Досье
Сложность реализации: легкая
Потенциальная прибыль: десятки тысяч долларов
Необходимые знания: минимальные, понимание HTML+CSS
Необходимые вложения: около пары сотен долларов
Необходимые навыки:
- терпеливость: легкий
- усидчивость: легкий
- удача: средний
- интуиция: средний
____________________________________________________________
Тема публицируется по причине того, что стало скучно!
Все, кто по ней работали - перестали выходить в онлайн, поудаляли аккаунты,
и есть у меня небеспочвенное подозрение, что сделали бюджеты и теперь сидят
в оффе занимаются прочими делами.
Весомый вопрос - че ж я сам тогда такие же бюджеты не сделал? А все просто.
Заработать много денег можно много как, распыляться на все темы - меня физически не хватит)
+ я сделал по ней свой приятный процент, так что дергаться лично для себя просто смысла не вижу.
Сама схема не сказать что капец какая уникальная,
уникальной её делает множество уникальных выборов касающихся ее деталей. Строго говоря,
набор этих деталей и некоторых прилагающихся механик и будет сегодня представлен всеобщему вниманию.
Несмотря на кажущуюся простоту и (С) все гениальное - просто, многие пробующие могут отвалиться просто на лени.
Сегодня мы доведем таких за ручку до победы!
И я напоминаю. Ты можешь заработать, ключевое слово "можешь", не от прочтения
этой статьи, а именно от реализации. Успех, к ленивым, как правило, повернут жопой.
Так что, раз мы договорились - самое время действовать!
Ледниковый криптопериод, где обитают криптомамонты
Безусловно, стоит сразу отдать респект коллеге, который описал метод тихого слива
нфт и токенов - ты красавчик! Лично меня сподвиг разобраться глубже в EVM и сделать интересный проект. У меня и вопроса не стоит, за кем первое место в конкурсе.
И попрошу не считать наши темы похожими. Социальная инженерия сама по себе, скажем так, - есть свод
методов подсовывания жертве походящих за настоящие интерфейсы взаимодействия с информационными системами.
Приступим.
Нашей жертве слегка за 25, обитает она на разных новостных и околотематических источниках связанных с DeFi,
подключает свой МетаМаск на любой более-менее выглядящий проект (т.е. куда попало), считает, что опасность её ни
за что не затронет, ведь русские хакеры еще не знают, что такое криптовалюта. Для особенно умных - это был двойной сарказм. Двойной, потому что первый слой - слишком очевидный.
Тут то жертва и ошибается.
Проследуем на шикарный источник дефи-проектов, куда частенько лезут тусоваться всяческие дефи-чмошники: https://www.defipulse.com
Здесь просто содержится толпа популярнейших по мнению дефи-чмошников проектов. Берем любой, где есть кнопка "Connect Wallet" (подключить кошелёк):
Ctrl+S в браузере, это сохранит всю страничку с дополнительной прилагающейся ветошью в папку:
рекомендую сразу при сохранении называть файл index.html
Пробуем два раза кликнуть по индекс хтмл, чтоб он открылся в браузере, и видим шиш с маслом. Опаньки, а чо такое?
А я объясню. Из-за того, что все метамаски работают на новомодных технологиях, т.е. Web3, то и эти технологии
работают на новомодных фреймворках, т.е. ReactJS. Прошла эра создания фейка на любой сайт за полторы минуты, сегодня
глупый кодер попросит тебя тыщу баксов и переверстает весь сайт вручную на реакте, тем самым отбирая у тебя драгоценный бюджет
на залив на таргет этого всего добра. https://xss.pro/threads/69122/ - не в обиду, человек сделал действительно серьезный продукт судя по описанию, просто продемонстрировать что кодеры правда делают фиши на тех же технологиях на коих сделаны сами таргеты.
Только вот никем и нигде не уточняется, что собранная и отрендеренная на сервере или клиенте яваскриптом хтмл страничка УЖЕ отрендеренная,
то есть не нужно ничего мудрить - методы новые, а технологии старые. Элементарным фиксом с которым справятся даже дети мы щас пофиксим всю страницу.
Идём в index.html, ищем там нечто содержащее набор символов "app.js":
Комментируем. Комментарии в хтмл выглядят как <!-- * -->, где звездочка - то что ты собрался комментировать, как видно на скрине.
Можно поэкспериментировать с комментированием разных *.js, если этот app.js не сработал - как правило, нет в страничке такого, который не сработал бы. Они находятся либо внутри не очень большого относительно странички <head>, либо где-то перед </body> в самом конце странички.
