Дисклеймер: данная статья - лишь ознакомительный материал, созданный с образовательными и предупредительными целями. Автор статьи не побуждает повторять прочитанное, все действовавшие лица были затем предупреждены от лица взломавшего, что они были взломаны и что не стоить верить подобным сообщениям. Автор статьи никого не взламывает и не одобряет это.*
Привет, форумчане!
Есть такой мессенджер, imo.im (imo instant messages), очень распространенный среди стран Азии, а в некоторых странах вообще почти каждый человек имеет аккаунт в imo. Регистрация там очень похожа на телеграмовскую. Вводишь номер, приходит смс с кодом, вводишь и пользуйся на здоровье. Нет тебе там логинов и паролей, всё быстро и удобно. Именно этот факт очень мешает взломать imo аккаунты, тут брут-форс не поможет.
Так что я и мой друг додумались использовать фишинг для взлома, но возник вопрос "как осуществить фишинг?", так как нет никакой программы для осуществления вышесказанного.
В дело пошла социальная инженерия: мы решили воспользоваться наивностью и доверчивостью жертв. Нами был создан фейковый аккаунт IMO Support Team (в imo мессенджере есть такой бот, который время от времени рассылает новости о событиях, розыгрышах). Зарегистрировали его пользуясь российским виртуальным номером, так как при добавлении аккаунта жертвы, у него на экране мог выскочить наш номер. Нами был создан заранее подготовленный текст, который мы присылали нашей жертве.
Содержание текста:
"Здравствуйте! Меня зовут Анастасия Золотаревская. Я из отдела техподдержки imo. Мы засекли попытку хакерской атаки на ваш аккаунт [*здесь указывали дату нападения*]. Сейчас мы отправим вам смс с секретным ключем. Отправьте нам этот ключ, чтобы мы могли убедиться, что аккаунт на самом деле принадлежит вам! В случае отказа, бездействия или попытке удаления аккаунта, нам придется заблокировать вход через ваш номер и ваш аккаунт навсегда. Спасибо, что помогаете устранению проблемы! Всё ради вашей безопасности!"
А далее чистая импровизация. С вероятностью в 90% это должно убедить жертву. Так как мы взломали ровно 10 человек, только один не клюнул. Если жертва отправляла нам ключ, мы говорили им, что, мол "мы нашли местоположение нападавшего. Мы обязательно сообщим в правоохранительные органы" и присылали жертве координаты точки в гугл-мапс, которую вставляли в соседнем регионе. Это полностью убеждало жертву, что мы "из отдела техподдержки".
НО, есть одно НО. Раньше при входе с чужого устройства никто не узнавал о входе. Сейчас в imo messenger приходит сообщение, что кто-то вошел в аккаунт через это устройство *пишет модель вашего устройства" и если это были не вы, то советует удалить этот аккаунт. Но никто не отменял эмуляторы. В настройках эмулятора можно выбрать модель устройства. Можно выбрать Google pixel 2XL.
К счастью, там есть баг - если получится войти в аккаунт жертвы хоть один раз, то даже в следующий раз при входе, даже если удаляли и заново создавали аккаунт, приложение не спрашивает у вас код из смски, так как оно попросту не отправляется.
Все жертвы - мои друзья. Я им потом признался, что я сам их взломал и что лучше не быть настолько наивными и доверчивыми.
Привет, форумчане!
Есть такой мессенджер, imo.im (imo instant messages), очень распространенный среди стран Азии, а в некоторых странах вообще почти каждый человек имеет аккаунт в imo. Регистрация там очень похожа на телеграмовскую. Вводишь номер, приходит смс с кодом, вводишь и пользуйся на здоровье. Нет тебе там логинов и паролей, всё быстро и удобно. Именно этот факт очень мешает взломать imo аккаунты, тут брут-форс не поможет.
Так что я и мой друг додумались использовать фишинг для взлома, но возник вопрос "как осуществить фишинг?", так как нет никакой программы для осуществления вышесказанного.
В дело пошла социальная инженерия: мы решили воспользоваться наивностью и доверчивостью жертв. Нами был создан фейковый аккаунт IMO Support Team (в imo мессенджере есть такой бот, который время от времени рассылает новости о событиях, розыгрышах). Зарегистрировали его пользуясь российским виртуальным номером, так как при добавлении аккаунта жертвы, у него на экране мог выскочить наш номер. Нами был создан заранее подготовленный текст, который мы присылали нашей жертве.
Содержание текста:
"Здравствуйте! Меня зовут Анастасия Золотаревская. Я из отдела техподдержки imo. Мы засекли попытку хакерской атаки на ваш аккаунт [*здесь указывали дату нападения*]. Сейчас мы отправим вам смс с секретным ключем. Отправьте нам этот ключ, чтобы мы могли убедиться, что аккаунт на самом деле принадлежит вам! В случае отказа, бездействия или попытке удаления аккаунта, нам придется заблокировать вход через ваш номер и ваш аккаунт навсегда. Спасибо, что помогаете устранению проблемы! Всё ради вашей безопасности!"
А далее чистая импровизация. С вероятностью в 90% это должно убедить жертву. Так как мы взломали ровно 10 человек, только один не клюнул. Если жертва отправляла нам ключ, мы говорили им, что, мол "мы нашли местоположение нападавшего. Мы обязательно сообщим в правоохранительные органы" и присылали жертве координаты точки в гугл-мапс, которую вставляли в соседнем регионе. Это полностью убеждало жертву, что мы "из отдела техподдержки".
НО, есть одно НО. Раньше при входе с чужого устройства никто не узнавал о входе. Сейчас в imo messenger приходит сообщение, что кто-то вошел в аккаунт через это устройство *пишет модель вашего устройства" и если это были не вы, то советует удалить этот аккаунт. Но никто не отменял эмуляторы. В настройках эмулятора можно выбрать модель устройства. Можно выбрать Google pixel 2XL.
К счастью, там есть баг - если получится войти в аккаунт жертвы хоть один раз, то даже в следующий раз при входе, даже если удаляли и заново создавали аккаунт, приложение не спрашивает у вас код из смски, так как оно попросту не отправляется.
Все жертвы - мои друзья. Я им потом признался, что я сам их взломал и что лучше не быть настолько наивными и доверчивыми.
Последнее редактирование модератором:
