Einführung
Guten Tag, Freunde. Diejenigen, die meine vorherigen Artikel lesen, sollten verstehen, dass dies ein weiterer faszinierender Hack sein wird. Das ist nur um zu knacken, wir werden ein Lebensmittelgeschäft sein. Ich werde gleich sagen, dass dies nicht nur Hacking ist. Wir werden keine Löcher im Codesystem verwenden. Wir werden dieses System nehmen und es nur von der anderen Seite betrachten. Mit anderen Worten: "Durch die Augen eines Hackers."
Der Perekrestok Supermarkt positioniert sich als Online-Lebensmittelgeschäft. Vielleicht ist dies in unserer Zeit sehr klug und praktisch, wenn Sie Produkte bestellen können, während Sie zu Hause auf der Couch sitzen. Aber alles sieht zu glatt aus, um Realität zu werden. Überall gibt es Nachteile, einige Mängel und wenn wir sie zusammenfügen, bekommen wir ein riesiges Loch im System ...
Vorbereitender Teil
Wie jede Ladenkette hat Perekrestok seine eigenen Plastikkarten, die jeder Käufer für zwanzig Holzkarten kaufen kann. Mit dieser Karte erhalten Sie bei jedem Einkauf Punkte. Je mehr Sie kaufen, desto mehr Punkte werden vergeben. Wenn Sie eine ausreichende Anzahl von Punkten gesammelt haben, können Sie aufgrund dieser Punkte alle Produkte kaufen (außer Zigaretten und Alkohol). Wechselkurs: 10 Punkte = 1 Rubel. Wir kommen auf den Punkt. Crossroads hat eine Website. Gemäß dem System / der Idee „Crossroads“ müssen Sie eine Karte kaufen und auf der Website registrieren, um Zugriff auf Ihr persönliches Konto zu erhalten und online einzukaufen, Vorgänge zu überwachen usw. Aber was bekommen Sie an der Kasse? Eine Plastikkarte mit einer 16-stelligen Nummer, die bereits aktiv ist. Daher wissen viele Benutzer nicht einmal über die Existenz dieser Website.
Gehen wir nun zur Kartenregistrierungsseite. Es sieht so aus:
Okay Geben Sie die Kartennummer ein, was dann?
Wow. Geben Sie die Nummer ein, was dann?
(Screenshot ist nicht vollständig)
Wir geben das persönliche Konto ein, an das diese Karte angehängt ist. Jetzt ist sie völlig unter unserer Kontrolle. Das heißt, wir können die offizielle Anwendung auf einer Drohne / einem Apfel installieren und einen Barcode generieren, der an der Kasse bezahlt werden kann.
Aber! Warte eine Minute! Aber was ist, wenn wir nicht unsere Kartennummer, sondern unsere Telefonnummer eingeben? Trolling wird passieren, Freunde. Eine weitere Karte wird Ihrer Nummer beigefügt! Ich begrüße die Kreuzung!
Technischer Teil
Nun, wir können die Nummer jeder Karte
(von nun an wird die Kreuzung mit einem kleinen Buchstaben versehen) der Kreuzung nehmen und auf Ihrer Nummer registrieren.
Es ist wichtig zu wissen, dass Sie für 1 Nummer bis zu 5 Karten registrieren können (Speicherregel). Und alle Punkte dieser 5 Karten werden zu einer zusammengefasst. Es ist wichtig zu wissen, dass die Kartennummer aus 16 Ziffern besteht. Nehmen Sie zum Beispiel die Nummer 7790 9977 0000 0000. Lassen Sie diese Karte Ihnen gehören. Wie finde ich andere? Das System ist wie folgt! Sie müssen dieser Zahl +8 hinzufügen. Dies ist die Kartennummer einer anderen Person. Aber es ist wichtig zu wissen, dass es in einer Zehn nicht mehr als eine Karte geben kann! In diesem Fall sollten Sie +10 hinzufügen, um ein Dutzend höher zu gehen.
Und so. Sie haben eine Karte 7790 9977 0000 0000. Weiter: 7790 9977 0000 0008 (+8).
