Kentobus
Новорег
Статья носит образовательный характер, я ни к чему не призываю и не обязываю. Информация представлена исключительно в ознакомительных целях.
Предыстория
Привет, я Кентобус.
Чуть больше года назад я занимался разработкой фишинга в Telegram — в основном выступал как кодер за небольшой процент. Тогда это казалось интересным вызовом и неплохим источником заработка.
Сегодня я этим не занимаюсь и полностью переключился на «белую сторону» — хочу делиться опытом, помогать другим понимать, как работают атаки, и показывать, как защититься от подобных вещей.
Однажды мне поступила задача: модернизировать фишинг так, чтобы помимо захвата самого аккаунта происходил ещё и автовывод средств с Telegram Wallet (на тот момент многие активно пользовались им для хранения крипты прямо в мессенджере).
Логично, что это могло бы приносить ещё больше денег.
Технически задача не была сложной — и я приступил к её реализации.
Разработка
Когда встал вопрос модернизации фишинга, моя основная цель была простой:
сделать так, чтобы помимо захвата аккаунта происходил ещё и автовывод средств из Telegram Wallet.
Telegram Wallet работает как мини-приложение (WebApp) внутри самого Telegram. Для меня это выглядело как интересная задача: понять, как устроен вход в Wallet и можно ли встроиться в этот процесс.
Вход в Wallet через Telegram обычно выполняется через WebApp - мини приложение в Telegram. А сама вебаппка - это по сути обычный сайт, но с интеграцией Telegram. Чтобы вебаппке понимать, кто зашёл (то есть авторизовать пользователя), используется специальный метод. Он генерирует хеш и данные пользователя в параметре tgWebAppData, которые потом передаются в walletbot.me при авторизации.
Чтобы жертва не понимала, что с её кошельком что-то происходит, код выполняет блокировку бота wallet (await client(BlockRequest(id=peer))), чтобы тот не смог отправлять системные уведомления о выводах и т.п.
Для удобной работы с вебаппкой, я создал отдельный класс python.
Выполняется ф-ция авторизации, которая проверяет баланс пользователя во всех его криптовалютах.
Поскольку вывод проще всего будет осуществить на отдельный ton кошелёк в usdt, код переводит все активы жертвы в USDT через внутренний обмен wallet api.
Финальный этап
После перевода всех активов в USDT запускалась функция автоматического вывода средств.
- Если у жертвы был включён код-пароль для подтверждения транзакций в Wallet — ей невероятно повезло. В таком случае перевод блокировался, и деньги оставались в безопасности.
- Но те, кто пренебрег защитой и не ставил дополнительный пароль, внезапно сталкивались с пустым кошельком: баланс обнулялся буквально за секунды
Этот контраст показал мне простую вещь: в крипте любая мелочь в настройках безопасности может стать границей между сохранёнными деньгами и полным нулём.
Заключение
Самый распространённый вид взломов - фишинг, а уязвимость - неосведомлённый и невнимательный человек.
Будьте бдительны, не переходите по сомнительным ссылкам, всегда не доверяйте незнакомым, да и знакомым тоже, никогда никому не показывайте личные данные (особенно того, что касается денег или быстрой прибыли), для вашей же безопасности.
В следующих статьях я расскажу вам, что происходит с аккаунтом жертвы, после того, как её взломают (включая объяснение технической части простым языком)
