Sosh
New member
Продолжаем тему фишинга
Сегодня у нас довольно общая статья на тему "старый добрый" (кто поймет отсылку у этой фразы, тому плюс к карме) фишинг.
Данный метод кражи информации настолько велик и обширен, что его используют повсюду, но чаще всего точка атаки сосредоточена на Instagram и ВКонтакте из-за ценности аккаунтов, а также простоты получения данных.
Сегодня мы разберем несколько интересных способов реализации фишингов, а также подробный разбор создания своего фейк-сайта под Instagram.
Первое, нам нужно понять о чем идет речь. Фишинг –это двойник оригинального сайта, использующийся в целях кражи личной и важной информации. Вы в прямом смысле попадаетесь на удочку, если повелись на двойник сайта.
О ВКонтакте
Один из самых распространенных способов, отжатия вашего аккаунта –это написать якобы от лица администрации о странной активности с вашей страницы, отправить свою фишинговую ссылку под предлогом проверки последних сессий, где жертва вписывает свои данные, сливая все вам.
Именно таким способом работают многие взломщики, которые предоставляют одноименные услуги. Дальнейшие действия с аккаунтом всем известны, а кто не знает, мы мягко намекнем:"Привет, займи денег..."
Всегда обращайте внимание на адресную строку, а также на степень защищенности антивирусом и браузером.
Об Instagram
Здесь ситуация намного красочнее и интереснее, ведь Instagram ломают как только получится.
Помимо разнообразных фишингов, Apple частенько пропускают приложения, которые способны проверить актуальную информацию по подпискам и отпискам, кто посещает аккаунт и прочее. Изначально приложение будет работать исправно, но вскоре все аккаунты будут взломаны и переведены под адалт, чтобы сливать трафик на партнёрки.
Хотите научиться делать своего двойника? Тогда добро пожаловать, мы расскажем об это максимально подробно на примере того, как это делается в ВК.
Фишинг по Instagram
Вот так выглядит страница авторизации через ПК. Не идеально, есть небольшие недочеты, которые начинают бросаться в глаза лишь после целенаправленного сравнения с оригиналом. Думаю, далеко не каждый заметит разницу, особенно если открывать сайт с мобильных устройств.
На яблоке сайт действительно крайне похож на оригинал, скрин которого ниже.
Возникает вопрос - куда будут приходить логин и пароль жертвы? Ответ меня порадовал - в горячо любимы телеграмчик, а именно, в бота.
Приятно удивило, что перед отправкой боту логин и пароль проверяются. Если первое или второе не верно (не получается авторизовать пользователя), то жертва получает сообщение о некорректности.
С функционалом более-менее понятно. Один недостаток – при авторизации жертву не перекидывает на настоящий сайт инсты, что является большим косяком.
Как ломать Instagram?
Так, для начала давайте определимся с тем, что нам необходимо, чтобы все это корректно работало.
Логично, что в первую очередь стоит позаботиться о домене и хостинге.
Детальнее остановимся на домене. Фишинг сам по себе от начала и до конца построен на захвате доверия жертвы (а это в чистом виде СИ). Вопросы манипуляций тут затрагивать я не буду, опишу лишь минимально необходимое для отработки сценария "Зайди в инсту подруги и поройся в ее грязном белье".
Согласитесь, даже самая упоротая блондинка заметит подвох, если ей скинуть ссылку вроде и сказать, что это инстаграм. Поэтому заходим на любой сайт для проверки занятых доменов и ищем то, что меньше всего отличается от оригинала.
Допустим, вы подобрали что-то подходящее, залили файлы на хостинг, привязали домен. Сайт полностью функционирует и готов разрушать отношения неожиданными открытиями. Переходим к следующему пункту.
Фишинг в большинстве случаев подразумевает контакт в жертвой. Так как мы рассматриваем взлом вашей подруги, то, предположим, что у нее уже есть к вам определенная степень доверия. В таком случае, можно воспользоваться просто замечательной локальной фичей ТГ - маскировка ссылок в слова.
При нажатии будет перекидывать на фишинг
Предлогом для того, чтобы она авторизовалась может послужить банальное:
"Привет. Я чет не могу зайти в [замаскированная ссылка] через браузер. У тебя тоже не работает? Срочно надо ответить в директе, а тут такая беда..."
Если у вас хорошо работает воображение, то вы точно придумаете повод, для авторизации по вашей ссылке.
Хорошо. Подруга повелась и слила лог:пас, но как теперь его принять? Как я писал выше, получение чувствительных данных реализовано при помощи бота в тг. Я бы был не я, не продемонстрируй, как его создать и подключить к фишингу.
Создание и настройка бота
1) Идем к отцу всех ботов - и слезно просим его создать сыночка, отправляя:
/newbot
2) Придумываем название боту. У меня это vzlom podrugi.
3) Прописываем нашему боту линк. Мой выбор пал, как вы уже, наверное, поняли на vzlompodrugi_bot (приписка _bot обязательна).
В итоге общение с "отцом" выглядит так:
Токен я замазал от греха подальше
4) Копируем токен - то, что я замазал на скриншоте и идем в файлы фишинга. Нас будет интересовать содержимое файла, который я выделил на скрине ниже.
5) Вставляем в поле token, то, что вы получили от отца ботов (токен, как не странно).
Токен должен находиться в одинарных ковычках (ну а кто вас знает, вдруг решите и их удалить)
6) Возвращаемся к отцу ботов, жмякаем на линк своего бота и запускаем его командой:
/start
Профит! Теперь логи будут приходить прямиком к нему. Только помните, что сначала нужно все настроить, а только потом уже пытаться обмануть свою подружку.
Моя предыдущая статья про фишинг:
Сегодня у нас довольно общая статья на тему "старый добрый" (кто поймет отсылку у этой фразы, тому плюс к карме) фишинг.
Данный метод кражи информации настолько велик и обширен, что его используют повсюду, но чаще всего точка атаки сосредоточена на Instagram и ВКонтакте из-за ценности аккаунтов, а также простоты получения данных.
Сегодня мы разберем несколько интересных способов реализации фишингов, а также подробный разбор создания своего фейк-сайта под Instagram.
Первое, нам нужно понять о чем идет речь. Фишинг –это двойник оригинального сайта, использующийся в целях кражи личной и важной информации. Вы в прямом смысле попадаетесь на удочку, если повелись на двойник сайта.
О ВКонтакте
Один из самых распространенных способов, отжатия вашего аккаунта –это написать якобы от лица администрации о странной активности с вашей страницы, отправить свою фишинговую ссылку под предлогом проверки последних сессий, где жертва вписывает свои данные, сливая все вам.
Именно таким способом работают многие взломщики, которые предоставляют одноименные услуги. Дальнейшие действия с аккаунтом всем известны, а кто не знает, мы мягко намекнем:"Привет, займи денег..."
Всегда обращайте внимание на адресную строку, а также на степень защищенности антивирусом и браузером.
Об Instagram
Здесь ситуация намного красочнее и интереснее, ведь Instagram ломают как только получится.
Помимо разнообразных фишингов, Apple частенько пропускают приложения, которые способны проверить актуальную информацию по подпискам и отпискам, кто посещает аккаунт и прочее. Изначально приложение будет работать исправно, но вскоре все аккаунты будут взломаны и переведены под адалт, чтобы сливать трафик на партнёрки.
Хотите научиться делать своего двойника? Тогда добро пожаловать, мы расскажем об это максимально подробно на примере того, как это делается в ВК.
Фишинг по Instagram
Вот так выглядит страница авторизации через ПК. Не идеально, есть небольшие недочеты, которые начинают бросаться в глаза лишь после целенаправленного сравнения с оригиналом. Думаю, далеко не каждый заметит разницу, особенно если открывать сайт с мобильных устройств.
На яблоке сайт действительно крайне похож на оригинал, скрин которого ниже.
Возникает вопрос - куда будут приходить логин и пароль жертвы? Ответ меня порадовал - в горячо любимы телеграмчик, а именно, в бота.
Приятно удивило, что перед отправкой боту логин и пароль проверяются. Если первое или второе не верно (не получается авторизовать пользователя), то жертва получает сообщение о некорректности.
С функционалом более-менее понятно. Один недостаток – при авторизации жертву не перекидывает на настоящий сайт инсты, что является большим косяком.
Как ломать Instagram?
Так, для начала давайте определимся с тем, что нам необходимо, чтобы все это корректно работало.
Логично, что в первую очередь стоит позаботиться о домене и хостинге.
Детальнее остановимся на домене. Фишинг сам по себе от начала и до конца построен на захвате доверия жертвы (а это в чистом виде СИ). Вопросы манипуляций тут затрагивать я не буду, опишу лишь минимально необходимое для отработки сценария "Зайди в инсту подруги и поройся в ее грязном белье".
Согласитесь, даже самая упоротая блондинка заметит подвох, если ей скинуть ссылку вроде и сказать, что это инстаграм. Поэтому заходим на любой сайт для проверки занятых доменов и ищем то, что меньше всего отличается от оригинала.
Допустим, вы подобрали что-то подходящее, залили файлы на хостинг, привязали домен. Сайт полностью функционирует и готов разрушать отношения неожиданными открытиями. Переходим к следующему пункту.
Фишинг в большинстве случаев подразумевает контакт в жертвой. Так как мы рассматриваем взлом вашей подруги, то, предположим, что у нее уже есть к вам определенная степень доверия. В таком случае, можно воспользоваться просто замечательной локальной фичей ТГ - маскировка ссылок в слова.
При нажатии будет перекидывать на фишинг
Предлогом для того, чтобы она авторизовалась может послужить банальное:
"Привет. Я чет не могу зайти в [замаскированная ссылка] через браузер. У тебя тоже не работает? Срочно надо ответить в директе, а тут такая беда..."
Если у вас хорошо работает воображение, то вы точно придумаете повод, для авторизации по вашей ссылке.
Хорошо. Подруга повелась и слила лог:пас, но как теперь его принять? Как я писал выше, получение чувствительных данных реализовано при помощи бота в тг. Я бы был не я, не продемонстрируй, как его создать и подключить к фишингу.
Создание и настройка бота
1) Идем к отцу всех ботов - и слезно просим его создать сыночка, отправляя:
/newbot
2) Придумываем название боту. У меня это vzlom podrugi.
3) Прописываем нашему боту линк. Мой выбор пал, как вы уже, наверное, поняли на vzlompodrugi_bot (приписка _bot обязательна).
В итоге общение с "отцом" выглядит так:
Токен я замазал от греха подальше
4) Копируем токен - то, что я замазал на скриншоте и идем в файлы фишинга. Нас будет интересовать содержимое файла, который я выделил на скрине ниже.
5) Вставляем в поле token, то, что вы получили от отца ботов (токен, как не странно).
Токен должен находиться в одинарных ковычках (ну а кто вас знает, вдруг решите и их удалить)
6) Возвращаемся к отцу ботов, жмякаем на линк своего бота и запускаем его командой:
/start
Профит! Теперь логи будут приходить прямиком к нему. Только помните, что сначала нужно все настроить, а только потом уже пытаться обмануть свою подружку.
Моя предыдущая статья про фишинг:
