他們甚至討論了讓 UPS 司機與嫌疑犯對峙的可能性。 現在讓我們檢查一下這張投影片上引用的內容是否合法?
當被問到「我應該退貨還是為我從未訂購過的商品付款?」時,聯邦貿易委員會是這樣回答的。 - 「不。 如果您收到並非您訂購的商品,您有合法權利接受它作為免費禮物。” 這聽起來合乎道德嗎? 我對此不予理睬,因為我不夠聰明,無法討論這類問題。
但有趣的是,我們看到了一種趨勢,我們使用的技術越少,我們賺的錢就越多。
聯盟網路詐欺
傑里米·格羅斯曼: 這確實很難理解,但是這樣你可以賺六位數的錢。 因此,您聽到的所有故事都有真實的聯繫,您可以詳細閱讀。 最有趣的網路詐欺類型之一是附屬詐欺。 線上商店和廣告商使用聯盟來吸引流量和用戶到其網站,以換取從中獲得的部分利潤。
我要談談很多人多年來都知道的事情,但我找不到任何一個公開的參考資料來表明這種類型的騙局造成了多少損失。 據我所知,沒有任何訴訟,也沒有刑事調查。 我和製造業企業家交談過,我和聯盟行銷人員交談過,我和黑貓交談過——他們都相信詐騙者從聯盟行銷人員那裡賺了巨額錢。
請相信我的話並回顧我在這些特定問題上所做的作業。 詐騙者利用特殊技術每月賺取 5 至 6 位數、有時甚至是 XNUMX 位數的金額。 如果不受保密協議的約束,這個房間裡的人可以檢查這一點。 所以我將向您展示它是如何工作的。 有幾個參與者參與了這個計劃。 您將了解下一代聯盟“遊戲”的全部內容。
遊戲涉及擁有網站或產品的商家,並根據用戶點擊、建立帳戶、購買等向附屬公司支付佣金。 當有人造訪他的網站、點擊連結、造訪你的賣家網站並在那裡購買東西時,你就需要向聯盟行銷人員付費。
下一個參與者是聯盟行銷商,他們以每次點擊費用 (CPC) 或將買家重新導向到賣家網站的佣金 (CPA) 形式收取費用。
佣金意味著由於合作夥伴的活動,客戶在賣家的網站上進行了購買。
買方是購買或認購賣方股份的人。
聯盟網路提供連接和追蹤賣家、合作夥伴和買家活動的技術。 他們將所有玩家「黏合」在一起並確保他們的互動。
您可能需要幾天或幾週的時間才能弄清楚這一切是如何運作的,但不涉及複雜的技術。 聯盟和聯盟計劃涵蓋所有類型的貿易和所有市場。 Google、eBay、亞馬遜都有,他們作為佣金代理的利益交叉,他們無處不在,而且不缺乏收入。 我相信您知道,即使您的部落格的流量每個月也可以產生數百美元的利潤,所以這個方案對您來說很容易理解。
這就是系統的工作原理。 您附屬於一個小型網站或電子公告板,這並不重要,您簽署了附屬計劃並收到一個放置在您的互聯網頁面上的特殊連結。 它看起來像這樣:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>這顯示了特定的聯盟計劃、您的聯盟 ID(在本例中為 100)以及所銷售產品的名稱。 如果有人點擊此鏈接,瀏覽器會將他重定向到聯盟網絡,並安裝特殊的跟踪 cookie,將他鏈接到聯屬 ID=100。
Set-Cookie: AffiliateID=100並且重新導向到賣家頁面。 如果買方後來在 X 時間段(可以是一天、一小時、三週、任何商定的時間)內購買了某些產品,並且在此期間 cookie 繼續存在,則聯屬會員將收到他的佣金。
這就是附屬公司如何利用有效的搜尋引擎優化策略賺取數十億美元的方式。 讓我舉一個例子。 下一張投影片顯示了收據,我現在將其放大以顯示金額。 這是 Google 開出的一張 132 美元的支票。 這位先生的姓氏是舒曼,他擁有一個廣告網站網路。 這還不是全部錢,Google 每個月或每 2 個月支付一次此類費用。
