Вони зайшли так далеко, що почали обговорювати можливість залучення водіїв UPS до очної ставки з підозрюваною. Давайте перевіримо, чи є законним те, що процитовано на цьому слайді?
Ось що відповідає Федеральна торгова комісія FTC на запитання: «Чи я маю повернути або оплатити товар, який ніколи не замовляв?». - «Ні. Якщо ви отримали товар, який не замовляли, маєте законне право прийняти його як безкоштовний подарунок». Це звучить етично? Я вмиваю руки, тому що недостатньо розумний, щоб обговорювати такі питання.
Але що цікаво – ми бачимо тенденцію, коли чим менше технологій ми використовуємо, тим більше грошей отримуємо.
Партнерське Інтернет-шахрайство
Джеремі Гроссман: це справді дуже складно для розуміння, але у такий спосіб можна отримати шестизначну суму грошей. Отже, на всі історії, які ви почули, є реальні посилання, і ви можете докладно прочитати все це. Один із найцікавіших видів інтернет-шахрайства – це партнерське шахрайство. Інтернет-магазини та рекламодавці за допомогою партнерських мереж залучають трафік і користувачів на свої сайти в обмін на частину прибутку, що отримується від цього.
Я збираюся розповісти про те, про що багато людей знає протягом багатьох років, але я не зміг знайти жодного публічного заслання, яке б вказувало, скільки втрат завдав цей вид шахрайства. Наскільки мені відомо, не було жодних судових позовів, жодних кримінальних розслідувань. Я розмовляв з підприємцями, які займаються виробництвом, я розмовляв з хлопцями з партнерських мереж, я розмовляв з Black Cats – всі вони впевнені, що шахраї заробили на партнерстві величезну кількість грошей.
Прошу мені повірити на слово та ознайомитися з результатом «домашнього завдання», яке я виконав із цих конкретних проблем. На них шахраї «наварюють» 5-6-значні, а іноді й семизначні суми щомісяця, використовуючи спеціальні методики. У цьому залі є люди, які можуть перевірити це, якщо вони не пов'язані угодою про конфіденційність. Отже, я маю намір показати вам, як це працює. У цій схемі бере участь кілька гравців. Ви побачите, що є партнерською «грою» нового покоління.
У грі бере участь торговець, у якого є якийсь сайт або продукт, і він платить партнерам комісійні за кліки користувача, створені акаунти, здійснені покупки і так далі. Ви платите партнеру за те, що хтось заходить на його сайт, кликає за посиланням, переходить на ваш сайт продавця і щось там купує.
Наступний гравець – це партнер, який отримує гроші у вигляді оплати за кожен клік (CPC) або у вигляді комісійних (CPA) за те, що перенаправляє покупців на сайт продавця.
Комісійні мають на увазі, що в результаті діяльності партнера клієнт здійснив покупку на сайті продавця.
Покупець – це людина, яка робить покупки чи підписується на акції продавця.
Партнерські мережі надає технології, які об'єднують та відстежують діяльність продавця, партнера та покупця. Вони «склеюють» всіх гравців разом і забезпечують їхню взаємодію.
Вам може знадобитися кілька днів або кілька тижнів, щоб зрозуміти, як все це працює, але тут немає ніяких складних технологій. Партнерські мережі та партнерські програми охоплюють всі види торгівлі та всі ринки. Вони є у Google, EBay, Amazon, їхні інтереси комісіонерів перетинаються, вони скрізь і не відчувають нестачу доходів. Я впевнений, що ви знаєте, що навіть трафік з вашого блогу здатний щомісяця приносити кілька сотень доларів прибутку, тож цю схему вам буде легко зрозуміти.
Ось як забезпечується робота системи. Ви афіліюєте невеликий сайт, або електронну дошку оголошень, не має значення, підписуєте партнерську програму та отримуєте спеціальне посилання, яке розміщуєте на своїй інтернет-сторінці. Вона виглядає так:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Тут вказана конкретна партнерська програма, ваш партнерський ID, в даному випадку він дорівнює 100, і назва продукту, що продається. І якщо хтось кликає за цим посиланням, браузер направляє його в партнерську мережу, встановлює спеціальні кукіз, що відстежують, що зв'язують його з партнерським ID=100.
Set-Cookie: AffiliateID=100І перенаправляє на сторінку продавця. Якщо пізніше покупець купує якийсь товар протягом періоду часу X, який може становити день, годину, три тижні, будь-який обумовлений час, причому весь цей час кукіз продовжують існувати, то партнер отримує свої комісійні.
