Konferensi BLACK HAT USA. Kaya atau mati: hasilkan uang di Internet menggunakan Black Hat. Bagian 1Konferensi BLACK HAT USA. Kaya atau mati: hasilkan uang di Internet menggunakan Black Hat. Bagian 2Mereka bahkan membahas kemungkinan membawa pengemudi UPS ke konfrontasi dengan tersangka. Mari kita periksa sekarang apakah yang dikutip pada slide ini sah.
Inilah jawaban Komisi Perdagangan Federal FTC untuk pertanyaan: "Apakah saya harus mengembalikan atau membayar barang yang tidak pernah saya pesan?" - "Tidak. Jika Anda menerima produk yang tidak Anda pesan, Anda memiliki hak hukum untuk menerimanya sebagai hadiah gratis. " Apakah itu terdengar etis? Saya mencuci tangan karena saya tidak cukup pintar untuk membahas masalah seperti itu.
Namun yang menarik, kita melihat tren di mana semakin sedikit teknologi yang kita gunakan, semakin banyak uang yang kita dapatkan.
Penipuan Internet Afiliasi
Jeremy Grossman: Ini benar-benar sangat sulit untuk dipahami, tetapi dengan cara ini Anda bisa mendapatkan jumlah uang enam digit. Jadi, untuk semua cerita yang Anda dengar, ada tautan nyata, dan Anda dapat membaca secara detail tentang semua ini. Salah satu jenis penipuan online yang paling menarik adalah penipuan afiliasi. Toko dan pengiklan online, melalui jaringan afiliasi, mengarahkan lalu lintas dan pengguna ke situs mereka dengan imbalan sebagian dari keuntungan yang dihasilkan dari ini.
Saya akan berbicara tentang sesuatu yang diketahui banyak orang selama bertahun-tahun, tetapi saya tidak dapat menemukan tautan publik tunggal yang akan menunjukkan berapa banyak kerugian yang ditimbulkan oleh jenis penipuan ini. Sejauh yang saya tahu, tidak ada tuntutan hukum, tidak ada investigasi kriminal. Saya berbicara dengan pengusaha yang terlibat dalam produksi, saya berbicara dengan orang-orang dari jaringan afiliasi, saya berbicara dengan Black Cats - mereka semua yakin bahwa scammer menghasilkan banyak uang dari kemitraan.
Saya meminta Anda untuk mengambil kata saya untuk itu dan berkenalan dengan hasil dari "pekerjaan rumah" yang saya selesaikan pada masalah-masalah khusus ini. Pada mereka, scammers “mengelas” 5-6 digit, dan kadang-kadang jumlah tujuh digit setiap bulan, menggunakan teknik khusus. Ada orang di ruangan ini yang dapat memverifikasi ini jika mereka tidak terikat oleh perjanjian kerahasiaan. Jadi, saya akan menunjukkan cara kerjanya. Beberapa pemain terlibat dalam skema ini. Anda akan melihat apa itu generasi baru game mitra.
Pedagang yang memiliki situs web atau produk berpartisipasi dalam permainan dan membayar komisi kepada mitra untuk klik pengguna, membuat akun, membeli, dan sebagainya. Dia membayar mitra bahwa seseorang mengunjungi situs webnya, mengklik tautannya, pergi ke situs web penjual Anda dan membeli sesuatu di sana.
Pemain berikutnya adalah mitra yang menerima uang dalam bentuk pembayaran untuk setiap klik (BPK) atau dalam bentuk komisi (CPA) untuk mengarahkan kembali pembeli ke situs web penjual.
Komisi menyiratkan bahwa sebagai hasil dari kegiatan mitra, pelanggan melakukan pembelian di situs web penjual.
Pembeli adalah orang yang melakukan pembelian atau berlangganan saham penjual.
Jaringan afiliasi menyediakan teknologi yang mengintegrasikan dan melacak aktivitas penjual, mitra, dan pembeli. Mereka “merekatkan” semua pemain bersama-sama dan memberikan interaksi mereka.
Anda mungkin perlu beberapa hari atau beberapa minggu untuk memahami cara kerjanya, tetapi tidak ada teknologi yang rumit. Jaringan afiliasi dan program afiliasi mencakup semua jenis perdagangan dan semua pasar. Google, EBay, Amazon memilikinya, kepentingan komisaris mereka bersinggungan, mereka ada di mana-mana dan tidak kekurangan penghasilan. Saya yakin Anda tahu bahwa bahkan lalu lintas dari blog Anda dapat menghasilkan untung beberapa ratus dolar setiap bulan, sehingga skema ini akan mudah untuk Anda pahami.