另一張來自 Google 的支票,我將其放大,你會看到它的價格為 901 美元。
我應該問別人這樣賺錢的道德嗎? 大廳裡一片寂靜……這張支票代表著2個月的付款,因為之前的支票因付款金額太大而被收款銀行拒絕。
所以,我們看到這種錢是可以賺的,而且這個錢正在被支出。 你怎麼能打敗這個計劃呢? 我們可以使用一種稱為 Cookie-Stuffing 的技術。 這是一個非常簡單的概念,出現在2001-2002年,這張投影片展示了它在2002年的樣子。我會告訴你它出現的故事。
令人討厭的聯盟服務條款要求用戶實際點擊鏈接,以便他們的瀏覽器獲取聯屬 ID cookie。
您可以自動將此經常點擊的 URL 載入到圖像來源或 iframe 標記中。 在這種情況下,而不是連結:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>你下載這個:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>或者那個:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”
width=”0” height=”0”></iframe>當使用者登陸您的頁面時,他將自動取得聯盟 cookie。 同時,無論他將來是否買東西,你都會收到你的佣金,無論你是否重定向流量 - 都沒關係。
在過去的幾年裡,這已經成為 SEO 人員的一種消遣,他們在留言板上發布類似的材料,並為在其他地方放置連結開發各種場景。 積極進取的合作夥伴意識到他們可以將程式碼放置在網路上的任何地方,而不僅僅是放置在自己的網站上。
在這張投影片中,您可以看到他們有自己的 Cookie 填充程序,可以幫助使用者製作自己的「填充 cookie」。 而且它不僅僅是一個 cookie,您可以同時上傳 20-30 個聯盟 ID,一旦有人購買商品,您就會獲得報酬。
這些人很快就意識到他們不必將此程式碼放在他們的頁面上。 他們放棄了跨網站腳本編寫,只是開始在留言板、留言簿和社交網路上發布帶有 HTML 程式碼的小片段。
2005 年左右,商家和聯盟網路弄清楚了發生了什麼,開始追蹤引薦來源和點擊率,並開始踢出可疑的聯盟。 例如,他們注意到使用者點擊了 MySpace 網站,但該網站屬於與獲得合法利益的網站完全不同的聯盟。
這些人變得聰明了一點,2007 年,一種新型的 Cookie-Stuffing 出現了。 合作夥伴開始將他們的程式碼放置在 SSL 頁面上。 根據超文本傳輸協定 RFC 2616,如果引用頁面是從安全協定遷移而來,則用戶端不應在不安全的 HTTP 請求中包含 Referer 標頭欄位。 這是因為您不希望此資訊從您的網域中洩露。
由此可見,發送給合作夥伴的任何 Referer 都將無法追踪,因此主要合作夥伴將看到一個空鏈接,並且無法將您踢出局。 現在,騙子有機會製作「夾心餅乾」而不受懲罰。 確實,並非每個瀏覽器都允許您執行此操作,但還有許多其他方法可以使用瀏覽器對當前頁面的自動刷新元刷新、元標記或 JavaScript 來執行相同的操作。
2008年,他們開始使用更強大的駭客工具,例如DNS重新綁定攻擊、Gifar和惡意Flash內容,這些工具可以徹底破壞現有的安全模型。 要弄清楚如何使用它們需要一段時間,因為 Cookie-Stuffing 的人並不是特別高級的駭客,他們只是激進的行銷人員,幾乎沒有編碼知識。
出售半可訪問的信息
我們已經了解如何賺取六位數的收入,現在讓我們轉向七位數的收入。 我們需要大筆錢才能致富或死亡。 我們將研究如何透過出售半可存取資訊來賺錢。 美國商業資訊幾年前非常流行,現在仍然很重要,我們在許多網站上都看到了它的身影。 對於那些不知道的人來說,美國商業資訊提供了一項服務,網站的註冊用戶可以透過該服務接收來自數千家公司的最新新聞稿。 新聞稿由各種組織發送給該公司,有時會受到臨時禁令或禁運,因此這些新聞稿中包含的資訊可能會影響股價。
新聞稿文件上傳到美國商業資訊網路伺服器,但在解除禁運前不會連結。 一直以來,新聞稿網頁都連結到主網站,並透過以下 URL 通知用戶:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htm因此,當您處於禁運狀態時,您可以在網站上發布有趣的數據,以便一旦禁運解除,用戶就會立即熟悉它。 這些連結註明日期並透過電子郵件發送給使用者。 禁令到期後,該連結將起作用並引導用戶訪問發布相應新聞稿的網站。 在授予存取新聞稿網頁的權限之前,系統必須驗證使用者是否合法登入。
他們不會在禁運期滿前檢查您是否有權查看這些資訊;您只需要登入系統。 到目前為止,它似乎無害,但僅僅因為你沒有看到某些東西並不意味著它不存在。
愛沙尼亞金融服務公司 Lohmus Haavel & Viisemann(完全不是駭客)發現新聞稿網頁以可預測的方式命名,並開始猜測這些 URL。 雖然由於禁運的實施,連結可能還不存在,但這並不意味著駭客無法猜測文件名,從而過早訪問它。 這種方法之所以有效,是因為美國商業資訊唯一的安全檢查就是使用者是否合法登錄,除此之外別無其他。
因此,愛沙尼亞人在市場收盤前收到資訊並出售該數據。 在 SEC 找到他們並凍結他們的帳戶之前,他們透過交易半公開資訊賺取了 8 萬美元。 想一想,這些人所做的只是查看連結的樣子,試著猜測 URL,並從中賺了 8 萬美元。 通常在這一點上我會問聽眾這是否被視為合法或非法,是否被視為交易。 但現在我只想提請您注意是誰幹的。
在您嘗試回答這些問題之前,我將向您展示下一張投影片。 這與網路詐欺沒有直接關係。 一名烏克蘭駭客入侵了商業情報提供者 Thomson Financial,並在資訊發佈到金融市場前幾個小時竊取了有關 IMS Health 財務困境的數據。 毫無疑問,他犯有黑客罪。
駭客在價格下跌之前下達了 42 美元的賣單。 對於烏克蘭來說,這是一個巨大的數字,因此駭客很清楚他要做什麼。 股價的突然下跌在幾個小時內為他帶來了約300萬美元的利潤。 該交易所發出了“危險信號”,美國證券交易委員會凍結了資金,並注意到出現了問題,並開始調查。 然而,法官內奧米·雷斯·布赫瓦爾德表示,這些資金應該被解凍,因為多羅日科的「盜竊和交易」和「駭客和交易」指控並不違反證券法。 駭客不是該公司的員工,因此沒有違反任何有關披露機密財務資訊的法律。
《泰晤士報》表示,美國司法部只是認為此案是徒勞無功的,因為很難讓烏克蘭當局同意合作逮捕肇事者。 那麼這個駭客很輕鬆就拿到了300萬美元。
現在將其與先前的案例進行比較,即人們透過簡單地更改瀏覽器中連結的 URL 並出售商業資訊來賺錢。 這些都很有趣,但不是在證券交易所賺錢的唯一方法。
讓我們考慮一下被動資訊收集。 通常,在線購買後,買家會收到訂單追蹤代碼,該代碼可以是順序的或偽順序的,如下所示:
3200411
3200412
3200413
有了它,您可以追蹤您的訂單。 滲透測試人員或駭客嘗試抓取 URL 以獲取訂單資料的存取權限,這些資料通常包含個人識別資訊 (PII):
http://foo/order_tracking?id=3200415
http://foo/order_tracking?id=3200416
http://foo/order_tracking?id=3200417透過滾動瀏覽數字,他們可以存取買家的信用卡號碼、地址、姓名和其他個人資訊。 然而,我們對客戶的個人資訊不感興趣,而是對訂單追蹤代碼本身感興趣;我們對被動偵察感興趣。
得出結論的藝術
考慮“推理的藝術”。 如果你能準確地估算出一家公司在季末處理了多少“訂單”,那麼,根據歷史數據,你就可以推斷出它的財務狀況是否良好,以及它的股價將如何波動。 例如,你在季初訂購或購買了一些東西,沒關係,然後在季末又下了新訂單。 根據數字的差異,可以推斷該公司在這段時間內處理了多少訂單。 如果我們談論的是一千個訂單與上一期的十萬個訂單,您可以假設該公司經營狀況不佳。
然而,事實是,通常可以在沒有實際完成訂單或隨後取消的訂單的情況下獲得這些序號。 我希望這些數字在任何情況下都不會顯示,並且序列將繼續顯示數字:
3200418
3200419
3200420
這樣您就知道您有能力追蹤訂單,並可以開始從他們向我們提供的網站被動收集資訊。 我們不知道這是否合法,我們只知道這是可以做到的。
因此,我們研究了業務邏輯的各種缺點。
特雷福特: 襲擊者是商人。 他們期望獲得投資回報。 技術越多,程式碼越大、越複雜,需要做的工作就越多,被抓到的可能性就越大。 但有許多非常有利可圖的方法可以毫不費力地進行攻擊。 業務邏輯是一項龐大的業務,犯罪者有巨大的動機對其進行攻擊。 業務邏輯缺陷是犯罪分子的主要目標,並且無法透過簡單地執行掃描或作為品質保證流程的一部分執行標準測試來檢測。 QA 中有一個心理問題,稱為“確認偏誤”,因為像人類一樣,我們想知道自己是對的。 因此,有必要在真實條件下進行測試。
有必要對所有的事情和每個人進行測試,因為並不是所有的漏洞都可以在開發階段通過分析程式碼甚至在 QA 期間發現。 因此,您需要遍歷整個業務流程並制定所有措施來保護它。 我們可以從歷史中學到很多東西,因為某些類型的攻擊會隨著時間的推移而重複發生。 如果有一天晚上您被 CPU 峰值吵醒,您可以假設某個駭客再次試圖追蹤有效的折扣優惠券。 識別攻擊類型的真正方法是觀察主動攻擊,因為根據日誌歷史記錄來識別它是非常困難的。
傑里米·格羅斯曼: 這就是我們今天學到的內容。
猜測驗證碼可以為您賺取四位數的美元金額。 操縱線上支付系統將為駭客帶來五位數的利潤。 入侵銀行可以為您帶來超過五位數的利潤,尤其是如果您多次這樣做的話。
電子商務詐騙將為您帶來六位數的收入,而使用聯盟將網路將為您帶來 5-6 位數甚至七位數的收入。 如果你夠勇敢,你可以試著愚弄股市,獲得七位數以上的利潤。 在最佳吉娃娃犬比賽中使用 RSnake 方法簡直是無價之寶!
本簡報的新投影片可能不會放入 CD,因此您可以稍後從我的部落格頁面下載它們。 我將參加 XNUMX 月舉行的 OPSEC 會議,我認為我們將能夠與他們一起創造一些非常酷的東西。 現在,如果您有任何問題,我們隨時準備回答。
一些廣告🙂
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, , 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣: (適用於 RAID1 和 RAID10,最多 24 個內核和最多 40GB DDR4)。
戴爾R730xd便宜2倍? 只有這裡 在荷蘭! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 閱讀
來源: www.habr.com