Как сделать фишинг Вконтакте

В общем на днях сделал фишинг под ВКонтакте изначально делал для себя, но так как у меня сложились с ним некоторые проблемы, связанные с тем, что ВКонтакте очень оперативно блокирует подобные штуки, а постоянно менять IP тоже не дёшево.

В общем там уже всё, что вам нужно готово, а именно главная страница-приманка, фейк-авторизация и панель управления. Фейк авторизация проверяет аккаунты на валиность, то есть пропускает только валидные аккаунты (также мы получаем при авторизации токен пользователя с полными правами доступа). В этой авторизации и заключаются все проблемы, именно на нее нужно прокси и именно из-за нее ВК блокирует доступ.

Именно из-за этой проблемы публикую все это дело бесплатно, потому что не уверен, что будет всё корректно работать.

Что этот фишинг умеет?
Спойлер

Из-за своих проблем с фишингом, дорабатывать я его не стал, хотя идей еще было много. Поэтому некоторые кнопки в панели управления могут не работать или работать некорректно, могут быть какие-либо ошибки. Если у вас все будет хорошо работать, можете связаться со мной и мы побеседуем о доработке.

Как взломать страницу в ВК/Как сделать фишинг страницу в ВК 2019!

Спойлер: Главная страница

Спойлер: Панель управления

Требования: PHP 5.6, Apache, MySQL

Админ-панель: yoursite.ru/apanel
Логин: Admin
Пароль: Admin

Источник: g-f.su

Фишинг с использованием данных из VK/Facebook

Да я и сам с таким сталкивался:

Собственно первое, что я подумал, неужели API VK просто дописывает через JS свои блоки? Из этого блока вытаскиваются нужные данные и подставляются в форму фишинга? Значит… мы можем логировать всех пользователей, которые посетят наш сайт и которые есть в ВК. Бред (хотя, первое, что я подумал, неужели мой аккаунт увели?).

Сразу же проинспектировал подобные элементы, посмотрел, там кроссдоменный iframe. Через JS мы не можем получить данные фрейма, так как столкнемся с Same Origin Policy.

Пока размышлял, решил загрузить фишинговую страничку через ctrl + shift + N и в итоге получил не свою страничку, а кривую-косую форму авторизации в ВК. Значит, фишинг-страничка при помощи CSS просто рисует поверх свои блоки, которые частично перекрывают виджеты/формы авторизации ВКонтакте.

За несколько минут криво-косо накидал PoC фишинга:

• sergeybelove.ru/tools/socialnets-phishing/vk.php — ВКонтакте (демонстрации больше нет, ВК блочат приложение привязанное к виджету)
• sergeybelove.ru/tools/socialnets-phishing/fb.php — Facebook

Должно выглядеть примерно так:

ВКонтакте

КАК СОЗДАТЬ ФЕЙК САЙТ ВК

Facebook

Источник: habr.com

Как сделать фишинг вконтакте

Данная утилита создает ботов, которые маскируются под сервисы для накрутки.

Всем привет, на связи админ сайта. Как и обещал, представляю вашему вниманию программу по созданию фишинг ботов прямо в Telegram!

Как это работает?

Данная утилита создает ботов, которые маскируются под сервисы для накрутки. Боты просят логин и пароль от аккаунта, чтобы “накрутить” просмотры или лайки на аккаунт, однако данные отправляются вам, и никакой накрутки от них ждать не стоит. Перейдем к установке и настройке

Установка

Утилита работает на любых ОС на которых есть питон 3 и выше, но в моём случае всё будет показано на Termux.

1. apt update apt upgrade
2. pkg install git (если не установлен)
3. apt install python (если не установлен)
4. git clone https://github.com/lamer112311/Telephish
5. cd Telephish
6. pip install -r requirements.txt
7. python builder.py
8. Нажимаем Enter

вставляем полученное значение в скрипт.

ПИШЕМ БОТУ СТАРТ!

После этого копируем токен и вставляем в скрипт. Далее выбираем, какие данные будет красть бот (в моём случае это фишинг инстаграм).

Должно быть что-то вроде этого:

После этого запускаем файл, который сохранился, в моём случае это Instagram.py

1. python Instagram.py

Всё, наш бот запущен и готов к работе, полученные данные будут выводится в боте и терминале, также эти данные сохраняются в файле bot-log.txt.

Примерно так выглядит бот со стороны владельца бота:

Что бы все работало Вам нужно прожать по рекламе от гугла, иначе работать нечего не будет, проверенно, как только вы нажимаете один раз по рекламе гугл то все получается и работает, так что перед тем как написать админу что не работает, нажмите на рекламу от гугл.

Фишинг социальных сетей с помощью BlackEye

Аккаунты в социальных сетях – любимая цель хакеров, а наиболее эффективные тактики для атаки на аккаунты на таких сайтах, как Facebook , Instagram и Twitter ,…

• Взлом, хакинг
• Безопасность

Аккаунты в социальных сетях – любимая цель хакеров, а наиболее эффективные тактики для атаки на аккаунты на таких сайтах, как Facebook , Instagram и Twitter , часто основаны на фишинге. Эти кражи паролей основаны на том, что пользователи вводят свои пароли на фальшивой веб-странице, и их становится все проще делать благодаря таким инструментам, как BlackEye.

BlackEye – это инструмент для быстрой генерации фишинговых веб-сайтов социальных сетей, что значительно упрощает поиск потенциальных возможностей в одной сети. После перенаправления цели на фишинговую страницу можно легко получить пароли к учетным записям социальных сетей.

BlackEye для фишинга в социальных сетях

Пользователи доверяют своим аккаунтам в социальных сетях. Если у цели не включена 2FA, легкость, с которой злоумышленник может получить к ним доступ, может удивить. BlackEye – это подтверждение концепции, которая показывает, что эти фишинговые страницы не должны быть сложными или сложно настраиваемые для эффективной работы.

BlackEye – это простой bash-скрипт, представляющий несколько шаблонов на выбор, позволяющий вам выбрать, какой веб-сайт для социальных сетей эмулировать. Оттуда он создает на вашем устройстве функциональный фишинговый сайт с возможностью перенаправления портов или других подключений к машине вашей цели.

Поддерживаемые сайты социальных сетей

BlackEye поддерживает 32 различных веб-сайта с фишинговыми шаблонами, но они различаются по качеству. Лучше протестировать их перед их развертыванием, потому что некоторые жалуются на недостатки, которые могут их выдать, если пользователь обращает на это внимание. Хотя фишинговые страницы по умолчанию, предоставляемые с BlackEye, довольно хороши, всегда полезно иметь возможность их изменять.

Среди наиболее интересных сайтов, которые поддерживает BlackEye, – Protonmail, Github, Gitlab, Adobe, Verizon, Twitter, Facebook, Shopify, PayPal и Google. Вы можете быстро протестировать их, выполнив следующие шаги и перейти на фишинговый URL, чтобы выяснить, насколько реалистичным выглядит каждый шаблон.

Что необходимо

BlackEye – чрезвычайно простой инструмент, но лучше всего работает на Kali Linux. Это из-за количества зависимостей, но они могут быть установлены по мере необходимости на устройствах Ubuntu или Debian. После того, как вы полностью обновите дистрибутив Kali, вы должны установить BlackEye.

Шаг 1. Скачать и протестировать BlackEye

Во-первых, нам нужно клонировать исходный код из репозитория BlackEye GitHub . Для этого откройте новое окно терминала и введите следующие команды git и cd:

Это должно установить репозиторий BlackEye и предоставить его запуск из папки blackeye с помощью команды bash blackeye.sh . Когда мы запустим эту команду, мы увидим заставку ниже.

Шаг 2. Настройте фишинговые сайты

Если нам не нравится что-то вроде просроченного уведомления об авторских правах, мы можем довольно легко его изменить. Сначала выйдите из скрипта bash обратно в папку BlackEye. Затем мы введем ls, чтобы увидеть папку сайтов в репозитории BlackEye.

Мы можем перейти к нему с помощью команды cd sites . Затем введите ls, чтобы увидеть все шаблоны фишинг-сайтов, доступные для изменения.

Чтобы отредактировать Protonmail, мы можем набрать cd protonmail и затем снова ls, чтобы увидеть файлы в этой папке. Вы должны увидеть что-то вроде файлов ниже.

Чтобы изменить HTML- код фишинговой страницы, вы можете сделать это непосредственно, открыв login.html в текстовом редакторе, который позволяет легко обновлять любые уведомления об авторских правах или другие сведения.

Шаг 3. Включите фишинговую страницу

Чтобы запустить нашу фишинговую страницу, откройте окно терминала и снова перейдите к папке BlackEye. Затем выполните команду bash blackeye.sh, чтобы вернуться в меню выбора фишинговой страницы. Здесь мы выберем eBay – номер 18.

После ввода номера сайта, который вы хотите создать, нажмите Enter . Далее нас попросят предоставить наш IP-адрес. Если вы нажмете Enter, не добавив один, он попытается добавить ваш по умолчанию, но это не всегда работает. После предоставления вашего IP-адреса вы должны увидеть что-то вроде подсказки ниже.

Затем перейдите по ссылке фишинга в браузере, чтобы увидеть результат вашего фишингового сайта.

Шаг 4. Захватить пароль

Когда вы открываете сайт в браузере, он должен выглядеть примерно так:

Открытие ссылки заставляет скрипт сообщать о типе устройств, которые в настоящее время обращаются к фишинговой странице.

Как только цель вводит свои учетные данные, они перенаправляются на реальную страницу eBay, создавая иллюзию успешного входа в систему.

Со стороны хакера, BlackEye предоставляет нам учетные данные, которые только что была введена нашей целью.

Таким образом, мы перехватили и сохранили учетные данные, введенные целью на нашей фишинговой странице!

Вывод

Чтобы защититься от этой атаки, нужно везде включить двухфакторную аутентификацию. Без этого одна ошибка может привести к краже вашего пароля и его использованию злоумышленником для доступа к вашей учетной записи. Поэтому настройте 2FA на Facebook , Instagram и любых других ваших учетных записях .

Как сделать фишинг вконтакте

vkFishing представляет собой модуль авторизации/регистрации на вашем сайте через логин и пароль от социальной сети ВКонтакте, а также проверяет правильность ввода этих данных. По итогу вы получаете нового пользователя на своем сайте и его VK API токен с полным доступом.

В данном проекте реализованно следующее:

• Определение устройства пользователя и подгрузка необходимой страницы авторизации ( мобильная или десктопная версия )
• Проверка введённых данных на валидность
• При успешной авторизации, получение VK API токена с полным доступом
• Повторно авторизованные аккаунты не дублируются в базе данных, а лишь обновляют информацию об аккаунте
• Ненужные логи авторизаций можно скрывать из списка и наоборот
• Можно скачать весь список не скрытых аккаунтов текстовым документом в формате login:password
• О каждом аккаунте можно посмотреть подробную информацию и узнать актуальность данных.
• Можно активировать автоматическое подключение к рассылке сообщений при авторизации или сделать это вручную в подробной информации об аккаунте ( подключение к рассылке через сообщения сообщества )
• При включенной двухфакторной аутентификации в подробностях об аккаунте можно получить код для авторизации (работает не стабильно)
• Из подробной информации об аккаунте можно отправлять сообщения любому пользователю по ID от лица владельца аккаунта
• В подробной информации указаны администрируемые сообщества владельцем аккаунта и информация о них
• В подробной информации указаны важные друзья владельца аккаунта
• Можно подключить оповещения в Telegram и получать мгновенную информацию об авторизациях

Главная страница Панель управления :: Главная Панель управления :: Подробная информация

PHP 5.6, Apache, MySQL

Установка и настройка

1. Скачиваем архив
2. Создаем базу данных и импортируем в нее base.sql
3. Открываем core/system/mysql.php и указываем данные от вашей базы данных
4. Загружаем файлы на хостинг и проверяем работоспособность
5. Авторизовываемся в панели управления, переходим в yoursite.com/apanel?act=settings и настраиваем

Админ-панель: yoursite.com/apanel Логин: Admin Пароль: Admin

Данный проект разрабатывался в ознакомительных целях и не являлся целью интернет-мошенничества.

Источник: vkdom.su