласи 🙂
Хвала вам што сте остали са нама. Да ли вам се свиђају наши чланци? Желите да видите још занимљивијег садржаја? Подржите нас тако што ћете наручити или препоручити пријатељима, , 30% попуста за кориснике Хабра на јединствени аналог сервера почетног нивоа, који смо ми измислили за вас: (доступно са РАИД1 и РАИД10, до 24 језгра и до 40 ГБ ДДР4).
Делл Р730кд 2 пута јефтинији? Само овде у Холандији! Делл Р420 - 2к Е5-2430 2.2Гхз 6Ц 128ГБ ДДР3 2к960ГБ ССД 1Гбпс 100ТБ - од 99 долара! Читали о
Извор: ввв.хабр.цом