การประชุมของ BLACK HAT USA รวยหรือตาย: สร้างรายได้ออนไลน์ด้วยวิธี Black Hat ส่วนที่ 3

การประชุมของ BLACK HAT USA รวยหรือตาย: สร้างรายได้ออนไลน์ด้วยวิธี Black Hat ส่วนที่ 1
การประชุมของ BLACK HAT USA รวยหรือตาย: สร้างรายได้ออนไลน์ด้วยวิธี Black Hat ส่วนที่ 2

พวกเขาคุยกันถึงความเป็นไปได้ในการใช้ไดรเวอร์ของ UPS เพื่อเผชิญหน้ากับผู้ต้องสงสัย เรามาตรวจสอบว่าสิ่งที่ยกมาในสไลด์นี้ถูกกฎหมายหรือไม่?

นี่คือคำตอบของ FTC สำหรับคำถามที่ว่า "ฉันควรคืนหรือชำระเงินสำหรับสินค้าที่ฉันไม่เคยสั่งซื้อหรือไม่" - "เลขที่. หากคุณได้รับสินค้าที่คุณไม่ได้สั่งซื้อ คุณมีสิทธิ์ตามกฎหมายที่จะรับเป็นของขวัญฟรี" เสียงนี้มีจริยธรรมหรือไม่? ฉันล้างมือเพราะฉันไม่ฉลาดพอที่จะพูดคุยเรื่องดังกล่าว

แต่ที่น่าสนใจคือเราเห็นเทรนด์ที่ยิ่งใช้เทคโนโลยีน้อยลงก็ยิ่งได้เงินมากขึ้น

การฉ้อโกงทางอินเทอร์เน็ตในเครือ

เจเรมี กรอสแมน: มันยากมากที่จะเข้าใจ แต่ด้วยวิธีนี้คุณจะได้รับเงินเป็นจำนวนหกหลัก ดังนั้น เรื่องราวทั้งหมดที่คุณได้ยินมีการเชื่อมโยงที่แท้จริง และคุณสามารถอ่านรายละเอียดเกี่ยวกับทั้งหมดนี้ได้ การหลอกลวงทางอินเทอร์เน็ตประเภทหนึ่งที่น่าสนใจที่สุดคือการหลอกลวงแบบพันธมิตร ร้านค้าออนไลน์และผู้ลงโฆษณาใช้เครือข่ายพันธมิตรเพื่อผลักดันการเข้าชมและผู้ใช้ไปยังไซต์ของตนเพื่อแลกกับส่วนแบ่งของผลกำไรที่พวกเขาทำได้

ฉันจะพูดถึงบางสิ่งที่ผู้คนจำนวนมากรู้จักมานานหลายปี แต่ฉันไม่พบข้อมูลอ้างอิงสาธารณะแม้แต่รายการเดียวที่จะระบุว่าการหลอกลวงประเภทนี้ก่อให้เกิดความสูญเสียมากน้อยเพียงใด เท่าที่ฉันรู้ ไม่มีการฟ้องร้อง ไม่มีการสอบสวนทางอาญา ฉันได้พูดคุยกับผู้ประกอบการด้านการผลิต ฉันได้พูดคุยกับเครือข่ายพันธมิตร ฉันได้พูดคุยกับ Black Cats - พวกเขาทั้งหมดเชื่อว่านักต้มตุ๋นทำเงินได้มหาศาลจากการเป็นหุ้นส่วน

ฉันขอให้คุณใช้คำพูดของฉันและทำความคุ้นเคยกับผลลัพธ์ของ "การบ้าน" ที่ฉันทำเสร็จในปัญหาเฉพาะเหล่านี้ พวกสแกมเมอร์จะ "เชื่อม" ตัวเลข 5-6 หลักและบางครั้งเป็น XNUMX หลักต่อเดือนโดยใช้เทคนิคพิเศษ มีคนในห้องนี้ที่สามารถตรวจสอบสิ่งนี้ได้ ตราบใดที่พวกเขาไม่มีข้อผูกพันตามข้อตกลงการรักษาความลับ ดังนั้นฉันจะแสดงให้คุณเห็นว่ามันทำงานอย่างไร โครงการนี้เกี่ยวข้องกับผู้เล่นหลายคน คุณจะเห็นว่า "เกม" ในเครือรุ่นใหม่คืออะไร

เกมดังกล่าวเกี่ยวข้องกับผู้ค้าที่มีเว็บไซต์หรือผลิตภัณฑ์บางประเภท และเขาจ่ายค่าคอมมิชชั่นให้กับพันธมิตรสำหรับการคลิกของผู้ใช้ บัญชีที่สร้างขึ้น การซื้อที่ทำขึ้น และอื่นๆ คุณจ่ายเงินให้กับ Affiliate เพื่อให้มีคนมาเยี่ยมชมไซต์ของพวกเขา คลิกที่ลิงค์ ไปที่ไซต์ร้านค้าของคุณและซื้อของที่นั่น

ผู้เล่นรายต่อไปคือพันธมิตรที่ได้รับเงินในรูปแบบจ่ายต่อคลิก (CPC) หรือค่าคอมมิชชัน (CPA) สำหรับการเปลี่ยนเส้นทางผู้ซื้อไปยังเว็บไซต์ของผู้ขาย

ค่าคอมมิชชั่นหมายความว่าจากกิจกรรมของพันธมิตร ลูกค้าทำการซื้อบนเว็บไซต์ของผู้ขาย

ผู้ซื้อคือบุคคลที่ทำการซื้อหรือจองซื้อหุ้นของผู้ขาย

เครือข่ายพันธมิตรจัดหาเทคโนโลยีที่เชื่อมต่อและติดตามกิจกรรมของผู้ขาย พันธมิตร และผู้ซื้อ พวกเขา "กาว" ผู้เล่นทั้งหมดเข้าด้วยกันและรับประกันการโต้ตอบของพวกเขา

อาจใช้เวลาสองสามวันหรือสองสามสัปดาห์ในการทำความเข้าใจว่ามันทำงานอย่างไร แต่ไม่มีเทคโนโลยีที่ซับซ้อนที่นี่ เครือข่ายพันธมิตรและโปรแกรมพันธมิตรครอบคลุมการค้าทุกประเภทและทุกตลาด Google, eBay, Amazon มีพวกเขา ดอกเบี้ยค่าคอมมิชชันของพวกเขาทับซ้อนกัน พวกเขาอยู่ทุกที่และไม่ขาดรายได้ ฉันแน่ใจว่าคุณรู้ว่าแม้แต่การเข้าชมจากบล็อกของคุณก็สามารถสร้างผลกำไรได้หลายร้อยดอลลาร์ต่อเดือน ดังนั้นแผนนี้จะง่ายสำหรับคุณที่จะเข้าใจ

นี่คือวิธีการทำงานของระบบ คุณเป็นพันธมิตรกับไซต์ขนาดเล็กหรือกระดานข่าวอิเล็กทรอนิกส์ ไม่เป็นไร สมัครเข้าร่วมโปรแกรมพันธมิตรและรับลิงก์พิเศษที่คุณวางไว้บนหน้าเว็บของคุณ ดูเหมือนว่า:

<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>

รายการนี้เป็นรายการโปรแกรมพันธมิตรเฉพาะ ID พันธมิตรของคุณ ซึ่งในกรณีนี้คือ 100 และชื่อของผลิตภัณฑ์ที่ขาย และหากมีคนคลิกลิงก์นี้ เบราว์เซอร์จะนำเขาไปยังเครือข่ายพันธมิตร ตั้งค่าคุกกี้การติดตามพิเศษที่เชื่อมโยงเขากับพันธมิตร ID=100

Set-Cookie: AffiliateID=100

และเปลี่ยนเส้นทางไปยังหน้าของผู้ขาย หากผู้ซื้อซื้อผลิตภัณฑ์บางอย่างในภายหลังภายในระยะเวลา X ซึ่งอาจเป็นเวลาหนึ่งวัน หนึ่งชั่วโมง สามสัปดาห์ ตามเวลาที่ตกลงกัน และในช่วงเวลานี้คุกกี้ยังคงอยู่ พันธมิตรจะได้รับค่าคอมมิชชั่น

