Заходя в филиалы Сбepб@нка вы наверняка замечали, что помимо терминалов и банкоматов там иногда стоят компьютеры для доступа к "сбербанк онлайн" (в терминологии самих сотрудников сбера "сбол")
Чаще всего там просто открыт сайт самого сбера и мы не видим никаких элементов управления. Ну да к нам на помощь всегда приходит "Залипание клавиш" (много раз жмём shift или в случае с клавиатурой как у терминала "черную стрелку вверх"), что произойдет дальше я думаю знает любой человек использовавший Windows.
Далее мы можем сделать 2 вещи (я не принимаю в рассмотрение то, что мы можем включить/выключить/перезагрузить и всё в этом духе) :
1) Создать на рабочем столе ярлык с адресом сайта и перейти на любой известный вам сайт ( и нет, вк там блокируется, однако я смог зайти на сайты файлообменников типа ргхоста и т.д.)
2) Пошариться в сетевых папках (я находил там чуть ли не те самые программы которые запущены на терминалах)
Нас конечно же интересует пункт №1
Естественно первая мысль это фишинг.
Можно реализовать его встав между сервером и клиентом, думаю функция "file_get_contents" знакома многим... Проблема лишь в том чтобы обрабатывать ответы сервера и передавать html код страницы клиенту (естественно всё обрабатывая должным образом).
Ну а далее конечно же можно отключить оповещение по смс, консультанты обычно не заморачиваются прочтением текста в смс, как и владельцы карт, потому введут любые коды которые придут к ним на телефон. Ну а имея логин и пароль от сбербанк онлайн, да и при отключённых смс подтверждениях ( тут я возможно ошибаюсь, но по рассказам одной бывшей сотрудницы сбера это так ) можно сделать много интересных вещей.
Статья написано в образовательных целях, кража персональных данных и средств с банковских счетов преследуется по закону. 😉
Чаще всего там просто открыт сайт самого сбера и мы не видим никаких элементов управления. Ну да к нам на помощь всегда приходит "Залипание клавиш" (много раз жмём shift или в случае с клавиатурой как у терминала "черную стрелку вверх"), что произойдет дальше я думаю знает любой человек использовавший Windows.
Далее мы можем сделать 2 вещи (я не принимаю в рассмотрение то, что мы можем включить/выключить/перезагрузить и всё в этом духе) :
1) Создать на рабочем столе ярлык с адресом сайта и перейти на любой известный вам сайт ( и нет, вк там блокируется, однако я смог зайти на сайты файлообменников типа ргхоста и т.д.)
2) Пошариться в сетевых папках (я находил там чуть ли не те самые программы которые запущены на терминалах)
Нас конечно же интересует пункт №1
Естественно первая мысль это фишинг.
Можно реализовать его встав между сервером и клиентом, думаю функция "file_get_contents" знакома многим... Проблема лишь в том чтобы обрабатывать ответы сервера и передавать html код страницы клиенту (естественно всё обрабатывая должным образом).
Ну а далее конечно же можно отключить оповещение по смс, консультанты обычно не заморачиваются прочтением текста в смс, как и владельцы карт, потому введут любые коды которые придут к ним на телефон. Ну а имея логин и пароль от сбербанк онлайн, да и при отключённых смс подтверждениях ( тут я возможно ошибаюсь, но по рассказам одной бывшей сотрудницы сбера это так ) можно сделать много интересных вещей.
Статья написано в образовательных целях, кража персональных данных и средств с банковских счетов преследуется по закону. 😉