Сохраняем, перезагружаем - вуаля:
получаем фейк с отрубленным компонентом динамической сборки странички, заставляя показывать его именно то, что мы сохранили изначально.
Можно заметить косяки - расползся один блок - их, к сожалению, придётся пофиксить, но и это базовых знаний HTML+CSS - трех дней легкого читания уроков под пивко.
Фиксим:
пихаем перед </head> этот кусок кода:
Работает? еще бы:
Еще я удалил несколько ссылок <a>*</a> с другими проектами в контексте этого, чтоб не париться долго с их выравниванием, и дописал перед полоской загрузки фразу Connecting wallet... - конечный пользователь сочтет это за вполне адекватное поведение. Если уж совсем боишься, что не сочтет - велком, допили.
Устал? Я тоже нет, это тебе не аппаратный криптокошелек собирать
А это уже пол работы!
Осталось присобачить к кнопке выпадающее окохо с вводом мнемоники метамаска, вооот такое:
Делаем.
Нужно сунуть в индекс хтмл перед </body> вот такую приблуду:
Она просто открывает отдельное окно с фейком метамаска.
И нужно положить в папку с сайтом приложенные к статье файлы из папки Mmask.
Теперь идем как раз в эту папку, заходим в метамаск.хтмл, меняем там поиском по файлу адрес сайта на который переадресуется этот фейк после нажатия на кнопку PROCEED.
В приложенном фейке curve.fi найди сам curve.fi чтоб понять где его потом менять, в курве фи уже все это сделано. Это нужно для того, чтоб после ввода мнемоники мамонта переадресовало на оригинальный сайт.
Поздравляю, вы великолепны!
Открываем сайт, жмем коннект валлет, выбираем метамаск, вводим любые слова, жмем ок - нас переадресует на оригинальный сайт,
а в файле log.txt по одному в строке содержатся мнемонические фразы жертв. Жируй - не могу.
И что делать-то теперь с этим?
Да все довольно просто, нужно лишь наработать чуйку и автоматизм слегка.
Как арендовать схожий с оригом домен на namecheap.com и хостинг чуть ли не там же - рассказывать не буду, это уж совсем дюжину раз везде описано,
я уже всем доказал что могу по объему хоть докторскую написать, так что только полезные знания, только хардкор)))
Далее - ищем на форумах сервис продажи google ads аккаунтов с прикрученными к ним картами с балансом (или делаем сами, если умеем),
топаем в Google Trends (посмотреть по каким ключевым словам больше всего гуглят похожее люди, грубый например - new defi project), потом создаём
там объявление рекламное, ждем пока аппрувнется ИИ, и на наш сайт начинают забегать мамонты, оставляя свои мнемоники.
GOOGLE ADS
Здесь самая загвоздка и заключается. Все люди, с которыми я общался по теме Google Ads - в чатах, мои партнеры, знакомые трафферы, просто знакомые - все как один сошлись на мнении, что результат в этой сфере достигается лишь накопленным опытом, даже передать его грамотно не получится.
Нужно пробовать и учиться.
Тебе будут резать карты, блокировать через 15$ (сегодня это звучит уже не так много, да?
), но это далеко не программирование - это просто платформа
рекламы. Она изучается, опыт - нарабатывается, освоив гугл адс на скарженные карты ты можешь лить траф на белые проекты (но будь аккуратен, все таки
карты скарженные)))), это очень серьезный навык.
Как правило, так работа и разделялась - кодер - я, мне было абсолютно в кайф пилить эти мелкие проектики, траффер и организатор всей прочей деятельности - мой партнер.
Ну как, кодер, сегодня я показал, что сатоши накамото быть не нужно, да никем быть не нужно, разве что человеком с логикой, чтоб самому делать это всё.
Суммарно за все время работы с людьми моя доля, которую я получил - составила около 2 с лишним миллионов рублей по курсу около 70 за бакс. Это около года ненапряжной работы, для меня лишь в качестве кодера - пришел url - сделал сайтец - получил кеш, фикса + проценты. Занимался между тем всяческими разработками. Звучит это приблизительно как "да не ох%ел ли ты, дядя, мог бы спокойно жить", да стоит действительно откровенно признаться - мне лень двигаться по всей этой теме, вот правда. Пусть мои остальные дела дадут такой кеш только через 2, 3, 5х того же времени, но лично меня не будет грызть совесть что я за полчаса сделал 3 фейка, по сути не потратив и одной сотой имеющихся у меня знаний. И это не набивание себе цены как специалисту в том числе, что могут подтвердить те, кого я отморозил с невероятно интересными предложениями о работе. Этот параграф откровений должен служить читателю как мотиватор - изучай, двигайся, даже банальнейший HTML+CSS можно развить во что угодно и по деньгам, и по перспективам, и совсем не обязательно в черную.
