Napag-usapan nila ang posibilidad na makaharap ang mga driver ng UPS sa suspek. Suriin natin ngayon kung legal ang sinipi sa slide na ito?
Narito kung ano ang sinasabi ng FTC kapag tinanong, "Dapat ko bang ibalik o magbayad para sa isang item na hindi ko na-order?" - "Hindi. Kung nakatanggap ka ng isang item na hindi mo na-order, mayroon kang legal na karapatang tanggapin ito bilang isang libreng regalo." Mukhang etikal ba ito? Naghuhugas ako ng kamay dito dahil hindi ako matalino para pag-usapan ang mga ganitong isyu.
Ngunit ang kawili-wili ay nakakakita tayo ng isang trend kung saan mas kaunting teknolohiya ang ginagamit natin, mas maraming pera ang kikitain natin.
Panloloko sa Internet ng Kaakibat
Jeremy Grossman: talagang napakahirap intindihin, ngunit maaari kang kumita ng anim na halaga ng pera sa ganitong paraan. Kaya, lahat ng mga kuwentong narinig mo ay may totoong mga link at maaari mong basahin ang lahat ng ito nang detalyado. Ang isa sa mga pinaka-kagiliw-giliw na uri ng pandaraya sa Internet ay ang pandaraya sa kaakibat. Gumagamit ang mga online na tindahan at advertiser ng mga kaakibat na network upang maakit ang trapiko at mga user sa kanilang mga site bilang kapalit ng isang bahagi ng mga kita na natanggap mula dito.
Magsasalita ako tungkol sa isang bagay na alam ng maraming tao sa loob ng maraming taon, ngunit hindi pa ako nakakahanap ng isang pampublikong sanggunian na nagsasaad kung gaano kalaki ang pagkawala ng ganitong uri ng scam. Sa pagkakaalam ko, walang kaso, walang criminal investigation. Nakausap ko ang mga manufacturing entrepreneur, nakausap ko ang mga kaakibat na network guys, nakausap ko ang Black Cats - lahat sila ay naniniwala na ang mga scammer ay kumita ng malaking halaga mula sa mga affiliate.
Mangyaring tanggapin ang aking salita para dito at suriin ang takdang-aralin na ginawa ko sa mga partikular na isyung ito. Ginagamit ng mga manloloko ang mga ito upang gumawa ng 5-6-digit, at kung minsan ay pitong-digit na kabuuan buwan-buwan, gamit ang mga espesyal na diskarte. May mga tao sa silid na ito na maaaring suriin ito kung hindi sila napapailalim sa isang kasunduan sa pagiging kumpidensyal. Kaya ipapakita ko sa iyo kung paano ito gumagana. Mayroong ilang mga manlalaro na kasangkot sa scheme na ito. Makikita mo kung ano ang tungkol sa susunod na henerasyong affiliate na "laro".
Kasama sa laro ang isang merchant na may website o produkto at nagbabayad ng mga komisyon sa mga affiliate para sa mga pag-click ng user, ginawang account, ginawang pagbili, at iba pa. Magbabayad ka sa affiliate para sa katotohanang may bumisita sa kanyang website, nag-click sa isang link, pumunta sa website ng iyong nagbebenta at bumili ng isang bagay doon.
Ang susunod na manlalaro ay ang kaakibat, na tumatanggap ng pera sa anyo ng cost per click (CPC) o sa anyo ng mga komisyon (CPA) para sa pag-redirect ng mga mamimili sa website ng nagbebenta.
Ipinahihiwatig ng mga komisyon na bilang resulta ng mga aktibidad ng kasosyo, bumili ang kliyente sa website ng nagbebenta.
Ang mamimili ay ang taong bumibili o nag-subscribe sa stock ng nagbebenta.
Ang mga kaakibat na network ay nagbibigay ng mga teknolohiyang kumokonekta at sumusubaybay sa mga aktibidad ng nagbebenta, kasosyo at mamimili. "pinagdikit" nila ang lahat ng mga manlalaro at tinitiyak ang kanilang pakikipag-ugnayan.
Maaaring abutin ka ng ilang araw o ilang linggo upang malaman kung paano gumagana ang lahat, ngunit walang kumplikadong teknolohiyang kasangkot. Ang mga kaakibat na network at mga programang kaakibat ay sumasaklaw sa lahat ng uri ng kalakalan at lahat ng mga merkado. Ang Google, EBay, Amazon ay mayroon sila, ang kanilang mga interes bilang mga ahente ng komisyon ay nagsalubong, sila ay nasa lahat ng dako at hindi kulang sa kita. Sigurado akong alam mo na kahit na ang trapiko mula sa iyong blog ay maaaring makabuo ng ilang daang dolyar na kita bawat buwan, kaya ang pamamaraan na ito ay magiging madali para sa iyo na maunawaan.
Ito ay kung paano gumagana ang sistema. Nag-a-affiliate ka sa isang maliit na site, o isang electronic bulletin board, hindi mahalaga, pumirma ka sa isang affiliate program at makakatanggap ng isang espesyal na link na inilagay mo sa iyong Internet page. Mukhang ganito:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ipinapakita nito ang partikular na affiliate program, ang iyong affiliate ID, sa kasong ito ito ay 100, at ang pangalan ng produktong ibinebenta. At kung may mag-click sa link na ito, ire-redirect siya ng browser sa affiliate network, mag-i-install ng mga espesyal na tracking cookies na nagli-link sa kanya sa affiliate ID=100.
Set-Cookie: AffiliateID=100At nagre-redirect sa page ng nagbebenta. Kung ang mamimili ay bumili sa ibang pagkakataon ng ilang produkto sa loob ng isang panahon X, na maaaring isang araw, isang oras, tatlong linggo, anumang napagkasunduan sa oras, at sa panahong ito ay patuloy na umiral ang cookies, pagkatapos ay matatanggap ng affiliate ang kanyang komisyon.
Ito ay kung paano kumikita ang mga kaakibat na kumpanya ng bilyun-bilyong dolyar gamit ang mga epektibong taktika sa SEO. Bigyan kita ng isang halimbawa. Ang susunod na slide ay nagpapakita ng resibo, palakihin ko na ito upang ipakita sa iyo ang halaga. Ito ay isang tseke mula sa Google para sa $132. Ang apelyido ng ginoong ito ay Schumann, at nagmamay-ari siya ng network ng mga website ng advertising. Hindi lang ito ang pera, binabayaran ng Google ang mga ganoong halaga isang beses sa isang buwan o isang beses bawat 2 buwan.
Isa pang tseke mula sa Google, palakihin ko ito at makikita mong ito ay para sa $901.
Dapat ba akong magtanong sa isang tao tungkol sa etika ng paggawa ng pera tulad nito? Katahimikan sa bulwagan... Ang tsekeng ito ay kumakatawan sa pagbabayad para sa 2 buwan, dahil ang nakaraang tseke ay tinanggihan ng bangko ng tatanggap dahil sa sobrang laki ng halaga ng pagbabayad.
Kaya, nakita natin na ang ganitong uri ng pera ay maaaring kumita, at ang perang ito ay binabayaran. Paano mo malalampasan ang scheme na ito? Maaari tayong gumamit ng pamamaraan na tinatawag na Cookie-Stuffing. Ito ay isang napakasimpleng konsepto na lumitaw noong 2001-2002, at ipinapakita ng slide na ito ang hitsura nito noong 2002. Sasabihin ko sa iyo ang kuwento ng hitsura nito.
Walang kulang sa masasamang tuntunin ng serbisyo ng affiliate na network na nangangailangan na ang isang user ay aktwal na mag-click sa isang link upang makuha ng kanilang browser ang cookie ng affiliate na ID.
Maaari mong awtomatikong i-load ang karaniwang na-click na URL na ito sa pinagmulan ng larawan o tag ng iframe. Sa kasong ito, sa halip na isang link:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>I-download mo ito:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>O iyan:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>At kapag napunta ang user sa iyong page, awtomatiko niyang kukunin ang affiliate na cookie. Kasabay nito, hindi alintana kung bumili siya ng isang bagay sa hinaharap, matatanggap mo ang iyong mga komisyon, na-redirect mo man ang trapiko o hindi - hindi mahalaga.
