• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья О мошенничестве с API-qiwi или как не стать очередной жертвой мошенника?!

DeathDay

DeathDay

Member
18.04.2019
21
89
Привет! Сегодня расскажу о популярной платёжной системе Qiwi. Относительно недавно (если сравнить с появлением Windows 95), Qiwi запустила сервис под названием Qiwi API, который, как я понял, предназначен для управления балансом и кошельком с помощью токенов.

Естественно, всё делалось только во благо и для повышения удобства. Так вот, таким образом я вас подвёл к одной из самых простых сфер мошенничества, которая базируется только на наивности самих жертв и навыках СИ злоумышленника.

Однажды я тоже стал жертвой подобного рода мошенничества. Всё началось с безобидного объявления о продаже. Мне написал покупатель, попросил войти в положение, мол, он готов заплатить первым, но у него имеется только наличка, а банкомат не работает через номер кошелька. Конечно, мне это показалось странным, но он был слишком убедителен и я дал ему свой токен. Через несколько минут с моего баланса были сворованы 8000 гривен (примерно 16000 рублей).

А теперь от рассказов к практике. Чтобы защитится от подобного - нужно знать простейшую механику и логику действий злоумышленников.

Дисклеймер:

Эта статья ни в коем случае не является побуждениям к действию, в ней прямым текстом не написано "сделай так же, ведь можно обманом заработать деньги". Нет, всё написанное предоставлено только в ознакомительных целях, для формирования базовых навыков по распознанию действий злоумышленников и мошеннических схем.

Итак, что вообще может сделать токен? Какие возможности управления счётом предоставляет qiwi владельцу этого чуда? Cо слов платежной системы, при помощи Api-ключа можно:
  • Просматривать подробную информацию о кошельке.
  • Получать баланс кошелька.
  • Просматривать историю платежей.
  • Проводить платежи без СМС.
Практически полный доступ откроется мошеннику после получения токена. Но это не всё: какой-то умник умудрился написать Python-скрипт для снятия денег через этот же токен без использования СМС и каких-либо оповещений.

Установка его достаточно проста. Провести инсталл необходимой библиотеки можно с помощью команды:
Код:
pip install SimpleQIWI
О мошенничестве с API-qiwi или как не стать очередной жертвой мошенника?!


А скачать сам репозиторий со скриптом можно здесь.
Код:
https://github.com/Emberium/SimpleQIWI
С процессом самого снятия разберется даже школьник. Достаточно иметь Kali Linux или же Windows с установленным Питоном. После некоторых правок в самом скрипте, под видом замены номера кошелька и токена, можно спокойно обнулять чей-нибудь баланс.

О мошенничестве с API-qiwi или как не стать очередной жертвой мошенника?!


Я более чем уверен, что эту статью прочтёт какой-то школьник Петя с классом образования, и у него родится мысль: как заработать на айфон. Чтобы уберечь от таких Петь, подробной инструкции не будет, ведь наша цель никак не обнулить баланс ещё одного бедняги, а напротив, научиться противодействовать этому.

Теперь давайте подведём итоги:

Естественно, не давать никому свой токен, а тем более не вестись на предлоги по поводу передачи Api-ключа, ведь злоумышленнику достаточно заполучить его, чтобы обнулить ваш баланс в считанные секунды. Кстати, насколько мне известно, ВК тоже имеет свой токен, с помощью которого можно получить доступ к аккаунту, а там уже и к ВКпей. Будьте умнее, не идите на предлоги мошенников. Первым и единственным пунктом в списке противодействия таким людям является обычное понимание подобных схем. Если у вас просят токен, то знайте: вас хотят кинуть.

Если есть желание, то поздравьте меня с дебютом в качестве автора на codeby. Пока что такая мелочь, но в разработке глобальная статья по сравнению большого количества способов получения доступа к ПК, обозрения их надёжности, анонимности и эффективности. Рассмотрим защиту и противодействие этим способам, ведь чтобы защититься, нужно понять сам механизм и принцип работы.
 
I

inVoker

New member
17.04.2019
1
0
Я про это слышал пару месяцев назад. Неужели не пофиксили?
 
deadroot

deadroot

Well-known member
06.01.2019
60
134
Вы говорите про то, что если взять API ключ от своего аккаунта (или где-то взять его), то можно кому-то переводить деньги? Крутое мошенничество уровня /b ;)
Ооооокей, вот ссылка на описание этого функционала API (код из вашего ). И ничего тут особенного я тут не вижу
 
DeathDay

DeathDay

Member
18.04.2019
21
89
Вы говорите про то, что если взять API ключ от своего аккаунта (или где-то взять его), то можно кому-то переводить деньги? Крутое мошенничество уровня /b ;)
Ооооокей, вот ссылка на описание этого функционала API (код из вашего ). И ничего тут особенного я тут не вижу
В чём, собственно, заключена суть вопроса ? Скрипт позволяет обнулять баланс через API-tocken,без предварительного подтверждения с помощью СМС.
 
C

Citizen0

Well-known member
07.02.2017
196
219
без предварительного подтверждения с помощью СМС.
Какие смс, если сами же написали
  • Проводить платежи без СМС.
А если прочитать, что такое "Проводить платежи без СМС", то это
  • Проведение платежей без SMS - разрешает выполнение без подтверждения по SMS (независимо от настроек ), , использование
 
dodik

dodik

Member
29.05.2019
6
4
Госпаде, а че банкоматы по токенам могут оплачивать?) Как на такое повелся то?))
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб