На улице был холодный ноябрь 2019 года, мы добывали клиентов как могли… Начитавшись кейсов на тему бюджетного маркетинга, закатав рукава решил воплотить один из кейсов в реальность.
Вводные данные: Наша компания занимается изготовлением кухонь на заказ. Есть группы в Одноклассниках и Вконтакте, но основные манёвры будем производить с оформленных личных страниц. В целом суть простая: берем вступивших в группы конкурентов пользователей и переманиваем их к себе. Но всё не так просто, как пишут в кейсах.
ВАЖНО: данная статья носит исключительно информационный характер, все трюки выполнены профессиональными каскадерами. Пожалуйста, не пытайтесь повторить самостоятельно!
Попытка № 1 — Неудачная
Первое, что решил испытать, была связка «Дезертир» + ручной спам по вступившим в группы конкурентов.
Собираем список конкурентов Вконтакте
«Вконтакте» по запросу «кухни минск» выдала 456 результатов. Налив кружку кофе, начал фильтровать группы и попутно добавлять на отслеживание в «Дезертире» группы, в которых есть какая-либо активность. В результате собрал список из 50 групп и начал ждать, пока приложение соберет список новых подписчиков (обновляется в среднем каждые 12-13 часов).
Перехват и модификация трафика | атака MitM через Burp Suite
Пожинаем первые плоды
Первые несколько недель с разных аккаунтов добавлял в друзья новых подписчиков и в личных сообщениях предлагал им консультацию по выбору материалов и фурнитуры. За это время было создано больше 450 новых диалогов. В среднем около 20% людей отвечали на мои сообщения, но лишь 5 человек согласилось на замер. В результате получилось заключить 3 договора.
Проблемы с которыми столкнулся
- Страницы ооочень часто замораживали (из-за этого часть клиентов не смогли нам написать).
- Часто приходилось доказывать роботам, что мы не роботы, вводя текст с картинок, чтобы отправить очередное сообщение.
- Много времени уходило на выполнение рутинных действий, мониторинг новых подписчиков во всех 50 группах, добавление в друзья и первые приветственные сообщения.
- «Дезертир» работает только Вконтакте, а у нас еще в Одноклассниках потенциальные лиды стынут.
Попытка № 2: работа над ошибками
В ходе работы над ошибками было принято решение закупить несколько дополнительных аккаунтов для тестирования и заняться автоматизацией муторных процессов.
Немного пошуршал по интернетам и нашел сервис LeadHunter. По сути, то же самое, что и «Дезертир», только еще и с «Одноклассниками» работать можно. Перекинул весь список групп с «Дезертира» и начал ждать.
Через 1,5 часа передо мной красовался список новых подписчиков, и в этот раз я уже решил довериться роботам и автоматизировать рутинные действия. Так я начал пользоваться Броботом.
В «Лидхантере» создал аудиторию, в которую будут добавляться все новые подписчики, групп конкурентов и ссылку на эту аудиторию скормил Броботу.
Т — значит Тактика
Почитав в других кейсах, как избежать заморозок страниц, выработал следующую тактику. Сначала просто заходим на страницу пользователя и лайкаем несколько фоток и постов, а потом выжидаем. Некоторые пользователи, переходя посмотреть на мои страницы видели место моей работы и статус о том, что я занимаюсь изготовлением кухонь и сами писали мне в личные сообщения. Ну, а тех, кто не написал, через некоторое время я добавлял в друзья, чтобы написать им самому.
Как прослушивают наши смартфоны и следят через камеру телефона
Итого
За время второго теста было создано больше 1500 новых диалогов. По примерным подсчетам, около 6% написали мне первыми. Около 32% людей отвечали на мои сообщения, когда первым написал я, остальные сообщения остались без ответа. По результатам получилось 53 замера и 31 заключенный договор.
Проблемы во время попытки № 2
- В Броботе изначально поставил фильтрацию по возрасту, и большая часть анкет не обрабатывалась т.к. у части пользователей был скрыт год рождения, поэтому дальше я эту фильтрацию отключил
- Страницы все равно периодически замораживались, но гораздо реже
Есть куда стремиться!
- Часто пользователь пропадает когда видит цену, а потом просто игнорирует все сообщения. Буду благодарен, если кто-то поделится опытом, что делать с такими редисками.
- Большая часть сообщений, которые я рассылал при добавлении в друзья, осталась без ответа.
Источник: spark.ru
Перехват сообщений ВКонтакте с мобильных устройств
Эксперт компании HeadLight Security Михаил Фирстов обнаружил фичу в популярной социальной сети » ВКонтакте «. Выявленный недостаток защищенности позволяет перехватывать личные сообщения пользователей, при атаке, известной как » человек посередине » (Man-in-The-Middle).
Для чтения чужой персональной переписки достаточно находиться в одной беспроводной или локальной сети с компьютером или мобильным устройством жертвы, авторизованным в социальной сети. Для демонстрации возможности эксплуатации данной уязвимости можно воспользоваться соответствующей утилитой — vkmitm , которая позволяет обрабатывать сообщения «ВКонтакте» из трафика в режиме реального времени или офлайн из PCAP-файла.
Михаил Фирстов — эксперт группы тестирования на проникновение HeadLight Security . С 15 лет выступает на крупнейших конференциях по информационной безопасности — PHDays , Defcon Moscow , Zeronights . Один из последних его докладов, прозвучавших на десятой встрече Defcon Moscow, был посвящён уязвимостям современных роутеров и модемов ( ссылка ).
Знаете ли вы, что ваши личные данные могут быть на ЧЁРНОМ РЫНКЕ ? Присоединяйтесь к нашему ТГ каналу и узнайте, как остановить это.
Источник: www.securitylab.ru
Как перехватить переписку во «ВКонтакте» через Wi-Fi
Специалист по безопасности компании HeadLight Security Михаил Фирстов опубликовал код скрипта, позволяющего обрабатывать перехваченную переписку пользователей приложения «ВКонтакте» для Android и iOS, находящихся в одной локальной сети с хакером. Об этом он сообщил в своём микроблоге.
Пример работы скрипта
Код утилиты под названием vkmitm (от MITM — «man in the middle», тип атаки) Фирстов опубликовал на GitHub. Её исполняемая часть является скриптом на Python, который ищет в локальной сети запросы приложений «ВКонтакте» для Android или iOS на обновление списка сообщений.
[reclam]
В описании работы утилиты сказано, что запросы имеют одинаковый вид. В них различается только параметр key, который обновляется не реже раза в два часа и не чаще раза в сутки, поэтому использовать его можно продолжительное время. По мнению Фирстова, таким образом можно узнавать не только текст отправляемых и получаемых сообщений конкретным пользователем, но и служебные уведомления вроде «Набирает текст» и «Прочитано».
Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой — например, открытом Wi-Fi в кафе. «Слушать» сообщения в режиме реального времени необязательно: можно создавать дампы трафика через PCAP и разбирать их по заданной маске позднее.
Пример перехваченного трафика
Как рассказал Фирстов, возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях «ВКонтакте». По какой-то причине они передают их через протокол HTTP, даже если в настройках аккаунта стоит галочка «Всегда использовать защищённое соединение (HTTPS)».
По мнению исследователя, HTTPS был отключён специально, так как в мобильных приложениях принято экономить трафик, поэтому представителям «ВКонтакте» он об обнаруженном способе сниффинга не сообщал: «Это не уязвимость, а “фича”, которая изначально была заложена разработчиками».
Даже при включённой галочке «HTTPS» в настройках приложения данные о сообщениях (входящие/полученные/различные ивенты) передаются всё равно по HTTP. Я потестировал и написал небольшой скрипт, который получает эти данные из проходящего трафика и расшифровывает их — даже, скорее, расставляет по местам, так как в «сыром» виде сообщения малочитабельны.
Чтобы пропустить через себя чужой трафик, достаточно применить даже самую простую атаку — ARP-спуфинг. Находясь в одной сети, мы сможем видеть весь трафик, проходящий от чужого устройства к роутеру, а от роутера в интернет, ну и как следствие сможем видеть данные от «ВКонтакте», проходящие по незашифрованному HTTP и выводить их в удобоваримом виде.
Параметр key берётся из сниффинга всего объёма трафика по определённой маске. Определять личность пользователя по этому параметру Фирстов пока не научился, однако считает, что это можно сделать по косвенным признакам — например, по IP-адресу или по тексту самой переписки.
TJ уведомил представителей «ВКонтакте» о способе чтения чужой переписки. Пока неизвестно, что стало причиной неиспользования HTTPS при передаче личных сообщений.
Как уточнил Фирстов, в последнем обновлении приложения VK App для iOS передача сообщений по HTTP была исправлена, но только в том случае, если пользователь указал на сайте «Всегда использовать защищённое соединение (HTTPS)».
Пресс-секретарь «ВКонтакте» Георгий Лобушкин заявил, что клиент для iOS использует HTTPS уже больше года (в нём нет возможности выключить защищённое соединение), а в случае Android трафик шифруется при включённой опции на сайте или в приложении. Когда именно соцсеть полностью собирается перейти на HTTPS, он не уточнил.
Результаты проверки наших специалистов по безопасности полностью опровергли доводы, приведённые в статье. Защищённое соединение HTTPS всегда используется в нашем приложении на iOS (его нельзя отключить). Также оно может быть включено пользователем в настройках в приложении на платформе Android. В таком случае получить доступ к переписке пользователя перехватом Wi-Fi-трафика невозможно. В ближайшем будущем мы планируем полностью отказаться от использования HTTP.
Георгий Лобушкин, пресс-секретарь «ВКонтакте»
По словам Фирстова, пользователи «ВКонтакте» зачастую не используют HTTPS, и сообщения передаются в незашифрованном виде: «С Android точно известно, что если в настройках аккаунта не стоит галочка рядом с HTTPS, то в приложении всё передаётся в открытом виде — как у большинства, если судить по трафику в публичных сетях».
Источник: soulpost.ru