Sa nakalipas na ilang taon, ito ay naging isang pampalipas oras para sa mga SEO guys na nagpo-post ng katulad na materyal sa mga message board at bumuo ng lahat ng uri ng mga senaryo para sa kung saan pa ilalagay ang kanilang mga link. Napagtanto ng mga agresibong kasosyo na maaari nilang ilagay ang kanilang code saanman sa Internet, hindi lamang sa sarili nilang mga site.
Sa slide na ito makikita mo na mayroon silang sariling Cookie-Stuffing program na tumutulong sa mga user na gumawa ng sarili nilang "stuffed cookies." At hindi lang ito isang cookie, maaari kang mag-upload ng 20-30 affiliate ID nang sabay-sabay, at sa sandaling may bumili ng isang bagay, mababayaran ka para dito.
Hindi nagtagal, napagtanto ng mga taong ito na hindi nila kailangang ilagay ang code na ito sa kanilang mga pahina. Inabandona nila ang cross-site na scripting at sinimulang i-post ang kanilang maliliit na snippet na may HTML code sa mga message board, guest book, at social network.
Sa paligid ng 2005, nalaman ng mga merchant at affiliate network kung ano ang nangyayari, nagsimulang subaybayan ang mga referrer at click-through rate, at nagsimulang paalisin ang mga kahina-hinalang affiliate. Halimbawa, napansin nila na ang isang user ay nag-click sa isang MySpace site, ngunit ang site na iyon ay kabilang sa isang ganap na naiibang affiliate network kaysa sa isa na tumatanggap ng lehitimong benepisyo.
Ang mga taong ito ay naging mas matalino at noong 2007 isang bagong uri ng Cookie-Stuffing ang lumitaw. Nagsimulang ilagay ng mga kasosyo ang kanilang code sa mga pahina ng SSL. Ayon sa Hypertext Transfer Protocol RFC 2616, hindi dapat isama ng mga kliyente ang field ng Referer header sa isang hindi secure na kahilingan sa HTTP kung ang nagre-refer na page ay inilipat mula sa isang secure na protocol. Ito ay dahil ayaw mong tumagas ang impormasyong ito mula sa iyong domain.
Mula dito ay malinaw na ang anumang Referer na ipinadala sa isang kasosyo ay hindi masusubaybayan, kaya ang mga pangunahing kasosyo ay makakakita ng isang walang laman na link at hindi ka mapapaalis para dito. Ngayon, may pagkakataon na ang mga scammer na gawin ang kanilang "filled cookies" nang walang parusa. Totoo, hindi lahat ng browser ay nagpapahintulot sa iyo na gawin ito, ngunit maraming iba pang mga paraan upang gawin ang parehong bagay gamit ang awtomatikong pag-refresh ng browser ng kasalukuyang page meta-refresh, meta tag o JavaScript.
Noong 2008, nagsimula silang gumamit ng mas makapangyarihang mga tool sa pag-hack, tulad ng DNS rebinding attacks, Gifar at malisyosong Flash na content, na maaaring ganap na sirain ang mga kasalukuyang modelo ng seguridad. Ito ay tumatagal ng ilang sandali upang malaman kung paano gamitin ang mga ito dahil ang Cookie-Stuffing guys ay hindi partikular na mga advanced na hacker, sila ay mga agresibong marketer na may kaunting kaalaman sa coding.
Pagbebenta ng semi-accessible na impormasyon
Kaya, tiningnan namin kung paano kumita ng 6-figure sums, at ngayon ay lumipat tayo sa pitong-figure. Kailangan natin ng malaking pera para yumaman o mamatay. Titingnan namin kung paano ka kikita sa pamamagitan ng pagbebenta ng semi-accessible na impormasyon. Ang Business Wire ay napakapopular ilang taon na ang nakalilipas at mahalaga pa rin ito, nakikita natin ang presensya nito sa maraming mga site. Para sa mga hindi nakakaalam, ang Business Wire ay nagbibigay ng serbisyo kung saan ang mga rehistradong user ng site ay tumatanggap ng stream ng up-to-date na mga press release mula sa libu-libong kumpanya. Ang mga press release ay ipinapadala sa kumpanyang ito ng iba't ibang organisasyon, na kung minsan ay napapailalim sa mga pansamantalang pagbabawal o embargo, kaya ang impormasyong nakapaloob sa mga press release na ito ay maaaring makaapekto sa presyo ng mga pagbabahagi.
Ang mga press release na file ay ina-upload sa Business Wire web server ngunit hindi naka-link hanggang sa maalis ang embargo. Sa lahat ng oras, ang mga press release na web page ay naka-link sa pangunahing website, at ang mga user ay inaabisuhan tungkol sa kanila sa pamamagitan ng mga URL na tulad nito:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmKaya, habang ikaw ay nasa ilalim ng embargo, nag-post ka ng mga interesanteng data sa site upang sa sandaling maalis ang embargo, ang mga gumagamit ay agad na maging pamilyar dito. Ang mga link na ito ay napetsahan at ipinadala sa mga user sa pamamagitan ng email. Kapag nag-expire na ang ban, gagana ang link at ididirekta ang user sa site kung saan naka-post ang kaukulang press release. Bago magbigay ng access sa web page ng press release, dapat i-verify ng system na legal na naka-log in ang user.
Hindi nila tinitingnan kung may karapatan kang tingnan ang impormasyong ito bago mag-expire ang embargo; kailangan mo lang mag-log in sa system. Sa ngayon ay tila hindi nakakapinsala, ngunit dahil lamang sa hindi mo nakikita ang isang bagay ay hindi nangangahulugang wala ito doon.
Natuklasan ng kumpanya ng serbisyo sa pananalapi ng Estonia na Lohmus Haavel & Viisemann, hindi mga hacker, na pinangalanan ang mga press release na web page sa isang predictable na paraan at nagsimulang hulaan ang mga URL na iyon. Habang ang mga link ay maaaring hindi pa umiiral dahil may embargo, hindi ito nangangahulugan na hindi mahulaan ng hacker ang pangalan ng file at sa gayon ay makakuha ng access dito nang maaga. Ang pamamaraang ito ay gumana dahil ang tanging security check ng Business Wire ay na ang user ay legal na naka-log in at wala nang iba pa.
Kaya, nakatanggap ang mga Estonian ng impormasyon bago magsara ang merkado at ibenta ang data na ito. Hanggang sa masubaybayan sila ng SEC at i-freeze ang kanilang mga account, nagawa nilang kumita ng $8 milyon mula sa pangangalakal ng semi-accessible na impormasyon. Pag-isipan ito, ang ginawa lang ng mga taong ito ay tingnan kung ano ang hitsura ng mga link, subukang hulaan ang mga URL, at gumawa ng 8 milyon mula rito. Kadalasan sa puntong ito ay tinatanong ko ang madla kung ito ay itinuturing na legal o ilegal, kung ito ay itinuturing na isang kalakalan o hindi. Pero sa ngayon gusto ko lang itawag ng pansin mo kung sino ang gumawa nito.
Bago mo subukang sagutin ang mga tanong na ito, ipapakita ko sa iyo ang susunod na slide. Hindi ito direktang nauugnay sa online na pandaraya. Isang Ukrainian na hacker ang nag-hack ng Thomson Financial, isang business intelligence provider, at nagnakaw ng data tungkol sa pinansiyal na pagkabalisa ng IMS Health ilang oras bago maabot ang impormasyon sa merkado ng pananalapi. Walang duda na siya ay nagkasala ng pag-hack.
Ang hacker ay naglagay ng mga sell order sa halagang 42 thousand dollars, naglalaro bago bumaba ang mga rate. Para sa Ukraine ito ay isang malaking halaga, kaya alam na alam ng hacker kung ano ang kanyang pinapasok. Ang biglaang pagbaba ng presyo ng stock ay nagdala sa kanya ng humigit-kumulang $300 na tubo sa loob ng ilang oras. Ang palitan ay naglabas ng "Red Flag", ang SEC ay nag-freeze ng mga pondo, napansin na may nangyayaring mali, at nagsimula ng isang pagsisiyasat. Gayunpaman, sinabi ni Judge Naomi Reis Buchwald na ang mga pondo ay dapat na i-unfrozen dahil ang mga paratang sa "pagnanakaw at pangangalakal" at "pag-hack at pangangalakal" na iniuugnay kay Dorozhko ay hindi lumalabag sa mga batas ng seguridad. Ang hacker ay hindi isang empleyado ng kumpanyang ito, at samakatuwid ay hindi lumabag sa anumang mga batas tungkol sa pagsisiwalat ng kumpidensyal na impormasyon sa pananalapi.
Iminungkahi ng Times na ang Kagawaran ng Hustisya ng Estados Unidos ay itinuring na lamang na walang saysay ang kaso dahil sa mga kahirapan sa pagkuha ng mga awtoridad ng Ukraine na sumang-ayon na makipagtulungan sa paghuli sa may kasalanan. Kaya ang hacker na ito ay nakakuha ng 300 libong dolyar nang napakadali.
Ngayon ihambing ito sa nakaraang kaso kung saan kumita ang mga tao sa pamamagitan lamang ng pagpapalit ng mga URL ng mga link sa kanilang browser at pagbebenta ng komersyal na impormasyon. Ang mga ito ay medyo kawili-wili, ngunit hindi lamang ang mga paraan upang kumita ng pera sa stock exchange.
Isaalang-alang natin ang pasibong pagkolekta ng impormasyon. Karaniwan, pagkatapos gumawa ng online na pagbili, nakakatanggap ang mamimili ng tracking code ng order, na maaaring sunud-sunod o pseudo-sequential at mukhang ganito:
3200411
3200412
3200413
Sa pamamagitan nito masusubaybayan mo ang iyong order. Sinusubukan ng mga Pentester o hacker na i-crawl ang mga URL para makakuha ng access sa data ng order, kadalasang naglalaman ng personally identifiable information (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Sa pamamagitan ng pag-scroll sa mga numero, nakakakuha sila ng access sa mga numero ng credit card, address, pangalan at iba pang personal na impormasyon ng mamimili. Gayunpaman, hindi kami interesado sa personal na impormasyon ng kliyente, ngunit sa mismong order track code; interesado kami sa passive reconnaissance.
Ang sining ng pagguhit ng mga konklusyon
Isaalang-alang ang “The Art of Inference.” Kung maaari mong tumpak na matantya kung gaano karaming "mga order" ang pinoproseso ng isang kumpanya sa pagtatapos ng quarter, kung gayon, batay sa makasaysayang data, maaari mong mahihinuha kung ang sitwasyon sa pananalapi nito ay mabuti at kung paano magbabago ang presyo ng stock nito. Halimbawa, nag-order o bumili ka ng isang bagay sa simula ng quarter, hindi mahalaga, at pagkatapos ay gumawa ng bagong order sa pagtatapos ng quarter. Batay sa pagkakaiba sa mga numero, maaaring tapusin ng isa kung gaano karaming mga order ang naproseso ng kumpanya sa panahong ito. Kung pinag-uusapan natin ang tungkol sa isang libong mga order laban sa isang daang libo para sa parehong nakaraang panahon, maaari mong ipagpalagay na ang kumpanya ay gumagana nang hindi maganda.
Gayunpaman, ang katotohanan ay madalas na ang mga sequence number na ito ay maaaring makuha nang hindi aktwal na kumukumpleto ng order o isang order na kasunod na kinansela. Umaasa ako na ang mga numerong ito ay hindi ipapakita sa anumang kaso at ang pagkakasunud-sunod ay magpapatuloy sa mga numero:
3200418
3200419
3200420
Sa ganitong paraan malalaman mong may kakayahan kang subaybayan ang mga order at maaaring magsimulang mangolekta ng impormasyon mula sa site na ibinibigay nila sa amin. Hindi natin alam kung legal o hindi, ang alam lang natin ay pwede.
Kaya, tiningnan namin ang iba't ibang mga pagkukulang ng lohika ng negosyo.
Trey Ford: ang mga umaatake ay mga negosyante. Inaasahan nila ang pagbabalik sa kanilang puhunan. Kung mas maraming teknolohiya, mas malaki at mas kumplikado ang code, mas maraming trabaho ang kailangang gawin at mas malaki ang posibilidad na mahuli. Ngunit mayroong maraming napaka-pinakinabangang paraan upang magsagawa ng mga pag-atake nang walang anumang pagsisikap. Ang lohika ng negosyo ay isang malaking negosyo, at mayroong malaking insentibo para sa mga kriminal na i-hack ito. Ang mga kakulangan sa lohika ng negosyo ay isang pangunahing target para sa mga kriminal at isang bagay na hindi matutukoy sa pamamagitan lamang ng pagpapatakbo ng isang pag-scan o pagsasagawa ng karaniwang pagsubok bilang bahagi ng isang proseso ng pagtiyak ng kalidad. Mayroong sikolohikal na problema sa QA na tinatawag na "confirmation bias" dahil, tulad ng mga tao, gusto nating malaman na tama tayo. Samakatuwid, kinakailangan na magsagawa ng pagsubok sa totoong mga kondisyon.
Kinakailangang subukan ang lahat at lahat, dahil hindi lahat ng mga kahinaan ay maaaring makita sa yugto ng pag-unlad sa pamamagitan ng pagsusuri sa code, o kahit na sa panahon ng QA. Kaya kailangan mong dumaan sa buong proseso ng negosyo at bumuo ng lahat ng mga hakbang upang maprotektahan ito. Maraming maaaring matutunan mula sa kasaysayan dahil ang ilang uri ng pag-atake ay paulit-ulit sa paglipas ng panahon. Kung ikaw ay nagising isang gabi sa pamamagitan ng isang CPU spike, maaari mong ipagpalagay na ang ilang hacker ay muling sinusubukang subaybayan ang wastong mga kupon ng diskwento. Ang tunay na paraan upang makilala ang uri ng pag-atake ay ang pagmasdan ang isang aktibong pag-atake, dahil ang pagkilala dito batay sa kasaysayan ng log ay magiging lubhang mahirap.
Jeremy Grossman: kaya eto ang natutunan natin ngayon.
Ang paghula sa captcha ay makakakuha ka ng apat na digit na halaga ng dolyar. Ang pagmamanipula ng mga online na sistema ng pagbabayad ay magdadala sa isang hacker ng limang figure na kita. Ang mga bangko sa pag-hack ay maaaring kumita ng higit sa limang numero sa mga kita, lalo na kung gagawin mo ito nang higit sa isang beses.
Ang mga scam sa e-commerce ay magbibigay sa iyo ng anim na numero ng pera, habang ang paggamit ng mga kaakibat na network ay magbibigay sa iyo ng 5-6 na numero o kahit pitong numero. Kung ikaw ay sapat na matapang, maaari mong subukan na lokohin ang stock market at makakuha ng higit sa pitong-figure na kita. At ang paggamit ng paraan ng RSnake sa mga kumpetisyon para sa pinakamahusay na Chihuahua ay hindi mabibili ng salapi!
Ang mga bagong slide para sa pagtatanghal na ito ay malamang na hindi nakapasok sa CD, kaya maaari mong i-download ang mga ito sa ibang pagkakataon mula sa aking pahina ng blog. May darating na kumperensya ng OPSEC sa Setyembre na dadaluhan ko, at sa palagay ko makakagawa tayo ng ilang talagang cool na bagay sa kanila. Ngayon, kung mayroon kang anumang mga katanungan, handa kaming sagutin ang mga ito.
Ilang ad 🙂
Salamat sa pananatili sa amin. Gusto mo ba ang aming mga artikulo? Gustong makakita ng mas kawili-wiling nilalaman? Suportahan kami sa pamamagitan ng pag-order o pagrekomenda sa mga kaibigan, , 30% na diskwento para sa mga gumagamit ng Habr sa isang natatanging analogue ng mga entry-level na server, na inimbento namin para sa iyo: (magagamit sa RAID1 at RAID10, hanggang 24 na core at hanggang 40GB DDR4).
Dell R730xd 2 beses na mas mura? Dito lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mula $99! Basahin ang tungkol sa
Pinagmulan: www.habr.com