Лучше всего юзать связку впн+тор, тор запускать в песочнице. Зачем песочница? Есть код, который отправляют на компьютер, он обрабатывается твоим железом и отсылает уже обработанный код. Этот самый обработанный код является отпечатком пальца твоего компьютера. А песочница это – мини компьютер, который использует только нужные ему ресурсы, так что этот код работать не будет).
Но лучше всего делать все с деда. И да, самая девственная связка — это впн+тор, просто тор нельзя. Если вы занимаетесь этим ради удовольствия (ломаете одноклассниц), анонимностью можно пренебречь, но лучше делать все по-умному.
Из впн посоветую windscribe.
Взлом определенного человека
Основной способ – это фишинг, но можно вытащить пароль у человека через вирус или находясь рядом с ним, об этом позже.
Что там для этого нужно ?
- Фишинговый сайт.
- Фейковый аккаунт вк.
- Редирект (что бы вк не блочил ссылки).
https://yadi.sk/d/7ZVfSKSA3SqXuD — Фейк, жалобы, без заточки, с проверкой. Логин и пароль находятся по пути ваш_сайт.ru/dashboard
Как через картинку проникнуть в компьютер ? (разбираем и защищаемся)
https://yadi.sk/d/fr1jLhOb3SqXxB — Фейк, обычная авторизация, вытаскивает токен. Токен, логин и пароль находятся по пути ваш_сайт.ru/base.json
https://yadi.sk/d/KgDfJ-Vg3SqXzt — Фейк жалобы, без заточки, без проверки, логин и пароль находятся по пути ваш_сайт.ru/dashboard
https://yadi.sk/d/1WWJwSOO3SqY4T – Фейк с заточкой, с проверкой, жалобы, логин и пароль находятся по пути ваш_сайт.ru/protection
Проверка – это фейк , который имеет функцию проверять введенные в него данные на валидность. Он имеет 2 минуса: 1)Когда жертва вводит данные, ей приходит уведомление о входе, так как что бы проверить аккаунт на валидность, нужно на него попробовать зайти. 2)Если у жертвы стоит двухфакторная аутентификация, скрипт не пропустит данные в админку, сочтет их за невалидные.
Заточка – это возможность заточить фейк под страницу жертвы. Если вы купили домен proverka.ru, то что бы заточить сайт под жертву, просто изменяете ссылку такого типа: proverka.ru/id_жертвы. Если же у нее сокращенная ссылка, то просто пишете вместо id жертвы ее имя в ссылке наподобие: proverka.ru/vsem_privet
Как купить домен или как залить сайт на хостинг, можете посмотреть в интернете, просто в каждом конкретном случе все это настраивается по-разному.
С сайтом все понятно, теперь разберемся с аккаунтами для взлома.
Регистрируем аккаунты на сайтах (не реклама):
Есть и другие сайты, но использовал я только эти, советую залить по 100 рублей на 3-4 сайта и не париться , т. к. бывает, что на каком-то сайте отсутствуют свободные симки. Цена от 15 до 30 рублей.
Потом нужно их назвать, ниже приведу актуальные Имена и Фамилии, которые не банит вк.
- Страница Заблокирована
- Bot Info
- Accounts Groups
- Agents Supports
Поставили аву, заходите в поиск групп и ищите оф. группу вк “Команда Вконтакте”, потом заходите в пункт “Редактировать”, изменяете в карьере место работы на “Команда Вконтакте”.
ПРОГРАММА ДЛЯ ВЗЛОМА СТРАНИЦЫ ВК 18+ (НЕТ)
Аккаунт оформили, осталось самое важное — отправка текста жертве.
Перед отправкой нужно позаботиться о том, чтобы вк не посчитал вашу ссылку фишинговой.
Как сделали редирект на нашу ссылку, сокращаем ее на сайте vk.cc . Все, теперь ВКонтакте не будет блокировать нашу ссылку.
Ниже я вам дам шаблонные текста, не обязательно работать только по ним, вы можете их изменять или составлять свой. Чтобы вк реже блочил аккаунты, я поменял русские буквы на английские (только те, которое не отличить. Например: о o ; х x).
Куда же отправлять этот текст, если у жертвы закрыта личка ?
Заходите в друзья, нажимаете “Поиск друзей”, дальше в параметрах поиска выбираете любую страну, любой город, любое учебное заведение.
Вам выдаст несколько тысяч человек, заходим к каждому пользователю, который не в онлайне, ищем открытую стену. Нашли человека с открытой стеной — кидаем ему наш текст на стену, 90% пользователей, которые клюнут на фишинг, не смогут найти, где находится ваше сообщение.
Им придет уведомление о том, что их упомянули в какой-то записи, это уведомление появляется в ответах, если жертва онлайн с компьютера.
Жертва ввела данные, где же они появятся?
Они появляются в админке. Что бы зайти в нее, нужно ввести имя вашего сайта и некоторую приставочку. Например, на сайтах, которые дал я, можно войти так:
На некоторых сайтах нужно ввести лог/пасс от админки, их смотрите в файле config
Способ входа на страницу без уведомления
Работает только с сайтом, который ворует не только логин и пароль, а еще и токен: https://yadi.sk/d/fr1jLhOb3SqXxB
Так , у нас есть токен жертвы, нужно как-то зайти на него без уведомления, сейчас я вам распишу, как это сделать.
Сначала качаем расширение для хрома “EditThisCookie”, потом заходим на сайте apidog.ru в свой аккаунт, после авторизации открываем наше расширение и видим это:
Заменяем наш токен на токен взломанной страницы (он будет в админке этого фейка https://yadi.sk/d/fr1jLhOb3SqXxB ).
Все, мы зашли на страницу, а ее хозяину уведомление не пришло.
1 способ я уже вам рассказал, думаю, что отсюда вы поняли всю суть взлома. Приступим к другим вариациям фишинга.
Мы будем разводить людей, которые сидят в пабликах ”Отдам даром”
Для этого нам нужно :
- Фишинговый сайт.
- Фейковый аккаунт вк.
- Группа вк.
- Анонимность (здесь лучше строго соблюсти все нюансы).
Это скрип обычной авторизации, который может после данных перенаправить жертву на нашу группу (редирект настраивается в файле config, чтобы посмотреть данные, которые ввела жертва, нужно перейти по такой ссылке: ваш_сайт.ru/base.json).
После того, как поставили сайт, создаем и заполняем нашу группу. Заходите на фейковый (очень похожий на живой) аккаунт. Заходите в реальную группу «Отдам даром», берете из нее страницы людей, которые находятся в онлайне и пишите им:
«Привет, обладатель нового айфона! Поздравляю тебя с победой! Тебе необходимо подписаться на паблик и написать в сообщение группы и там скажут, как получить приз (ссылка на фейк). Спасибо за участие!»
Переходим в админку, там будет БД аккаунтов, что с ними делать — решайте сами. Приведу некоторые возможные способы применения:
1) Продажа. Продавать их можно будет в разные шопы или даже на сайты автоматической покупки.
2) Раздача на форумах для набива репутации.
3) С помощью спама взламывать аккаунты друзей.
Чтобы взламывать аккаунты друзей, нам нужно перейти на сайт vk-assistant.ru (рассылает сообщения друзьям).
Текст, который мы будем отправлять:
«Привет. Срочно нужна твоя помощь! Можешь за меня проголосовать, пожалуйста? Я 2-ой(ая) по счету. Вот ссылка на опрос: ваша фишинговая ссылка (ваш_сайт.ru/base.json)».
Источник: dark2web.org
Взлом через ссылку и как от этого защититься
Часто на форумах появляется вопросы типа «Можно взломать аккаунт через ссылку?». В статье отвечу на этот вопрос и покажу, как это делают хакеры с помощью Kali Linux и BeEF. Мы не будем рассматривать подробно все детали, для этого не хватит одной статьи, но если вас интересует этичный хакинг, вы можете все это найти на нашем сайте.
