他们甚至讨论了让 UPS 司机与嫌疑人对峙的可能性。 现在让我们检查一下这张幻灯片上引用的内容是否合法?
当被问到“我应该退货还是为我从未订购过的商品付款?”时,联邦贸易委员会是这样回答的。 - “不。 如果您收到并非您订购的商品,您有合法权利接受它作为免费礼物。” 这听起来合乎道德吗? 我对此不予理睬,因为我不够聪明,无法讨论此类问题。
但有趣的是,我们看到了一种趋势,即我们使用的技术越少,我们赚的钱就越多。
联盟网络欺诈
杰里米·格罗斯曼: 这确实很难理解,但是这样你可以赚六位数的钱。 因此,您听到的所有故事都有真实的联系,您可以详细阅读。 最有趣的互联网欺诈类型之一是附属欺诈。 在线商店和广告商使用联属网络来吸引流量和用户到其网站,以换取从中获得的部分利润。
我要谈谈很多人多年来都知道的事情,但我找不到任何一个公开的参考资料来表明这种类型的骗局造成了多少损失。 据我所知,没有任何诉讼,也没有刑事调查。 我和制造业企业家交谈过,我和联属网络人员交谈过,我和黑猫交谈过 - 他们都相信诈骗者从联属网络营销人员那里赚了一大笔钱。
请相信我的话并回顾我在这些具体问题上所做的作业。 诈骗者利用特殊技术每月赚取 5 至 6 位数、有时甚至是 XNUMX 位数的金额。 如果不受保密协议的约束,这个房间里的人可以检查这一点。 所以我将向您展示它是如何工作的。 有几个参与者参与了这个计划。 您将了解下一代联盟“游戏”的全部内容。
该游戏涉及拥有网站或产品的商家,并根据用户点击、创建帐户、购买等向附属公司支付佣金。 当有人访问他的网站、点击链接、访问你的卖家网站并在那里购买东西时,你就需要向联属营销商付费。
下一个参与者是联属网络营销商,他们以每次点击费用 (CPC) 或将买家重定向到卖家网站的佣金 (CPA) 形式收取费用。
佣金意味着由于合作伙伴的活动,客户在卖家的网站上进行了购买。
买方是购买或认购卖方股份的人。
联盟网络提供连接和跟踪卖家、合作伙伴和买家活动的技术。 他们将所有玩家“粘合”在一起并确保他们的互动。
您可能需要几天或几周的时间才能弄清楚这一切是如何工作的,但不涉及复杂的技术。 联属网络和联属计划涵盖所有类型的贸易和所有市场。 谷歌、eBay、亚马逊都有,他们作为佣金代理的利益交叉,他们无处不在,而且不缺收入。 我相信您知道,即使您的博客的流量每个月也可以产生数百美元的利润,所以这个方案对您来说很容易理解。
这就是系统的工作原理。 您附属于一个小型网站或电子公告板,这并不重要,您签署了附属计划并收到一个放置在您的互联网页面上的特殊链接。 它看起来像这样:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>这显示了特定的联属计划、您的联属 ID(在本例中为 100)以及所销售产品的名称。 如果有人点击此链接,浏览器会将他重定向到联属网络,并安装特殊的跟踪 cookie,将他链接到联属 ID=100。
Set-Cookie: AffiliateID=100并重定向到卖家页面。 如果买方后来在 X 时间段(可以是一天、一小时、三周、任何商定的时间)内购买了某些产品,并且在此期间 cookie 继续存在,则联属会员将收到他的佣金。
这就是附属公司如何利用有效的搜索引擎优化策略赚取数十亿美元的方式。 让我举一个例子。 下一张幻灯片显示了收据,我现在将其放大以显示金额。 这是 Google 开出的一张 132 美元的支票。 这位先生的姓氏是舒曼,他拥有一个广告网站网络。 这还不是全部钱,Google 每个月或每 2 个月支付一次此类费用。
另一张来自 Google 的支票,我将其放大,你会看到它的价格为 901 美元。
我应该问别人这样赚钱的道德吗? 大厅里一片寂静……这张支票代表着2个月的付款,因为之前的支票因付款金额太大而被收款银行拒绝。
所以,我们看到这种钱是可以赚的,而且这个钱正在被支出。 你怎么能打败这个计划呢? 我们可以使用一种称为 Cookie-Stuffing 的技术。 这是一个非常简单的概念,出现在2001-2002年,这张幻灯片展示了它在2002年的样子。我会告诉你它出现的故事。
令人讨厌的联属网络服务条款要求用户实际单击链接,以便他们的浏览器获取联属 ID cookie。
您可以自动将此经常点击的 URL 加载到图像源或 iframe 标记中。 在这种情况下,而不是链接:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>你下载这个:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>或者这个:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>当用户登陆您的页面时,他将自动获取联属 cookie。 同时,无论他将来是否买东西,你都会收到你的佣金,无论你是否重定向流量 - 都没关系。
