De gick så långt som att diskutera möjligheten att låta UPS-förare konfrontera den misstänkte. Låt oss nu kontrollera om det som citeras på denna bild är lagligt?
Här är vad FTC säger när man tillfrågas: "Ska jag returnera eller betala för en vara som jag aldrig beställt?" - "Nej. Om du får en vara som du inte beställt har du laglig rätt att acceptera den som en gratis gåva." Låter detta etiskt? Jag tvättar händerna med detta eftersom jag inte är smart nog att diskutera sådana frågor.
Men det som är intressant är att vi ser en trend där ju mindre teknik vi använder, desto mer pengar tjänar vi.
Affiliate Internet Bedrägeri
Jeremy Grossman: det är verkligen väldigt svårt att förstå, men du kan tjäna sexsiffriga pengar på det här sättet. Så, alla historier du hört har riktiga länkar och du kan läsa om det hela i detalj. En av de mest intressanta typerna av internetbedrägerier är affiliatebedrägerier. Onlinebutiker och annonsörer använder affiliate-nätverk för att locka trafik och användare till sina sajter i utbyte mot en del av vinsten från detta.
Jag ska prata om något som många människor har känt till i flera år, men jag har inte kunnat hitta en enda offentlig referens som indikerar hur mycket förlust den här typen av bedrägeri har orsakat. Så vitt jag vet var det inga stämningar, inga brottsutredningar. Jag har pratat med tillverkande entreprenörer, jag har pratat med killar i affiliatenätverk, jag har pratat med Black Cats – de tror alla att bedragare har tjänat en enorm summa pengar på affiliates.
Var snäll och ta mitt ord för det och granska läxorna jag har gjort om dessa specifika frågor. Bedragare använder dem för att göra 5-6-siffriga, och ibland sjusiffriga summor varje månad, med hjälp av speciella tekniker. Det finns personer i det här rummet som kan kontrollera detta om de inte är bundna av ett sekretessavtal. Så jag ska visa dig hur det fungerar. Det finns flera aktörer inblandade i detta upplägg. Du kommer att se vad nästa generations affiliate "spel" handlar om.
Spelet involverar en handlare som har en webbplats eller produkt och betalar affiliates provisioner för användarklick, skapade konton, gjorda köp och så vidare. Du betalar affiliate för att någon besöker hans hemsida, klickar på en länk, går till din säljares hemsida och köper något där.
Nästa spelare är affiliate, som får pengar i form av kostnad per klick (CPC) eller i form av provision (CPA) för att omdirigera köpare till säljarens webbplats.
Provisioner innebär att som ett resultat av partnerns aktiviteter gjorde kunden ett köp på säljarens webbplats.
Köpare är den som gör köp eller tecknar säljarens aktier.
Affiliate-nätverk tillhandahåller teknik som kopplar samman och spårar säljarens, partnerns och köparens aktiviteter. De "limmar" alla spelare tillsammans och säkerställer deras interaktion.
Det kan ta dig några dagar eller ett par veckor att ta reda på hur allt fungerar, men det är ingen komplicerad teknik involverad. Affiliatenätverk och affiliateprogram täcker alla typer av handel och alla marknader. Google, EBay, Amazon har dem, deras intressen som kommissionärer skär varandra, de finns överallt och saknar inte inkomst. Jag är säker på att du vet att även trafik från din blogg kan generera flera hundra dollar i vinst varje månad, så det här schemat kommer att vara lätt för dig att förstå.
Så här fungerar systemet. Du ansluter till en liten sida eller en elektronisk anslagstavla, det spelar ingen roll, du undertecknar ett affiliateprogram och får en speciell länk som du placerar på din internetsida. Det ser ut så här:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Detta visar det specifika affiliateprogrammet, ditt affiliate-ID, i det här fallet är det 100, och namnet på produkten som säljs. Och om någon klickar på den här länken omdirigerar webbläsaren honom till affiliate-nätverket, installerar speciella spårningscookies som länkar honom till affiliate-ID=100.
Set-Cookie: AffiliateID=100Och omdirigerar till säljarens sida. Om köparen senare köper någon produkt inom en tidsperiod X, som kan vara en dag, en timme, tre veckor, valfri överenskommen tid, och under denna tid fortsätter kakorna att finnas, då får affiliaten sin provision.
Det är så affiliate-företag tjänar miljarder dollar med effektiv SEO-taktik. Låt mig ge dig ett exempel. Nästa bild visar kvittot, jag ska nu förstora det för att visa dig beloppet. Det här är en check från Google på $132 2. Den här herrens efternamn är Schumann, och han äger ett nätverk av reklamwebbplatser. Detta är inte alla pengar, Google betalar sådana summor en gång i månaden eller en gång varannan månad.
Ytterligare en check från Google, jag förstorar den så ser du att den kostar 901 XNUMX USD.
Ska jag fråga någon om etiken i att tjäna pengar så här? Tystnad i hallen... Denna check representerar betalning i 2 månader, eftersom den tidigare checken avvisades av mottagarens bank på grund av att betalningsbeloppet var för stort.
Så vi har sett att den här typen av pengar kan tjänas, och dessa pengar betalas ut. Hur kan du slå detta schema? Vi kan använda en teknik som kallas Cookie-Stuffing. Detta är ett mycket enkelt koncept som dök upp 2001-2002, och den här bilden visar hur det såg ut 2002. Jag ska berätta historien om dess utseende.
Inget annat än irriterande användarvillkor för affiliatenätverk kräver att en användare faktiskt klickar på en länk för att deras webbläsare ska kunna hämta affiliate-ID-cookien.
Du kan automatiskt läsa in den här vanligtvis klickade webbadressen till bildkällan eller iframe-taggen. I det här fallet, istället för en länk:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Du laddar ner detta:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Eller det:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Och när användaren landar på din sida, hämtar han automatiskt affiliate-cookien. Samtidigt, oavsett om han köper något i framtiden, kommer du att få dina provisioner, oavsett om du omdirigerade trafiken eller inte - det spelar ingen roll.
Under de senaste åren har detta blivit ett tidsfördriv för SEO-killar som lägger upp liknande material på anslagstavlor och utvecklar alla möjliga scenarier för var man annars kan placera sina länkar. Aggressiva partners insåg att de kunde placera sin kod var som helst på Internet, inte bara på sina egna webbplatser.
I den här bilden kan du se att de har sina egna Cookie-Stuffing-program som hjälper användare att göra sina egna "fyllda cookies". Och det är inte bara en cookie, du kan ladda upp 20-30 affiliate-ID samtidigt, och så fort någon köper något får du betalt för det.
Dessa killar insåg snart att de inte behövde lägga den här koden på sina sidor. De övergav cross-site scripting och började helt enkelt lägga upp sina små utdrag med HTML-kod på anslagstavlor, gästböcker och sociala nätverk.
Runt 2005 kom handlare och affiliate-nätverk på vad som pågick, började spåra hänvisningsadresser och klickfrekvenser och började sparka ut misstänkta affiliates. Till exempel märkte de att en användare klickade på en MySpace-sajt, men den sajten tillhörde ett helt annat affiliatenätverk än det som fick den legitima förmånen.
De här killarna blev lite klokare och 2007 uppstod en ny sorts Cookie-Stuffing. Partners började placera sin kod på SSL-sidor. Enligt Hypertext Transfer Protocol RFC 2616 ska klienter inte inkludera ett referenshuvudfält i en osäker HTTP-förfrågan om den hänvisande sidan migrerades från ett säkert protokoll. Detta beror på att du inte vill att denna information ska läcka från din domän.
Av detta är det tydligt att alla hänvisare som skickas till en partner inte kommer att kunna spåras, så huvudpartnerna kommer att se en tom länk och kommer inte att kunna sparka ut dig för det. Nu har bedragare möjlighet att göra sina "fyllda kakor" ostraffat. Det är sant att inte alla webbläsare tillåter dig att göra detta, men det finns många andra sätt att göra samma sak med webbläsarens automatiska uppdatering av den aktuella sidans meta-refresh, metataggar eller JavaScript.
2008 började de använda kraftfullare hackverktyg, som DNS-rebindingsattacker, Gifar och skadligt Flash-innehåll, som helt kan förstöra befintliga säkerhetsmodeller. Det tar ett tag att ta reda på hur man använder dem eftersom Cookie-Stuffing-killarna inte är särskilt avancerade hackare, de är bara aggressiva marknadsförare med lite kunskap om kodning.
Säljer semi-tillgänglig information
Så vi har tittat på hur man tjänar 6-siffriga summor, och låt oss nu gå vidare till sjusiffriga. Vi behöver stora pengar för att bli rika eller dö. Vi ska titta på hur du kan tjäna pengar genom att sälja halvtillgänglig information. Business Wire var väldigt populärt för ett par år sedan och det är fortfarande viktigt, vi ser dess närvaro på många sajter. För de som inte vet tillhandahåller Business Wire en tjänst där registrerade användare av sajten får en ström av uppdaterade pressmeddelanden från tusentals företag. Pressmeddelanden skickas till detta företag av olika organisationer, som ibland är föremål för tillfälliga förbud eller embargon, så informationen i dessa pressmeddelanden kan påverka aktiekursen.
