Как крадут деньги с Qiwi в 2022, или кнопка БАБЛО!
Друзья, сегодня хотелось бы рассказать о том, как злоумышленники крадут деньги с Qiwi кошельков доверчивых пользователей, а так же о том, можно ли обезопасить себя от подобной мошеннической схемы. Перед началом напомню, что статья носит исключительно информативный характер и не призывает к действиям.
QIWI - один из старейших электронных кошельков, создать который, согласно информации на стартовой станице, проще, чем завязать шнурки. И это действительно так, нужен только номер телефона, после ввода которого, можно получать и отправлять денежные средства в интернете. Правда для раскрытия полного функционала, нужно пройти идентификацию.
Вход в QIWI кошелек, производится после ввода номера телефона и получения СМС подтверждения, если владелец подключил данный способ авторизации в настройках.
Поэтому, зная только номер телефона жертвы, хакеры ничего не получат, особенно учитывая то, что система безопасности QIWI, постоянно эволюционирует. Один из примеров - введение уникального токена пользователя.
Сегодня, API QIWI кошелька позволяет автоматизировать получение информации о счете клиента, и помогает быстрее проводить операции. С помощью токена, который генерируется для каждого пользователя по запросу на соответствующей странице сервиса, вы можете:
- Получать информацию о кошельке (статус, дата создания и прочее)
- Получать баланс кошелька
- Просматривать историю платежей
- Проводить платежи без SMS
- Управлять виртуальными картами
4 Пункт самый важный, так как он максимально упрощает денежные переводы, освобождая пользователя от необходимости ждать код из СМС на номер телефона, для перевода денег.
И я думаю, все уже догадались каким образом, злоумышленники могут получить доступ к чужому киви. Да-да, именно с помощью токена.
Теперь давайте поговорим о том, как именно они могут это сделать.
Способы получения токена злоумышленниками
Заключается первый способ, в банальной социальной инженерии
Социáльная инженерия — в контексте информационной безопасности — психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации. Следует отличать от понятия социальной инженерии в социальных науках — которое не касается разглашения конфиденциальной информации. Совокупность уловок с целью сбора информации, подделки или несанкционированного доступа, от традиционного «мошенничества» отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества
Например, неопытный пользователь выложил объявление о продаже какого-либо товара, заявив о желании принять за него деньги, переводом на электронный кошелек.
Наш продавец получает сообщение от заинтересованного человека. В ходе переписки покупатель говорит что готов приобрести товар, но для перевода денег, ему требуется токен кошелька нашего неопытного пользователя, который он любезно предоставляет.
После этого, наш продавец через пару минут обнаруживает, что все деньги на его кошельке, магическим образом исчезли. Да, он не давал номер телефона или пароль, однако все равно оказался жертвой.
Первый шаг мошенника - скачивание приложения Termux - эмулятора терминала для Android
Далее самый "сложный" шаг, а именно - ввод необходимых команд. Все они запускают различные службы и функции.
Хочешь снять блюр и узнать, какие команды вводить? Пиши админу
После этого, мошеннику остается лишь узнать токен жертвы и ввести его в терминал. Но как это сделать, если мы не продавец из первой теоретической ситуации, и никогда не передадим свой токен третьим лицам.
Тут на помощь злоумышленникам приходит старый добрый фишинг.
Злоумышленник вводит несколько команд, и получает готовую фишинг ссылку, перейдя по которой вы увидите фейковую страницу, которая полностью совпадает с официальным сайтом QIWI, но с одним маленьким отличием. Фейковым уведомлением, в котором говорится об акции, в которой можно быстро получить 2000 рублей от QIWI.
После нажатия на кнопку, вас просят ввести токен, для перечисления по нему халявных 2000 рублей прямиком на ваш счет. Однако если попасться на эту уловку и все-таки ввести токен в специальное поле, все ваши деньги уйдут к злоумышленникам.
Главной целью сегодняшней статьи, было донести до читателей, что даже с учетом бережного отношения к логину и паролю, которые вроде как являются единственным методом проникновения в тот или иной профиль, стать жертвой злоумышленников, может практически каждый человек.
А потому, хотелось бы напомнить хоть и банальные, но очень простые правила: Никогда и ни при каких обстоятельствах, не передавайте конфиденциальную информацию третьим лицам, внимательно читайте условия подключения "услуг для удобного обращения с банковскими и электронными счетами, а так же, внимательно проверяйте на каком сайте вы вводите данные от своей учетной записи. Берегите себя!
На этом все. Надеюсь, статья вам понравилась, и информация оказалась для вас полезной.
Ещё больше интересной информации 🧠 : @WEBDARKER