在过去的几年里,这已经成为 SEO 人员的一种消遣,他们在留言板上发布类似的材料,并为在其他地方放置链接开发各种场景。 积极进取的合作伙伴意识到他们可以将代码放置在互联网上的任何地方,而不仅仅是放置在自己的网站上。
在这张幻灯片中,您可以看到他们有自己的 Cookie 填充程序,可以帮助用户制作自己的“填充 cookie”。 而且它不仅仅是一个 cookie,您可以同时上传 20-30 个联属 ID,一旦有人购买商品,您就会获得报酬。
这些人很快意识到他们不必将此代码放在他们的页面上。 他们放弃了跨站点脚本编写,只是开始在留言板、留言簿和社交网络上发布带有 HTML 代码的小片段。
2005 年左右,商家和联属网络弄清楚了发生了什么,开始跟踪引荐来源和点击率,并开始踢出可疑的联属网络。 例如,他们注意到用户点击了 MySpace 网站,但该网站属于与获得合法利益的网站完全不同的联属网络。
这些人变得聪明了一点,2007 年,一种新型的 Cookie-Stuffing 出现了。 合作伙伴开始将他们的代码放置在 SSL 页面上。 根据超文本传输协议 RFC 2616,如果引用页面是从安全协议迁移而来,则客户端不应在不安全的 HTTP 请求中包含 Referer 标头字段。 这是因为您不希望此信息从您的域中泄露。
由此可见,发送给合作伙伴的任何 Referer 都将无法追踪,因此主要合作伙伴将看到一个空链接,并且无法将您踢出局。 现在,骗子有机会制作“夹心饼干”而不受惩罚。 确实,并非每个浏览器都允许您执行此操作,但还有许多其他方法可以使用浏览器对当前页面的自动刷新元刷新、元标记或 JavaScript 来执行相同的操作。
2008年,他们开始使用更强大的黑客工具,例如DNS重新绑定攻击、Gifar和恶意Flash内容,这些工具可以彻底破坏现有的安全模型。 弄清楚如何使用它们需要一段时间,因为 Cookie-Stuffing 的人并不是特别高级的黑客,他们只是激进的营销人员,几乎没有编码知识。
出售半可访问的信息
我们已经了解了如何赚取六位数的收入,现在让我们转向七位数的收入。 我们需要大笔钱才能致富或死亡。 我们将研究如何通过出售半可访问信息来赚钱。 美国商业资讯几年前非常流行,现在仍然很重要,我们在许多网站上都看到了它的身影。 对于那些不知道的人来说,美国商业资讯提供了一项服务,网站的注册用户可以通过该服务接收来自数千家公司的最新新闻稿。 新闻稿由各种组织发送给该公司,有时会受到临时禁令或禁运,因此这些新闻稿中包含的信息可能会影响股价。
新闻稿文件上传到美国商业资讯网络服务器,但在解除禁运之前不会链接。 一直以来,新闻稿网页都链接到主网站,并通过如下 URL 通知用户:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htm因此,当您处于禁运状态时,您可以在网站上发布有趣的数据,以便一旦禁运解除,用户就会立即熟悉它。 这些链接注明日期并通过电子邮件发送给用户。 禁令到期后,该链接将起作用并引导用户访问发布相应新闻稿的网站。 在授予访问新闻稿网页的权限之前,系统必须验证用户是否合法登录。
他们不会在禁运期满前检查您是否有权查看这些信息;您只需要登录系统即可。 到目前为止,它似乎无害,但仅仅因为你没有看到某些东西并不意味着它不存在。
爱沙尼亚金融服务公司 Lohmus Haavel & Viisemann(根本不是黑客)发现新闻稿网页以可预测的方式命名,并开始猜测这些 URL。 虽然由于禁运的实施,链接可能还不存在,但这并不意味着黑客无法猜测文件名,从而过早地访问它。 这种方法之所以有效,是因为美国商业资讯唯一的安全检查就是用户是否合法登录,除此之外别无其他。
因此,爱沙尼亚人在市场收盘前收到信息并出售该数据。 在 SEC 找到他们并冻结他们的账户之前,他们通过交易半公开信息赚取了 8 万美元。 想一想,这些人所做的只是查看链接的样子,尝试猜测 URL,并从中赚了 8 万美元。 通常在这一点上我会问听众这是否被视为合法或非法,是否被视为交易。 但现在我只想提请您注意是谁干的。
在您尝试回答这些问题之前,我将向您展示下一张幻灯片。 这与网络欺诈没有直接关系。 一名乌克兰黑客入侵了商业情报提供商 Thomson Financial,并在信息发布到金融市场前几个小时窃取了有关 IMS Health 财务困境的数据。 毫无疑问,他犯有黑客罪。
黑客在价格下跌之前下达了 42 美元的卖单。 对于乌克兰来说,这是一个巨大的数字,因此黑客很清楚他要做什么。 股价的突然下跌在几个小时内给他带来了约300万美元的利润。 该交易所发出了“危险信号”,美国证券交易委员会冻结了资金,注意到出现了问题,并开始调查。 然而,法官内奥米·雷斯·布赫瓦尔德表示,这些资金应该被解冻,因为多罗日科的“盗窃和交易”和“黑客和交易”指控并不违反证券法。 黑客不是该公司的员工,因此没有违反任何有关披露机密财务信息的法律。
《泰晤士报》表示,美国司法部只是认为此案是徒劳的,因为很难让乌克兰当局同意合作抓捕肇事者。 那么这个黑客很轻松就拿到了300万美元。
现在将其与之前的案例进行比较,即人们通过简单地更改浏览器中链接的 URL 并出售商业信息来赚钱。 这些都很有趣,但不是在证券交易所赚钱的唯一方法。
让我们考虑一下被动信息收集。 通常,在线购买后,买家会收到订单跟踪代码,该代码可以是顺序的或伪顺序的,如下所示:
3200411
3200412
3200413
有了它,您可以跟踪您的订单。 渗透测试人员或黑客尝试抓取 URL 以获取订单数据的访问权限,这些数据通常包含个人身份信息 (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417通过滚动浏览数字,他们可以访问买家的信用卡号码、地址、姓名和其他个人信息。 然而,我们对客户的个人信息不感兴趣,而是对订单跟踪代码本身感兴趣;我们对被动侦察感兴趣。
得出结论的艺术
考虑“推理的艺术”。 如果你能准确地估算出一家公司在季末处理了多少“订单”,那么,根据历史数据,你就可以推断出它的财务状况是否良好,以及它的股价将如何波动。 例如,你在季初订购或购买了一些东西,没关系,然后在季末又下了新订单。 根据数字的差异,可以推断出该公司在这段时间内处理了多少订单。 如果我们谈论的是一千个订单与上一时期的十万个订单,您可以假设该公司经营状况不佳。
然而,事实是,通常可以在没有实际完成订单或随后取消的订单的情况下获得这些序列号。 我希望这些数字在任何情况下都不会显示,并且序列将继续显示数字:
3200418
3200419
3200420
这样您就知道您有能力跟踪订单,并可以开始从他们向我们提供的网站被动收集信息。 我们不知道这是否合法,我们只知道这是可以做到的。
因此,我们研究了业务逻辑的各种缺点。
特雷·福特: 袭击者是商人。 他们期望获得投资回报。 技术越多,代码越大、越复杂,需要做的工作就越多,被抓住的可能性就越大。 但有许多非常有利可图的方法可以毫不费力地进行攻击。 业务逻辑是一项巨大的业务,犯罪分子有巨大的动机对其进行攻击。 业务逻辑缺陷是犯罪分子的主要目标,并且无法通过简单地运行扫描或作为质量保证流程的一部分执行标准测试来检测到。 QA 中有一个心理问题,称为“确认偏差”,因为像人类一样,我们想知道自己是对的。 因此,有必要在真实条件下进行测试。
有必要对所有的事情和每个人进行测试,因为并不是所有的漏洞都可以在开发阶段通过分析代码甚至在 QA 期间发现。 因此,您需要遍历整个业务流程并制定所有措施来保护它。 我们可以从历史中学到很多东西,因为某些类型的攻击会随着时间的推移而重复发生。 如果有一天晚上您被 CPU 峰值吵醒,您可以假设某个黑客再次试图追踪有效的折扣优惠券。 识别攻击类型的真正方法是观察主动攻击,因为根据日志历史记录来识别它是非常困难的。
杰里米·格罗斯曼: 这就是我们今天学到的内容。
猜测验证码可以为您赚取四位数的美元金额。 操纵在线支付系统将为黑客带来五位数的利润。 入侵银行可以为您带来超过五位数的利润,尤其是如果您多次这样做的话。
电子商务诈骗将为您带来六位数的收入,而使用联属网络将为您带来 5-6 位数甚至七位数的收入。 如果你足够勇敢,你可以尝试愚弄股市,获得七位数以上的利润。 在最佳吉娃娃犬比赛中使用 RSnake 方法简直是无价之宝!
本演示文稿的新幻灯片可能没有放入 CD,因此您可以稍后从我的博客页面下载它们。 我将参加 XNUMX 月份举行的 OPSEC 会议,我认为我们将能够与他们一起创造一些非常酷的东西。 现在,如果您有任何问题,我们随时准备回答。
一些广告🙂
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, , 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣: (适用于 RAID1 和 RAID10,最多 24 个内核和最多 40GB DDR4)。
戴尔R730xd便宜2倍? 只有这里 在荷兰! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 阅读
来源: habr.com