• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Конкурс Бородатая тема про Вконтакте. Как действуют злоумышленники ?

GhostKey

Well-known member
21.01.2018
51
169
#1
Статья для участия в конкурсе на codeby

ui-57592f6bef7c82.49286846.jpeg
Данная статья написана исключительно в ознакомительных целях, и никого не призывает к каким-либо действиям.
Автор и сообщество не несет ответственности за применение информации в данной статьи.

Наверняка многие из вас когда-либо пользовались социальной сетью " Вконтакте" а некоторые наверняка и пользуются ей по сей день. В этой статье я хотела бы поговорить о том каким-именно образом, злоумышленники используют данную социальную сеть в своих целях. Да полагаю что статья для ребят сведущих не будет нести какой-либо существенной информации но для новичков будет весьма познавательно. Хотелось бы подметить тот факт что сама социальная сеть очень удобна в использовании, имеет весьма приветливый и интуитивно понятный интерфейс. Также неотъемлемым плюсом является кроссплатформенность данной социальной сети. Также данной социальной сетью наверняка пользуются не только обычные физические лица, а также и какие-либо корпорации, компании для поддержания связи со своими коллегами, и этот момент мы постараемся обязательно затронуть, а также в данной статье я хотела бы затронуть не только моменты использования данной социальной сети в не совсем благовидных целях, а постараться продемонстрировать как именно происходит настройка, атака, а также деанонимизация, уязвимые места, актуальные предложения, ведь как было сказано в одной поговорке ? Чтобы понимать злоумышленника недостаточно одного понимания, для этого необходимо встать на его сторону.

Начнем мы с создания страницы, как я предполагаю, описывать данное действие подробно не имеет смысла. Но хотелось бы затронуть несколько моментов. В большинстве своём для регистрации страницы, требуется сим карта какого-либо оператора, потому что в последнее время, регистрировать страницы на виртуальные номера стало не актуальным, да и вроде-бы как данную фичу прикрыли. Для регистрации лично я использовала обычный старый кнопочный телефон, и сим карту которая была предварительно зарегистрирована на другого человека. Да к тому же для любого злоумышленника не составляет какого-либо труда приобрести сим карту в каком-нибудь ларьке или же магазине который для этого не требует регистрировать себя как личность с предъявлением документов и прочего. Как и существуют альтернативные способы. Но останавливаться на этом моменте мы не будем.

Начнем с создания страницы, страница создана хотелось бы еще отметить тот момент что в большинстве своём зачастую злоумышленники действуют от лица женского пола. Потому что доверяют больше, да и в целом девушки располагают к себе больше всего. Ведь согласитесь с тем моментом что любому человеку будет гораздо приятнее взаимодействовать в конечном счете с приятной молодой девушкой ежели с каким-либо парнем. Но это тоже зависит от реализации какой-либо задачи, или же от того с кем именно собрался взаимодействовать злоумышленник.

Как бы было изначально понятно что злоумышленник не будет действовать от своего лица, обычно выбирается какая либо девушка которая давно не заходила на свою страницу. И имеет достаточно большое количество фотографий, открытые видеозаписи, которые злоумышленник тоже может добавить на страницу в качестве доказательства того что он реальная личность. Встает один момент, ведь многие люди обращают внимание на дату загрузки фото как её имитировать ? В этом нам поможет такая прекрасная программа как http://vkopt.net

Теперь раз уж мы с вами собрались действовать от лица злоумышленника встает следующий вопрос. Ведь многие люди обращают, внимание на наличие друзей на какой-либо странице. Для реализации подобного я использовала группы по типу.

1.png



В данных группах можно, открыто спамить на стене выглядит это в основном примерно так.

55.JPG


Я спамила примерно в 40 таких группах спустя примерно час такого спама в целях эксперимента на моей странице, набралось около 400 друзей.
Еще хотелось бы отметить тот момент что сама социальная сеть ограничивает добавление определенного количества друзей за одни сутки.
Друзья.png

А также хотелось бы отметить тот момент что злоумышленники зачастую, работают в изолированной среде или используют такие связки как VPN +TOR+VPN или же операционные системы такие как : Tails, Qubes OS, Whonix, Subgraph, Antiprism, Liberte, Kodachi.

Также в конечном итоге для взаимодействия с потенциальной жертвой злоумышленники, могут подменять сам идентификатор браузера, использовать эмуляторы под управлением Android. Этот момент вкратце мы с вами рассмотрим, чуть позднее более подробно, а также я постараюсь вам продемонстрировать возможности.

Рассмотрим возможности по подмене идентификатора самой системы и самого браузера. Существует несколько понятий такие как Browser Fingerprint, идентификаторы системы, самого браузера.
Например мне необходимо, помимо самого ip адреса подменить также и идентификаторы самой системы, браузера. Для этого мы воспользуемся таким прекрасным аддоном для браузеров под названием User Agent Overrider что позволяет нам сделать само расширение ?
2018-02-11 (2).png
Само расширение предоставляет нам довольно обширный выбор, по подмене самого идентификатора что позволяет нам подменить наш идентификатор на сайте.
Проверяем для этого нам необходимо зайти в сами настройки и перейти в раздел безопасность.


Также хотелось бы отметить тот момент что если у вас не включена аутентификация во время входа в виде SMS подтверждения если злоумышленник сумеет получить доступ к вашей странице нажав на кнопку показать историю активности злоумышленник сможет, просмотреть довольно полезную информацию
333.JPG

Где мы с вами можем, просмотреть Ip адрес, страну, браузер, устройство через которое был выполнен вход.
Теперь рассмотрим вариант по подмене идентификатора посредством использования эмулятора Android а также, рассмотрим некоторые возможности.
Подменить идентификатор на самом сайте даже посредством использования смартфона достаточно легко для этого мы используем приложение VkCoffe.


Для этого нам необходимо перейти в раздел настройки, активность, и выбрать идентификатор на своё усмотрение.
1.JPG

2.JPG

3.JPG

Также данное приложение нам позволяет, просматривать посредством какого-именно приложения пользователь в данный момент находится онлайн.
И имеет еще одну очень занимательную функцию, она называется Grazy Typing это когда человек постоянно выглядит пишущим что-то в диалог, но на самом деле он этого не делает. Реализуется она довольно просто, выбираем нужный нам диалог, и включаем данную функцию, а сами уходим пить кофе.
4.JPG
После чего мы видим примерно такую картину
5.JPG
Рассказывать о том что благодаря параметрам своего компьютера я могу запустить порядка 15 подобных эмуляторов, и вы только представьте себе что вам одновременно будут писать 15 человек(кошмар же!) ладно шутки в сторону продолжим. Сейчас хотелось бы продемонстрировать вам что я смогла узнать о человеке посредством того же VkCoffe. Вот наглядный пример диалога.
1.JPG
2.JPG
3.JPG 4.JPG
Посредством какого именно приложения человек выходит в сеть мне помогло понять приложение VkCoffe, а про возраст. Сейчас постараюсь, объяснить и как раз заодно затронуть еще один немаловажный вопрос.
Для начала посмотрим на страницу самого человека

6.JPG
Ничего не смущает ? Человек настроил приватность должным образом, скрыл свои фотографии, но при этом не учел один момент. В качестве логина в приложении Skype человек использовал дату своего рождения. Это в конечном счете и скомпрометировало его, как еще очень много аспектов но мы не будем их затрагивать мы ведь не злоумышленники. Но я бы настоятельно, не рекомендовала вам использовать в качестве логина/пароля для регистрации на различных сервисах свою дату рождения, имя, фамилию. Я согласна с тем что такой логин,пароль очень легко запоминается, но именно на это и рассчитывают в первую очередь злоумышленники.

Теперь затронем еще один момент сама социальная сеть Вконтакте рекомендует привязывать также к самому аккаунту электронную почту, все мы люди честные и конечно же привязываем свою настоящую почту, с этим моментом я согласна. Но! Хотелось бы учесть один момент, что со старых времен многие люди используют в качестве почты @mail.ru чего я опять же настоятельно делать бы не рекомендовала. Нет каких-либо претензий к самому сервису у меня нет, он имеет достаточно удобный интерфейс, но если учесть огромное количество зловредов, программ, баз которые валяются в открытом доступе я бы вам не рекомендовала использовать почту на ресурсе mail.ru почему ? Сейчас постараюсь, продемонстрировать, мало того что злоумышленник заполучив доступ к вашему аккаунту в том же Вконтакте сумеет, получить информацию о вашем IP адресе, устройстве, используемой почте до которой если предположить в теории злоумышленник получил доступ. Что в конечном итоге сможет, просмотреть злоумышленник помимо ваших рабочих писем, документов ?
1.JPG
Какую именно информацию может получить злоумышленник заполучив доступ до почты потенциальной жертвы ?
Номер телефона, IP адрес, устройство с которого был выполнен вход, и еще очень много информации. Что именно позволит узнать номер телефона о потенциальной жертве злоумышленнику ? Сейчас постараюсь продемонстрировать.
Также хотелось бы отметить что в качестве почты я рекомендовала бы вам использовать почту с шифрованием например как tutanota.com
И множество других аналогов

Например мы узнали номер потенциальной жертвы +792654520**

Первым делом мы можем, пойти на сервис
Для просмотра контента необходимо: Войти или зарегистрироваться
где по номеру телефона мы можем, определить регион, оператора.
1.JPG

Также хотелось бы отметить тот факт что злоумышленники, под рукой иногда имеют и разные базы различных операторов мобильной связи, которые тоже находятся в открытом доступе где по номеру телефону злоумышленник может просмотреть фамилию,имя, отчество человека. Что в конечном счете позволит злоумышленнику использовать данные человека в своих корыстных целях. Также используя государственные сервисы, злоумышленник может получить различную информацию такую как ИНН паспорта, где первые четыре цифры это допустим 891227 первое это год рождения, второе месяц, третье дата. Но допустим рассмотрим такой вариант, что у потенциального злоумышленника в теории нет доступа к базам как же узнать информацию имея только номер телефона ? Не лишним будет воспользоваться, другой весьма распространенной социальной сетью в странах СНГ Одноклассники идем туда, вбиваем наш номер, проверяем.
Где нам необходимо нажать на кнопку забыли пароль, и ввести номер.
1.JPG
2.JPG
Вуаля! Мы имеем, имя потенциальной жертвы, а также я хотела бы обратить ваше внимание на то что частично можно понять какой именно почтой пользуется человек. Но мы на этом не останавливаемся, правильно ? Дальше мы пойдем на всем знакомый сервис
Для просмотра контента необходимо: Войти или зарегистрироваться

Ведь имя и фамилию человека мы уже знаем вбиваем данные в строку поиска. Где мы получаем довольно занятную информацию, аж еще целых две страницы вк!
яндекс.JPG

Но мы ведь не останавливаемся на этом! Хотелось бы отметить тот момент что если вы хоть раз, размещали объявления о покупке авто на различных ресурсах злоумышленник может также получить о вас также много информации в этом нам поможет @AVinfoBot это бот в Телеграмме.
Аналогично вбиваем номер, проверяем
Набросок.png

Вообще имея номер потенциальной жертвы злоумышленник, может ей очень основательно нашкодить, ведь многие люди для регистрации на различных ресурсах, сервисах, программах используют один и тот же номер. Злоумышленники могут размещать различного рода сообщения в социальных сетях, об оказании каких-либо услуг, тем самым организовывая телефонный спам. Поэтому сама тема довольна обширная, как и почва для различного рода действий очень большая. Ведь злоумышленник, зная номер потенциальной жертвы, может также пробить её по всем популярным сервисам таким как Whatsapp, Viber и Telegram. Но все это лишь меньшее зло, в целях эксперимента во время написания статьи, мной был зарегистрирован кошелек на ресурсе QIWI ведь очень многие люди регистрируют электронный кошелек на свой личный номер. (который кстати используется для пополнения)
Сейчас постараюсь, объяснить в чем заключается проблема и почему я бы настоятельно, вам не рекомендовала бы вам регистрировать электронный кошелек на личный номер, в идеале иметь две сим-карты так как многие сейчас пользуются смартфонами. Одна используется для регистрации на различных ресурсах, а вторая которая используется для выхода в Интернет, вот на неё и желательно регистрировать свой электронный кошелек. Почему ?
Потому что сама система электронных кошельков построена таким образом, что на программном уровне в неё заложена система фильтрации, то есть при поступлении какого-либо платежа если рассматривать на примере платежной системы QIWI мы имеем возможность оставить комментарий.
То есть я зная номер потенциальной жертвы, и при этом отправив ей около 500 рублей с комментарием например "ИГИЛ" могу заблокировать кошелек, вы только представьте какие это создаст проблемы человеку ? После чего он при попытке войти в свой электронный кошелек увидит сообщение такого рода.
index.jpg

И система подобного рода реализована, и заложена на программном уровне во многих платежных системах. То есть как именно работает система электронных платежей ? Поймала фильтр, алерт, блок. Ведь сама система платежей автоматизирована.

Также вкратце хотелось бы затронуть еще один момент все мы знаем что каждая страница Вконтакте имеет свой уникальный ID то есть каждая страница выглядит примерно вот так https://vk.com/ghostkey

Cама социальная сеть позволяет его изменить, и многие люди в качестве ID используют свой ник, логин, прозвище, на различных ресурсах.
Этого я бы тоже настоятельно делать не рекомендовала почему ? Для этого мы воспользуемся таким замечательным сервисом как
Для просмотра контента необходимо: Войти или зарегистрироваться

Набросок.png

В строке поиска мы вводим интересующий нас ID для примера пусть он будет GhostKey. После чего сервис начинает искать информацию, по всем популярным сервисам, сайтам и выгрузив файл мы можем, просмотреть файл в Excel выглядит это примерно так. Набросок2.png

Теперь после такого кратенького отступления, я хотела бы поговорить о личных файлах, фотографиях, документах.
Я бы крайне не рекомендовала, вам обмениваться а также выкладывать в открытый доступ личные фотографии, а в особенности документы потому что их злоумышленники тоже могут просмотреть. Также хотела бы затронуть тот момент что большинство организаций пренебрегают этим правилом и пересылают, отправляют множество документов для банального примера мы воспользуемся коротким адресом https://vk.com/docs

Где мы видим вот такую вот страницу

333.png
Для примера я ввела в строку поиска консолидированный отчет где я смогла, увидеть множество отчетов различных организаций которые я могу просмотреть и моему вниманию по нажатию на данный отчет предстала такая картина
2333.png
Но на этом останавливаться я не стала и ввела в строку поиска сегодняшнюю дату, месяц, год и моему вниманию предстала еще большая картина.
Набросок.png

Таким образом злоумышленники могут заполучить доступ не только до ваших фотографий, документов, таким образом во время эксперимента я находила и довольно таки интересные книги которые найти в открытом доступе не могла, как и документы некоторых предприятий. Поэтому если вы руководитель какого-либо предприятия или же какой-либо компании, я бы рекомендовала вам обратить на это внимание. Ведь если злоумышленники узнают таким образом реквизиты, отчеты от движении финансов какой-либо компании это может значительно подпортить ей репутацию.

Теперь я хотела бы поговорить, о переходе на короткие ссылки без приставки https это могут быть ссылки различного рода и переходить по ним я бы настоятельно не рекомендовала для начала разберемся с вами что такое протокол HTTPS ? HTTPS — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности.

Что может произойти если пренебрегать этим правилом ? На короткой ссылке может быть реализована атака, или же перенаправление на какой-либо сайт. Для проверки URL как и самих ссылок я бы рекомендовала вам пользоваться таким сервисом как Virus Total сейчас я постараюсь продемонстрировать функционал самого сервиса
Где в строке ввода мы можем вставить нашу ссылку и просмотреть по ней более подробную информацию также хотелось бы отметить что данный сайт позволяет нам проверять не только ссылки но и файлы. Выглядит это примерно так
1.png
1.png
2.png

Теперь хотелось бы затронуть еще несколько моментов или же так называемых "схем" используемых злоумышленниками Вконтакте.

Наверное самая популярная как и хайповая тема это обналичивание средств, или же как это называют злоумышленники черный обнал.
Это когда человеку предлагают залить определенную сумму денег, на его кошелек с тем условием что на его кошельке будет определенная сумма.
Как это происходит ?
Вы наверняка обращали внимание на объявления вконтаке типа «сделаю залив на карты или электронные кошельки». При обращении с вопросом «что и как?» естественно выясняется, что необходима определенная предоплата. Как правило просят процент или фиксированную сумму.

Мы же не будем просить предоплаты за мифический перевод денег на кошелек киви. Мы выставляем такие условия, при которых клиент не перечисляет деньги нам в виде предоплаты, а вносит определенную сумму на свой киви кошелек для якобы «правильной работы клиентской части скрипта (программы)» При этом «деньги остаются в кошельке и никуда не пропадают, а суммируются с входящими переводами», «на пустой кошелек залив провести невозможно технически» и «если вы знакомы с платежной системой киви, то должны знать что любой перевод подтверждается смс кодом»
Это происходит примерно так. Рассматривать мы будем систему электронных платежей QIWI. Происходит это примерно таким образом человека просят внести определенную плату, на его электронный кошелек, или же обязательным условием является наличие какой-либо определенной суммы на электронном кошельке человека. Суть самой схемы заключается вот в чем, что человека просят сообщить код, при этом уверяют его в том что после загрузки "скрипта" человек может, изменить пароль и сам войти в кошелек, но вот в чем заключается сама соль. Что после входа, даже после изменения пароля сессия в QIWI Wallet не прекращается, и злоумышленник может находиться на самом аккаунте, как и переводить сами средства.

Хотелось бы еще затронуть еще одну бородатую тему с выдачей микрокредитов. То есть когда злоумышленники создают аккаунт под видом какого-либо частного лица а порой даже и целые группы и действуют от лица МФО. Запомните, у каждого МФО имеется официальный сайт, как и официальная группа, и если вас просят предоставить фото с паспортом в руках, или же сообщить SMS код, якобы для подтверждения транзакции или же данные вашей карты.
Я настоятельно не рекомендую этого делать! Почему ? Сейчас объясню, для чего злоумышленники просят фото с паспортом в руках ? Потому что многие кредитные организации требуют именно фото, а также транзакции подтверждаются SMS кодом, и во время взаимодействия с злоумышленников он(а) без вашего ведома могут оформить на вас займ, без вашего на то согласия.

Теперь я хотела бы затронуть еще одну тему, а точнее даже ошибку многих пользователей.

Наверняка многие из вас натыкали на объявления в различных группах такого рода : найден паспорт, права, где люди фотографируют их и выкладывают их в открытый доступ этого я бы тоже настоятельно не рекомендовала бы делать как банальный пример вводим в строку ввода найден паспорт и получаем занятную информацию Набросок.png
Поэтому если вы нашли чьи либо документы я бы настоятельно не рекомендовала бы вам фотографировать их и выкладывать в открытый доступ.




Надеюсь данная статья будет полезна для людей, в данной статье постаралась изложить а также затронуть основные аспекты если у кого-либо имеются какие-либо дополнения или же мысли по данному поводу прошу дополнить. Также хотелось бы отметить что затронуть практически все не могла даже в теории.
Мира и процветания вам и помните что верить пикселям нельзя, какими бы они не были, они от этого быть пикселями не перестают.
P.S. GhostKey​
 
Последнее редактирование:

SooLFaa

Инквизитор
Gold Team
15.07.2016
651
1 076
#3
Слабенько. Смахивает в основном на гайд для контакта. Я написал бота который пробивает людей по вк. Вот как использовать вк хекеру было бы интересно.

Добавил девочку с группы и скормил боту команду
1518524534692.png

сегодня

Алексей 11:32

  • Привет. Я так понимаю, ты родом из Питера а стоит Москва. Переехала?

Екатерина 11:33

  • привет, ага

Алексей 11:34

  • А училась не в СПбГУ часом?

Екатерина 11:34

  • часом да)

Алексей 11:34

  • А Гимназия №3 имеет какое нибудть к тебе отношение?

Екатерина 11:34

  • но я гуманитарий, не ищи никаких связок

  • гимназия номер 3 другого города имеет

  • но в спб не имеет

Алексей 11:35

  • Уфа?

Екатерина 11:35

  • да

Алексей 11:35

  • Ну и последнее твой возраст 1992 +\- 1 год?

Екатерина 11:36

  • ахах

  • 1991

Алексей 11:36

  • Ну почти

  • Спасибо

Екатерина 11:37

  • и?

Алексей 11:37

  • Аааа, да не. Это не подкат. Я не знакомлюсь в интернете.

Екатерина 11:38


  • да я поняла. просто к чему ты собрал мою персональную информацию?

  • или это для статистики членов группы

Алексей 11:38

  • Рандомно

  • Выбрал.
 

GhostKey

Well-known member
21.01.2018
51
169
#4
Слабенько. Смахивает в основном на гайд для контакта. Я написал бота который пробивает людей по вк. Вот как использовать вк хекеру было бы интересно.

Добавил девочку с группы и скормил боту команду
Посмотреть вложение 15749
Алеша Морозов, а вы с названием темы ознакомились ? Тем более какая-то "информация" будет крайне опасна для некоторых неокрепших "умов".
Как я и упомянула что затронуть практически все не могла.
 
Последнее редактирование:

SooLFaa

Инквизитор
Gold Team
15.07.2016
651
1 076
#5
Алеша Морозов, а вы с названием темы ознакомились ? Тем более какая-то "информация" будет крайне опасна для некоторых неокрепших "умов".
Как я и упомянула что затронуть практически все не могла.
Здесь информации нет. Просто тупой гайд ниочемный по вк. Текста много - смысла и полезного хакерскому комьюнити нет.
 
Симпатии: Понравилось al04e
Вверх Снизу