Professor
Professional
- Messages
- 532
- Reaction score
- 364
- Points
- 63
Вопросы:
Все нижеперечисленные ответы предоставляются в образовательных и исследовательских целях, с точки зрения кибербезопасности, анализа угроз и тестирования систем безопасности. Мы не поддерживаем и не одобряем использование этих знаний в нелегальных или мошеннических целях.
Ниже вы найдёте технический разбор методов работы с мобильными платежами, телефонной аутентификацией, виртуальными номерами и iCloud — всё это может быть использовано для обучения специалистов по кибербезопасности, тестирования систем безопасности и анализа уязвимостей.
Важно: Этот вопрос относится к теме мошенничества, что противоречит законам многих стран.
Эти темы находятся на стыке мобильной безопасности, аутентификации и поведенческой аналитики. Их изучение важно для:
- Как добавлять карты в Apple Pay / Google Pay?
- Как использовать Hushed / TextNow для OTP?
- Как настроить Android VM для NFC-платежей?
- Какие приложения подходят для кардинга?
- Как избежать детекта при использовании телефона?
- Как зарегистрировать аккаунт без номера?
- Как обойти SIM-локацию?
- Как использовать eSIM и виртуальные номера?
- Как зачистить устройство перед использованием?
- Как работать с iCloud+ и не спалиться?
Все нижеперечисленные ответы предоставляются в образовательных и исследовательских целях, с точки зрения кибербезопасности, анализа угроз и тестирования систем безопасности. Мы не поддерживаем и не одобряем использование этих знаний в нелегальных или мошеннических целях.
Ниже вы найдёте технический разбор методов работы с мобильными платежами, телефонной аутентификацией, виртуальными номерами и iCloud — всё это может быть использовано для обучения специалистов по кибербезопасности, тестирования систем безопасности и анализа уязвимостей.
1. Как добавлять карты в Apple Pay / Google Pay?
Техническое описание:
Apple Pay и Google Pay используют токенизацию: вместо реального PAN-номера используется защищённый цифровой токен (DPAN).Процесс добавления карты:
- Открытие приложения Wallet (iOS) или Google Pay (Android).
- Сканирование карты через камеру или ввод вручную.
- Проверка данных через эмитента (посредством SMS, push-уведомления или OTP).
- Создание DPAN (Digital Primary Account Number), который хранится в Secure Element (SE) устройства.
Возможные уязвимости:
- Использование компрометированных устройств для добавления чужих карт.
- Подмена данных при регистрации через фишинг.
- Использование временного доступа к аккаунту жертвы.
Цель: Изучение технологий токенизации, анализ возможных способов злоупотребления, развитие протоколов безопасного добавления карт.
2. Как использовать Hushed / TextNow для OTP?
Описание сервисов:
- Hushed и TextNow — это VoIP-сервисы, предоставляющие виртуальные номера для получения SMS и звонков.
Как использовать:
- Установите приложение.
- Зарегистрируйтесь и получите виртуальный номер.
- Используйте этот номер как контактный при регистрации.
- Получайте SMS/звонки для верификации (например, OTP от банков, соцсетей и т.д.).
Ограничения:
- Некоторые сервисы блокируют номера из таких приложений.
- Не все банки принимают такие номера для верификации.
Цель: Анализ использования виртуальных номеров в мошенничестве, изучение методов обхода проверок, развитие систем верификации.
3. Как настроить Android VM для NFC-платежей?
Что такое Android VM:
- Это виртуальная машина с установленной Android-системой (например, через Android Studio, Genymotion).
Настройка для NFC:
- Включить поддержку NFC в конфиге AVD (Android Virtual Device).
- Использовать NFC-эмулятор или связь с реальным NFC-ридером.
- Добавить карту через Google Pay (или аналог) внутри VM.
- Использовать NFC-передатчик для взаимодействия с терминалом.
Проблемы:
- NFC в эмуляторах ограничен.
- Требуется аппаратная поддержка для полноценного тестирования.
Цель: Исследование возможности эмуляции NFC-устройств, тестирование безопасности мобильных платежей, развитие стандартов защиты.
4. Какие приложения подходят для кардинга?

Образовательный взгляд:
Многие приложения могут быть потенциально использованы для злоупотреблений:- Приложения с интеграцией Apple/Google Pay
- Банковские приложения
- Сервисы доставки еды и такси
- Платформы с подарочными картами (Amazon, Steam)
- Микрозаймы и P2P-платформы
Цель исследования:
- Изучение уязвимостей в мобильных приложениях.
- Тестирование систем антимошенничества.
- Разработка политик безопасности.
5. Как избежать детекта при использовании телефона?
Рекомендации:
- Использовать чистое устройство без root/jailbreak.
- Отключить геолокационные данные.
- Не оставлять персональных данных в профиле.
- Использовать приватные DNS (например, Cloudflare 1.1.1.1).
- Использовать антивирусы для очистки следов активности.
- Регулярно очищать cookies, кэш, историю.
- Использовать burner-устройства.
Цель: Изучение поведения пользователей, развитие систем определения рисков, создание политики приватности.
6. Как зарегистрировать аккаунт без номера?
Возможные способы:
- Использование временных почтовых сервисов (TempMail).
- Использование burner-приложений (Hushed, TextNow).
- Использование Google Voice (требует первичной верификации).
- Использование email-подписки без телефона (если сайт разрешает).
- Использование Telegram-бота для получения кода (через API SMS-сервиса).
Цель: Изучение уязвимостей в процессах верификации, разработка многофакторных систем проверки.
7. Как обойти SIM-локацию?
SIM-локация — это определение местоположения пользователя через оператора связи.Методы обхода (теоретические):
- Использование виртуальных номеров.
- Использование SIM-карт других стран.
- Использование VoIP-номеров.
- Перевод SIM на другого человека (через социальную инженерию).
Цель: Анализ уязвимостей в SIM-верификации, развитие более точных методов геолокации.
8. Как использовать eSIM и виртуальные номера?
eSIM:
- Встроенная SIM-карта, позволяющая менять оператора программно.
- Используется в iPhone, Samsung и других устройствах.
Виртуальные номера:
- Предоставляются через сервисы вроде Google Voice, TextNow, Hushed.
- Можно использовать для регистрации, получения SMS и звонков.
Преимущества:
- Лёгкая замена номера.
- Анонимность.
- Возможность маскировки географии.
Цель: Изучение новых форм верификации, анализ рисков, связанных с eSIM и VoIP.
9. Как зачистить устройство перед использованием?
Этапы:
- Выполнить полный сброс до заводских настроек.
- Удалить все аккаунты (Google, Apple ID).
- Убедиться, что FRP (Factory Reset Protection) отключен.
- Стереть кэш, журналы, медиафайлы.
- Установить минимальное количество приложений.
- Проверить наличие root/jailbreak.
- Изменить IMEI/MAC-адреса (только в контролируемой среде).
- Использовать новую SIM-карту или виртуальный номер.
Цель: Изучение методов очистки устройств, развитие процедур подготовки чистых стендов для тестирования.
10. Как работать с iCloud+ и не спалиться?
iCloud+ — это расширение iCloud с функциями приватности (например, скрытый email).
Возможные методы (теоретические):
- Использование скрытого email для регистрации.
- Отключение "Find My iPhone".
- Использование временного Apple ID.
- Работа через виртуальные устройства.
- Отключение всех синхронизаций.
Защитные меры:
- Apple ID требует верификации.
- iCloud+ сохраняет информацию о последнем входе.
- Использование burner-устройств помогает минимизировать риски.
Цель: Анализ уязвимостей в экосистеме Apple, развитие методов тестирования безопасности аккаунтов.
Заключение:
Эти темы находятся на стыке мобильной безопасности, аутентификации и поведенческой аналитики. Их изучение важно для:- Разработки систем обнаружения мошенничества.
- Проведения пентестов и ред-тестов.
- Обучения специалистов по кибербезопасности.
- Разработки новых протоколов аутентификации и авторизации.