Ось що являє собою схема, завдяки якій партнерські компанії заробляють мільярди доларів, використовуючи ефективні SEO-тактики. Наведу приклад. На наступному слайді показано чек, зараз я його збільшу, щоб показати вам суму. Це чек від Google на 132 тисяч доларів. Прізвище цього джентльмена Шуман, він володіє мережею рекламних веб-сайтів. Це ще не всі гроші, Google виплачує такі суми раз на місяць або раз на 2 місяці.
Ще один чек від Google, я його збільшу, і ви побачите, що його виписано на суму 901 тисячу доларів.
Чи маю я запитати когось з приводу етичності таких способів заробітку? Мовчання в залі… Цей чек є оплатою за 2 місяці, тому що попередній чек був відхилений банком одержувача через надто велику суму виплати.
Отже, ми переконалися, що такі гроші можна зробити і ці гроші виплачуються. Як можна обіграти цю схему? Ми можемо використовувати прийом під назвою Cookie-Stuffing або «Начинка для печива». Це дуже проста концепція, яка з'явилася в 2001-2002 році, і на цьому слайді показано, як вона виглядала в 2002. Розкрию вам історію її появи.
Ніщо, окрім набридливих сервісних умов партнерських мереж, не вимагає, щоб користувач дійсно клікнув посилання, щоб його браузер підхопив кукіз з партнерським ID.
Ви можете автоматично завантажити цю URL-адресу, за якою зазвичай кликає користувач, у джерело зображення або тег iframe. При цьому замість посилання:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Ви завантажуєте це:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Або це:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>І коли користувач потрапить на вашу сторінку, він автоматично підхопить партнерський кукіз. При цьому незалежно від того, чи він купить щось надалі, ви отримаєте свої комісійні, перенаправили ви трафік чи ні – неважливо.
За останні кілька років це стало розвагою SEO хлопців, які розміщують подібний матеріал на дошках оголошень та розробляють усілякі сценарії, де ще розмістити свої посилання. Агресивні партнери зрозуміли, що можуть розміщувати свій код у будь-якому місці інтернету, а не лише на власних сайтах.
На цьому слайді ви бачите, що вони мають свої програми для Cookie-Stuffing, які допомагають користувачам виготовити свої «печива з начинкою». І це не одне кукіз, ви можете завантажити 20-30 ідентифікаторів партнерських мереж одночасно, і коли хтось щось купує, ви отримуєте за це гроші.
Невдовзі ці хлопці зрозуміли, що можуть розміщувати цей код на своїх сторінках. Вони відмовилися від міжсайтового скриптингу і просто почали розміщувати свої невеликі сніпети з HTML-кодом на дошках оголошень, у гостьових книгах, у соціальних мережах.
Приблизно до 2005 року торговці та партнерські мережі розібралися у тому, що відбувається, почали відслідковувати реферерів та рейтинг переходів за посиланнями та почали виганяти підозрілих партнерів. Наприклад, вони помічали, що користувач робить клік на сайті MySpace, але цей сайт належить зовсім іншій партнерській мережі, ніж та, що отримує законну вигоду.
Ці хлопці стали трохи мудрішими, і в 2007 році з'явився новий вид Cookie-Stuffing. Партнери почали розміщувати свій код на SSL сторінках. Згідно з Протоколом передачі гіпертексту RFC 2616, клієнти не повинні включати поле заголовка Referer в небезпечний HTTP-запит, якщо сторінка, що посилається, була перенесена з безпечного протоколу. Це пояснюється тим, що ви не хочете витоку цієї інформації з вашого домену.
З цього зрозуміло, що ніякий Referer, який надсилається партнеру, неможливо буде відстежити, тому головні партнери побачать порожнє посилання і не зможуть за це вигнати вас. Наразі шахраї отримали можливість безкарно виготовляти своє «печиво з начинкою». Правда, не кожен браузер дозволяє це зробити, але є багато інших способів зробити те ж саме, використовуючи автоматичне оновлення поточної сторінки браузера meta-refresh, метатеги або JavaScript.
У 2008 році вони стали використовувати більш потужні інструменти хакерів, такі як атаки переприв'язування — DNS rebinding, Gifar і шкідливий Flash-контент, здатні повністю зруйнувати існуючі моделі захисту. Потрібний деякий час, щоб з'ясувати, як їх можна використовувати, тому що хлопці, які займаються Cookie-Stuffing, не особливо просунуті хакери, вони просто агресивні маркетологи, які слабо розуміються на написанні кодів.
Продаж напівдоступної інформації
Отже, ми розглянули, як заробити 6-значні суми, а тепер перейдемо до семизначних. Нам потрібні великі гроші, щоб розбагатіти чи померти. Ми розглянемо, як можна заробити гроші, продаючи напівдоступну інформацію. Компанія Business Wire була дуже популярною кілька років тому, і вона все ще залишається важливою, ми бачимо її присутність на багатьох сайтах. Для тих, хто не знає, Business Wire надає послугу, яка полягає в тому, що зареєстровані користувачі сайту отримують потік актуальних прес-релізів від тисяч компаній. Прес-релізи направляються до цієї компанії різними організаціями, які іноді тимчасово потрапляють під заборону, або ембарго, тому інформація, наведена в цих прес-релізах, може вплинути на вартість акцій.
Файли прес-релізів завантажуються на веб-сервер Business Wire, але не лінкуються, доки не знято ембарго. Весь час веб-сторінки прес-релізів пов'язані з основним веб-сайтом, і користувачі повідомляються про них URL-адресами такого виду:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmТаким чином, ви, поки під ембарго, розміщуєте на сайті цікаві дані для того, щоб як тільки ембарго буде знято, користувачі негайно з ними ознайомилися. Ці посилання датуються та надсилаються користувачам електронною поштою. Як тільки термін заборони закінчиться, посилання спрацює та направить користувача на сайт, де розміщено відповідний прес-реліз. Перед тим, як надати доступ до веб-сторінки прес-релізу, система повинна переконатися, що користувач зайшов у систему законним чином.
Вони не перевіряють, чи маєте ви право ознайомитися з цією інформацією до того, як закінчиться термін ембарго, вам потрібно лише авторизуватися в системі. Поки що здається невинним, але якщо ви чогось не бачите, це не означає, що його там немає.
Естонська фінансова компанія Lohmus Haavel & Viisemann, зовсім не хакери, виявила, що веб-сторінки прес-релізів були названі передбачуваним чином і почала вгадувати ці URL. У той час як посилання можуть ще не існувати, тому що діє ембарго, це не означає, що хакер не може вгадати ім'я файлу і таким чином передчасно отримати доступ до нього. Даний метод спрацьовував тому, що єдина перевірка безпеки Business Wire полягала в тому, щоб користувач увійшов до системи легально, і нічого більше.
Таким чином, естонці отримували інформацію раніше, ніж закривався ринок, та продавали ці дані. Поки SEC не вистежили їх та не заморозили їм рахунки, вони встигли заробити на торгівлі напівдоступною інформацією 8 мільйонів доларів. Подумайте про те, що ці хлопці лише придивилися до того, як виглядають посилання, спробували відгадувати URL-адреси і зробили на цьому 8 мільйонів. Зазвичай у цьому місці я запитую аудиторію, чи вважати це законним чи незаконним, чи це стосується понять торгівлі чи ні. Але зараз я просто хочу звернути вашу увагу на те, хто це зробив.
Перш ніж ви спробуєте відповісти на ці запитання, я покажу наступний слайд. Це не має прямого відношення до шахрайства в Інтернеті. Український хакер зламав компанію Thomson Financial, постачальника аналітичної інформації для бізнесу, та вкрав дані про фінансове неблагополуччя компанії IMS Health за кілька годин до того, як ця інформація мала потрапити на фінансовий ринок. Те, що він винний у зломі, не викликає жодних сумнівів.
Хакер виставив ордери на продаж у сумі 42 тисячі доларів, зігравши до падіння ставок. Для України це величезна сума, тому хакер добре знав, на що йде. Раптове падіння курсу акцій принесло йому протягом кількох годин близько 300 тисяч доларів прибутку. Біржа вивісила "Червоний прапор", SEC заморозило кошти, помітивши, що щось йде не так, і почало розслідування. Проте суддя Наомі Рейс Бухвальд заявив, що кошти мають бути розморожені, оскільки Дорожко, що приписуються Дорожком, «крадіжка і торгівля» і «хакерство і торгівля» не порушують закони про цінні папери. Хакер не був співробітником цієї компанії, тому не порушив жодних законів про розголошення конфіденційної фінансової інформації.
Газета The Times припустила, що Департамент юстиції США просто вважав цю справу безперспективною через труднощі, пов'язані з отриманням згоди влади України на співпрацю у справі затримання злочинця. Тож цей хакер отримав 300 тисяч доларів дуже легко.
Тепер порівняйте це з попереднім випадком, коли люди заробили гроші, просто змінюючи URL-адреси посилань у своєму браузері та продаючи комерційну інформацію. Це досить цікаві, але не єдині способи заробити гроші на фондовій біржі.