Статья написана в образовательных целях, для обучения пентестеров (этичных хакеров). Использование подобных методов без надлежащего разрешения, является незаконным и расценивается, как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши действия.
Данный материал будет также полезен и обычным пользователям. Изучения и понимание методов взлома и проникновения, поможет вам в соблюдении кибергигиены.
Взлом через ссылку и фейк-страницу
Итак, нам понадобится дистрибутив Kali Linux и фреймворк эксплуатации браузеров BeEF (Browser Exploit Framework). Это инструмент для тестирования на проникновение, который фокусируется на браузерах.
Инструмент позволяют создать фейк-страницу, содержащую JavaScript и менять контент в зависимости от конкретного клиента. Мы рассказывали про BeEF в статье «Использование фишинговой рассылки в пентесте».
Установка BeEF на Kali Linux
Для установки BeEF на Kali Linux используем команду:
Источник: spy-soft.net
Как взломать Вконтакте? | Способы
Я этого столько ждал. Наконец-то. Скажут десятки/сотни мамкиных кулхацкеров(и не очень), долгое время терроризировавших сообщещия нашей группы HG . Ещё раз повторяю, мы не взламываем vk за деньги. И вообще не работает на заказах, но для тех кому все-таки неймётся, делемся этой статьей из runiona.
Итак, как же взломать Вк?
Простой ответ — никак! Более полный — если учесть, что большинство пользователей совершают ошибки, то взлом возможен, но не путаем понятия. Уязвимости, позволяющей взламывать абсолютно любого юзера за пять сек нет и не будет. А если и будет, то никто не собирается вам ее предлагать. Поэтому, те способы, которые я представлю ниже, тем или иным образом направлены на обман юзера и используют отсутствие у него мозга.
Разделим весь процесс на несколько этапов. Первоначально нам понадобится цель,свободное время, безопасный доступ к вк(если хотим сохранить анонимность конечно) и можем приступать.
Этап №1 — «Сбор информации»
На этом этапе мы имеем страницу юзера, которого бы желательно взломать и нам необходимо собрать, как можно больше полезной информации, которая бы впоследствии помогла в успешном взломе.
Что же такого имеется на странице?
1) URL страницы
Сохраняем себе айди или если там имеется буквенная замена, то ее. Аккаунты и прочее данного человека, всякого рода твиттеры и прочее.
2) Почта жертвы
Писать ему/ей напрямую и выпытывать? В большинстве случаев это не потребуется. Если человек не только попал в сеть, вы сможете найти почту путем простого гугления. Например особо удобно отыскивать мыло на мэйл ру. Один из способов — это просто погуглить фио цели и дату рождения.
Или же другого рода такие комбинации. Если цель имеет мой мир на маиле, то почта будет в коде страницы или же в урл.
Если просто имеется почта без соц.сети от мейла ее тоже можно запросто выяснить зарегавши себе другую почту на этом сервисе и поискав в мессенджере от мэйла.
И как вариант вы можете поискать полезную информацию с помощью имеющихся у цели аккаунтов. То есть берем например никнейм в Твиттере/Фейсбуке/другое и пробиваем по популярным почтовым сервисам. Также в Твиттере можно использовать форму восстановления и узнать часть почты. В фейсбуке можно напрямую поискать аккаунт введя почту в поиск.
И в некоторых сервисах есть такая штука, как импорт почтовых контактов и предложение добавить этих людей в друзья. То есть можно зарегать левую почту и узнать дополнительные аккаунты.
Если почта не была запалена сразу, то найти ее можно только так с помощью последовательного поиска полезной информации.
3) Номер Телефона
А как же узнать номер человека? Если исключить такие варианты, как публикация юзером своего номера на странице(есть и такие) и например использования им телефона для связи в каком-либо проекте, где он выложен в открытую(Авито/Свой сайт/Покупка или продажа недвижимости/Другое), то остается лишь этот вариант.
Есть такой, не сказать открытый, но достаточно простой способ, позволяющий узнать номер юзера, если у вас имеется несколько его аккаунтов, привязанных к одной и той же почте.
Приведу пример:
Имеется почта юзера на маиле. Вводим ее в форму восстановления вконтакте и нам пишет часть номера. Вводим также ее на маиле в восстановлении. И если номер там привязан, то вы увидите уже, другую часть номера. Если почта не привязана, то тогда там есть секретный вопрос.
Перебираем его и заставляем юзера привязать мобилку на сервис.
Теперь у вас не хватает лишь двух цифр от почты. Чтобы их узнать достаточно перебрать форму восстановления вк уже с помощью номера. Всего-то 99 раз. Можно и автоматизировать. А когда будет запрашивать фамилию страницы, как доп защиту, запросто вводим ее.
Ведь мы же знаем страницу цели.
Также в некоторых случаях люди любят публиковать свой номер на странице, но закрывать часть номера звездочками, черточками и тд. Это тупость еще та. Если вам повезет, то будут незакрыты именно те цифры, которые вам недоступны в форме восстановления вк.
Этап №2 — «Собственно взлом»
В данном этапе вы должны получить доступ к аккаунту цели. Я опишу самые простые способы.
Основные способы:
1) «Соц инженерия»
Сразу скажу этот способ годится либо для совсем школьников, либо наоборот для стариков, которые мало что знают об интернете, но решили по каким-либо причинам зарегаться в соц.сети.
Если вы хотите просто попрактиковаться, то новички вк могут быть найдены
здесь — vk.com/catalog.php
В основном тут используется простой механизм. Человек, который не разбирается в чем-то, подсознательно доверяет более опытным юзерам/админам/техподдержке и принимает их слова на веру.
Тут можно создать аккаунт представителя техподдержки, создать «официальную» почту администрации и прочее. И придумать некую ахуительную историю. Что новые юзеры обязаны проходить проверку после регистрации и дать например ссылку на некий тест, по итогу или для входа которого требуется логин-пасс от вк. Главное в общем-то не заострять внимание на пароле.
Просто писать,что можете ли вы написать мне свои данные от аккаунта не стоит. Следует убедить пользователя, что он в безопасности. Этот способ хорошо сочетается с фейком. Кроме того продвинутые социнженеры могут узнав номер юзера позвонив(разумеется анонимно, используя sip) и развести напрямую. Кроме того все извлеченная вами информация, например известный вам номер телефона/упоминание фактов с указанием дат/другое косвенно говорит о том, что вы из техподдержки(для лохов) или кулхацкер, как мы знаем.
В данном способе все зависит от вас, поэтому вы можете прокачать свои навыки на разного рода новичках в вк, а потом переходить к более-менее обычным юзерам.
2) «Умный брутфорс»
Брутфорс — это перебор пароля, кто не в курсе. Данная атака сработает, если наша цель — среднестатический юзер, который ставит слабые пароли на свои аккаунты, для более легкого запоминания.
Для него нам понадобится, заточенный исключительно под нашего юзера словарь. Такой неоткуда не возьмешь, поэтому составляем сами. Что у нас есть?
Представлю примеры(персонаж вымышленный).
Также есть страница вк, на которой написано какие пароли следует указывать, какие символы возможны и самые частые пароли. /page-777107_1000339
Получился лист из 14 строк. Но из него еще нужно создать комбинации паролей, которые мог бы создать недалекий юзер — http://pastebin.com/12U2TTyb
Из 14 получилось 1272 варианта. Приведу часть.
Molodegkactac
MolodegkActac
molodejka_molodegka
Stasss92molodejka
stasss92molodegka
molodegka_stasss92
molodegka:stasss92
molodegka;stasss92
stasss1992swimming
swimming_stasss1992
Kurayginctac
KuraygiNctac
kurayginkuraygin
kuraygin_kuraygin
molodegka17111992
1711199217111992molodegka
molodegkamolodegka17111992
24
1711_24
и тд…
Но что же с этим делать? Не сидеть же и перебирать вручную каждый пароль.
Разумеется, необходимо все более или менее автоматизировать.
Для этой цели я набросал небольшой скрипт, который брутит через мобильную версию вк — http://pastebin.com/SUYzXf8T
Он для одиночной цели, не стал делать прокси,много точность и прочие фишки.
А то школьники еще поломают кого)
За то он может сам ввести недостающие цифры в защиту вк заходе с другой страны. Также с помощью антигейт запросто вводит капчи, которые появляются после 5-6 попытки ввода с одного айпи.
3) «Фейк наше все»
Данный способ предназначен для невнимательных людей. По большей части их либо завлекают халявой, либо отвлекают внимание с помощью многобукв. Я покажу вам, как создать простой фейк на основе обычного сайта вк(страницы логина). Можете брать, как мобильную, так и основную версии зависит от того, с какого устройства будет заходить юзер.
Насчет регистрации на хостинге и покупки похожего домена ничего писать не буду, так как это банально просто.
Первым делом качаем страницу логина вк через ваш браузер. Затем смените кодировку html файла на utf-8.
Сначала определяем кодировку
file —mime-encoding file.html
Затем меняем с исходной на новую
iconv -f iso-8859-1 -t utf-8 file.html > vk2.html
Далее вам нужно создать управление страницей на серверном языке. Для этой цели
я также использовал python. Можно заюзать простейший фреймворк под названием bottle. Его плюс, в том что ему не нужны никакие зависимости. Просто качаете файл скрипта с сайта и все.
После тестового запуска скрипта обнаружилась ошибка 404 на кое-каких файлах.
У нас к сожалению не имеется нужных картинок с сайта. Давайте положим их в отдельную папку images.
mkdir images cd images wget /8d09e496a4fa4fc940f4e60bbc35f497/images/hatf_vk.gif wget «/fa4448c13e06e69ba9e814e8743c7e2e/images/darr_dd_out.gif» wget «/fa4448c13e06e69ba9e814e8743c7e2e/images/backlink.gif» mkdir icons cd icons wget «http://vk.com/images/icons/facebook_btn_icon.png» wget «http://vk.com/images/icons/check.gif«
Пропишем новый роутинг в скрипте.
Теперь все стало на порядок красивее. Вы конечно можете скачать также основные страницы, на которые можно перейти с основной не залогинившись, чтобы было правдоподобней(а потом поменять ссылки в основной), но и одной хватит.
Чего же не хватает? Ах да конечно. После логина ничего не происходит. Давайте изменим это.
Добавим роутинг для пост запроса. Найдем форму логина на странице. Изменим в ее коде action на пустое и удалим проверку onsubmit. И добавим обработку post-запроса.
Так работает. Правда пока лишь после нажатия enter, но не по клику кнопки.
Переносим тег button, что под формой в коде в пределы формы и добавляем свойство type=»submit».
После этого кнопка работает, как надо.
Архив с готовым решением — https://mega.nz/#!Y5dzgQSC!wEwWB_dSQXbXRAHiSFcJQ_XUFa_ncepFpV8pyWJKdJY
Автоматический способ:
Если хотите использовать уже готовое решение, то можно воспользоваться тулкитом SET. Social Engineer Toolkit. Входит в дистрибутив кали. Можно установить на обычный debian на сервере, используя репы kali или установив все зависимости по отдельности.
Используем функцию site cloner в составе set. В нем есть дополнительные возможности, такие как встраивание вредоносных скриптов прямо в страницу или же добавление опасных flash.
- Делятся на Facebook
- Делятся на Twitter
Источник: helpugroup.ru