• XSS.stack #1 – первый литературный журнал от юзеров форума

Банкинг.

Отслеживать

Obsession

HDD-drive
Пользователь
Регистрация
20.03.2020
Сообщения
35
Реакции
21
Листаю форум, и всё чаще вижу обьявления о работе с андроид ботами и прочее. ПК банкинг всегда подразумевал более крупные суммы и не только, почему же всё загнивает? То ли порог входа для написания нормального софта слишком высок, и все идут кодить под андройд, то ли моё виденье этого ошибочно. Куда делись соответствующие предложения? Кто что думает?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Obsession сказал(а):
ПК банкинг всегда подразумевал более крупные суммы и не только, почему же всё загнивает?
Я не знаю за андройд, но по винде - порог входа неимоверно высок, проще говнолокеры клепать.
Ты же себя позиционируешь как виндовс кодера, должен понимать.
 
Quake3 сказал(а):
Я не знаю за андройд, но по винде - порог входа неимоверно высок, проще говнолокеры клепать.
Ты же себя позиционируешь как виндовс кодера, должен понимать.
Да. Но есть множество примеров попроще. Почему никто не может подключить фантазию, и сделать как автор того-же бэксвапа? Это более, чем окупается. Вот те же расширения под браузеры, их можно тихо поставить ( без патча бинарников ), получив возможность инжектировать, граббить формы и не только. Деградация пошла...
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Obsession сказал(а):
Почему никто не может подключить фантазию, и сделать как автор того-же бэксвапа? Это более, чем окупается. Вот те же расширения под браузеры, их можно тихо поставить ( без патча бинарников ), получив возможность инжектировать, граббить формы и не только
Кстати , был такой продукт лет 5-7 назад, даже тут продавался, не знаю, чем оно закончилось, и как щас с этим обстоят дела. Хром же вроде сделал какой-то апдейт по безопасности (еще около адблок были дебаты, подробнее не скажу), ишак умер, а в едже все иначе. Насколько это сейчас актуально, вот в чем вопрос.
 
Quake3 сказал(а):
Кстати , был такой продукт лет 5-7 назад, даже тут продавался, не знаю, чем оно закончилось, и как щас с этим обстоят дела. Хром же вроде сделал какой-то апдейт по безопасности (еще около адблок были дебаты, подробнее не скажу), ишак умер, а в едже все иначе. Насколько это сейчас актуально, вот в чем вопрос.
Хромоподобные браузеры используются в большинстве. Под них и лису это реализовать точно возможно. Как вариант, банально ставить нулевую opacity, и кликами ставить расширение. Где-то видел статью о патчинге конфигурационных файлов хрома, если найду вновь, заброшу сюда - тоже неплохой вариант. Единственный вопрос с Edge, да. Но я уверен, что и тут можно что-то придумать.
 
Obsession сказал(а):
Листаю форум, и всё чаще вижу обьявления о работе с андроид ботами и прочее. ПК банкинг всегда подразумевал более крупные суммы и не только, почему же всё загнивает? То ли порог входа для написания нормального софта слишком высок, и все идут кодить под андройд, то ли моё виденье этого ошибочно. Куда делись соответствующие предложения? Кто что думает?
Потому, что можно получить доступ к СМС и скрывать нужные смс банка от КХ
 
Quake3 сказал(а):
Я не знаю за андройд, но по винде - порог входа неимоверно высок, проще говнолокеры клепать.
Ты же себя позиционируешь как виндовс кодера, должен понимать.
Интересно что думаешь по поводу идеального банкбота, если не брать одеи, что видишь «топового» из относительно паблик технологий в банкботе? Что бы являлось для тебя ключевым фактором в формировании твоего мнения?
 
Банкбот априори не может быть топовым. Учитывая то, что в реалиях 2020 по домохозяйкам работать смысла не имеет, остаётся лишь грузить корп инсталлы. Тут скорее дело в связях и команде, а не непосредственно в функциональных наворотах.
 
Obsession сказал(а):
Банкбот априори не может быть топовым. Учитывая то, что в реалиях 2020 по домохозяйкам работать смысла не имеет, остаётся лишь грузить корп инсталлы. Тут скорее дело в связях и команде, а не непосредственно в функционале и наворотах.
Меня с технической точки зрения интересует. В чем видят люди перспективу. Техник как бы дохрена знаю, и по закрепу и по доставке и по инжектам и по обходам ав. И кое какие свои впечатления и точка зрения есть. Интересна точка зрения ещё других людей, кто в этом варится. О ней обычно пишут вскользь, с минимумом конкретики и, зачастую, мнения о техниках формируются от противного. Хотелось бы почитать больше.
 
Haunt сказал(а):
Меня с технической точки зрения интересует. В чем видят люди перспективу. Техник как бы дохрена знаю, и по закрепу и по доставке и по инжектам и по обходам ав. И кое какие свои впечатления и точка зрения есть. Интересна точка зрения ещё других людей, кто в этом варится. О ней обычно пишут вскользь, с минимумом конкретики. Хотелось бы почитать больше.
Стабильное инжектирование ( с обработкой http2, естественно ), внц, модульная система. Больше по сути ничего и не нужно. 90 процентов подобного софта всё решают модификацией командной строки браузера ( --disable-http2 ), при этом лишая себя дополнительного профита.
 
