• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Актуален ли взлом вк путем фишинга?

EartyStudio

EartyStudio

Grey Team
26.10.2018
103
407
Занимаюсь взломом любых аккаунтов, но недавно задался вопросом...
Есть ли более выгодные методы кражи данных кроме фишинга? В основном ориентируюсь на аудиторию, которые используют мобильные телефоны. Фишинговые сайты живут максимум недели 2-3, а создавать сайты под определенные задачи уже надоедает. Может у кого-то есть методы получения данных в таком же количестве другими путями? Повторяюсь, что опираюсь в основном на аудиторию, использующую телефоны. Кому интересно могу скинуть хороший мануал по созданию фиш сайтов в личку.
 
  • Нравится
Реакции: Bubble и Rise_S
Сортировать по дате Сортировать по голосам
Все же зависит от твоей конечной цели. Т.е. захват одного, конкретного аккаунта, либо получение масс пользователей. Если мы говорим про вк.
Конкретного пользователя можно захватить и через получение root прав, но для масс не подойдет ( яблоководы отсекуться, а это большая аудитория)
Так что фиш на данный момент, самый актуальный и продуктивный способ.

Опять же, гуляя по сети, можно найти много готовых исходников, но они такое дно))))) что на них среагирует только, ну наверное мой дедушка, который к слову, абсолютно интеренет-безграмотный)

Так что, годный, рабочий фиш делать скорее всего самому, и с очень изобретательным подходом, тогда он будет работать как надо) с большой конверсией)

а про мануал, я бы почитал, для саморазвития так скажем)
 
  • Нравится
Реакции: EartyStudio
За 0 Против
Ну к примеру у меня цель - захват ВК яблоковода. Фишинг по моему единственный варик...
 
За 0 Против
а что конкретно блокирует фиш? браузер яблочный или приложение?
Ведь явно тут не в телефоне же дело
 
За 0 Против
Поднимается фейк точка доступа в крупном Торговом Центре, создается видимость для продолжения работы в сети ВиФи через авторизацию по ВК, которую надо вводить руками. Так злоумышленники и поступают
 
  • Нравится
Реакции: Andhacker
За 0 Против
ghostphisher сказал(а):
Поднимается фейк точка доступа в крупном Торговом Центре, создается видимость для продолжения работы в сети ВиФи через авторизацию по ВК, которую надо вводить руками. Так злоумышленники и поступают
Нажмите, чтобы раскрыть...
а можно поднять свой dns ну и собственно при переходе в вк подкидывать свою страничку авторизации. хотя это не для ТЦ, а для домашних вифи скорее, когда люди с пк заходят
 
За 0 Против
Некорректно называть фишинг "взломом" ;)
И можно не деинсталлировать гланды через зад, а отслеживать тенденции =)

Фишинг это не только актуальный, но и практически единственный способ получения акков (технически более сложные варианты, как настоящий взлом, для этих целей я не рассматриваю).
Каждый раз делать новый фэйк, который проживет максимум пару недель - напряжно\дорого, посему reverse proxy считаю лучшим решением (нет необходимости создавать фэйк копии сайтов, и данные от жертвы залетают на таргет, т.е. она ничего не подозревает)

Для этих целей нам подойдет Evilginx2 (статья + ссылка на гитхаб) либо Modlishka (аналог) , они обходят даже 2fa авторизацию. Ознакомиться \ скачать \ установить можно по ссылкам, инструменты в свободном доступе.
А так же советую использовать в связке с EvilURL (генератор доменов с юникодом), можно заделать практически неотличимый от целевого, который снифаем.
 
  • Нравится
Реакции: fork и Vertigo
За 0 Против
NokZKH сказал(а):
Занимаюсь взломом любых аккаунтов, но недавно задался вопросом...
Есть ли более выгодные методы кражи данных кроме фишинга? В основном ориентируюсь на аудиторию, которые используют мобильные телефоны. Фишинговые сайты живут максимум недели 2-3, а создавать сайты под определенные задачи уже надоедает. Может у кого-то есть методы получения данных в таком же количестве другими путями? Повторяюсь, что опираюсь в основном на аудиторию, использующую телефоны. Кому интересно могу скинуть хороший мануал по созданию фиш сайтов в личку.
Нажмите, чтобы раскрыть...
Мне интересно. Можете мануал в личку? Только в виде текста простого, а не файла, пожалуйста
 
За 0 Против
Кроме фишинга вариантов уева куча:
- Патч мобильного приложения
- XSS keyloger на сайте (хотя можно и поинтереснее с xss поступить)
- Фейковые приложения по накрутке, взлому и тд.
- Хекать другие ресурсы, или даже открыть адалт сайт с регистрация с целью сбора логин\пас, ну а потом их чекнуть на том же вк, банкинг и прочие одноклассники
Вобще более выгодное сразу сервера хакать, хех
 
Последнее редактирование:
За 0 Против
Так, предположим, что таргетом является яблокофил, который вообще не пользуется компом, живет в другом городе и не ведется на фиш. К сожалению, я не знаю как получить параллельный доступ к вк таргета. Но есть способ угнать его на 24 часа. Этот способ работал пару месяцев назад 100%. Сейчас, возможно, действия чуть другие, но суть не поменялась.
Итак, предположим, что злоумышленник купил пробив паспорта таргета. Далее он купил дешевый телефон с левой симкой за рублей 400. Далее ему нужно позвонить опсосу и представиться таргетом, и злоумышленнику остается только назвать паспортные данные таргета и настроить переадресацию звонков. Далее через вк заказывается смс звонком и вуаля страница у злоумышленника. В данной схеме я не уверен только в предоставление возможности переадресации опсосами. Есть еще вариант сделать это все через вк, то есть написать в группу опсоса и попросить переадресацию, но я хз работает ли это, говорят, работает.

Еще один способ, если таргет непробиваемый. Без разницы какой бы грамотный не был бы человек, у него всегда есть безответственные друзья:)
Тут все тоже через переадресацию. Злоумышленник взламывает страницу лучшего друга\товарища таргета. Далее злоумышленник досконально анализирует диалог таргета с его другом(это важно). И завязывает общение. никаких подозрений не должно возникнуть. Далее тупо на доверии что-то вроде " братан, ща чето с симкой траблы, давай я твои цифры использую, а ты мне код скажешь". Лучше заранее узнать номер каким-либо способом, а не просить прям там. По итогу, если таргет соглашается, то злоумышленник получает доступ к личному кабинету опсоса. А там уже можно настроить переадресацию:) ну а дальше вы знаете
 
  • Нравится
Реакции: Andhacker
За 0 Против
добрый день
скажите плз как может чайник в этих вопросах перехватит логин и парол другого человека.Я имею виду ассаунт ВК? может есть какая та прога которая может это сделат ?
 
За 0 Против
c0mb0 сказал(а):
Кроме фишинга вариантов уева куча:
- Патч мобильного приложения
- XSS keyloger на сайте (хотя можно и поинтереснее с xss поступить)
....
Нажмите, чтобы раскрыть...
При mitm атаках писал js keyloger, отлично отрабатывал при установленном сертификате.
github.com

JS-SSforBettercap2/keyloger at master · seoqs/JS-SSforBettercap2

Simple js scripts for used in bettercap 2. Contribute to seoqs/JS-SSforBettercap2 development by creating an account on GitHub.
github.com github.com
 
  • Нравится
Реакции: Valkiria
За 0 Против
Shaig Samadov сказал(а):
добрый день
скажите плз как может чайник в этих вопросах перехватит логин и парол другого человека.Я имею виду ассаунт ВК? может есть какая та прога которая может это сделат ?
Нажмите, чтобы раскрыть...
есть одно приложение всего лишь с одной кнопкой, ее нажимаешь и вуаля- у тебя уже логин и пароль. 😁😁😁
 
  • Нравится
Реакции: larchik и Valkiria
За 0 Против
centr сказал(а):
При mitm атаках писал js keyloger, отлично отрабатывал при установленном сертификате.
github.com

JS-SSforBettercap2/keyloger at master · seoqs/JS-SSforBettercap2

Simple js scripts for used in bettercap 2. Contribute to seoqs/JS-SSforBettercap2 development by creating an account on GitHub.
github.com github.com
Нажмите, чтобы раскрыть...
Я вспомнил сразу про intercepter ng, там такая же тема была, стрип с https в http и иньекция js keylogerа прямо в http трафик
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