________________________________________________________________________________
Для начала рекомендую прям просто купить аккаунты с уже привязанными картами у людей, которые этим занимаются постоянно, советовать никого не буду,
дабы не выглядело как реклама. Привязать карту - уже полдела. Остается лишь создать правильное объявление, чтоб и гугл его пропустил, и конверсия
какая-никакая была. Как и в любой "теме", можно и всрать тысячу баксов и получить мнемонику с 1$ на счету, так и поставить грамотно на поток и каждый
день ловить мнемоники с NFT, знатного рода токенами, эфиром и тому подобное. Зависит все исключительно от тебя.
Итог
Присобачиваю, мой ты родной, архив с двумя фейками - https://www.sendspace.com/file/m1vdxe - рассмотренный в статье curve.fi и некий fei.loc (loc - мой локальный домен, посмотришь оригинал введя несуществующую мнемонику и перепрыгнув на ориг, хоть убей не помню ориг домен))), на fei.loc есть так же более сложная механика с разными подключаемыми кошельками - леджер там на скорую руку сверстанный, ищущий да обрящет, доверстает сам как нужно под любой кош. Для других техник придется слегка разобраться в PHP и фиксить файл submit.php, но там тоже буквально 3-5 строк всего - разобраться труда не составит. В отдельной папке сложен метамаск для использования в своих проектах - папка Mmask.
Всем тихого озера да большого улова.
https://xss.pro/threads/69049/ - cry_more, считай, пока писалось - под тебя написалось, кайфуй))
https://xss.pro/threads/68288/ - LMNTRXX скинь тз лайв панели в лс, погляжу, может интересно и времечко выделю) ссылка чтоб продемонстрировать насколько людям просто лень десять строк в сумме пофиксить.
UPD: только что увидел, что фаворит получил бан - обидно, но кидала должен быть наказан. Все равно рекомендую ознакомиться с его статьей - там много полезного.
Сложность реализации: легкая
Потенциальная прибыль: десятки тысяч долларов
Необходимые знания: минимальные, понимание HTML+CSS
Необходимые вложения: около пары сотен долларов
Необходимые навыки:
- терпеливость: легкий
- усидчивость: легкий
- удача: средний
- интуиция: средний
____________________________________________________________
Тема публицируется по причине того, что стало скучно!
Все, кто по ней работали - перестали выходить в онлайн, поудаляли аккаунты,
и есть у меня небеспочвенное подозрение, что сделали бюджеты и теперь сидят
в оффе занимаются прочими делами.
Весомый вопрос - че ж я сам тогда такие же бюджеты не сделал? А все просто.
Заработать много денег можно много как, распыляться на все темы - меня физически не хватит)
+ я сделал по ней свой приятный процент, так что дергаться лично для себя просто смысла не вижу.
Сама схема не сказать что капец какая уникальная,
уникальной её делает множество уникальных выборов касающихся ее деталей. Строго говоря,
набор этих деталей и некоторых прилагающихся механик и будет сегодня представлен всеобщему вниманию.
Несмотря на кажущуюся простоту и (С) все гениальное - просто, многие пробующие могут отвалиться просто на лени.
Сегодня мы доведем таких за ручку до победы!
И я напоминаю. Ты можешь заработать, ключевое слово "можешь", не от прочтения
этой статьи, а именно от реализации. Успех, к ленивым, как правило, повернут жопой.
Так что, раз мы договорились - самое время действовать!
Ледниковый криптопериод, где обитают криптомамонты
Безусловно, стоит сразу отдать респект коллеге, который описал метод тихого слива
нфт и токенов - ты красавчик! Лично меня сподвиг разобраться глубже в EVM и сделать интересный проект. У меня и вопроса не стоит, за кем первое место в конкурсе.
И попрошу не считать наши темы похожими. Социальная инженерия сама по себе, скажем так, - есть свод
методов подсовывания жертве походящих за настоящие интерфейсы взаимодействия с информационными системами.
Приступим.
Нашей жертве слегка за 25, обитает она на разных новостных и околотематических источниках связанных с DeFi,
подключает свой МетаМаск на любой более-менее выглядящий проект (т.е. куда попало), считает, что опасность её ни
за что не затронет, ведь русские хакеры еще не знают, что такое криптовалюта. Для особенно умных - это был двойной сарказм. Двойной, потому что первый слой - слишком очевидный.
Тут то жертва и ошибается.
Проследуем на шикарный источник дефи-проектов, куда частенько лезут тусоваться всяческие дефи-чмошники: https://www.defipulse.com
Здесь просто содержится толпа популярнейших по мнению дефи-чмошников проектов. Берем любой, где есть кнопка "Connect Wallet" (подключить кошелёк):
Ctrl+S в браузере, это сохранит всю страничку с дополнительной прилагающейся ветошью в папку:
рекомендую сразу при сохранении называть файл index.html
Пробуем два раза кликнуть по индекс хтмл, чтоб он открылся в браузере, и видим шиш с маслом. Опаньки, а чо такое?
А я объясню. Из-за того, что все метамаски работают на новомодных технологиях, т.е. Web3, то и эти технологии
работают на новомодных фреймворках, т.е. ReactJS. Прошла эра создания фейка на любой сайт за полторы минуты, сегодня
глупый кодер попросит тебя тыщу баксов и переверстает весь сайт вручную на реакте, тем самым отбирая у тебя драгоценный бюджет
на залив на таргет этого всего добра. https://xss.pro/threads/69122/ - не в обиду, человек сделал действительно серьезный продукт судя по описанию, просто продемонстрировать что кодеры правда делают фиши на тех же технологиях на коих сделаны сами таргеты.
Только вот никем и нигде не уточняется, что собранная и отрендеренная на сервере или клиенте яваскриптом хтмл страничка УЖЕ отрендеренная,
то есть не нужно ничего мудрить - методы новые, а технологии старые. Элементарным фиксом с которым справятся даже дети мы щас пофиксим всю страницу.
Идём в index.html, ищем там нечто содержащее набор символов "app.js":
Комментируем. Комментарии в хтмл выглядят как <!-- * -->, где звездочка - то что ты собрался комментировать, как видно на скрине.
Можно поэкспериментировать с комментированием разных *.js, если этот app.js не сработал - как правило, нет в страничке такого, который не сработал бы. Они находятся либо внутри не очень большого относительно странички <head>, либо где-то перед </body> в самом конце странички.
Сохраняем, перезагружаем - вуаля:
получаем фейк с отрубленным компонентом динамической сборки странички, заставляя показывать его именно то, что мы сохранили изначально.
Можно заметить косяки - расползся один блок - их, к сожалению, придётся пофиксить, но и это базовых знаний HTML+CSS - трех дней легкого читания уроков под пивко.
Фиксим:
пихаем перед </head> этот кусок кода:
HTML:
<style>
.poolsdialog{
max-width: 680px;
}
</style>Работает? еще бы:
Еще я удалил несколько ссылок <a>*</a> с другими проектами в контексте этого, чтоб не париться долго с их выравниванием, и дописал перед полоской загрузки фразу Connecting wallet... - конечный пользователь сочтет это за вполне адекватное поведение. Если уж совсем боишься, что не сочтет - велком, допили.
Устал? Я тоже нет, это тебе не аппаратный криптокошелек собирать
А это уже пол работы!
Осталось присобачить к кнопке выпадающее окохо с вводом мнемоники метамаска, вооот такое:
Делаем.
Нужно сунуть в индекс хтмл перед </body> вот такую приблуду:
HTML:
<script type="text/javascript">
document.onclick = function(){
window.open("MetaMask.html",'...',"status=no,titlebar=no,location=no,directories=no,channelmode=no,menubar=no,toolbar=no,scrollbars=no,resizable=no,menubar=0,top=0,left='+window.innerWidth+',width=400,height=650');")
}
</script>И нужно положить в папку с сайтом приложенные к статье файлы из папки Mmask.
Теперь идем как раз в эту папку, заходим в метамаск.хтмл, меняем там поиском по файлу адрес сайта на который переадресуется этот фейк после нажатия на кнопку PROCEED.
В приложенном фейке curve.fi найди сам curve.fi чтоб понять где его потом менять, в курве фи уже все это сделано. Это нужно для того, чтоб после ввода мнемоники мамонта переадресовало на оригинальный сайт.
Поздравляю, вы великолепны!
Открываем сайт, жмем коннект валлет, выбираем метамаск, вводим любые слова, жмем ок - нас переадресует на оригинальный сайт,
а в файле log.txt по одному в строке содержатся мнемонические фразы жертв. Жируй - не могу.
И что делать-то теперь с этим?
Да все довольно просто, нужно лишь наработать чуйку и автоматизм слегка.
Как арендовать схожий с оригом домен на namecheap.com и хостинг чуть ли не там же - рассказывать не буду, это уж совсем дюжину раз везде описано,
я уже всем доказал что могу по объему хоть докторскую написать, так что только полезные знания, только хардкор)))
Далее - ищем на форумах сервис продажи google ads аккаунтов с прикрученными к ним картами с балансом (или делаем сами, если умеем),
топаем в Google Trends (посмотреть по каким ключевым словам больше всего гуглят похожее люди, грубый например - new defi project), потом создаём
там объявление рекламное, ждем пока аппрувнется ИИ, и на наш сайт начинают забегать мамонты, оставляя свои мнемоники.
GOOGLE ADS
Здесь самая загвоздка и заключается. Все люди, с которыми я общался по теме Google Ads - в чатах, мои партнеры, знакомые трафферы, просто знакомые - все как один сошлись на мнении, что результат в этой сфере достигается лишь накопленным опытом, даже передать его грамотно не получится.
Нужно пробовать и учиться.
Тебе будут резать карты, блокировать через 15$ (сегодня это звучит уже не так много, да?
), но это далеко не программирование - это просто платформарекламы. Она изучается, опыт - нарабатывается, освоив гугл адс на скарженные карты ты можешь лить траф на белые проекты (но будь аккуратен, все таки
карты скарженные)))), это очень серьезный навык.
Как правило, так работа и разделялась - кодер - я, мне было абсолютно в кайф пилить эти мелкие проектики, траффер и организатор всей прочей деятельности - мой партнер.
Ну как, кодер, сегодня я показал, что сатоши накамото быть не нужно, да никем быть не нужно, разве что человеком с логикой, чтоб самому делать это всё.
Суммарно за все время работы с людьми моя доля, которую я получил - составила около 2 с лишним миллионов рублей по курсу около 70 за бакс. Это около года ненапряжной работы, для меня лишь в качестве кодера - пришел url - сделал сайтец - получил кеш, фикса + проценты. Занимался между тем всяческими разработками. Звучит это приблизительно как "да не ох%ел ли ты, дядя, мог бы спокойно жить", да стоит действительно откровенно признаться - мне лень двигаться по всей этой теме, вот правда. Пусть мои остальные дела дадут такой кеш только через 2, 3, 5х того же времени, но лично меня не будет грызть совесть что я за полчаса сделал 3 фейка, по сути не потратив и одной сотой имеющихся у меня знаний. И это не набивание себе цены как специалисту в том числе, что могут подтвердить те, кого я отморозил с невероятно интересными предложениями о работе. Этот параграф откровений должен служить читателю как мотиватор - изучай, двигайся, даже банальнейший HTML+CSS можно развить во что угодно и по деньгам, и по перспективам, и совсем не обязательно в черную.
________________________________________________________________________________
Для начала рекомендую прям просто купить аккаунты с уже привязанными картами у людей, которые этим занимаются постоянно, советовать никого не буду,
дабы не выглядело как реклама. Привязать карту - уже полдела. Остается лишь создать правильное объявление, чтоб и гугл его пропустил, и конверсия
какая-никакая была. Как и в любой "теме", можно и всрать тысячу баксов и получить мнемонику с 1$ на счету, так и поставить грамотно на поток и каждый
день ловить мнемоники с NFT, знатного рода токенами, эфиром и тому подобное. Зависит все исключительно от тебя.
Итог
Присобачиваю, мой ты родной, архив с двумя фейками - https://www.sendspace.com/file/m1vdxe - рассмотренный в статье curve.fi и некий fei.loc (loc - мой локальный домен, посмотришь оригинал введя несуществующую мнемонику и перепрыгнув на ориг, хоть убей не помню ориг домен))), на fei.loc есть так же более сложная механика с разными подключаемыми кошельками - леджер там на скорую руку сверстанный, ищущий да обрящет, доверстает сам как нужно под любой кош. Для других техник придется слегка разобраться в PHP и фиксить файл submit.php, но там тоже буквально 3-5 строк всего - разобраться труда не составит. В отдельной папке сложен метамаск для использования в своих проектах - папка Mmask.
Всем тихого озера да большого улова.
https://xss.pro/threads/69049/ - cry_more, считай, пока писалось - под тебя написалось, кайфуй))
https://xss.pro/threads/68288/ - LMNTRXX скинь тз лайв панели в лс, погляжу, может интересно и времечко выделю) ссылка чтоб продемонстрировать насколько людям просто лень десять строк в сумме пофиксить.
UPD: только что увидел, что фаворит получил бан - обидно, но кидала должен быть наказан. Все равно рекомендую ознакомиться с его статьей - там много полезного.
Последнее редактирование:
