Взлом Qiwi [2022]

abstract

abstract

Пользователь
Закрытый раздел
Сообщения
76
Доброго времени суток!

В этой статье мы затронем тему безопасности Qiwi-кошельков, а именно, как злоумышленник может нагло стырить деньги с вашего счёта.

Но всё это исключительно в целях предостеречь вас от взлома, а не научить взламывать чужие аккаунты.

Установка:

Начнём с установки. Её можно произвести даже в Termux.

Сначала ставим необходимые для работы пакеты:

Далее качаем репозиторий:

Установка ngrok (для фишинга):


Запуск:

Переходим в директорию и запускаем:

5c043b7c33758abe99d1b.png




Использование:

В программе имеется 3 пункта для атаки:

Первый пункт позволяет запустить веб-версию управления счётом через Qiwi API.

Qiwi API - Это специальный токен, который можно раздобыть в настройках своего Qiwi-кошелька.



Вводим необходимые данные для перевода в соответствующие строки и наблюдаем за успешным переводом:
676c93fe7965d7841d3ef.png



Второй пункт отличается лишь способом управления:

5eeb46cd0efc7b32549cb.png




Третий пункт - фишинг

С помощью него можно создать фейковую страницу, чтобы узнать токен жертвы для использования первых двух пунктов.

Запускаем фишинг, а в другом терминале ngrok:

Переходим по получившейся ссылке в ngrok и видим такую шнягу:
9dd30594fe88f4606c3c8.png



1f2917986c354ebb14c73.png



0fa1768af81d9030889bc.png



(Если у вас не отображается ссылка на ngrok - попробуйте включить точку доступа и запустить заново)


Когда жертва введёт свои данные, они отобразятся в терминале.

Либо запускаем новую сессию и смотрим файл, в который сохраняются данные:


77b109a4dc4038f590967.png



Cпасибо за прочтение!


 
ну блять, жертва будет заходить на localhost тоже да? Выделенный адрес нужен, либо хотя бы быть в одной сети. Третья бесполезная хуйня.
 
Я не эксперт, но вроде смс там тоже нужен
 
ну как для примера локалхост приемлемый, я думаю
 
Но всё это исключительно в целях предостеречь вас от взлома, а не научить взламывать чужие аккаунты.

пфф, сирьезно?)
 
ну конечно же, это же информационный форум для изучения инфрмации
 
Данные способы очень старые.
Также если жертва усомнится в нашей фишинг ссылке и позже решит поменять пароль, по нашему токену нельзя будет перевести деньги, он автоматом удалится)
Также, через данный софт вы не сможете узнать точную сумму денег на кошельке.
Помню скидывал мне человек софт, где будет показана вся информация по счету на кошельке.
это - номер, сумма, какие-то входящие и исходящие переводы, а также можно было поставить скрипт на моментальное отправление денег на ваш кошелек.
т.е. у человека пустой кошелек, ему пришли деньги, софт это видит и отправляет на ваши реквизиты всю пришедшую сумму.
Вот такие вот дела, но для людей кто это не видел, возможно будет полезно ознакомиться.
 
при помощи токена и данных софтов, смс не потребуется
 
пиши в телеграмм , расскажу про что спросишь, если конечно сам об этом знать буду)
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху