• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья 8 способов подхода к ВК

NokZKH

NokZKH

Grey Team
26.10.2018
94
311
Все указанные методы делятся на 2 типа:
  • Есть доступ к жертве
  • Жертва находится удаленно
Начнем с первого типа.
1) Есть доступ к жертве (Локальная сеть)
В этом методе есть несколько разделов:

1) Setoolkit
Setoolkit – это фреймворк для тестирования на проникновение, предназначен для социальной инженерии. (Kali Linux)

Я расскажу, только один метод атаки, но если хотите, то могу создать большую инструкцию по этому могущественному инструменту. Но пока вы можете почитать документацию здесь:
1)
Запуск
Пропишем команду: setoolkit

8 способов подхода к ВК


2)
Соглашаемся с условиями использования
Пишем y и жмем Enter

8 способов подхода к ВК


Перед нами появляется такое меню:

8 способов подхода к ВК


Пункты главного меню:

1) Social-Engineering Attacks — Атаки социальной инженерией
2) Fast-Track Penetration Testing — Ускоренное тестирование на проникновение
3) Third Party Modules — Сторонние модули
4) Update the Social-Engineer Toolkit — Обновить набор для социальной инженерии
5) Update SET configuration — Обновить конфигурацию SET
6) Help, Credits, and About — Помощь, благодарности и О программе
**********
99) Exit the Social-Engineer Toolkit — Выйти из программы

3) Выполняем последовательность команд
1, Enter, 2, Enter, 3, Enter, 2, Enter

После этого вы должны увидеть на своем экране:

8 способов подхода к ВК


4) Выбираем ip адрес, на который должна зайти жертва
Я обычно оставляю его дефолтным. Для этого просто нажмите Enter.
5) Вводим ссылку сайта, который нужно скопировать.
Я ввожу vk.com и два раза жму Enter

8 способов подхода к ВК


6) Проверяем результат.
Переходим по ссылке, которую указали. У меня это 10.0.2.5

Результат:

8 способов подхода к ВК


7) Если жертва введет свой логин и пароль, то он отобразится в командной строке:

8 способов подхода к ВК


Из минусов могу отметить только отсутствие редиректа и сертификата (чтобы было безопасное соединение), хотя проблему с сертификатом можно исправить, но это тема моего следующего мануала.

2) Кража пароля путем фишинга.
Это метод можно отнести к удаленным, но есть одна схема кражи паролей в общественном месте. Как это реализовать я не буду рассказывать, т. к. этот мануал попадает в паблик. Таким способом можно воровать по 100+ акков в день. Идея заключается в раздаче бесплатного WIFI с авторизацией через ВК (фишинг). Это может быть любая социальная сеть, вплоть до Steam (Хотя это будет уже слишком).

3) Просим жертву распечатать файл с флешки.
Думаю придумывать ничего не надо: Флэшка стиллер

4) Клавиатурный шпион
Если у нас есть доступ к периферии жертвы, то используем этот классный USB-Keylogger это один из самых скрытых способов получения пароля.

Ссылка на покупку: AirDrive Keylogger Pro

5) Заражение мобильного телефона (Kali)
Этот метод подходит для взлома вк в локальной сети. Сиди мы например в Маке, подменяем днс, и предлагаем приложение с купонами на большие скидки…
Не стоит изобретать велосипед. Вот видос:


2) Жертва находится удаленно

1) Метод перенаправления сообщений
Метод заключается в звонке оператору или сообщению вк в официальную группу с просьбой сделать перенаправление с номера жертвы на ваш. Они потребуют у вас паспортные данные жертвы, но зная телефон можно узнать и данные паспорта у того-же оператора. На многих форумах есть такие продавцы. Цена составляет 300 – 1500 руб (В зависимости от оператора). После настройки перенаправления восстанавливаем пароль от ВК жертвы. Сообщения приходить не будут, поэтому после 2-х повторных запросов сообщения нажимаем кнопку «Попросить робота ВК позвонить вам». Вуаля, все готово. Желательно производить эту махинацию ночью, т.к. жертве придет 2 сообщения о восстановлении пароля. Пиши, если хочешь подробнее.

2) Кража путем фишинга (Сайт)
На хостинг заливаем полную копию ВК, после чего просим жертву пройти опрос, голосование, лайкнуть запись, кидая ему ссылку на наш фишинговый сайт. Готовые шаблоны (Не мои):
  • - Фейк, жалобы, без заточки, с проверкой. Логин и пароль находятся по пути ваш_сайт.ru/dashboard
  • - Фейк, обычная авторизация, вытаскивает токен. Токен, логин и пароль находятся по пути ваш_сайт.ru/base.json
  • - Фейк жалобы, без заточки, без проверки, логин и пароль находятся по пути ваш_сайт.ru/dashboard
  • – Фейк с заточкой, с проверкой, жалобы, логин и пароль находятся по пути ваш_сайт.ru/protection
Хороший гайд:
Сейчас сливать годноту не буду. Позже не codeby.net сделаю гайд по созданию фишинг сайта.

3) Брут
Есть множество программ для брута баз ВК.
Вот одна из них:

Как ей пользоваться:

8 способов подхода к ВК


На этом все. Но это далеко не все способы взлома ВК. И даже не 1% от всех. Есть проблемы? Пиши в личку. Всегда рад помочь.
 
A

arsof

Member
24.01.2019
10
3
Не плохо) Спасибо, полезная инфа, насчет брута, тут конечно посложнее, во первых найти без клея брут сложно, заказывать смысла нет. Спасибо за тему, буду ждать еще)
 
A

am29f010b

Критика принимается?

1)SET, перепечатка мануалов (мягко говоря рерайт) с сайтов, например на Хакере аналогичная статья.
То, что "Вы" предлагаете - это работает только в локальной сети.
Во внешней сети нужно добавить маскарад и форвард это будет работать, но напильником нужно будет еще немного полирнуть, чтобы на полях логин/пароль вместо "error" были символы.
Для разнообразия к SET можно использовать shellphish и socialfish (все на Гитхабе, все работает). А где обфускация фишинговой ссылки?

3) Где логика? "Распечатать файл" и "стиллер"

1) Угадал, способ с недавней статьи с Хабра, Вы пробовали его лично?

Статья ИХМО "не авторская" теоретическая, грубый рерайт.
 
A

arsof

Member
24.01.2019
10
3
Критика принимается?

1)SET, перепечатка мануалов (мягко говоря рерайт) с сайтов, например на Хакере аналогичная статья.
То, что "Вы" предлагаете - это работает только в локальной сети.
Во внешней сети нужно добавить маскарад и форвард это будет работать, но напильником нужно будет еще немного полирнуть, чтобы на полях логин/пароль вместо "error" были символы.
Для разнообразия к SET можно использовать shellphish и socialfish (все на Гитхабе, все работает). А где обфускация фишинговой ссылки?

3) Где логика? "Распечатать файл" и "стиллер"

1) Угадал, способ с недавней статьи с Хабра, Вы пробовали его лично?

Статья ИХМО "не авторская" теоретическая, грубый рерайт.
нельзя статьи копипастить? не совсем понял) или автор поста присвоил статью себе, типо он писал?
 
A

am29f010b

нельзя статьи копипастить? не совсем понял) или автор поста присвоил статью себе, типо он писал?
Нельзя копипастить, но тут и не паста, а грубый рерайт.

про SET это на каждой странице одно и тоже.
Автор сначало бы проверил все, а потом публиковался. Как можно утверждать, что вот то и то работает если это даже не потрогал...

Я критикую к тому, что автор замахивался на Грэй или премиум с этой работой.

Создаю большой мануал по взлому ВК для перехода в Grey. В одном из способов нужен стиллер (stealer) паролей браузеров. В паблике...

В курсе я буду обучать, как правильно действовать в том или ином случае. Т.е. это будут не просто прохождения, а обучение правильного...
 
  • Нравится
Реакции: Bobos и n01n02h
NokZKH

NokZKH

Grey Team
26.10.2018
94
311
Нельзя копипастить, но тут и не паста, а грубый рерайт.

про SET это на каждой странице одно и тоже.
Автор сначало бы проверил все, а потом публиковался. Как можно утверждать, что вот то и то работает если это даже не потрогал...
Насчет перенаправления звонков. Тестил эту схему. Причем неоднократно. Статью на хабре не видел. Писал сам. Стилер нужен был тот, который в паблике. Есть свой, но он криптованый, и его бы задетектили через 3 дня примерно.
 
V

Valkiria

8 способов подхода к ВК
8 способов взлома ВК
Обычно в таких случаях принято писать об аудите ))

Может быть правильнее будет звучать : "8 способов аудита социальной сети ВКонтакте " ?
Неплохая статья для начинающего хакера ))
Автор собрал известные способы аудита ВК - это неплохо.
Практическое применение каждого из них позволило бы автору расписать каждый способ на несколько страниц.
Это могла бы быть повесть. а не статья ))

А ещё моя бурная фантазия даёт пищу для юмора.
Обратите внимание и прочитайте внимательно статью по ссылке автора.

8 способов подхода к ВК


И да, самая деВственная связка - это впн+тор, просто тор нельзя. Если вы занимаетесь этим ради удовольствия (ломаете одноклассниц), анонимностью можно пренебречь, но лучше делать все по-умному.
Ржу-Не-Магу.
Осторожнее ломайте своих одноклассниц, молодой человек .:)
Делайте всё по-умному.
 
  • Нравится
Реакции: iiayk122
NokZKH

NokZKH

Grey Team
26.10.2018
94
311
Обычно в таких случаях принято писать об аудите ))

Может быть правильнее будет звучать : "8 способов аудита социальной сети ВКонтакте " ?
Неплохая статья для начинающего хакера ))
Автор собрал известные способы аудита ВК - это неплохо.
Практическое применение каждого из них позволило бы автору расписать каждый способ на несколько страниц.
Это могла бы быть повесть. а не статья ))

А ещё моя бурная фантазия даёт пищу для юмора.
Обратите внимание и прочитайте внимательно статью по ссылке автора.

Посмотреть вложение 25809


Ржу-Не-Магу.
Осторожнее ломайте своих одноклассниц, молодой человек .:)
Делайте всё по-умному.
Ахахахахааххааххаххах, Ору

Делаю гайд по Hack The Box)

Было бы очень интересно
Через месяц будет.
 
Mexico

Mexico

Active member
03.11.2018
38
55
Знаете, я видел видео где скрипткиддис занимаются подобным у себя на ютуб канале. Например овербафер тот-же, ну или еще блогеры, я лично ютуб не смотрю, в том числе этих ламеров и не разбираюсь че там ща в тренде. Но, скажу, что статья сделана для не очень опытных пользователей, которые просто хотят похекать социальную сеть вконтактик своего одноклассника.

Я склоняюсь к тому, что вся инфа уже давно есть у тех же самых скрипткиддис на ютабе. А автор просто скопировал ее и даже не удосужился убрать мега брут вк муххамеда дудкаева
 
NokZKH

NokZKH

Grey Team
26.10.2018
94
311
Я склоняюсь к тому, что вся инфа уже давно есть у тех же самых скрипткиддис на ютабе. А автор просто скопировал ее и даже не удосужился убрать мега брут вк муххамеда дудкаева
Это паблик, и сюда не сливают годноту. Мега брут убирать не стал из-за принципа. Представь... Ты создал программу и написал в ней свой ник, чтобы хот как-то поднять свою репутацию, а я взял, удалил его, и присвоил программу себе. Думаю свое мнение по этому поводу я разъяснил.
 
  • Нравится
Реакции: TPOH
P

pes

Member
07.12.2016
20
2
Тема с перенаправлением звонков ещё актуальна?
 
K

krot666

Well-known member
03.09.2018
69
2
Привет!
Я знаю почту, к которой привязан ВК жертвы, также могу зайти на эту почту.
Но грёбанный Контакт может восстановить пароль, только через код в СМС...соответственно мимо.

Как быть? Кто-то может помочь, ломануть страницу? Очень важно для меня!
Пароли которые раньше подходили, все мимо....или на другую почту скинуть ссылку с фейковым восстановлением, чтобы пароль увести.
Жертва через мобилу сидит постоянно в ВК, а на ноуте пароль уже введён и очистить браузер не могу удалённо.
 
centr

centr

Премиум
31.01.2017
414
410
проверил ,не актуально
Вы ошибаетесь!
Методы рабочие по сей день.
Вероятнее всего что то делаете не правильно.

Привет!
Я знаю почту, к которой привязан ВК жертвы, также могу зайти на эту почту.
Но грёбанный Контакт может восстановить пароль, только через код в СМС...соответственно мимо.

Как быть? Кто-то может помочь, ломануть страницу? Очень важно для меня!
Пароли которые раньше подходили, все мимо....или на другую почту скинуть ссылку с фейковым восстановлением, чтобы пароль увести.
Жертва через мобилу сидит постоянно в ВК, а на ноуте пароль уже введён и очистить браузер не могу удалённо.
Не нужно в разных темах просить одно и тоже, форум один и участники форума мониторят весь форум в целом, а не только отдельные разделы.

В теме созданной вами вам уже дали ответ, это не тот форум, здесь не занимаются уголовно назауемыми делами.

P. S. Если бы подумали прежде чем создавать подобный топик (как тот который был создан вами в разделе фриланса) и сформулировали вашу просьбу совершенно иначе, то возможно вам бы и подсказали какие есть варианты аудита в подобном случае.
 
Мы в соцсетях: