- 372
- 128
- 22 Июн 2019
Рассказываю о всех возможных способах. Погнали!
Способ 1. Фишинг
Злобный брат-близнец
Вот так выглядит страница авторизации через ПК. Не идеально, есть небольшие недочеты, которые начинают бросаться в глаза лишь после целенаправленного сравнения с оригиналом. Думаю, далеко не каждый заметит разницу, особенно если открывать сайт с мобильных устройств.
На яблоке сайт действительно крайне похож на оригинал, скрин которого ниже.
Ладно. Суть достаточного сходства я донес. Возникает вопрос - куда будут приходить логин и пароль жертвы? В горячо любимый телеграмчик, а именно, в бота.
Приятно, что перед отправкой боту логин и пароль проверяются. Если первое или второе не верно (не получается авторизовать пользователя), то жертва получает сообщение о некорректности.
С функционалом думаю понятно.
Техническая часть
Так, для начала давайте определимся с тем, что нам необходимо, чтобы все это корректно работало.
Логично, что в первую очередь стоит позаботиться о домене и хостинге. Про то, как заливать сайты на хостинг вам расскажет Google.
Детальнее остановимся на домене. Фишинг сам по себе от начала и до конца построен на захвате доверия жертвы (а это в чистом виде СИ). Вопросы манипуляций тут затрагивать я не буду, опишу лишь минимально необходимое для отработки сценария "Зайди в инсту подруги и поройся в ее грязном белье".
Согласитесь, даже самая упоротая блондинка заметит подвох, если ей скинуть ссылку вроде Для просмотра ссылки Войдиили Зарегистрируйся и сказать, что это инстаграм. Поэтому заходим на любой сайт для проверки занятых доменов и ищем то, что меньше всего отличается от оригинала.
Допустим, вы подобрали что-то подходящее, залили файлы на хостинг, привязали домен. Сайт полностью функционирует и готов разрушать отношения неожиданными открытиями. Переходим к следующему пункту.
Фишинг в большинстве случаев подразумевает контакт в жертвой. Так, как мы рассматриваем взлом вашей подруги, то, предположим, что у нее уже есть к вам определенная степень доверия. В таком случае, можно воспользоваться просто замечательной локальной фичей ТГ - маскировка ссылок в слова.
При нажатии будет перекидывать на фишинг
Предлогом для того, чтобы она авторизовалась может послужить банальное:
Привет. Я чет не могу зайти в [замаскированная ссылка] через браузер. У тебя тоже не работает? Срочно надо ответить в директе, а тут такая беда...
Если у вас хорошо работает воображение, то вы точно придумаете повод, для авторизации по вашей ссылке.
Хорошо. Подруга повелась и слила лог:пас, но как теперь его принять? Как я писал выше, получение чувствительных данных реализовано при помощи бота в тг. Я бы был не я, не продемонстрируй, как его создать и подключить к фишингу.
Создание и настройка бота
1) Идем к отцу всех ботов - Для просмотра ссылки Войдиили Зарегистрируйся и слезно просим его создать сыночка, отправляя:
/newbot
2) Придумываем название боту. У меня это vzlom podrugi.
3) Прописываем нашему боту линк. Мой выбор пал, как вы уже, наверное, поняли на vzlompodrugi_bot (приписка _bot обязательна).
В итоге общение с "отцом" выглядит так:
Токен я замазал от греха подальше
4) Копируем токен - то, что я замазал на скриншоте и идем в файлы фишинга. Нас будет интересовать содержимое файла, который я выделил на скрине ниже.
5) Вставляем в поле 'token', то, что вы получили от отца ботов (токен, как не странно).
Токен должен находиться в одинарных ковычках (ну а кто вас знает, вдруг решите и их удалить)
6) Возвращаемся к отцу ботов, жмякаем на линк своего бота и запускаем его командой:
/start
Профит! Теперь логи будут приходить прямиком к нему. Только помните, что сначала нужно все настроить, а только потом уже пытаться наебать свою подружку.
Cпособ 2. Bruteforce
Метод перебора пароля
Instashell - это скрипт для выполнения брутфорс атак на сервис Instagram, скрипт может обойти ограничения на перебор паролей, поэтому он может тестировать бесконечное количество паролей.
Скрипт использует Android ApkSignature для выполнения аутентификации, дополнительно используется TOR для изменения IP-адреса после блокировки, для продолжения атаки.
apt-get install tor
или Зарегистрируйся
cd instashell
chmod +x instashell.sh
или Зарегистрируйся
cd instashell
chmod +x instashell.sh
service tor start
Для запуска перебора необходимо указать имя аккаунта на сервисе и словарь, по умолчанию используется словарь Instashell, его можно дополнить или заменить (как у нас на скрине)
Скрипт успешно отрабатывает, предоставляя валидный пароль от аккаунта.
В системе обязательно должен быть установлен TOR!
А с телефона можно? Можно!
Реализация способа 2 со смартфона
Для начала нам понадобится установить и запуститьДля просмотра ссылки Войдиили Зарегистрируйся. Наш инструмент называется IGHACK. Приступим к его установке:
Обновляем пакеты:
apt update
apt upgrade
Скачиваем Python:
pkg install python -y
Скачиваем Python2:
pkg install python2 -y
Скачиваем гит:
pkg install git -y
Клонируем репозиторий:
git clone Для просмотра ссылки Войдиили Зарегистрируйся
Открываем инструмент:
cd $HOME
ls
cd ighack
ls
bash setup
bash ighack.sh
Перед нами открывается 5 опций:
• auto attack - автоматическая брутфорс атака, с паролями по умолчанию
• manual attack - брутфорс атака вручную, с вашим листом паролей
• about - описание утилиты
• update - обновление (рекомендую выбрать перед запуском)
• exit - выход из инструмента
Способ 1. Фишинг
Злобный брат-близнец
Вот так выглядит страница авторизации через ПК. Не идеально, есть небольшие недочеты, которые начинают бросаться в глаза лишь после целенаправленного сравнения с оригиналом. Думаю, далеко не каждый заметит разницу, особенно если открывать сайт с мобильных устройств.
На яблоке сайт действительно крайне похож на оригинал, скрин которого ниже.
Ладно. Суть достаточного сходства я донес. Возникает вопрос - куда будут приходить логин и пароль жертвы? В горячо любимый телеграмчик, а именно, в бота.
Приятно, что перед отправкой боту логин и пароль проверяются. Если первое или второе не верно (не получается авторизовать пользователя), то жертва получает сообщение о некорректности.
С функционалом думаю понятно.
Техническая часть
Так, для начала давайте определимся с тем, что нам необходимо, чтобы все это корректно работало.
Логично, что в первую очередь стоит позаботиться о домене и хостинге. Про то, как заливать сайты на хостинг вам расскажет Google.
Детальнее остановимся на домене. Фишинг сам по себе от начала и до конца построен на захвате доверия жертвы (а это в чистом виде СИ). Вопросы манипуляций тут затрагивать я не буду, опишу лишь минимально необходимое для отработки сценария "Зайди в инсту подруги и поройся в ее грязном белье".
Согласитесь, даже самая упоротая блондинка заметит подвох, если ей скинуть ссылку вроде Для просмотра ссылки Войди
Допустим, вы подобрали что-то подходящее, залили файлы на хостинг, привязали домен. Сайт полностью функционирует и готов разрушать отношения неожиданными открытиями. Переходим к следующему пункту.
Фишинг в большинстве случаев подразумевает контакт в жертвой. Так, как мы рассматриваем взлом вашей подруги, то, предположим, что у нее уже есть к вам определенная степень доверия. В таком случае, можно воспользоваться просто замечательной локальной фичей ТГ - маскировка ссылок в слова.
При нажатии будет перекидывать на фишинг
Предлогом для того, чтобы она авторизовалась может послужить банальное:
Привет. Я чет не могу зайти в [замаскированная ссылка] через браузер. У тебя тоже не работает? Срочно надо ответить в директе, а тут такая беда...
Если у вас хорошо работает воображение, то вы точно придумаете повод, для авторизации по вашей ссылке.
Хорошо. Подруга повелась и слила лог:пас, но как теперь его принять? Как я писал выше, получение чувствительных данных реализовано при помощи бота в тг. Я бы был не я, не продемонстрируй, как его создать и подключить к фишингу.
Создание и настройка бота
1) Идем к отцу всех ботов - Для просмотра ссылки Войди
/newbot
2) Придумываем название боту. У меня это vzlom podrugi.
3) Прописываем нашему боту линк. Мой выбор пал, как вы уже, наверное, поняли на vzlompodrugi_bot (приписка _bot обязательна).
В итоге общение с "отцом" выглядит так:
Токен я замазал от греха подальше
4) Копируем токен - то, что я замазал на скриншоте и идем в файлы фишинга. Нас будет интересовать содержимое файла, который я выделил на скрине ниже.
5) Вставляем в поле 'token', то, что вы получили от отца ботов (токен, как не странно).
Токен должен находиться в одинарных ковычках (ну а кто вас знает, вдруг решите и их удалить)
6) Возвращаемся к отцу ботов, жмякаем на линк своего бота и запускаем его командой:
/start
Профит! Теперь логи будут приходить прямиком к нему. Только помните, что сначала нужно все настроить, а только потом уже пытаться наебать свою подружку.
Cпособ 2. Bruteforce
Метод перебора пароля
Instashell - это скрипт для выполнения брутфорс атак на сервис Instagram, скрипт может обойти ограничения на перебор паролей, поэтому он может тестировать бесконечное количество паролей.
Скрипт использует Android ApkSignature для выполнения аутентификации, дополнительно используется TOR для изменения IP-адреса после блокировки, для продолжения атаки.
apt-get update
apt-get install tor
git clone Для просмотра ссылки Войди
cd instashell
chmod +x instashell.sh
git clone Для просмотра ссылки Войди
cd instashell
chmod +x instashell.sh
./instashell.sh
service tor start
Для запуска перебора необходимо указать имя аккаунта на сервисе и словарь, по умолчанию используется словарь Instashell, его можно дополнить или заменить (как у нас на скрине)
Скрипт успешно отрабатывает, предоставляя валидный пароль от аккаунта.
В системе обязательно должен быть установлен TOR!
А с телефона можно? Можно!
Реализация способа 2 со смартфона
Для начала нам понадобится установить и запуститьДля просмотра ссылки Войди
Обновляем пакеты:
apt update
apt upgrade
Скачиваем Python:
pkg install python -y
Скачиваем Python2:
pkg install python2 -y
Скачиваем гит:
pkg install git -y
Клонируем репозиторий:
git clone Для просмотра ссылки Войди
Открываем инструмент:
cd $HOME
ls
cd ighack
ls
bash setup
bash ighack.sh
Перед нами открывается 5 опций:
• auto attack - автоматическая брутфорс атака, с паролями по умолчанию
• manual attack - брутфорс атака вручную, с вашим листом паролей
• about - описание утилиты
• update - обновление (рекомендую выбрать перед запуском)
• exit - выход из инструмента
