Нет, чтобы завтра в дверь не стучали с вопросом «откуда бабки?»
the most useful info i got today thanks for sharing this case it seems we can pass fraud scoring as it's the most important , also this can be added in banking trojans to be detected i think i should do same pentesting on some bank apps and web serversA friend reverse engineered the apk of one CIS bank (for p2p automation), and there, when transferring, if the contact was signed as ("mom", "dad", etc.), a bunch of functionality was skipped, such as hidden limits, fraud scoring, etc. Most likely, this is the case in most banks, not necessarily in the apk client, such a check can be on the server. Think about it
Нет, надо чтобы отправитель так подписал получателя. Может быть небольшой лайфхак для обменников, p2p мерчантов и форумных менял https://xss.pro/threads/130828/ . Да и походу такое во многих банках есть даже забугорных, хз надо тестить.
Не там просто некоторые rpc скипались и вызывались другие - на клиенте такая проверка наверно чтобы не отправлять личные данные (список контактов) на сервер без спроса. Сама суть в том что банк ведет себя по другому если переводы между родственниками. Не знаю как другие банки это мониторят - может просто список контактов без спроса на сервер отправляют и составляют какой то граф родственных связей. Потому что фамилия только иногда совпадает только у матери и сына допустим, а запись в контактах с ключевыми словами "мать мама отец папа сестра брат" (особенно если подписаны взаимно-наоборот) более полную картину дает. Надо тестить на реальных переводах на длинной дистанции, возможно если перед открытием приложения банка добавить контакты друг друга и подписать "мама сын" - переводы будут более "понятные" для банка и меньше будет заморозок и блоков
надо будет попробовать нарисовать себе баланс с помощью ArtMoney и отправить его кому-нибудь.мне пару триллионов не забудьте накинуть за наводку
