I2P
Местный
I2P
Местный
- Статус
- Offline
- Регистрация
- 10 Апр 2018
- Сообщения
- 24
- Реакции
- 0
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Взлом кошелька Qiwi. Новый способ. Отключаем смс подтверждение.
Общая идея и объяснение сути уязвимости.
Это до сих пор не прикрыли и не прикроют, хотя, по моему мнению - это огромная дыра.
Это работает не только с киви, я хочу вам объяснить саму суть подобных уязвимостей.
У киви есть мобильное приложение, с помощью которого можно переводить деньги без подтверждения смс. Думаю, это понятно. Многие уже догадались о чём идёт речь? Что бы подключить мобильное приложение к кошельку нужен лишь код из смс. Меня удивило само содержание смс. (подробное содержание будет во второй части) там говорится об "авторизации в киви" и единственное, что палится, так это "авторизация через android", но в большинстве случаев мамонты на это забивают. Вообщем смс не палится
Я это всё к чему? Как можно этим воспользоваться?
Для начала нам понадобится сервер или хостинг, на него мы поставим авторизацию киви, но с дополнением.
Что будет на нашем хостинге?
первая страничка - обычная авторизация. Авторизацию желательно сделать с проверкой данных на валидность, тобеж если введенные данные неверны - просит ввести заного. Но это не обязательно.
После успешной авторизации будет вторая фейковай страничка с подобным содержанием: "Проверка безопасности, введите код из sms:"
Чуть ниже опишу зачем это.
Как только фейк фейк готов, нам нужно подменить dns у жертвы. имея доступ к компьютеру, сделать это несложно(можно даже через файл hosts или роутер), например через rat или написать батник.
Как это будет работать?
Нам нужен эмулятор андроид, ставим на него киви. Нам просто нужно подключить мобильное приложение, но жертва об этом не узнает)
Когда жертва зайдёт на киви со своего компухтера, то попадёт на наш фейк. Введёт данные, нам нужно быстренько их заполнить в приложении в эмуляторе, когда мамонт будет на второй страничке с "Введите код из смс", мы придумываем пин код, жертве отправится смс как раз на этом моменте. Жертва вводит код, вводим его в приложуху и у нас есть доступ к кошельку, мы можем спокойно перевести деньги себе. Все можно легко(нет) автоматизировать. Для жертвы это выглядит как простая проверка безопасности. "Авторизовался, выкинуло на проверку безопасности и пришёл какой-то код для авторизации, ввёл и перекинуло в кошелёк" только вот киви не предупреждает, что это подключение мобильного приложения
Есть ещё вариант с киви. Также думаю можно и с вебмани такое же замутить. Да, как сказал Патифон, можно и проще, но я пользовался этим вариантом вполне успешно, и стоит эту схему реализовать.
Идея которую легко реализовать !!!
Кому понравилось ставим ++ в Репу.
Буду признателен.
Общая идея и объяснение сути уязвимости.
Это до сих пор не прикрыли и не прикроют, хотя, по моему мнению - это огромная дыра.
Это работает не только с киви, я хочу вам объяснить саму суть подобных уязвимостей.
У киви есть мобильное приложение, с помощью которого можно переводить деньги без подтверждения смс. Думаю, это понятно. Многие уже догадались о чём идёт речь? Что бы подключить мобильное приложение к кошельку нужен лишь код из смс. Меня удивило само содержание смс. (подробное содержание будет во второй части) там говорится об "авторизации в киви" и единственное, что палится, так это "авторизация через android", но в большинстве случаев мамонты на это забивают. Вообщем смс не палится
Я это всё к чему? Как можно этим воспользоваться?
Для начала нам понадобится сервер или хостинг, на него мы поставим авторизацию киви, но с дополнением.
Что будет на нашем хостинге?
первая страничка - обычная авторизация. Авторизацию желательно сделать с проверкой данных на валидность, тобеж если введенные данные неверны - просит ввести заного. Но это не обязательно.
После успешной авторизации будет вторая фейковай страничка с подобным содержанием: "Проверка безопасности, введите код из sms:"
Чуть ниже опишу зачем это.
Как только фейк фейк готов, нам нужно подменить dns у жертвы. имея доступ к компьютеру, сделать это несложно(можно даже через файл hosts или роутер), например через rat или написать батник.
Как это будет работать?
Нам нужен эмулятор андроид, ставим на него киви. Нам просто нужно подключить мобильное приложение, но жертва об этом не узнает)
Когда жертва зайдёт на киви со своего компухтера, то попадёт на наш фейк. Введёт данные, нам нужно быстренько их заполнить в приложении в эмуляторе, когда мамонт будет на второй страничке с "Введите код из смс", мы придумываем пин код, жертве отправится смс как раз на этом моменте. Жертва вводит код, вводим его в приложуху и у нас есть доступ к кошельку, мы можем спокойно перевести деньги себе. Все можно легко(нет) автоматизировать. Для жертвы это выглядит как простая проверка безопасности. "Авторизовался, выкинуло на проверку безопасности и пришёл какой-то код для авторизации, ввёл и перекинуло в кошелёк" только вот киви не предупреждает, что это подключение мобильного приложения
Есть ещё вариант с киви. Также думаю можно и с вебмани такое же замутить. Да, как сказал Патифон, можно и проще, но я пользовался этим вариантом вполне успешно, и стоит эту схему реализовать.
Идея которую легко реализовать !!!
Кому понравилось ставим ++ в Репу.
Буду признателен.
