Актуален ли взлом вк путем фишинга?

[EartyStudio]

Занимаюсь взломом любых аккаунтов, но недавно задался вопросом...
Есть ли более выгодные методы кражи данных кроме фишинга? В основном ориентируюсь на аудиторию, которые используют мобильные телефоны. Фишинговые сайты живут максимум недели 2-3, а создавать сайты под определенные задачи уже надоедает. Может у кого-то есть методы получения данных в таком же количестве другими путями? Повторяюсь, что опираюсь в основном на аудиторию, использующую телефоны. Кому интересно могу скинуть хороший мануал по созданию фиш сайтов в личку.

 

[unost]

Все же зависит от твоей конечной цели. Т.е. захват одного, конкретного аккаунта, либо получение масс пользователей. Если мы говорим про вк.
Конкретного пользователя можно захватить и через получение root прав, но для масс не подойдет ( яблоководы отсекуться, а это большая аудитория)
Так что фиш на данный момент, самый актуальный и продуктивный способ.

Опять же, гуляя по сети, можно найти много готовых исходников, но они такое дно))))) что на них среагирует только, ну наверное мой дедушка, который к слову, абсолютно интеренет-безграмотный)

Так что, годный, рабочий фиш делать скорее всего самому, и с очень изобретательным подходом, тогда он будет работать как надо) с большой конверсией)

а про мануал, я бы почитал, для саморазвития так скажем)

 

[EartyStudio]

Ну к примеру у меня цель - захват ВК яблоковода. Фишинг по моему единственный варик...

 

[Xulinam]

Ну к примеру у меня цель - захват ВК яблоковода. Фишинг по моему единственный варик...

Не забывайте что яблоко сразу заблокирует фишинг или сообщит об этом пользователю)

 

[EartyStudio]

Не забывайте что яблоко сразу заблокирует фишинг или сообщит об этом пользователю)

Это обходится Сам неоднократно проверял

 

[Xulinam]

Это обходится Сам неоднократно проверял

на старых моделях да ) на новых мало вероятно)

 

[EartyStudio]

на старых моделях да ) на новых мало вероятно)

У меня IPhome XR. Все тестирую на нем

 

[unost]

а что конкретно блокирует фиш? браузер яблочный или приложение?
Ведь явно тут не в телефоне же дело

 

[EartyStudio]

а что конкретно блокирует фиш? браузер яблочный или приложение?
Ведь явно тут не в телефоне же дело

Браузер блочит

 

[ghostphisher]

Поднимается фейк точка доступа в крупном Торговом Центре, создается видимость для продолжения работы в сети ВиФи через авторизацию по ВК, которую надо вводить руками. Так злоумышленники и поступают

 

[Blackout]

Поднимается фейк точка доступа в крупном Торговом Центре, создается видимость для продолжения работы в сети ВиФи через авторизацию по ВК, которую надо вводить руками. Так злоумышленники и поступают

а можно поднять свой dns ну и собственно при переходе в вк подкидывать свою страничку авторизации. хотя это не для ТЦ, а для домашних вифи скорее, когда люди с пк заходят

 

[Desoxyn]

Некорректно называть фишинг "взломом"
И можно не деинсталлировать гланды через зад, а отслеживать тенденции =)

Фишинг это не только актуальный, но и практически единственный способ получения акков (технически более сложные варианты, как настоящий взлом, для этих целей я не рассматриваю).
Каждый раз делать новый фэйк, который проживет максимум пару недель - напряжно\дорого, посему reverse proxy считаю лучшим решением (нет необходимости создавать фэйк копии сайтов, и данные от жертвы залетают на таргет, т.е. она ничего не подозревает)

Для этих целей нам подойдет Evilginx2 (статья + ссылка на гитхаб) либо Modlishka (аналог) , они обходят даже 2fa авторизацию. Ознакомиться \ скачать \ установить можно по ссылкам, инструменты в свободном доступе.
А так же советую использовать в связке с EvilURL (генератор доменов с юникодом), можно заделать практически неотличимый от целевого, который снифаем.

 

[Rise_S]

Занимаюсь взломом любых аккаунтов, но недавно задался вопросом...
Есть ли более выгодные методы кражи данных кроме фишинга? В основном ориентируюсь на аудиторию, которые используют мобильные телефоны. Фишинговые сайты живут максимум недели 2-3, а создавать сайты под определенные задачи уже надоедает. Может у кого-то есть методы получения данных в таком же количестве другими путями? Повторяюсь, что опираюсь в основном на аудиторию, использующую телефоны. Кому интересно могу скинуть хороший мануал по созданию фиш сайтов в личку.

Мне интересно. Можете мануал в личку? Только в виде текста простого, а не файла, пожалуйста

 

[c0mb0]

Кроме фишинга вариантов уева куча:
- Патч мобильного приложения
- XSS keyloger на сайте (хотя можно и поинтереснее с xss поступить)
- Фейковые приложения по накрутке, взлому и тд.
- Хекать другие ресурсы, или даже открыть адалт сайт с регистрация с целью сбора логин\пас, ну а потом их чекнуть на том же вк, банкинг и прочие одноклассники
Вобще более выгодное сразу сервера хакать, хех

 

[Papus]

Так, предположим, что таргетом является яблокофил, который вообще не пользуется компом, живет в другом городе и не ведется на фиш. К сожалению, я не знаю как получить параллельный доступ к вк таргета. Но есть способ угнать его на 24 часа. Этот способ работал пару месяцев назад 100%. Сейчас, возможно, действия чуть другие, но суть не поменялась.
Итак, предположим, что злоумышленник купил пробив паспорта таргета. Далее он купил дешевый телефон с левой симкой за рублей 400. Далее ему нужно позвонить опсосу и представиться таргетом, и злоумышленнику остается только назвать паспортные данные таргета и настроить переадресацию звонков. Далее через вк заказывается смс звонком и вуаля страница у злоумышленника. В данной схеме я не уверен только в предоставление возможности переадресации опсосами. Есть еще вариант сделать это все через вк, то есть написать в группу опсоса и попросить переадресацию, но я хз работает ли это, говорят, работает.

Еще один способ, если таргет непробиваемый. Без разницы какой бы грамотный не был бы человек, у него всегда есть безответственные друзья
Тут все тоже через переадресацию. Злоумышленник взламывает страницу лучшего друга\товарища таргета. Далее злоумышленник досконально анализирует диалог таргета с его другом(это важно). И завязывает общение. никаких подозрений не должно возникнуть. Далее тупо на доверии что-то вроде " братан, ща чето с симкой траблы, давай я твои цифры использую, а ты мне код скажешь". Лучше заранее узнать номер каким-либо способом, а не просить прям там. По итогу, если таргет соглашается, то злоумышленник получает доступ к личному кабинету опсоса. А там уже можно настроить переадресацию ну а дальше вы знаете

 

[Shaig Samadov]

добрый день
скажите плз как может чайник в этих вопросах перехватит логин и парол другого человека.Я имею виду ассаунт ВК? может есть какая та прога которая может это сделат ?

 

[TopTop]

Кому интересно могу скинуть хороший мануал по созданию фиш сайтов в личку.

Не против прочитать мануальчик)

 

[centr]

Кроме фишинга вариантов уева куча:
- Патч мобильного приложения
- XSS keyloger на сайте (хотя можно и поинтереснее с xss поступить)
....

При mitm атаках писал js keyloger, отлично отрабатывал при установленном сертификате.

JS-SSforBettercap2/keyloger at master · seoqs/JS-SSforBettercap2

Simple js scripts for used in bettercap 2. Contribute to seoqs/JS-SSforBettercap2 development by creating an account on GitHub.

github.com

 

[Koloboking]

добрый день
скажите плз как может чайник в этих вопросах перехватит логин и парол другого человека.Я имею виду ассаунт ВК? может есть какая та прога которая может это сделат ?

есть одно приложение всего лишь с одной кнопкой, ее нажимаешь и вуаля- у тебя уже логин и пароль.

 

[c0mb0]

При mitm атаках писал js keyloger, отлично отрабатывал при установленном сертификате.

JS-SSforBettercap2/keyloger at master · seoqs/JS-SSforBettercap2

Simple js scripts for used in bettercap 2. Contribute to seoqs/JS-SSforBettercap2 development by creating an account on GitHub.

github.com

Я вспомнил сразу про intercepter ng, там такая же тема была, стрип с https в http и иньекция js keylogerа прямо в http трафик