В прошлом году украинский банк из ТОП-10 пригласил меня протестировать свои системы интернет- и мобильного банкинга на предмет уязвимостей.
Первым делом я решил начать с отслеживания запросов мобильного приложения. С помощью Fiddler (Burp или Charles) я начал рассматривать каждый запрос приложения, выполняя по очереди все доступные в своём аккаунте операции. Мобильный банкинг не был защищён SSL-pinning, поэтому это не составило особого труда.
В GET и POST-запросах я пытался подменять параметры, чтобы получить искомое, но достаточно долго мне это не удавалось – я получал ошибки вида «Доступ запрещён». Однако я таки нашёл нужные мне запросы.
Мошенники, когда звонят доверчивым владельцам карт и представляются службой безопасности банка, заинтересованным покупателем, сотрудником госорганов или ещё кем-то важным, наверняка выбирают себе жертв, не тратя времени на тех клиентов, у кого мало средств на счету.
Оказывается, узнать баланс чужой карты очень просто.
Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи
Хакеры организовали перенаправление электронной почты и веб-трафика сразу нескольких платформ для торговли криптовалютой после того, как несколько раз провели успешные фишинговые атаки на сотрудников GoDaddy, крупнейшего в мире регистратора доменных имен.
Компания Group-IB обнаружила более 50 различных схем фейковых инвестпроектов и более 8 000 доменов, связанных с мошеннической инфраструктурой. Желающим быстро разбогатеть предлагают вкладываться в криптовалюты, покупку акций нефтегазовых компаний, золото, фармацевтику и другие «активы». На деле все оборачивается хищением денег свежеиспеченных инвесторов или данных их банковских карт. Большинство исследованных кейсов являются технически новыми «гибридными схемами» — в них наряду с традиционным фишингом используются фейковые мобильные приложения-терминалы, а так же звонки «личных консультантов».
Фото: thehackernews.com
