Họ đã đi xa hơn khi thảo luận về khả năng để tài xế UPS đối đầu với nghi phạm. Bây giờ chúng ta hãy kiểm tra xem những gì được trích dẫn trên slide này có hợp pháp không?
Đây là những gì FTC nói khi được hỏi: "Tôi có nên trả lại hoặc thanh toán cho một mặt hàng mà tôi chưa bao giờ đặt hàng không?" - "KHÔNG. Nếu bạn nhận được một món hàng mà bạn không đặt hàng, bạn có quyền hợp pháp để nhận nó như một món quà miễn phí." Điều này nghe có vẻ đạo đức phải không? Tôi phủ nhận điều này vì tôi không đủ thông minh để thảo luận về những vấn đề như vậy.
Nhưng điều thú vị là chúng ta thấy có xu hướng càng sử dụng ít công nghệ thì chúng ta càng kiếm được nhiều tiền.
Lừa đảo Internet liên kết
Jeremy Grossman: điều đó thực sự rất khó hiểu, nhưng bạn có thể kiếm được sáu con số bằng cách này. Vì vậy, tất cả những câu chuyện bạn đã nghe đều có liên kết thực sự và bạn có thể đọc chi tiết về nó. Một trong những loại gian lận Internet thú vị nhất là gian lận liên kết. Các cửa hàng trực tuyến và nhà quảng cáo sử dụng mạng liên kết để thu hút lưu lượng truy cập và người dùng đến trang web của họ để đổi lấy một phần lợi nhuận nhận được từ việc này.
Tôi sắp nói về một điều mà nhiều người đã biết trong nhiều năm, nhưng tôi chưa thể tìm thấy một tài liệu tham khảo nào cho thấy loại lừa đảo này đã gây ra bao nhiêu tổn thất. Theo tôi biết thì không có vụ kiện tụng, điều tra hình sự nào cả. Tôi đã nói chuyện với các doanh nhân sản xuất, tôi đã nói chuyện với những người trong mạng lưới liên kết, tôi đã nói chuyện với Black Cats - tất cả họ đều tin rằng những kẻ lừa đảo đã kiếm được số tiền khổng lồ từ các chi nhánh.
Hãy tin lời tôi và xem lại bài tập về nhà tôi đã làm về những vấn đề cụ thể này. Những kẻ lừa đảo sử dụng chúng để kiếm các khoản tiền gồm 5-6 chữ số và đôi khi là bảy chữ số hàng tháng bằng cách sử dụng các kỹ thuật đặc biệt. Có những người trong phòng này có thể kiểm tra điều này nếu họ không bị ràng buộc bởi thỏa thuận bảo mật. Vì vậy tôi sẽ chỉ cho bạn cách nó hoạt động. Có một số người chơi tham gia vào kế hoạch này. Bạn sẽ thấy “trò chơi” liên kết thế hệ tiếp theo là gì.
Trò chơi liên quan đến một thương gia có trang web hoặc sản phẩm và trả hoa hồng cho các chi nhánh cho các nhấp chuột của người dùng, tạo tài khoản, mua hàng được thực hiện, v.v. Bạn trả tiền cho đơn vị liên kết khi ai đó truy cập trang web của anh ấy, nhấp vào liên kết, truy cập trang web của người bán và mua thứ gì đó ở đó.
Người chơi tiếp theo là đơn vị liên kết, người nhận tiền dưới dạng chi phí mỗi lần nhấp chuột (CPC) hoặc dưới dạng hoa hồng (CPA) để chuyển hướng người mua đến trang web của người bán.
Hoa hồng ngụ ý rằng do hoạt động của đối tác, khách hàng đã mua hàng trên trang web của người bán.
Người mua là người thực hiện mua hàng hoặc đăng ký mua cổ phần của người bán.
Mạng liên kết cung cấp các công nghệ kết nối và theo dõi hoạt động của người bán, đối tác và người mua. Họ “gắn kết” tất cả người chơi lại với nhau và đảm bảo sự tương tác của họ.
Bạn có thể mất vài ngày hoặc vài tuần để tìm ra cách thức hoạt động của nó nhưng không có công nghệ phức tạp nào liên quan. Mạng liên kết và chương trình liên kết bao gồm tất cả các loại hình giao dịch và mọi thị trường. Google, eBay, Amazon có họ, lợi ích của họ là đại lý hoa hồng giao nhau, họ có mặt ở khắp mọi nơi và không thiếu thu nhập. Tôi chắc rằng bạn biết rằng ngay cả lưu lượng truy cập từ blog của bạn cũng có thể tạo ra lợi nhuận hàng trăm đô la mỗi tháng, vì vậy bạn sẽ dễ hiểu kế hoạch này.
Đây là cách hệ thống hoạt động. Bạn liên kết một trang web nhỏ hoặc một bảng thông báo điện tử, không thành vấn đề, bạn đăng ký một chương trình liên kết và nhận được một liên kết đặc biệt mà bạn đặt trên trang Internet của mình. Nó trông như thế này:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Phần này hiển thị chương trình liên kết cụ thể, ID liên kết của bạn, trong trường hợp này là 100 và tên của sản phẩm đang được bán. Và nếu ai đó nhấp vào liên kết này, trình duyệt sẽ chuyển hướng người đó đến mạng liên kết, cài đặt các cookie theo dõi đặc biệt liên kết người đó với ID liên kết=100.
Set-Cookie: AffiliateID=100Và chuyển hướng đến trang của người bán. Nếu sau đó người mua mua một số sản phẩm trong khoảng thời gian X, có thể là một ngày, một giờ, ba tuần, bất kỳ thời gian nào đã thỏa thuận và trong thời gian này cookie vẫn tiếp tục tồn tại thì đơn vị liên kết sẽ nhận được hoa hồng của mình.
Đây là cách các công ty liên kết kiếm được hàng tỷ đô la bằng cách sử dụng các chiến thuật SEO hiệu quả. Tôi sẽ cho bạn một ví dụ. Slide tiếp theo hiển thị biên lai, bây giờ tôi sẽ phóng to nó để hiển thị cho bạn số tiền. Đây là tấm séc trị giá 132 USD của Google. Họ của quý ông này là Schumann và ông sở hữu một mạng lưới các trang web quảng cáo. Đây không phải là tất cả số tiền, Google trả số tiền như vậy mỗi tháng một lần hoặc 2 tháng một lần.
Một tấm séc khác từ Google, tôi sẽ phóng to nó và bạn sẽ thấy nó có giá 901 USD.
Tôi có nên hỏi ai đó về đạo đức kiếm tiền như thế này không? Sự im lặng trong hội trường... Tấm séc này thể hiện khoản thanh toán trong 2 tháng, vì tấm séc trước đó đã bị ngân hàng của người nhận từ chối do số tiền thanh toán quá lớn.
Vì vậy, chúng tôi đã thấy rằng loại tiền này có thể được tạo ra và số tiền này đang được chi trả. Làm thế nào bạn có thể đánh bại kế hoạch này? Chúng ta có thể sử dụng một kỹ thuật gọi là Nhồi Cookie. Đây là một khái niệm rất đơn giản xuất hiện vào năm 2001-2002 và slide này cho thấy nó trông như thế nào vào năm 2002. Tôi sẽ kể cho bạn câu chuyện về sự xuất hiện của nó.
Không có gì ngoài các điều khoản dịch vụ phiền phức của mạng liên kết yêu cầu người dùng thực sự nhấp vào một liên kết để trình duyệt của họ nhận cookie ID liên kết.
Bạn có thể tự động tải URL thường được nhấp này vào nguồn hình ảnh hoặc thẻ iframe. Trong trường hợp này, thay vì một liên kết:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>Bạn tải cái này về:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>Hoặc rằng:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>Và khi người dùng truy cập trang của bạn, anh ta sẽ tự động nhận cookie liên kết. Đồng thời, bất kể anh ta có mua thứ gì đó trong tương lai hay không, bạn sẽ nhận được hoa hồng, cho dù bạn có chuyển hướng lưu lượng truy cập hay không - điều đó không thành vấn đề.
Trong vài năm qua, điều này đã trở thành trò tiêu khiển của những người làm SEO đăng tài liệu tương tự lên bảng tin và phát triển tất cả các loại kịch bản về nơi khác để đặt liên kết của họ. Các đối tác tích cực nhận ra rằng họ có thể đặt mã của mình ở bất kỳ đâu trên Internet, không chỉ trên trang web của riêng họ.
Trong slide này, bạn có thể thấy rằng họ có các chương trình Nhồi Cookie của riêng họ để giúp người dùng tự tạo “bánh quy nhồi”. Và đó không chỉ là một cookie, bạn có thể tải lên 20-30 ID liên kết cùng lúc và ngay khi ai đó mua thứ gì đó, bạn sẽ được trả tiền cho việc đó.
Những người này sớm nhận ra rằng họ không cần phải đặt mã này lên trang của mình. Họ từ bỏ kịch bản chéo trang và chỉ đơn giản là bắt đầu đăng các đoạn mã nhỏ có mã HTML lên bảng tin, sổ lưu niệm và mạng xã hội.
Khoảng năm 2005, người bán và mạng lưới liên kết đã phát hiện ra điều gì đang diễn ra, bắt đầu theo dõi những người giới thiệu và tỷ lệ nhấp chuột, đồng thời bắt đầu loại bỏ những đơn vị liên kết đáng ngờ. Ví dụ: họ nhận thấy rằng một người dùng đã nhấp vào một trang MySpace, nhưng trang đó thuộc về một mạng liên kết hoàn toàn khác với mạng nhận được lợi ích hợp pháp.
Những người này đã khôn ngoan hơn một chút và vào năm 2007, một loại Bánh quy mới đã xuất hiện. Các đối tác bắt đầu đặt mã của họ trên các trang SSL. Theo Giao thức truyền siêu văn bản RFC 2616, khách hàng không nên đưa trường tiêu đề Người giới thiệu vào yêu cầu HTTP không an toàn nếu trang giới thiệu được di chuyển từ một giao thức an toàn. Điều này là do bạn không muốn thông tin này bị rò rỉ khỏi miền của mình.
Từ đó, rõ ràng là bất kỳ Người giới thiệu nào được gửi đến đối tác sẽ không thể theo dõi được, vì vậy các đối tác chính sẽ thấy một liên kết trống và sẽ không thể đuổi bạn ra ngoài vì điều đó. Giờ đây, những kẻ lừa đảo có cơ hội làm “bánh quy đầy” của mình mà không bị trừng phạt. Đúng, không phải mọi trình duyệt đều cho phép bạn thực hiện việc này, nhưng có nhiều cách khác để thực hiện điều tương tự bằng cách sử dụng tính năng tự động làm mới của trình duyệt đối với meta-refresh, thẻ meta hoặc JavaScript của trang hiện tại.
Năm 2008, họ bắt đầu sử dụng các công cụ hack mạnh mẽ hơn, chẳng hạn như tấn công khôi phục DNS, Gifar và nội dung Flash độc hại, có thể phá hủy hoàn toàn các mô hình bảo mật hiện có. Phải mất một thời gian để tìm ra cách sử dụng chúng vì những kẻ Nhồi Cookie không phải là những hacker đặc biệt lão luyện, họ chỉ là những nhà tiếp thị năng nổ với ít kiến thức về mã hóa.
Bán thông tin bán truy cập được
Vì vậy, chúng ta đã xem xét cách kiếm được số tiền 6 con số và bây giờ hãy chuyển sang số tiền XNUMX con số. Chúng ta cần số tiền lớn để trở nên giàu có hoặc chết. Chúng ta sẽ xem xét cách bạn có thể kiếm tiền bằng cách bán thông tin có thể truy cập được. Business Wire đã rất phổ biến cách đây vài năm và điều quan trọng là chúng tôi thấy sự hiện diện của nó trên nhiều trang web. Đối với những người chưa biết, Business Wire cung cấp dịch vụ theo đó những người dùng đã đăng ký của trang web sẽ nhận được luồng thông cáo báo chí cập nhật từ hàng nghìn công ty. Thông cáo báo chí được gửi đến công ty này bởi nhiều tổ chức khác nhau, đôi khi bị cấm hoặc cấm vận tạm thời, vì vậy thông tin trong các thông cáo báo chí này có thể ảnh hưởng đến giá cổ phiếu.
Các tập tin thông cáo báo chí được tải lên máy chủ web Business Wire nhưng không được liên kết cho đến khi lệnh cấm vận được dỡ bỏ. Trong khi đó, các trang web thông cáo báo chí được liên kết đến trang web chính và người dùng được thông báo về chúng bằng các URL như sau:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htmVì vậy, trong thời gian bạn đang bị cấm vận, bạn đăng những dữ liệu thú vị lên trang web để ngay khi lệnh cấm vận được dỡ bỏ, người dùng sẽ làm quen ngay với nó. Các liên kết này được ghi ngày và gửi cho người dùng qua email. Sau khi lệnh cấm hết hạn, liên kết sẽ hoạt động và hướng người dùng đến trang web nơi đăng thông cáo báo chí tương ứng. Trước khi cấp quyền truy cập vào trang web thông cáo báo chí, hệ thống phải xác minh rằng người dùng đã đăng nhập hợp pháp.
Họ không kiểm tra xem bạn có quyền xem thông tin này trước khi lệnh cấm hết hạn hay không, bạn chỉ cần đăng nhập vào hệ thống. Cho đến nay nó có vẻ vô hại, nhưng chỉ vì bạn không nhìn thấy thứ gì đó không có nghĩa là nó không ở đó.
Công ty dịch vụ tài chính của Estonia Lohmus Haavel & Viisemann, hoàn toàn không phải tin tặc, đã phát hiện ra rằng các trang web thông cáo báo chí được đặt tên theo cách có thể đoán trước được và bắt đầu đoán các URL đó. Mặc dù các liên kết có thể chưa tồn tại do lệnh cấm vận đang có hiệu lực, nhưng điều này không có nghĩa là tin tặc không thể đoán tên tệp và do đó có quyền truy cập vào tệp đó sớm. Phương pháp này hiệu quả vì cách kiểm tra bảo mật duy nhất của Business Wire là người dùng đã đăng nhập hợp pháp và không có gì khác.
Vì vậy, người Estonia đã nhận được thông tin trước khi thị trường đóng cửa và bán dữ liệu này. Cho đến khi SEC truy tìm và đóng băng tài khoản của họ, họ đã kiếm được 8 triệu USD từ việc giao dịch thông tin có thể truy cập được. Hãy nghĩ mà xem, tất cả những gì những người này làm là xem các liên kết trông như thế nào, cố gắng đoán các URL và kiếm được 8 triệu từ đó. Thông thường vào thời điểm này tôi sẽ hỏi khán giả xem việc này được coi là hợp pháp hay bất hợp pháp, liệu nó có được coi là một giao dịch hay không. Nhưng bây giờ tôi chỉ muốn thu hút sự chú ý của bạn về người đã làm điều này.
Trước khi bạn cố gắng trả lời những câu hỏi này, tôi sẽ cho bạn xem slide tiếp theo. Điều này không liên quan trực tiếp đến gian lận trực tuyến. Một hacker người Ukraine đã tấn công Thomson Financial, một nhà cung cấp thông tin kinh doanh và đánh cắp dữ liệu về tình trạng khó khăn tài chính của IMS Health vài giờ trước khi thông tin này được tung ra thị trường tài chính. Không có nghi ngờ gì rằng anh ta phạm tội hack.
Hacker đã đặt lệnh bán với số tiền 42 nghìn đô la, chơi trước khi tỷ giá giảm xuống. Đối với Ukraine, đây là một số tiền rất lớn nên hacker biết rõ mình đang dấn thân vào điều gì. Giá cổ phiếu giảm đột ngột đã mang lại cho anh khoản lợi nhuận khoảng 300 USD trong vòng vài giờ. Sàn giao dịch đưa ra “Cờ đỏ”, SEC đóng băng tiền khi nhận thấy có điều gì đó không ổn và bắt đầu một cuộc điều tra. Tuy nhiên, Thẩm phán Naomi Reis Buchwald cho biết các khoản tiền này sẽ không bị đóng băng vì các cáo buộc “trộm cắp và giao dịch” cũng như “hack và giao dịch” do Dorozhko quy cho không vi phạm luật chứng khoán. Hacker không phải là nhân viên của công ty này và do đó không vi phạm bất kỳ luật nào liên quan đến việc tiết lộ thông tin tài chính bí mật.
The Times cho rằng Bộ Tư pháp Hoa Kỳ chỉ đơn giản coi vụ việc là vô ích do gặp khó khăn trong việc thuyết phục chính quyền Ukraine đồng ý hợp tác truy bắt hung thủ. Vậy là hacker này kiếm được 300 nghìn đô la rất dễ dàng.
Bây giờ hãy so sánh điều này với trường hợp trước khi mọi người kiếm tiền bằng cách thay đổi URL của các liên kết trong trình duyệt của họ và bán thông tin thương mại. Đây là những cách khá thú vị nhưng không phải là cách duy nhất để kiếm tiền trên sàn chứng khoán.
Hãy xem xét việc thu thập thông tin thụ động. Thông thường, sau khi mua hàng trực tuyến, người mua sẽ nhận được mã theo dõi đơn hàng, mã này có thể là tuần tự hoặc giả tuần tự và trông giống như sau:
3200411
3200412
3200413
Với nó, bạn có thể theo dõi đơn hàng của mình. Pentesters hoặc tin tặc cố gắng thu thập dữ liệu URL để có quyền truy cập vào dữ liệu đơn đặt hàng, thường chứa thông tin nhận dạng cá nhân (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417Bằng cách cuộn qua các con số, họ có quyền truy cập vào số thẻ tín dụng, địa chỉ, tên và thông tin cá nhân khác của người mua. Tuy nhiên, chúng tôi không quan tâm đến thông tin cá nhân của khách hàng mà quan tâm đến chính mã theo dõi đơn hàng; chúng tôi quan tâm đến việc trinh sát thụ động.
Nghệ thuật rút ra kết luận
Hãy xem xét “Nghệ thuật suy luận”. Nếu bạn có thể ước tính chính xác số lượng “đơn đặt hàng” mà một công ty đang xử lý vào cuối quý, thì dựa trên dữ liệu lịch sử, bạn có thể suy ra liệu tình hình tài chính của công ty có tốt hay không và giá cổ phiếu của công ty sẽ biến động như thế nào. Ví dụ: bạn đặt hàng hoặc mua một thứ gì đó vào đầu quý, điều đó không thành vấn đề và sau đó đặt hàng mới vào cuối quý. Dựa trên sự khác biệt về số lượng, người ta có thể kết luận có bao nhiêu đơn hàng đã được công ty xử lý trong khoảng thời gian này. Nếu chúng ta đang nói về một nghìn đơn đặt hàng so với một trăm nghìn đơn hàng trong cùng kỳ trước, bạn có thể cho rằng công ty đang hoạt động kém hiệu quả.
Tuy nhiên, thực tế là thường có thể lấy được những số thứ tự này mà không thực sự hoàn thành đơn hàng hoặc đơn hàng sau đó bị hủy. Tôi hy vọng rằng những con số này sẽ không được hiển thị trong mọi trường hợp và chuỗi sẽ tiếp tục với các con số:
3200418
3200419
3200420
Bằng cách này, bạn biết mình có khả năng theo dõi đơn hàng và có thể bắt đầu thu thập thông tin một cách thụ động từ trang web mà họ cung cấp cho chúng tôi. Chúng tôi không biết điều đó có hợp pháp hay không, chúng tôi chỉ biết rằng điều đó có thể thực hiện được.
Vì vậy, chúng tôi đã xem xét những thiếu sót khác nhau của logic kinh doanh.
Trey Ford: những kẻ tấn công là doanh nhân. Họ mong đợi lợi tức đầu tư của họ. Càng có nhiều công nghệ, mã càng lớn và phức tạp thì càng cần phải làm nhiều việc hơn và khả năng bị bắt càng cao. Nhưng có nhiều cách rất có lợi để thực hiện các cuộc tấn công mà không cần nỗ lực nhiều. Logic kinh doanh là một công việc kinh doanh khổng lồ và có động cơ rất lớn để bọn tội phạm hack nó. Các lỗ hổng logic kinh doanh là mục tiêu hàng đầu của bọn tội phạm và là thứ không thể phát hiện được chỉ bằng cách chạy quét hoặc thực hiện kiểm tra tiêu chuẩn như một phần của quy trình đảm bảo chất lượng. Có một vấn đề tâm lý trong QA được gọi là "thiên vị xác nhận" bởi vì, giống như con người, chúng ta muốn biết mình đúng. Vì vậy, cần phải tiến hành thử nghiệm trong điều kiện thực tế.
Cần phải kiểm tra mọi thứ và mọi người, vì không phải tất cả các lỗ hổng đều có thể được phát hiện ở giai đoạn phát triển bằng cách phân tích mã hoặc thậm chí trong quá trình QA. Vì vậy bạn cần phải trải qua toàn bộ quá trình kinh doanh và xây dựng mọi biện pháp để bảo vệ nó. Có thể học được nhiều điều từ lịch sử vì một số kiểu tấn công nhất định được lặp đi lặp lại theo thời gian. Nếu một đêm nọ bạn bị đánh thức bởi sự tăng đột biến của CPU, bạn có thể cho rằng một số hacker lại đang cố gắng theo dõi các phiếu giảm giá hợp lệ. Cách thực sự để nhận biết kiểu tấn công là quan sát một cuộc tấn công đang hoạt động, bởi vì việc nhận dạng nó dựa trên lịch sử nhật ký sẽ vô cùng khó khăn.
Jeremy Grossman: vì vậy đây là những gì chúng ta đã học được ngày hôm nay.
Đoán hình ảnh xác thực có thể giúp bạn kiếm được số tiền gồm bốn chữ số. Thao túng hệ thống thanh toán trực tuyến sẽ mang lại cho hacker lợi nhuận năm con số. Việc hack ngân hàng có thể giúp bạn kiếm được lợi nhuận hơn năm con số, đặc biệt nếu bạn làm điều đó nhiều lần.
Lừa đảo thương mại điện tử sẽ mang lại cho bạn số tiền sáu con số, trong khi sử dụng mạng liên kết sẽ mang lại cho bạn 5-6 con số hoặc thậm chí bảy con số. Nếu đủ can đảm, bạn có thể thử đánh lừa thị trường chứng khoán và thu được lợi nhuận hơn bảy con số. Và việc sử dụng phương pháp RSnake trong các cuộc thi giành chú Chihuahua giỏi nhất đơn giản là vô giá!
Các slide mới cho bản trình bày này có thể chưa được đưa vào đĩa CD, vì vậy bạn có thể tải chúng xuống sau từ trang blog của tôi. Có một hội nghị OPSEC sắp diễn ra vào tháng XNUMX mà tôi sẽ tham dự và tôi nghĩ chúng tôi sẽ có thể tạo ra một số thứ thực sự thú vị với chúng. Bây giờ, nếu bạn có bất kỳ câu hỏi nào, chúng tôi sẵn sàng trả lời chúng.
Một số quảng cáo 🙂
Cảm ơn bạn đã ở với chúng tôi. Bạn có thích bài viết của chúng tôi? Bạn muốn xem nội dung thú vị hơn? Hỗ trợ chúng tôi bằng cách đặt hàng hoặc giới thiệu cho bạn bè, , Giảm giá 30% cho người dùng Habr trên một máy chủ tương tự duy nhất của máy chủ cấp đầu vào do chúng tôi phát minh ra dành cho bạn: (có sẵn với RAID1 và RAID10, tối đa 24 lõi và tối đa 40GB DDR4).
Dell R730xd rẻ gấp 2 lần? Chỉ ở đây ở Hà Lan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - từ $99! Đọc về
Nguồn: www.habr.com