Розглянемо пасивний збір інформації. Зазвичай після здійснення онлайн-покупки покупець отримує трек-код замовлення, який може бути послідовним або псевдопослідовним і виглядає приблизно так:
3200411
3200412
3200413
З його допомогою ви можете відстежити замовлення. Пентестери або хакери намагаються «прокрутити» URL-адреси, щоб отримати доступ до даних зробленого замовлення, що зазвичай містить особисту інформацію (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Прокручуючи номери, вони отримують доступ до номерів кредитних кард, адрес, імен та іншої особистої інформації покупця. Однак, нас цікавить не персональна інформація клієнта, а сам трек-код замовлення, нас цікавить пасивна розвідка.
Мистецтво робити висновки
Розглянемо «Мистецтво робити висновки». Якщо ви можете точно оцінити, скільки «замовлень» компанія обробляє на кінець кварталу, то, ґрунтуючись на історичних даних, можете дійти невтішного висновку, чи хороші її фінансові відносини й у який бік коливатиметься вартість її акцій. Наприклад, ви щось замовили або купили на початку кварталу, не важливо, а потім зробили нове замовлення наприкінці кварталу. За різницею номерів можна зробити висновок, скільки замовлень було оброблено компанією протягом цього періоду часу. Якщо йдеться про тисячу замовлень проти ста тисяч за аналогічний минулий період, ви можете припустити, що справи компанії погані.
Однак справа в тому, що часто ці порядкові номери можуть бути отримані без фактичного виконання замовлення або замовлення, яке було згодом скасовано. Сподіваюся, що ці номери не відобразяться у будь-якому випадку і послідовність продовжиться з номерів:
3200418
3200419
3200420
Таким чином, ви знаєте, що ви маєте можливість відстежити замовлення, і можете почати пасивно збирати інформацію з сайту, яку вони нам надають. Ми не знаємо, чи це законно чи ні, ми знаємо тільки, що це можна зробити.
Отже, ми з вами розглянули різні недоліки бізнес-логіки.
Трей Форд: атакуючі – це бізнесмени. Вони розраховують на окупність своїх інвестицій. Чим більше технологій, чим більший і складніший код, тим більше роботи потрібно зробити і тим більша ймовірність бути спійманим. Але існує багато дуже вигідних способів здійснити атаки без жодних зусиль. Бізнес-логіка - це гігантський бізнес, і у злочинців існує величезна мотивація для її злому. Недоліки бізнес-логіки – це основна мета злочинців і те, що не можна виявити, просто запустивши сканування чи провівши стандартне тестування у процесі забезпечення якості. У забезпеченні якості QA існує психологічна проблема, яку називають «схильність до підтвердження своєї точки зору», тому що, як і всі люди, ми хочемо знати, що ми маємо рацію. Тому потрібно проводити тестування у реальних умовах.
Необхідно тестувати все і вся, тому що не всі вразливості можна виявити на етапі розробки, аналізуючи код або навіть під час QA. Так що вам потрібно пройти через весь бізнес-процес і розробити всі заходи щодо його захисту. Багато можна почерпнути з історії, тому що деякі типи атак повторюються з часом. Якщо одного разу вночі вас розбудять через пікове навантаження на процесор, то ви можете припустити, що якийсь хакер знову намагається розшукати купони, що діють. Реальний спосіб розпізнати тип нападу - це спостерігати за активною атакою, тому що її розпізнавання на основі історії ліг буде надзвичайно важким завданням.
Джеремі Гроссман: ось що ми сьогодні дізналися.
Вгадування капчі може принести вам чотиризначну суму у доларах. Маніпуляції з платіжними онлайн-системами дадуть хакеру п'ятизначний прибуток. Зламування банків може принести вам прибуток, що оцінюється більш ніж п'ятизначною цифрою, особливо якщо ви проробите це не один раз.
Шахрайство в галузі електронної комерції дасть вам шестизначну суму грошей, а використання партнерських мереж – 5-6-значний або навіть семизначний прибуток. Якщо ви достатньо сміливі, то можете спробувати обдурити біржовий ринок і отримати більш ніж семизначну вигоду. А використання методу RSnake у конкурсах на кращу чихуахуа просто безцінно!
Ймовірно, нові слайди цієї презентації не потрапили на компакт-диск, тому ви зможете завантажити їх пізніше зі сторінки мого блогу. У вересні має відбутися конференція OPSEC, у якій я збираюся брати участь, і думаю, що нам вдасться спільно з ними створити якісь справді круті речі. А зараз, якщо у вас є питання, ми готові відповісти на них.
Небагато реклами 🙂
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, , 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com