นี่คือแผนการที่ทำให้บริษัทในเครือมีรายได้หลายพันล้านดอลลาร์โดยใช้กลยุทธ์ SEO ที่มีประสิทธิภาพ ฉันจะให้ตัวอย่าง สไลด์ถัดไปแสดงเช็ค ตอนนี้ฉันจะขยายเพื่อแสดงจำนวนเงิน เป็นเช็คจาก Google มูลค่า 132 ดอลลาร์ ชื่อของสุภาพบุรุษคนนี้คือ ชูมันน์ เขาเป็นเจ้าของเครือข่ายเว็บไซต์โฆษณา นี่ไม่ใช่เงินทั้งหมด Google จะจ่ายเงินจำนวนดังกล่าวเดือนละครั้งหรือทุกๆ 2 เดือน

ตรวจสอบอีกครั้งจาก Google ฉันจะเพิ่มและคุณจะเห็นว่าเขียนออกมาในราคา 901 ดอลลาร์

ฉันควรถามใครสักคนเกี่ยวกับจริยธรรมของวิธีหาเงินเหล่านี้หรือไม่? ความเงียบในห้องโถง... เช็คนี้แสดงถึงการชำระเงิน 2 เดือนเนื่องจากเช็คก่อนหน้านี้ถูกปฏิเสธโดยธนาคารผู้รับเนื่องจากจำนวนเงินที่จ่ายมากเกินไป

ดังนั้นเราจึงเชื่อมั่นว่าสามารถทำเงินได้และเงินนี้จ่ายออกไป แผนนี้จะเล่นได้อย่างไร? เราสามารถใช้เทคนิคที่เรียกว่า Cookie-Stuffing หรือคุกกี้สอดไส้ นี่เป็นแนวคิดง่ายๆ ที่ปรากฏในปี 2001-2002 และสไลด์นี้แสดงให้เห็นว่าหน้าตาเป็นอย่างไรในปี 2002 ฉันจะเล่าเรื่องรูปลักษณ์ของมันให้คุณฟัง

ไม่มีอะไรนอกจากข้อกำหนดในการให้บริการที่น่ารำคาญของเครือข่ายพันธมิตรที่กำหนดให้ผู้ใช้คลิกที่ลิงก์จริง ๆ เพื่อให้เบราว์เซอร์ของพวกเขารับคุกกี้ด้วย ID พันธมิตร
คุณสามารถโหลด URL นี้โดยอัตโนมัติ ซึ่งโดยปกติแล้วผู้ใช้จะคลิก ลงในแหล่งที่มาของรูปภาพหรือในแท็ก iframe และแทนที่จะเป็นลิงค์:

<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>

คุณกำลังดาวน์โหลดสิ่งนี้:

<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>

หรือว่า:

<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>

และเมื่อผู้ใช้มาถึงเพจของคุณ เขาจะรับคุกกี้พันธมิตรโดยอัตโนมัติ ในเวลาเดียวกัน ไม่ว่าเขาจะซื้ออะไรในอนาคตก็ตาม คุณจะได้รับค่าคอมมิชชัน ไม่ว่าคุณจะเปลี่ยนเส้นทางการเข้าชมหรือไม่ก็ตาม ไม่สำคัญ

ในช่วงไม่กี่ปีที่ผ่านมา สิ่งนี้ได้กลายเป็นงานอดิเรกของพวก SEO ที่โพสต์อะไรแบบนี้บนกระดานข้อความและพัฒนาสถานการณ์ทุกประเภทเพื่อวางลิงก์ไว้ที่อื่น พันธมิตรที่ก้าวร้าวได้ตระหนักว่าพวกเขาสามารถวางโค้ดไว้ที่ใดก็ได้บนอินเทอร์เน็ต ไม่ใช่แค่บนเว็บไซต์ของตนเอง

ในสไลด์นี้ คุณจะเห็นว่ามีโปรแกรมคุกกี้สอดไส้ที่ช่วยให้ผู้ใช้ทำ "คุกกี้ยัดไส้" ของตนเองได้ และไม่ใช่แค่คุกกี้เดียว คุณสามารถดาวน์โหลด ID เครือข่ายพันธมิตรได้ 20-30 รหัสพร้อมกัน และทันทีที่มีคนซื้อของบางอย่าง คุณจะได้รับเงินสำหรับสิ่งนั้น

ในไม่ช้าคนเหล่านี้ก็ตระหนักว่าพวกเขาไม่สามารถวางรหัสนี้บนหน้าของพวกเขาได้ พวกเขาละทิ้งการเขียนสคริปต์ข้ามไซต์และเริ่มโพสต์ตัวอย่างข้อมูลเล็กๆ น้อยๆ ด้วยโค้ด HTML บนกระดานข้อความ ในสมุดเยี่ยม และบนโซเชียลเน็ตเวิร์ก

ประมาณปี 2005 ผู้ค้าและเครือข่ายพันธมิตรพบว่าเกิดอะไรขึ้น เริ่มติดตามผู้อ้างอิงและอัตราการคลิกผ่าน และเริ่มเตะพันธมิตรที่น่าสงสัย ตัวอย่างเช่น พวกเขาสังเกตเห็นว่าผู้ใช้คลิกบนไซต์ MySpace แต่ไซต์นั้นอยู่ในเครือข่ายพันธมิตรที่แตกต่างอย่างสิ้นเชิงกับไซต์ที่ได้รับผลประโยชน์ที่ถูกต้องตามกฎหมาย

คนเหล่านี้ฉลาดขึ้นเล็กน้อย และในปี 2007 คุกกี้สอดไส้รูปแบบใหม่ก็ถือกำเนิดขึ้น พันธมิตรเริ่มวางโค้ดบนหน้า SSL ตาม Hypertext Transfer Protocol RFC 2616 ไคลเอ็นต์ต้องไม่รวมฟิลด์ส่วนหัวผู้อ้างอิงในคำขอ HTTP ที่ไม่ปลอดภัย หากหน้าที่อ้างอิงถูกย้ายจากโปรโตคอลที่ปลอดภัย นี่เป็นเพราะคุณไม่ต้องการให้ข้อมูลนี้รั่วไหลออกจากโดเมนของคุณ

จากนี้เป็นที่ชัดเจนว่าไม่มีผู้อ้างอิงที่ส่งไปยังพันธมิตรจะไม่สามารถติดตามได้ ดังนั้นพันธมิตรหลักจะเห็นลิงค์ว่างเปล่าและจะไม่สามารถไล่คุณออกได้ ตอนนี้นักต้มตุ๋นมีโอกาสที่จะสร้าง “คุกกี้ที่เติมเต็ม” ของพวกเขาเองโดยไม่ต้องรับโทษ จริง ไม่ใช่ทุกเบราว์เซอร์ที่อนุญาตให้คุณทำเช่นนี้ แต่มีวิธีอื่นอีกมากมายที่จะทำเช่นเดียวกัน โดยใช้การอัปเดตอัตโนมัติของหน้าปัจจุบันของเบราว์เซอร์ การรีเฟรชเมตา เมตาแท็ก หรือ JavaScript

ในปี 2008 พวกเขาเริ่มใช้เครื่องมือแฮ็กที่ทรงพลังมากขึ้น เช่น การโจมตีแบบเชื่อมโยงใหม่ - การเชื่อมโยง DNS ใหม่, Gifar และเนื้อหา Flash ที่เป็นอันตรายซึ่งสามารถทำลายรูปแบบการป้องกันที่มีอยู่โดยสิ้นเชิง ต้องใช้เวลาพอสมควรในการหาวิธีใช้งาน เนื่องจากพวก Cookie Stuffing ไม่ใช่แฮ็กเกอร์ขั้นสูง พวกเขาเป็นเพียงนักการตลาดเชิงรุกที่ไม่ค่อยรู้เรื่องการเขียนโค้ดมากนัก

การขายข้อมูลกึ่งที่มีอยู่

ดังนั้นเราจึงดูวิธีรับจำนวนเงิน 6 หลักและตอนนี้เรามาที่ตัวเลข XNUMX หลักกัน เราต้องการเงินจำนวนมากเพื่อรวยหรือตาย เราจะดูว่าคุณสามารถสร้างรายได้จากการขายข้อมูลกึ่งที่มีอยู่ได้อย่างไร Business Wire เป็นที่นิยมอย่างมากเมื่อสองสามปีก่อน และยังคงมีความสำคัญอยู่ เราเห็นได้ในหลายเว็บไซต์ สำหรับผู้ที่ไม่ทราบ Business Wire ให้บริการที่ผู้ใช้ที่ลงทะเบียนของไซต์จะได้รับข่าวสารล่าสุดจากบริษัทหลายพันแห่ง ข่าวประชาสัมพันธ์ถูกส่งไปยังบริษัทนี้โดยองค์กรต่างๆ ซึ่งบางครั้งถูกแบนหรือคว่ำบาตรชั่วคราว ดังนั้นข้อมูลที่มีอยู่ในข่าวประชาสัมพันธ์เหล่านี้อาจส่งผลต่อมูลค่าของหุ้น