Begini cara sistem bekerja. Anda afiliasi situs kecil, atau papan buletin elektronik, tidak masalah, menandatangani program afiliasi dan mendapatkan tautan khusus yang Anda tempatkan di halaman web Anda. Dia terlihat seperti ini:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>
Ini adalah program afiliasi tertentu, ID afiliasi Anda, dalam hal ini 100, dan nama produk yang dijual. Dan jika seseorang mengklik tautan ini, browser mengirimkannya ke jaringan afiliasi, mengatur cookie pelacakan khusus, menautkannya ke nomor afiliasi = 100.
Set-Cookie: AffiliateID=100
Dan pengalihan ke halaman penjual. Jika nanti pembeli membeli beberapa produk selama periode waktu X, yang dapat berupa hari, jam, tiga minggu, waktu yang disepakati, dan selama ini cookie tetap ada, maka mitra menerima komisinya.
Ini adalah skema, berkat perusahaan afiliasi yang menghasilkan miliaran dolar menggunakan taktik SEO yang efektif. Saya akan memberi contoh. Slide berikutnya menunjukkan cek, sekarang saya akan menambahnya untuk menunjukkan jumlah. Ini adalah cek dari Google untuk 132 ribu dolar. Nama pria ini adalah Schumann, ia memiliki jaringan situs iklan. Ini bukan semua uang, Google membayar jumlah tersebut sebulan sekali atau setiap 2 bulan.
Cek lagi dari Google, saya akan meningkatkannya, dan Anda akan melihat bahwa itu dikeluarkan dalam jumlah 901 ribu dolar.
Haruskah saya bertanya kepada seseorang tentang etika cara menghasilkan seperti itu? Diam di aula ... Cek ini adalah pembayaran 2 bulan, karena cek sebelumnya ditolak oleh bank penerima karena terlalu banyak pembayaran.
Jadi, kami memastikan bahwa uang tersebut dapat dibuat, dan uang ini dibayar. Bagaimana Anda bisa mengalahkan skema ini? Kita dapat menggunakan teknik yang disebut Cookie-Stuffing, atau "Stuffing for Cookies." Ini adalah konsep yang sangat sederhana yang muncul pada 2001-2002, dan slide ini menunjukkan tampilannya pada tahun 2002. Saya akan menceritakan kisah penampilannya.
Hanya kondisi layanan yang mengganggu dari jaringan afiliasi yang mengharuskan pengguna benar-benar mengklik tautan agar browsernya mengambil cookie dengan ID afiliasi.
Anda dapat mengunduh URL ini secara otomatis, yang biasanya diklik pengguna, ke sumber gambar atau di tag iframe. Selain itu, alih-alih tautan:
<a href=”http://AffiliateNetwork/p? program=50&affiliate_id=100/”>really cool product!</a>
Anda memuat ini:
<img src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/”>
Atau apakah itu:
<iframe src=”http://AffiliateNetwork/p?program=50&affiliate_id=100/” width=”0” height=”0”></iframe>
Dan ketika pengguna membuka halaman Anda, ia akan secara otomatis mengambil cookie afiliasi. Pada saat yang sama, terlepas dari apakah dia membeli sesuatu di masa depan, Anda akan menerima komisi Anda, apakah Anda mengarahkan lalu lintas atau tidak - tidak masalah.
Selama beberapa tahun terakhir, ini telah menjadi hiburan bagi orang-orang SEO yang memposting materi serupa di papan buletin dan mengembangkan semua jenis skrip, di mana lagi memposting tautan mereka. Mitra agresif menyadari bahwa mereka dapat memposting kode mereka di mana saja di Internet, dan tidak hanya di situs mereka sendiri.
Pada slide ini, Anda melihat bahwa mereka memiliki program Cookie-Stuffing mereka sendiri yang membantu pengguna membuat "cookie mereka terisi." Dan ini bukan satu cookie, Anda dapat mengunduh 20-30 pengidentifikasi jaringan afiliasi pada saat yang bersamaan, dan begitu seseorang membeli sesuatu, Anda dibayar untuk itu.
Segera, orang-orang ini menyadari bahwa mereka mungkin tidak memposting kode ini di halaman mereka. Mereka menolak skrip lintas situs dan mulai memposting potongan kecil mereka dengan kode HTML di papan pesan, buku tamu, dan jejaring sosial.
Sekitar tahun 2005, pedagang dan jaringan afiliasi menemukan apa yang terjadi, mulai melacak rujukan dan rasio klik-tayang, dan mulai mengeluarkan mitra yang mencurigakan. Sebagai contoh, mereka memperhatikan bahwa pengguna mengklik situs MySpace, tetapi situs ini milik jaringan afiliasi yang sama sekali berbeda dari yang menerima manfaat yang sah.
Orang-orang ini sedikit lebih bijaksana, dan pada tahun 2007 jenis kue yang baru muncul. Mitra mulai menempatkan kode mereka di halaman SSL. Menurut Hypertext Transfer Protocol RFC 2616, klien tidak boleh menyertakan bidang tajuk Referer dalam permintaan HTTP yang tidak aman jika halaman referensi dimigrasikan dari protokol aman. Ini karena Anda tidak ingin membocorkan informasi ini dari domain Anda.
Dari sini jelas bahwa tidak ada Referer yang dikirim ke mitra dapat dilacak, sehingga mitra utama akan melihat tautan kosong dan tidak akan dapat menendang Anda keluar untuk ini. Sekarang scammers memiliki kesempatan untuk membuat "boneka kue" mereka dengan bebas dari hukuman. Benar, tidak setiap browser memungkinkan Anda melakukan ini, tetapi ada banyak cara lain untuk melakukan hal yang sama, menggunakan pembaruan meta-refresh halaman browser, tag meta atau JavaScript secara otomatis.
Pada tahun 2008, mereka mulai menggunakan alat peretas yang lebih kuat, seperti mengikat kembali serangan - DNS rebinding, Gifar dan konten Flash berbahaya, yang dapat menghancurkan model perlindungan yang ada. Butuh beberapa waktu untuk mencari tahu bagaimana menggunakannya, karena orang-orang yang terlibat dalam hal cookie bukanlah peretas yang sangat canggih, mereka hanya pemasar agresif yang kurang berpengalaman dalam menulis kode.
Penjualan informasi semi-tersedia
Jadi, kami melihat cara mendapatkan jumlah 6 digit, dan sekarang mari beralih ke jumlah tujuh digit. Kita butuh uang besar untuk menjadi kaya atau mati. Kami akan melihat bagaimana Anda dapat menghasilkan uang dengan menjual informasi yang tersedia. Business Wire sangat populer beberapa tahun yang lalu, dan masih tetap penting, kami melihat keberadaannya di banyak situs. Bagi mereka yang tidak tahu - Business Wire menyediakan layanan yang terdiri dari fakta bahwa pengguna terdaftar dari situs tersebut menerima aliran siaran pers yang relevan dari ribuan perusahaan. Siaran pers dikirimkan ke perusahaan ini oleh berbagai organisasi, yang kadang-kadang sementara dilarang atau diembargo, sehingga informasi dalam siaran pers ini dapat memengaruhi nilai saham.
File siaran pers diunggah ke server web Kawat Bisnis, tetapi jangan menautkan sampai embargo dicabut. Selama ini, halaman web siaran pers ditautkan ke situs web utama, dan pengguna diberi tahu oleh URL semacam ini:
http://website/press_release/08/29/2007/00001.html http://website/press_release/08/29/2007/00002.html http://website/press_release/08/29/2007/00003.htm
Jadi, saat Anda berada di bawah embargo, Anda memposting data menarik di situs sehingga segera setelah embargo diangkat, pengguna segera membiasakan diri dengan mereka. Tautan ini diberi tanggal dan diemail ke pengguna. Segera setelah larangan berakhir, tautan akan berfungsi dan akan mengarahkan pengguna ke situs tempat siaran pers terkait dikirimkan. Sebelum memberikan akses ke halaman web siaran pers, sistem harus memastikan bahwa pengguna telah masuk ke sistem secara legal.
Mereka tidak memeriksa apakah Anda memiliki hak untuk membiasakan diri dengan informasi ini sebelum batas waktu embargo, Anda hanya perlu masuk ke sistem. Tampaknya tidak berbahaya untuk saat ini, tetapi jika Anda tidak melihat sesuatu, itu tidak berarti bahwa dia tidak ada di sana.
Lohmus Haavel & Viisemann, sebuah perusahaan keuangan Estonia, bukan peretas sama sekali, menemukan bahwa halaman web siaran pers diberi nama dengan cara yang dapat diprediksi dan mulai menebak URL-URL ini. Walaupun tautan mungkin belum ada karena embargo sedang berlaku, ini tidak berarti bahwa peretas tidak dapat menebak nama file dan dengan demikian mendapatkan akses ke sana sebelum waktunya. Metode ini berfungsi karena satu-satunya pemeriksaan keamanan Business Wire adalah bahwa pengguna masuk secara legal, dan tidak lebih.
Dengan demikian, Estonia menerima informasi sebelum pasar tutup, dan menjual data ini. Sampai SEC melacak mereka dan membekukan akun mereka, mereka berhasil mendapatkan $ 8 juta dari perdagangan informasi yang tersedia. Pikirkan fakta bahwa orang-orang ini hanya melihat bagaimana tautannya terlihat, mencoba menebak URL dan menghasilkan 8 juta di dalamnya. Biasanya pada titik ini saya bertanya kepada audiens apakah itu dianggap legal atau ilegal, apakah merujuk pada konsep perdagangan atau tidak. Tapi sekarang saya hanya ingin menarik perhatian Anda kepada siapa yang melakukannya.
Sebelum Anda mencoba menjawab pertanyaan-pertanyaan ini, saya akan menunjukkan kepada Anda slide berikutnya. Ini tidak terkait langsung dengan penipuan online. Seorang peretas Ukraina meretas Thomson Financial, penyedia intelijen bisnis, dan mencuri kesulitan keuangan IMS Health beberapa jam sebelum itu seharusnya memasuki pasar keuangan. Tidak ada keraguan bahwa dia bersalah karena melanggar.
Peretas menempatkan pesanan penjualan dalam jumlah 42 ribu dolar, bermain sebelum jatuh taruhan. Untuk Ukraina, ini adalah jumlah yang sangat besar, sehingga peretas tahu betul apa yang dia lakukan. Penurunan tiba-tiba harga saham membawanya selama beberapa jam sekitar 300 ribu dolar laba. Pertukaran diposting Bendera Merah, SEC membeku dana, mencatat bahwa ada yang tidak beres, dan penyelidikan dimulai. Namun, Hakim Naomi Reis Buchwald menyatakan bahwa dana tersebut harus dibekukan, karena "pencurian dan perdagangan" dan "peretasan dan perdagangan" yang dikaitkan dengan Dorozhko tidak melanggar undang-undang sekuritas. Peretas itu bukan karyawan perusahaan ini, jadi dia tidak melanggar undang-undang tentang pengungkapan informasi keuangan rahasia.
Times menyarankan bahwa Departemen Kehakiman AS hanya menganggap kasus itu tidak menjanjikan karena kesulitan dalam memperoleh persetujuan dari otoritas Ukraina untuk bekerja sama dalam penangkapan kriminal. Jadi hacker ini mendapat 300 ribu dolar dengan sangat mudah.
Sekarang bandingkan ini dengan kasus sebelumnya ketika orang menghasilkan uang hanya dengan mengubah URL tautan di browser mereka dan menjual informasi komersial. Ini cukup menarik, tetapi bukan satu-satunya cara untuk menghasilkan uang di bursa saham.
Pertimbangkan pengumpulan informasi pasif. Biasanya, setelah melakukan pembelian online, pembeli menerima kode lagu untuk pesanan, yang dapat berurutan atau berurutan semu dan terlihat seperti ini:
3200411
3200412
3200413
Dengan itu, Anda dapat melacak pesanan Anda. Pentester atau peretas mencoba "menggulir" URL untuk mengakses data pesanan, biasanya berisi informasi pribadi (PII):
http://foo/order_tracking?id=3200415 http://foo/order_tracking?id=3200416 http://foo/order_tracking?id=3200417
Menggulir melalui angka, mereka mendapatkan akses ke nomor kartu kredit, alamat, nama dan informasi pribadi pembeli lainnya. Namun, kami tidak tertarik pada informasi pribadi klien, tetapi kode lagu dari pesanan itu sendiri, kami tertarik pada kecerdasan pasif.
Seni menggambar kesimpulan
Pertimbangkan "Seni menggambar kesimpulan." Jika Anda dapat secara akurat memperkirakan berapa banyak "pesanan" yang diproses perusahaan pada akhir kuartal, maka, berdasarkan data historis, Anda dapat menyimpulkan apakah urusan keuangannya baik dan ke arah mana nilai sahamnya akan berfluktuasi. Misalnya, Anda memesan atau membeli sesuatu di awal kuartal, itu tidak masalah, dan kemudian membuat pesanan baru di akhir kuartal. Dengan selisih angka, kita dapat menyimpulkan berapa banyak pesanan yang diproses oleh perusahaan selama periode waktu ini. Jika kita berbicara tentang seribu pesanan terhadap seratus ribu untuk periode yang sama, Anda dapat mengasumsikan bahwa urusan perusahaan itu buruk.
Namun, faktanya adalah bahwa seringkali nomor seri ini dapat diperoleh tanpa benar-benar memenuhi pesanan atau pesanan, yang kemudian dibatalkan. Saya berharap angka-angka ini tidak akan ditampilkan dalam kasus apa pun dan urutannya akan berlanjut dari angka-angka:
3200418
3200419
3200420
Dengan demikian, Anda tahu bahwa Anda memiliki kesempatan untuk melacak pesanan, dan Anda dapat mulai secara pasif mengumpulkan informasi dari situs yang mereka berikan kepada kami. Kami tidak tahu apakah ini legal atau tidak, kami hanya tahu itu bisa dilakukan.
Jadi, kami telah memeriksa berbagai kelemahan logika bisnis.
Trey Ford: para penyerang adalah pengusaha. Mereka mengandalkan pengembalian investasi mereka. Semakin banyak teknologi, semakin besar dan semakin kompleks kode, semakin banyak pekerjaan yang perlu Anda lakukan dan semakin besar kemungkinan untuk ditangkap. Tetapi ada banyak cara yang sangat bermanfaat untuk melakukan serangan tanpa usaha apa pun. Logika bisnis adalah bisnis raksasa, dan ada motivasi luar biasa bagi penjahat untuk melanggarnya. Kerugian dari logika bisnis adalah tujuan utama para penjahat dan ini adalah sesuatu yang tidak dapat dideteksi dengan hanya menjalankan pemindaian atau melakukan pengujian standar dalam proses penjaminan kualitas. Ada masalah psikologis dalam penjaminan kualitas QA, yang disebut sebagai "kecenderungan untuk mengkonfirmasi sudut pandang seseorang," karena, seperti semua jenis orang, kami ingin tahu bahwa kami benar. Karena itu, Anda perlu melakukan pengujian dalam kondisi nyata.
Hal ini diperlukan untuk menguji segalanya dan segalanya, karena tidak semua kerentanan dapat dideteksi pada tahap pengembangan dengan menganalisis kode, atau bahkan selama QA. Jadi, Anda harus melalui seluruh proses bisnis dan mengembangkan semua langkah untuk melindunginya. Banyak yang bisa dipelajari dari sejarah karena beberapa jenis serangan berulang dari waktu ke waktu. Jika Anda terbangun suatu malam karena beban puncak pada prosesor, maka Anda dapat mengasumsikan bahwa beberapa peretas lagi-lagi mencoba menemukan kupon diskon yang valid. Cara nyata untuk mengenali jenis serangan adalah dengan mengamati serangan aktif, karena mengenalinya berdasarkan riwayat log akan menjadi tugas yang sangat sulit.
Jeremy Grossman: Jadi, inilah yang kami pelajari hari ini.
Menebak captcha dapat memberi Anda jumlah dolar empat digit. Memanipulasi sistem pembayaran online akan mendatangkan untung lima digit bagi peretas. Bank peretasan dapat memberi Anda lebih dari lima digit laba, terutama jika Anda melakukan ini lebih dari sekali.
Penipuan e-commerce akan memberi Anda jumlah uang enam digit, dan menggunakan jaringan afiliasi akan memberi Anda untung 5-6 digit atau bahkan tujuh digit. Jika Anda cukup berani, Anda dapat mencoba membodohi pasar saham dan mendapatkan lebih dari laba tujuh digit. Dan menggunakan metode RSnake dalam kompetisi untuk chihuahua terbaik tidak ternilai harganya!
Kemungkinan besar, slide baru presentasi ini tidak muncul di CD, jadi Anda dapat mengunduhnya nanti dari halaman blog saya. Konferensi OPSEC akan berlangsung pada bulan September, di mana saya akan berpartisipasi, dan saya pikir kita akan dapat menciptakan beberapa hal yang sangat keren bersama mereka. Dan sekarang, jika Anda memiliki pertanyaan, kami siap menjawabnya.
Sedikit iklan :)
Terima kasih telah tinggal bersama kami. Apakah Anda suka artikel kami? Ingin melihat materi yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikan kepada teman Anda,
cloud VPS untuk pengembang mulai dari $ 4,99 ,
diskon 30% untuk pengguna Habr pada analog unik dari server entry-level yang kami ciptakan untuk Anda: Seluruh kebenaran tentang VPS (KVM) E5-2650 v4 (6 Core) 10GB DDR4 240GB SSD 1Gbps dari $ 20 atau bagaimana cara berbagi server? (opsi tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya kami yang memiliki
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV dari $ 199 di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mulai dari $ 99! Baca tentang
Cara Membangun Infrastruktur Bldg. kelas menggunakan server Dell R730xd E5-2650 v4 seharga 9.000 euro untuk satu sen?