Pressmeddelandefiler laddas upp till Business Wires webbserver men länkas inte förrän embargot hävs. Hela tiden är webbsidorna för pressmeddelanden länkade till huvudwebbplatsen, och användare meddelas om dem genom webbadresser som denna:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmSåledes, medan du är under embargot, lägger du upp intressanta data på sajten så att så snart embargot hävts kommer användarna omedelbart att bli bekanta med det. Dessa länkar är daterade och skickas till användare via e-post. När förbudet löper ut kommer länken att fungera och dirigera användaren till webbplatsen där motsvarande pressmeddelande publiceras. Innan man beviljar åtkomst till pressmeddelandewebbsidan måste systemet verifiera att användaren är lagligt inloggad.
De kontrollerar inte om du har rätt att se denna information innan embargot löper ut, du behöver bara logga in i systemet. Än så länge verkar det ofarligt, men bara för att du inte ser något betyder det inte att det inte finns där.
Estniska finansiella tjänsteföretaget Lohmus Haavel & Viisemann, inte hackare alls, upptäckte att pressmeddelandewebbsidor namngavs på ett förutsägbart sätt och började gissa dessa webbadresser. Även om länkarna kanske inte existerar ännu eftersom ett embargo är i kraft, betyder det inte att en hackare inte kan gissa filnamnet och därmed få tillgång till det i förtid. Denna metod fungerade eftersom Business Wires enda säkerhetskontroll var att användaren var inloggad lagligt och inget annat.
Således fick estländarna information innan marknaden stängdes och sålde dessa uppgifter. Tills SEC spårade upp dem och frös deras konton, lyckades de tjäna 8 miljoner dollar på att handla med semi-tillgänglig information. Tänk på det, allt dessa killar gjorde var att titta på hur länkarna såg ut, försökte gissa webbadresserna och tjänade 8 miljoner på det. Vanligtvis frågar jag vid det här laget publiken om detta anses vara lagligt eller olagligt, om det anses vara en handel eller inte. Men nu vill jag bara uppmärksamma er på vem som gjorde detta.
Innan du försöker svara på de här frågorna ska jag visa dig nästa bild. Detta är inte direkt relaterat till onlinebedrägeri. En ukrainsk hackare hackade Thomson Financial, en leverantör av business intelligence, och stal data om IMS Healths ekonomiska nöd timmar innan informationen skulle komma ut på finansmarknaden. Det råder ingen tvekan om att han är skyldig till hackning.
Hackern lade säljorder till ett belopp av 42 tusen dollar och spelade innan kurserna sjönk. För Ukraina handlar det om en enorm summa, så hackaren visste väl vad han gav sig in på. Det plötsliga fallet i aktiekursen gav honom cirka 300 XNUMX dollar i vinst inom några timmar. Börsen satte ut en "röd flagga", SEC frös medlen, märkte att något gick fel och påbörjade en utredning. Domare Naomi Reis Buchwald sa dock att medlen borde frysas eftersom anklagelserna om "stöld och handel" och "hacking och handel" som tillskrivs Dorozhko inte bryter mot värdepapperslagar. Hackaren var inte anställd i detta företag och bröt därför inte mot några lagar angående avslöjande av konfidentiell finansiell information.
The Times föreslog att det amerikanska justitiedepartementet helt enkelt ansåg att fallet var meningslöst på grund av svårigheterna att få ukrainska myndigheter att gå med på att samarbeta för att gripa gärningsmannen. Så denna hacker fick 300 tusen dollar väldigt enkelt.
Jämför nu detta med det tidigare fallet där människor tjänade pengar genom att helt enkelt ändra webbadresserna till länkar i sin webbläsare och sälja kommersiell information. Dessa är ganska intressanta, men inte de enda sätten att tjäna pengar på börsen.
Låt oss överväga passiv informationsinsamling. Vanligtvis, efter att ha gjort ett onlineköp, får köparen en orderspårningskod, som kan vara sekventiell eller pseudo-sekventiell och ser ut ungefär så här:
3200411
3200412
3200413
Med den kan du spåra din beställning. Pentester eller hackare försöker genomsöka webbadresser för att få tillgång till orderdata, vanligtvis innehållande personligt identifierbar information (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Genom att bläddra igenom numren får de tillgång till köparens kreditkortsnummer, adresser, namn och annan personlig information. Vi är dock inte intresserade av kundens personliga information, utan av själva orderns spårningskod; vi är intresserade av passiv spaning.
Konsten att dra slutsatser
Tänk på "Konsten att sluta sig till." Om du exakt kan uppskatta hur många "ordrar" ett företag behandlar i slutet av kvartalet, kan du, baserat på historiska data, härleda om dess ekonomiska situation är bra och hur dess aktiekurs kommer att fluktuera. Till exempel, du beställde eller köpte något i början av kvartalet, det spelar ingen roll, och gjorde sedan en ny beställning i slutet av kvartalet. Baserat på skillnaden i antal kan man dra slutsatsen hur många beställningar som behandlades av företaget under denna tidsperiod. Om vi pratar om tusen order kontra hundra tusen för samma föregående period kan man anta att företaget går dåligt.
Faktum är dock att dessa sekvensnummer ofta kan erhållas utan att faktiskt slutföra beställningen eller en beställning som därefter avbryts. Jag hoppas att dessa siffror inte kommer att visas i alla fall och sekvensen kommer att fortsätta med siffrorna:
3200418
3200419
3200420
På så sätt vet du att du har möjlighet att spåra beställningar och kan börja passivt samla in information från webbplatsen som de tillhandahåller oss. Vi vet inte om det är lagligt eller inte, vi vet bara att det kan göras.
Så vi har tittat på olika brister i affärslogik.
Trey Ford: angriparna är affärsmän. De förväntar sig avkastning på sin investering. Ju mer teknik, desto större och mer komplex koden, desto mer arbete måste göras och desto större är sannolikheten att åka fast. Men det finns många mycket lönsamma sätt att utföra attacker utan ansträngning. Affärslogik är en enorm verksamhet, och det finns ett enormt incitament för brottslingar att hacka den. Affärslogikbrister är ett främsta mål för brottslingar och är något som inte kan upptäckas genom att bara köra en skanning eller utföra standardtester som en del av en kvalitetssäkringsprocess. Det finns ett psykologiskt problem i QA som kallas "bekräftelsebias" eftersom vi, precis som människor, vill veta att vi har rätt. Därför är det nödvändigt att utföra testning under verkliga förhållanden.
Det är nödvändigt att testa allt och alla, eftersom inte alla sårbarheter kan upptäckas i utvecklingsstadiet genom att analysera koden, eller ens under QA. Så du måste gå igenom hela affärsprocessen och utveckla alla åtgärder för att skydda den. Mycket kan läras av historien eftersom vissa typer av attacker upprepas över tid. Om du blir väckt en natt av en CPU-spik kan du anta att någon hackare igen försöker spåra giltiga rabattkuponger. Det verkliga sättet att känna igen typen av attack är att observera en aktiv attack, eftersom det kommer att vara extremt svårt att känna igen den baserat på logghistorik.
Jeremy Grossman: så här är vad vi lärde oss idag.
Att gissa captcha kan ge dig ett fyrsiffrigt dollarbelopp. Att manipulera onlinebetalningssystem kommer att ge en hackare femsiffrig vinst. Att hacka banker kan ge dig en bra bit över femsiffrig vinst, speciellt om du gör det mer än en gång.
E-handelsbedrägerier ger dig sex siffror, medan användning av affiliate-nätverk ger dig 5-6 siffror eller till och med sju siffror. Om du är modig nog kan du försöka lura börsen och få mer än sjusiffrig vinst. Och att använda RSnake-metoden i tävlingar om den bästa Chihuahuan är helt enkelt ovärderligt!
De nya bilderna för den här presentationen kom förmodligen inte in på CD:n, så du kan ladda ner dem senare från min bloggsida. Det kommer en OPSEC-konferens i september som jag kommer att delta i, och jag tror att vi kommer att kunna skapa några riktigt coola grejer med dem. Nu, om du har några frågor, är vi redo att svara på dem.
Några annonser 🙂
Tack för att du stannar hos oss. Gillar du våra artiklar? Vill du se mer intressant innehåll? Stöd oss genom att lägga en beställning eller rekommendera till vänner, , 30 % rabatt för Habr-användare på en unik analog av nybörjarservrar, som uppfanns av oss för dig: (tillgänglig med RAID1 och RAID10, upp till 24 kärnor och upp till 40 GB DDR4).
Dell R730xd 2 gånger billigare? Bara här i Nederländerna! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - från $99! Läs om
Källa: will.com