Троянский конь в мире Telegram-ботов: как не попасть в ловушку

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.536
Репутация
11.800
Реакции
62.113
RUB
50
В стремлении автоматизировать отслеживание слотов на Wildberries и успеть забронировать желанный слот для отгрузки можно легко создать себе проблемы на пустом месте.

Давайте разберёмся в подводных камнях.

Троянский конь в мире Telegram-ботов: как не попасть в ловушку


Анализируя, что предлагают участники рынка по автоматизации наткнулся вот на такого бота, что бы не делать рекламу заблюрил название

Троянский конь в мире Telegram-ботов: как не попасть в ловушку


После запуска бота проваливаюсь в автобронирование, он предлагает добавить сейлера и получить 3 бесплатных автобронзрования, меня стало смущать, что он предлагает ввести номер телефона привязанный к ЛК сейлера

Троянский конь в мире Telegram-ботов: как не попасть в ловушку


Троянский конь в мире Telegram-ботов: как не попасть в ловушку


После ввода номера телефона мне пришло смс сообщение от WB

Троянский конь в мире Telegram-ботов: как не попасть в ловушку


Если ввести этот код в ТГ бот, он получит доступ в ЛК (само собой я код из смс не отправил в бота) но по видео инструкции после этого шага бот видит все ваши данные, нужно выбрать из списка поставок свою поставку и после выбрать период отслеживания и ждать когда случиться чудо....

Что же происходит на самом деле?

Когда вы автоматизируете процесс входа на сайт с помощью телеграмм бота, всё происходит примерно так же, как если бы вы заходили вручную, но вместо вас действия выполняет программа. Давайте разберём это по шагам.

1. Отправка данных для входа

Бот берёт ваш номер телефона и пароль(код из смс) и отправляет их на сервер сайта. Это делается так, как если бы вы сами заполнили форму входа и нажали "Войти". Сервер проверяет эти данные — совпадают ли они с теми, что хранятся в его базе.

2. Получение подтверждения

Если данные правильные, сервер отправляет боту уникальный цифровой "ключ" (его называют токеном) или создаёт файл (cookie), который подтверждает, что вы успешно авторизовались. Этот "ключ" действует как удостоверение личности: пока он активен, сайт знает, что это именно вы.

3. Сохранение доступа

Бот сохраняет этот "ключ" или файл в своей памяти, чтобы использовать его в будущем. Это позволяет боту заходить на сайт снова и снова, не вводя каждый раз телефон и пароль.

Какие у Вас риски?

  • Самый большой риск - это лишиться своего аккаунта или потерять свои финансы;
  • Слив данных;
  • Даже если вы заблокируете бота, у него остаётся доступ к Вашему ЛК т.к. сессия хранится у него на сервере, доступ будет до тех пор пока вы не смените пароль в системе( надеюсь у WB с безопасностью всё норм и он убивает активные сессии после смены пароля)
Заблокировав бота вы забудете о нём через пару тройку дней, а при каких то не понятных ситуациях в поведение системы вы не сразу поймёте причину следственную связь, что это возможно дело рук данного сервиса.

В эпоху социальной инженерии - это контролируемый взлом,

Вам обещают решить Вашу боль и вы передаёте свой данные сами, я ежедневно вижу случаи увода тг аккаунтов или потерю доступа к гос. услугам и это всё происходит для жертвы по разным социальным сценариям....

Полученную информацию важно воспринимать с точки зрения осведомлённости и понимания рисков, связанных с автоматизацией или безопасностью ваших данных.

Ваша главная задача — использовать знания для защиты своего аккаунта, осознанного подхода к автоматизации.
Для безопасной автоматизации у WB есть API, а вы в своём ЛК можете создавать токен для работы с вашим ЛК разграничивая доступ, что конкретно можно сделать имея данный токен....


 
  • Теги
    взлом лк wildberries
  • Назад
    Сверху Снизу