ไฟล์ข่าวประชาสัมพันธ์จะถูกอัปโหลดไปยังเว็บเซิร์ฟเวอร์ของ Business Wire แต่จะไม่เชื่อมโยงจนกว่าการคว่ำบาตรจะถูกยกเลิก ในขณะเดียวกัน หน้าเว็บข่าวประชาสัมพันธ์จะเชื่อมโยงกับเว็บไซต์หลัก และผู้ใช้จะได้รับแจ้งเกี่ยวกับพวกเขาด้วย URL ดังนี้:

http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htm

ดังนั้น ในขณะที่คุณอยู่ภายใต้การคว่ำบาตร คุณได้โพสต์ข้อมูลที่น่าสนใจบนไซต์ เพื่อที่ว่าทันทีที่การยกเลิกการคว่ำบาตรถูกยกเลิก ผู้ใช้จะทำความคุ้นเคยกับพวกเขาทันที ลิงก์เหล่านี้ลงวันที่และส่งถึงผู้ใช้ทางอีเมล ทันทีที่การห้ามหมดอายุ ลิงก์จะทำงานและนำผู้ใช้ไปยังไซต์ที่มีการโพสต์ข่าวประชาสัมพันธ์ที่เกี่ยวข้อง ก่อนให้สิทธิ์เข้าถึงหน้าเว็บข่าวประชาสัมพันธ์ ระบบต้องแน่ใจว่าผู้ใช้เข้าสู่ระบบอย่างถูกต้องตามกฎหมาย

พวกเขาไม่ตรวจสอบว่าคุณมีสิทธิ์ดูข้อมูลนี้หรือไม่ก่อนที่การห้ามส่งสินค้าจะหมดอายุ คุณต้องเข้าสู่ระบบเท่านั้น ถึงตอนนี้ดูเหมือนไม่เป็นอันตราย แต่เพียงเพราะคุณมองไม่เห็นบางสิ่งไม่ได้หมายความว่าสิ่งนั้นไม่ได้อยู่ที่นั่น

Lohmus Haavel & Viisemann บริษัทการเงินของเอสโตเนีย ซึ่งไม่ใช่แฮ็กเกอร์เลย ค้นพบว่าหน้าเว็บข่าวประชาสัมพันธ์ได้รับการตั้งชื่อในลักษณะที่คาดเดาได้ และเริ่มคาดเดา URL เหล่านั้น แม้ว่าลิงก์อาจยังไม่มีอยู่เนื่องจากการคว่ำบาตรมีผลบังคับใช้ แต่ก็ไม่ได้หมายความว่าแฮ็กเกอร์ไม่สามารถคาดเดาชื่อไฟล์และเข้าถึงได้ก่อนเวลาอันควร วิธีนี้ใช้ได้ผลเนื่องจากการตรวจสอบความปลอดภัยเพียงอย่างเดียวของ Business Wire คือผู้ใช้เข้าสู่ระบบอย่างถูกต้องตามกฎหมาย และไม่ใช่อย่างอื่น

ดังนั้น ชาวเอสโตเนียจึงได้รับข้อมูลก่อนที่ตลาดจะปิดและขายข้อมูลนี้ ก่อนที่ ก.ล.ต. จะติดตามพวกเขาและอายัดบัญชีของพวกเขา พวกเขาสามารถทำเงินได้ 8 ล้านดอลลาร์จากการซื้อขายข้อมูลกึ่งที่มีอยู่ พิจารณาว่าคนเหล่านี้แค่ดูว่าลิงก์หน้าตาเป็นอย่างไร พยายามเดา URL และทำเงินได้ 8 ล้านจากมัน โดยปกติ ณ จุดนี้ ฉันจะถามผู้ชมว่าสิ่งนี้ถือว่าถูกกฎหมายหรือผิดกฎหมาย ไม่ว่าจะเกี่ยวข้องกับแนวคิดของการค้าหรือไม่ แต่สำหรับตอนนี้ ฉันแค่อยากให้คุณสนใจว่าใครเป็นคนทำ

ก่อนที่คุณจะพยายามตอบคำถามเหล่านี้ เราจะแสดงสไลด์ถัดไปให้คุณดู สิ่งนี้ไม่เกี่ยวข้องกับการหลอกลวงทางอินเทอร์เน็ต แฮ็กเกอร์ชาวยูเครนเจาะเข้าไปใน Thomson Financial ซึ่งเป็นผู้ให้บริการข่าวกรองธุรกิจ และขโมยช่วงเวลาแห่งความทุกข์ทางการเงินของ IMS Health ก่อนที่ข้อมูลดังกล่าวจะเข้าสู่ตลาดการเงิน ไม่ต้องสงสัยเลยว่าเขามีความผิดฐานลักทรัพย์

แฮ็กเกอร์วางคำสั่งขายเป็นจำนวนเงิน 42 ดอลลาร์ เล่นจนราคาตกลง สำหรับยูเครน นี่เป็นจำนวนมหาศาล ดังนั้นแฮ็กเกอร์จึงรู้ดีว่าเขากำลังทำอะไรอยู่ การลดลงอย่างกะทันหันของราคาหุ้นทำให้เขามีกำไรประมาณ 300 ดอลลาร์ภายในเวลาไม่กี่ชั่วโมง การแลกเปลี่ยนติดธงแดง ก.ล.ต. สั่งระงับเงินโดยสังเกตว่ามีบางอย่างผิดปกติและเริ่มการสอบสวน อย่างไรก็ตาม ผู้พิพากษา Naomi Reis Buchwald กล่าวว่าเงินกองทุนควรถูกยกเลิกการอายัด เนื่องจาก Dorozhko กล่าวหาว่า "ขโมยและซื้อขาย" และ "แฮ็กและซื้อขาย" ไม่ละเมิดกฎหมายหลักทรัพย์ แฮ็กเกอร์ไม่ใช่พนักงานของบริษัทนี้ ดังนั้นเขาจึงไม่ละเมิดกฎหมายเกี่ยวกับการเปิดเผยข้อมูลทางการเงินที่เป็นความลับ

หนังสือพิมพ์ Times แนะนำว่ากระทรวงยุติธรรมสหรัฐถือว่าคดีนี้ไร้ประโยชน์เนื่องจากความยากลำบากที่เกี่ยวข้องกับการขอความยินยอมจากทางการยูเครนในการให้ความร่วมมือในการจับกุมอาชญากร ดังนั้นแฮ็กเกอร์คนนี้จึงได้รับเงิน 300 ดอลลาร์อย่างง่ายดาย

เปรียบเทียบกรณีนี้กับกรณีก่อนหน้านี้ที่ผู้คนสร้างรายได้เพียงแค่เปลี่ยน URL ของลิงก์ในเบราว์เซอร์และขายข้อมูลเชิงพาณิชย์ สิ่งเหล่านี้ค่อนข้างน่าสนใจ แต่ไม่ใช่วิธีเดียวในการทำเงินในตลาดหลักทรัพย์

พิจารณาการรวบรวมข้อมูลแบบพาสซีฟ โดยปกติแล้ว หลังจากทำการซื้อทางออนไลน์ ผู้ซื้อจะได้รับโค้ดติดตามการสั่งซื้อ ซึ่งอาจเป็นแบบลำดับหรือลำดับหลอกๆ และมีลักษณะดังนี้:

3200411
3200412
3200413

ด้วยคุณสามารถติดตามการสั่งซื้อของคุณ ผู้ทดสอบหรือแฮ็กเกอร์พยายาม "เลื่อน" URL เพื่อเข้าถึงข้อมูลการสั่งซื้อ ซึ่งโดยปกติแล้วจะประกอบด้วยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII):

http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417

เมื่อเลื่อนดูตัวเลข พวกเขาสามารถเข้าถึงหมายเลขบัตรเครดิต ที่อยู่ ชื่อ และข้อมูลส่วนตัวอื่นๆ ของผู้ซื้อได้ อย่างไรก็ตาม เราไม่สนใจข้อมูลส่วนบุคคลของลูกค้า แต่ในโค้ดการติดตามคำสั่งซื้อเอง เราสนใจในข้อมูลเชิงลึกแบบพาสซีฟ

ศิลปะในการสรุปผล

พิจารณาศิลปะการอนุมานการวาด หากคุณสามารถประเมินได้อย่างแม่นยำว่าบริษัทกำลังประมวลผล "คำสั่งซื้อ" จำนวนเท่าใดเมื่อสิ้นสุดไตรมาส จากนั้นอิงจากข้อมูลในอดีต คุณจะสามารถสรุปได้ว่าสถานการณ์ทางการเงินของบริษัทนั้นดีหรือไม่ และราคาหุ้นของบริษัทจะผันผวนไปในทิศทางใด ตัวอย่างเช่น คุณสั่งซื้อหรือซื้อของบางอย่างในช่วงต้นไตรมาส ไม่เป็นไร แล้วทำการสั่งซื้อใหม่เมื่อสิ้นสุดไตรมาส จากความแตกต่างของตัวเลข เราสามารถสรุปได้ว่าบริษัทดำเนินการตามคำสั่งซื้อจำนวนเท่าใดในช่วงเวลานี้ หากเรากำลังพูดถึงคำสั่งซื้อหนึ่งพันรายการต่อหนึ่งแสนรายการในช่วงเวลาเดียวกัน คุณสามารถสันนิษฐานได้ว่าบริษัทกำลังดำเนินการได้ไม่ดี

อย่างไรก็ตาม ความจริงก็คือบ่อยครั้งที่สามารถรับหมายเลขลำดับเหล่านี้ได้โดยไม่ต้องดำเนินการตามคำสั่งซื้อหรือคำสั่งซื้อที่ถูกยกเลิกในภายหลัง หวังว่าตัวเลขเหล่านั้นจะไม่ปรากฏขึ้นและลำดับจะดำเนินต่อไปด้วยตัวเลข:

3200418
3200419
3200420

วิธีนี้ทำให้คุณรู้ว่าคุณมีความสามารถในการติดตามคำสั่งซื้อและสามารถเริ่มรวบรวมข้อมูลจากไซต์ที่พวกเขาให้เราได้ เราไม่รู้ว่าถูกกฎหมายหรือเปล่า รู้แค่ว่าทำได้

ดังนั้นเราจึงได้พิจารณาข้อเสียต่างๆ ของตรรกะทางธุรกิจ

เทรย์ ฟอร์ด: ผู้โจมตีเป็นนักธุรกิจ พวกเขาคาดหวังผลตอบแทนจากการลงทุน ยิ่งมีเทคโนโลยีมาก โค้ดยิ่งใหญ่และซับซ้อนมาก ยิ่งต้องทำงานมากขึ้นและมีโอกาสถูกจับได้มากขึ้น แต่มีวิธีที่เป็นประโยชน์มากมายในการโจมตีโดยไม่ต้องใช้ความพยายามใดๆ ตรรกะทางธุรกิจเป็นธุรกิจขนาดใหญ่และมีแรงจูงใจอย่างมากสำหรับอาชญากรที่จะทำลายมัน ข้อบกพร่องทางตรรกะทางธุรกิจเป็นเป้าหมายหลักสำหรับอาชญากรและเป็นสิ่งที่ไม่สามารถตรวจพบได้เพียงแค่เรียกใช้การสแกนหรือทำการทดสอบ QA ตามปกติ มีปัญหาทางจิตวิทยาเกี่ยวกับการประกันคุณภาพใน QA ซึ่งเรียกว่า "อคติในการยืนยัน" เพราะเราต้องการรู้ว่าเราถูก เช่นเดียวกับคนอื่นๆ ดังนั้นจึงจำเป็นต้องทำการทดสอบในสภาพจริง

จำเป็นต้องทดสอบทุกอย่างและทุกอย่าง เนื่องจากไม่สามารถพบช่องโหว่ทั้งหมดในขั้นตอนการพัฒนา โดยการวิเคราะห์โค้ด หรือแม้แต่ระหว่าง QA ดังนั้นคุณต้องผ่านกระบวนการทางธุรกิจทั้งหมดและพัฒนามาตรการทั้งหมดเพื่อปกป้องมัน สามารถเรียนรู้ได้มากมายจากประวัติศาสตร์เพราะการโจมตีบางประเภทเกิดขึ้นซ้ำแล้วซ้ำอีก หากคุณตื่นขึ้นมาในคืนหนึ่งเนื่องจากการใช้งาน CPU สูงสุด คุณสามารถสันนิษฐานได้ว่าแฮ็กเกอร์บางคนพยายามติดตามคูปองส่วนลดที่ถูกต้องอีกครั้ง วิธีที่แท้จริงในการระบุประเภทของการโจมตีคือการสังเกตการโจมตีที่กำลังดำเนินอยู่ เนื่องจากการจดจำตามประวัติบันทึกจะเป็นงานที่ยากมาก

เจเรมี กรอสแมน: นี่คือสิ่งที่เราได้เรียนรู้ในวันนี้

การแก้แคปต์ชาจะทำให้คุณได้ตัวเลขสี่ตัวเป็นดอลลาร์ การจัดการกับระบบการชำระเงินออนไลน์จะทำให้แฮ็กเกอร์ได้กำไรห้าหลัก การแฮ็กธนาคารสามารถสร้างรายได้ให้คุณมากกว่าห้าหลัก โดยเฉพาะอย่างยิ่งหากคุณทำมากกว่าหนึ่งครั้ง

การหลอกลวงทางอีคอมเมิร์ซจะให้ตัวเลขหกหลัก และการใช้เครือข่ายพันธมิตรจะให้ตัวเลข 5-6 หรือเจ็ดหลัก หากคุณกล้าพอ คุณสามารถลองหลอกตลาดหุ้นและรับผลกำไรมากกว่าเจ็ดหลัก และการใช้วิธี RSnake ในการแข่งขันเพื่อหาชิวาว่าที่ดีที่สุดนั้นไม่มีค่า!

สไลด์ใหม่สำหรับงานนำเสนอนี้อาจไม่รวมอยู่ในแผ่นซีดี คุณจึงสามารถดาวน์โหลดได้ในภายหลังจากหน้าบล็อกของฉัน มีการประชุม OPSEC ที่กำลังจะมีขึ้นในเดือนกันยายนที่ฉันจะเข้าร่วม และฉันคิดว่าเราจะได้ทำสิ่งดีๆ ร่วมกับพวกเขา และตอนนี้หากคุณมีคำถามใด ๆ เราพร้อมที่จะตอบคำถามเหล่านั้น

โฆษณาบางส่วน🙂

ขอบคุณที่อยู่กับเรา คุณชอบบทความของเราหรือไม่? ต้องการดูเนื้อหาที่น่าสนใจเพิ่มเติมหรือไม่ สนับสนุนเราโดยการสั่งซื้อหรือแนะนำให้เพื่อน Cloud VPS สำหรับนักพัฒนา เริ่มต้นที่ $4.99, ส่วนลด 30% สำหรับผู้ใช้ Habr ในอะนาล็อกที่ไม่ซ้ำใครของเซิร์ฟเวอร์ระดับเริ่มต้น ซึ่งเราคิดค้นขึ้นเพื่อคุณ: ความจริงทั้งหมดเกี่ยวกับ VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps จาก $20 หรือจะแชร์เซิร์ฟเวอร์ได้อย่างไร (ใช้ได้กับ RAID1 และ RAID10 สูงสุด 24 คอร์ และสูงสุด 40GB DDR4)

Dell R730xd ถูกกว่า 2 เท่า? ที่นี่ที่เดียวเท่านั้น 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ทีวีจาก $199 ในเนเธอร์แลนด์! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - จาก $99! อ่านเกี่ยวกับ วิธีสร้างบริษัทโครงสร้างพื้นฐาน ระดับด้วยการใช้เซิร์ฟเวอร์ Dell R730xd E5-2650 v4 มูลค่า 9000 ยูโรต่อเพนนี?

ที่มา: will.com