Obsession сказал(а):
Стабильное инжектирование ( с обработкой http2, естественно ), внц, модульная система. Больше по сути ничего и не нужно.
то, что ты описал - это с точки зрения потребителя. Подводных намного больше на деле
 
Если смотреть с технической - тут основная проблема инжектирование. Вариантов не так уж и много, либо извраты с расширениями и прочим, либо инжектирование в процесс со всем последующим. Ты можешь либо заюзать самый лайтовый метод, похукать сокеты, и гнать трафик через свой локальный прокси сервер, либо сплайсить ssl. В случае со сплайсингом ssl это будет работать быстрее в разы, однако это не стабильно.
 
Obsession сказал(а):
Если смотреть с теънической - тут основная проблема инжектирование. Вариантов не так уж и много, либо извраты с расширениями и прочим, либо инжектирование в процесс со всем последующим. Ты можешь либо заюзать самый лайтовый метод, похукать сокеты, и гнать трафик через свой локальный прокси сервер, либо сплайсить ssl. В случае со сплайсингом ssl это будет работать быстрее в разы, однако это не стабильно.
Ммм забинженный митм сервер на какой то локальный порт + добавление в хранилище своих сертов + установка твоего прокси сервера в браузеры на тачке. Все. Не? Потом инжект в страницу js. На респонсе
 
Haunt сказал(а):
Ммм забинженный митм сервер на какой то локальный порт + добавление в хранилище своих сертов + установка твоего прокси сервера в браузеры на тачке. Все. Не?
Насколько я знаю, для этого нужны права. А софт, зависимый от прав не имеет смысла по сути, можно сделать грамотнее, при этом не теряя части профита.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Obsession сказал(а):
Листаю форум, и всё чаще вижу обьявления о работе с андроид ботами и прочее. ПК банкинг всегда подразумевал более крупные суммы и не только, почему же всё загнивает? То ли порог входа для написания нормального софта слишком высок, и все идут кодить под андройд, то ли моё виденье этого ошибочно. Куда делись соответствующие предложения? Кто что думает?

да все все бы очевидно, по моему ошибочному мнению.
В связи вводом смс обязательном в ЕС - как таковые заливы сдохли, особенно учитывая, что банки пошли дальше и ввели пуши требующих действия, когда данные дропа видны.
Ну не все, некоторые еще не показывают данные получателей при групповых транзах, тот же райф австрии, инбизсанпаулу италии , ну их единицы и потерялось самое главное в работе - финансовая целосообразность, расходы выросли кратно, а выхлоп упал кратно. Нужны новые темы - лок сеток? Андроид бот? Подмена данных счетов на емайлах? кто, что нашел тот и эту тему и доит.
Кто-то метнулся держать под контролем тел и десктоп - ну это кратные затраты и работа строго точечно, нет такого, проспамился, поимел Хк ботов, отработал и по новой.
Я говорю о ЕС, что бы не было кривотолков, ну кто еще на смс, нищая польша ? ипанутая турция? как бы и все.
Вот и переползают на андроид ботов народ потихоньку, Инжект + смс - еще можно что-то поднять даже на сс тех же
ПК банкинг всегда подразумевал более крупные суммы и не только - довольно спорное утверждение, зависит от лимита на акке, если он 15к то хоть прыгай на яйцах холдера - лимит есть лимит и только он подразумевает сумму залива, можно поднять ее - ну это сразу красный флаг на акк падает.
Каких предложений ты ждешь, когда на рынке нет спроса, грабить куки и пороли на порносайты?
Когда будет снова спрос - тогда и будут предложения.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
раз пошла такая дискуссия, смею спросить, кто действительно имел дело с хуком http2 в firefox? смотрел несколько месяцев назад (не думаю, что что-то изменилось) - трафик http2 шёл мимо PR_Write, мимо Http2Stream::OnReadSegment - где же тогда его перехватывать? как вариант хукать wsarecv и копать, откуда идёт, но слишком времязатратный, может кто уже изучал.
 
monstercat сказал(а):
раз пошла такая дискуссия, смею спросить, кто действительно имел дело с хуком http2 в firefox? смотрел несколько месяцев назад (не думаю, что что-то изменилось) - трафик http2 шёл мимо PR_Write, мимо Http2Stream::OnReadSegment - где же тогда его перехватывать? как вариант хукать wsarecv и копать, откуда идёт, но слишком времязатратный, может кто уже изучал.
Если посмотреть на ситуацию с иной точки зрения, то можно сделать как фиддлер свой серт пихать или проксировать весь трафик в системе через прокси сервер который будет стоять где-то там и патчить браузер дабы проблем с шифрованием не возникало, думаю хук openssl функций (к примеру, в основном всякий белый софт использует эту либу для шифрования) будет легче чем каждый раз под новую ссаную обнову браузера голову ломать хд. Удачи!
 
Vodka Man сказал(а):
Если посмотреть на ситуацию с иной точки зрения, то можно сделать как фиддлер свой серт пихать или проксировать весь трафик в системе через прокси сервер который будет стоять где-то там и патчить браузер дабы проблем с шифрованием не возникало, думаю хук openssl функций (к примеру) будет легче чем каждый раз под новую ссаную обнову браузера голову ломать хд. Удачи!
Не легче. Хук ссл это и есть головная боль. )
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх