В данной статье команда HelpU , подробно опишет схему фишинга аккаунтов популярной социальной сети ВКонтакте .
Для работы нам понадобится Kali Linux самой последней версии, которая есть на данный момент, а также знания о нём мы писали ранее. Но для сайта VK , мы опишем всё индивидуально.
Итак, берём сайт: vk.com. На данном этапе все не сложно, можно просто скопировать. Но лишь одно, если просто скопировать исходный код страницы, получаем такую «грязь»:
Будем клонировать сайт, а точнее его приветственную страницу. Для этого будем использовать . На самом деле эта программа уникальна, она может копировать, как весь сайт, так и его отдельные части.
Самый простой запуск этой программы будет выглядеть примерно так:
Httrack vk.com -O /var/www/html
Но для VK не советуем так делать, ибо копировать весь VK , не самая умная затея. Это чаще делается на сайтах поменьше, для полного анализа структуры, всех папок и файлов. Но на данном этапе будем действовать по иному сценарию.
2022 Рыбалка ВК ФИШИНГ в 2 шага Приколы и рабочие файлы. Инженерия не спим)) Хакерство.Читинг
Для начала надо использовать параметр для ввода пользовательского агента.
Соответственно будем использовать параметр:
F Mozilla/5.0 (Windows NT 6.1) ApleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.228.0 Safari/537.36
Httrack https://vk.com -r2 -F Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.228.0 Safari/537.36 -O «/var/www/html/vk.com»
После этого увидим:
Сайт будет скопирован. В папке vk.com будут несколько файлов, которые сделал , их можно удалить и оставить только одну папку vk.com
Удаляем, перемещаем файлы из подпапки vk.com в папку vk.com повыше, и тогда у нас не будет в адресной строке путь: localhost/vk.com/vk.com
После манипуляций с файлами адрес будет: localhost/vk.com
С веб версией все понятно. Но если вы попробуете скопировать мобильную версию ВКонтакте (m.vk.com ), возникнут некоторые трудности, там javascript проверяет достоверность адреса и не дает странице прогрузиться. Но и на это, есть своя уязвимость.
Команда будет следующей:
Httrack https://m.vk.com -r2 -F «Mozilla/5.0 (Linux; U; Android 4.0.3; ru-ru; LG-L160L Build/IML74K) AppleWebkit/999+ (KHTML, like Gecko) Safari/999.9» -O «/var/www/html/mvk/»
Когда сайт скопируется и вы попробуете на него зайти, у вас ничего не выйдет, поэтому надо обязательно выполнить следующую команду:
Выделяем строку, которая выделена на скриншоте и удаляем её.
И сайт отлично работает.
ФИШИНГ 21 ВЕКА — КАК ВАС ВЗЛАМЫВАЮТ МОШЕННИКИ. СХЕМА
Итак, у нас есть сайты, которые идентичны оригинальным. Но логи нигде не сохраняются, и посмотреть, кто что вбивал в поля у нас не получится, поэтому приступим к веб-программированию. Мы внедрим в наш сайт keylogger , напишем его на php и javascript .
Создадим 3 файла keylogger.php , keylogger.js и keylog.txt
В keylogger.php вводим:
В keyloger.js вводим:
if ($id == «confirmemail»)
$fh = fopen($myFile, «r»);
$theData = fread($fh, 500000); fclose($fh);
$fh1 = fopen($myFile1, «r»);
$theData1 = fread($fh1, 500000);
и сохраните его рядом с vk.jpg;
Создайте файл confirm.jpg, также откройте в блокноте и впишите в него следующую строку:
thanks for confirming your email address.
Проверьте что у Вас есть нужные файлы
и папка со всеми скриптами Вконтакте, без них Ваша фейковая страница будет отображаться некорректно;
Загрузите эти файлы на веб хостинг;
Данный метод подойдет также если жертва заходит с устройства андроид. И одним комплектом скриптов можно взломать большое количество учетных записей во Вконтакте. Если не считать расходы на хостинг, то это получается бесплатный способ получения пароля.
Это только один метод прохода через системы безопасности социальной сети или почтового сервиса. Но сегодня для того что бы произвести взлом Вконтакте, необходимо знать множество таких методов. Анти-фишинговые механизмы с каждым днем совершенствуются, а владельцы сервисов все больше закручивают гайки, не оставляя никаких лазеек хакерам.
Но сильная сторона способа взлома заключается как раз в другом. А именно в умелом манипулировании людьми, умении выявить и использовать их слабости. Написать хорошую подставную страницу это даже не пол дела, потому что если ты не обладаешь достаточными навыками социального инженера, то заниматься этим просто нет смысла.
Источник: erfa.ru
Как создать фишинг-панель крипты? (с автовыводом)
В шикарное время живем — кто то майнит, кто то торгует, а кто то просто стрижет мамонтов и забирает ВСЕ!
ТЕМА НАПИСАНА ИСКЛЮЧИТЕЛЬНО В ОЗНАКОМИТЕЛЬНЫХ ЦЕЛЯХ И НИКОГО НЕ ПРИЗЫВАЕТ СЛЕДОВАТЬ ПРИМЕРАМ, ОПИСАННЫМ НИЖЕ!
Мое мнение насчет этой темы — у нее огромный потанцевал сместить полудохлую Авито/ОЛХ, и тут доходы скамеров будут идти уже на десятки миллиардов, а не на единицы.
Будьте внимательны и бдительны -все, что создано человеком- человеком же и можно сломать.
Скрытое содержимое. Вам нужно войти или зарегистрироваться.
sangr0yal
Новорег
sangr0yal
Крипта , как и арбитраж — нефть 21 века !
kr_ramirez
Легенда
kr_ramirez
еб@#%ь что за пушка
Shade063
Бывалый
Shade063
Рома Ханиев
Легенда
Рома Ханиев
еб@ться в телевизор, это шо, получается севочаво снова кого то на@$https://seochao.ru/threads/kak-sozdat-fishing-panel-kripty-s-avtovyvodom.806/» target=»_blank»]seochao.ru[/mask_link]
Как я взломал мошенников, или просто внутренности фишинг-панелей
Недавно столкнулся с обычной для интернета ситуацией — классической просьбой от родственника отдать свой голос за него в каком-то голосовании. Оказалось, человека «взломали» мошенники, а ссылки на голосование вели на фишинговые ресурсы.
Я увлекаюсь безопасностью, поэтому решил из интереса проверить безопасность фишингового ресурса.
«Админку» мошенников удалось успешно взломать, внутри нашлось n-количество украденных учеток. Их логины были переданы в службу безопасности VK, плюс соответствующие «abuse» жалобы были направлены регистраторам, хостерам.
А теперь расскажу как и какие оказываются бывают Phishing-as-Service панели.
Началось все как обычно просьба от родственника отдать свой голос за него в каком-то голосовании:
Родственник:
Привет, просто хочу выиграть 🙂 http://x-vote.ru/votes/701738#vote
На самом деле, большинство скорее всего проигнорирует подобную просьбу, но с точки зрения безопасности возникла заинтересованность в проверке на Race condition само голосование — удастся ли 1 аккаунту отдать по факту несколько голосов, отправив их несколько в один короткий промежуток времени.
К сожалению, проверить это так и не удалось. Ввиду, судя по всему, отсутствия всякого голосования, и к тому же не совсем той Oauth формой, которую хотелось бы увидеть.
Становится уже совсем очевидно, что это просто фишинг, и ничего более.
Однако просто покидать сайт, отказавшись от удовольствия проверить на Race Condition было бы поражением, сканирование портов и поиск директорий на предмет админки или интересных файлов ни к чему не привели, поэтому, быстро прикинув, я решил не писать в форму гадости, которые могли бы вызвать у хозяев фишинг-сайта колоссально-нравственные страдания.
Вместо этого я предположил, что данные, которые жертвы отправляют в форму, затем где-то отображаются, и фильтрация там отсутствует, и, значит, что вместо логина/пароля можно отправить «вредоносный» HTML+JS, или в простонародье Blind XSS. Слепой она называется, потому как факт его отрабатывания мы зафиксировать сразу не можем — только если на неё наткнется администратор/модератор по ту сторону.
Спустя день изучаем наш xsshunter — будничное действие для многих багбаунти хантеров. Это довольно простой и понятный ресурс для проверки на слепые XSS, который сразу может предоставить тебе:
- url, где произошло срабатывание;
- IP;
- Cookie;
- Dom-страницы;
… и еще по мелочи. Но в целом все тоже самое можно организовать, отправляя эти данные к себе, скажем, на VPS.
Нас интересует тот факт, что blind XSS-таки отработала успешно.
Исторически, упоминая XSS всегда предлагалось «красть сессию» (содержимое document.cookie).
Но в современном мире, как правило такое уже не работает — сессионные куки выставляются с заголовком «httpOnly», что делает их недоступными для вредосного JS.
Но XSS все еще опасны, по-прежнему можно обращаться к API сайтов в контексте уязвимого сайта, воровать данные со страницы (токены), хоть это и чуть более сложно.
Но злоумышленники не озаботились безопасностью сессии, поэтому мне удалось «угнать» сессию целиком.
Заходим на хост, меняем сессионную куку, попадаем внутрь.
Здесь в глаза бросаются, помимо логинов и паролей, тот факт, что панель не рассчитана на одного человека — а монетизируется продажей доступа туда.
К созданию подошли почти с душой. Не забыли добавить bootstrap с кнопочками, а также весьма расширенный функционал, а именно:
Выгрузка с различных форматах:
Логи выгрузов с IP.
Пример добавления и существующие хосты на аккаунте:
А вот, как выглядят классические сгенерированные страницы:
… и многие другие.
Разработчики фишинговой панели активно используют имеющееся API Вконтакте, например выгружают количество друзей, подписчиков, проверяют права администрирования в пабликах, и.т.д, например такие как execute.getDialogsWithProfilesNewFixGroups.php, примеры методов:
https://vk.com/dev/execute
Довольно примечательным являлась следующая ситуация.
Если зайти в аккаунт Вконтакте используя логин и пароль — велика вероятность словить подозрение от VK с просьбой ввести отправленный в личные сообщения код.
Однако при помощи их методов и access-токена, никаких проблем с этим не было, и тот же самый код можно было прочитать через этот функционал.
Выглядело это примерно так:
GET /method/execute.getDialogsWithProfilesNewFixGroups?access_token=****b750be150c961c******ace8d9dd54e448d5f5e5fd2******7e21388c497994536a740e3a45******https=1v=5.69 HTTP/1.1 Host: vk-api-proxy.xtrafrancyz.net
HTTP/1.1 200 OK Date: Tue, 03 Mar 2020 09:57:08 GMT Content-Type: application/json; charset=utf-8 Connection: close Vary: Accept-Encoding Server: vk-proxy X-Powered-By: PHP/3.23359 Cache-Control: no-store X-Frame-Options: DENY Access-Control-Allow-Origin: * Content-Length: 57453 <«response»:<«a»:<«count»:271,»unread_dialogs»:151,»items»:[<«message»:<«id»:592***,»date»:1583222677,»out»:0,»user_id»:14967****,»read_state»:1,»title»:»»,»body»:»Код подтверждения входа: 063725.»,»owner_ids»:[]>,»in_read»:592***,»out_read»:592***>
ВК помнит, откуда пользователь обычно заходит на сайт. Предположительно, поэтому мошенники такое тоже предусмотрели и использовали различные прокси серверы разбросанные географически — чтобы «попасть» в туже зону, где обычно находится жертва. Этим объясняется тот факт, что при попытке проверить пару логин+пароль не вышло без лишних вопросов от ВК, однако сработало через их функционал, использующий прокси.
Это если говорить о том, как шагают и что предпринимают фишеры, чтобы атаковать пользователей, в поисках аккаунтов с большим количеством подписчиков и друзей, а также администраторов сообществ.
На самом деле, один из возникающих вопросов, это что делать дальше в таких ситуациях?
В общем-то, я собрал те фишинговые хосты и утёкшие аккаунты, помимо тех, что были видны в интерфейсе, также те, что были видны по эндпоинту с кучей мусора: непроверенный акков, оскорблений в сторону фишеров, и тихой записью с blind xss пейлоадом, что в дальнейшем было передано ребятам из VK по рекомендации и помощи Bo0oM, которые, скорее всего, в свою очередь проводят стандартную процедуру внесения этих сайтов в запрещенные, и сбросы паролей.
Также пошел процесс complaint’ов в сторону фишинговых хостов и панельки. Подавляющая часть была скрыта за cloudflare’ом, поэтому пришлось написать им. Этот процесс, к слову, весьма неудобный и отбивающий желание репортить такие сайты, т.к почему-то Cloudflare не хочет принимать жалобу на почту, но хочет принимать жалобу через https://www.cloudflare.com/abuse/form, причем не несколько хостов за раз — а каждый раз отдельно на 1 url ¯ (ツ) / ¯
Но все же в их пользу стоит сказать — что бан они выдавали за 10 минут.
После чего некоторые из хостов начали выходить из под клаудфлеера, обнажая уже и хостинг, куда также была подана соответствующая информация.
UPD: Также была передана соответствующая информация и в QIWI с Yandex, для проверки уже кошельков.
Источник: habr.com