Aber in einer Zehn können nicht 2 Karten sein, was +10 mehr bedeutet. Gesamt: 7790 9977 0000 0018 (+10)
Weiter +8: 7790 9977 0000 0026 (+8)
Und so weiter. Aber mit Beginn von fünfzig wird der Zähler zurückgesetzt und Sie müssen die aktuelle Nummer manuell auswählen. Es ist ganz einfach: Geben Sie die Kartennummer von * 1 bis * 9 ein, bis die Site uns auffordert, eine Telefonnummer einzugeben.
Wir haben es herausgefunden. Mehr!
Hacker Teil
Gehen Sie direkt zum Punkt. Wir stellen auf der Website "Moskau und die Region Moskau" oder "Peter" aus.
Dadurch können wir auf den LK-Onlineshop zugreifen. Nach der Registrierung und dem Betreten des Büros gehen wir zur Registerkarte "Karte hinzufügen".
Dieses sehr praktische Kreuzungswerkzeug wurde speziell für den Hacker entwickelt. Hier können wir die Kartennummer auf Gültigkeit überprüfen. Wir geben die Zahl ein und der Schnittpunkt durch json gibt uns "wahr oder falsch". Nun, du verstehst, worum es geht. Sie können sogar Brutus schreiben. Ich habe ungefähr 1000 gültige Karten pro Stunde.
Als nächstes müssen wir alle diese Karten unter Telefonnummern registrieren, das Büro betreten, den Kontostand überprüfen und, wenn alles zu Ihnen passt, die mobile Anwendung unter dieser Karte eingeben, in den Laden gehen, Fleischbällchen mit Milch kaufen und auf Kosten von jemandem gut essen .
Natürlich müssen Sie dies nicht tun, aber wir geben nur die Tatsache an, was passieren könnte. Vielleicht passiert es schon.Die Folgen
Alles ist in Ordnung, aber wenn ich ein Telefon habe, eine SIM-Karte. Wie registriere ich andere Karten? Die Antwort ist einfach. Wir gehen zu einem kostenpflichtigen Dienst, wo wir Nummern kaufen können, an die wir eine SMS mit einem Bestätigungscode erhalten. Es gibt viele solcher Dienste. 1 Nummer kostet im Allgemeinen 2-4 Rubel. Und das Guthaben auf den Karten kann 10.000 Punkte überschreiten - mehr als 1.000 Rubel. Es ist also ratsam.
Ich wiederhole, dies ist kein Aufruf zum Hacken. Es ist wie eine "Banküberfallanweisung". Natürlich wird niemand einbrechen und die Bank ausrauben, aber diejenigen, die dies tun, werden vor dem Gesetz antworten.
Schlussfolgerungen
Experimentell wurden ungefähr 500 Karten "verdreht". Der Restbetrag lag zwischen 50 und 1500 p.
Es wurde auch experimentell in der Praxis verifiziert. Es gab einen Ausflug in den Laden, in dem der Kauf auf der Karte eines anderen getätigt wurde. (Die Alien-Karte gehörte meinem bekannten Freund, aber ich kannte nur die Kartennummer, die anschließend unter meiner virtuellen Nummer registriert und mir zugewiesen wurde.) Ich werde den Scheck anhängen:
So können Sie ungefähr 2-3 Tausend Rubel pro Tag machen, zu Hause sitzen und Tee trinken, ein Sandwich mit Wurst beißen, Joghurt nehmen, Cola trinken usw.
Alles auf Kosten der Supermarktnutzer! Oder auf Kosten des Supermarktes. Es gibt sozusagen ein umstrittenes Thema, aber der Ruf dieses Geschäfts ist eindeutig verdorben.
Es gab Versuche, den Support zu kontaktieren. Ich habe 2 Wochen lang Briefe geschickt. Die Betreffzeile des Briefes war "sehr wichtig, Sie sind gehackt." Seltsam, aber es gab keine Antwort. Vielleicht haben sie es nicht ernst genommen. Na ja. Alles, was oben beschrieben wurde, ist nicht so ernst. Wir rauben einfach Kunden aus, geben ihr Geld aus und ernähren unsere Familie.
Und das ist alles für jetzt. Der Artikel ist nicht vollständig - die technischen Aspekte wurden versteckt, um Massenhacking zu vermeiden.