Фишинг – технология компьютерного взлома

ДИСКЛЕЙМЕР:

Данная статья написана в образовательных целях и не призывает к действиям. Будьте благоразумны и не совершайте противозаконных действий.

Фишинг – технология компьютерного взлома | Немного теории

Фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

Хостинг — услуга по предоставлению ресурсов для размещения информации на сервере, постоянно находящемся в сети (обычно Интернет).

Доменное имя — символьное имя сайта.

Сегодня я расскажу, как можно взламывать страницы в социальных сетях, не затрачивая при этом много денег, а при наличии хостинга и доменного имени вовсе бесплатно. Хотя, для данных целей, советую всё таки зарегистрировать новое, более подходящее доменное имя.

Я расскажу и покажу всё на примере сайта VK.com, он является одним из самых популярных на СНГ просторах и многие хоть раз задумывались о взломе странички своей девушки или друга.

Фишинг – технология компьютерного взлома | Процесс взлома

Весь процесс делится на три этапа:

• Создание поддельного сайта.
• Создание поддельного аккаунта в социальной сети (VK.com в нашем случае).
• Развод жертвы (человека, которого мы хотим взломать).

Как вы уже поняли, для взлома нам надо будет подговорить жертву для того, чтобы она перешла на наш поддельный сайт и ввела свои персональные данные. Тут уже в дело вступает социальная инженерия.

Если вы не знакомы с СИ, то можете почитать статьи, которые уже есть на сайте:

• СИ – как начать общаться с человеком
• 10 правил СИ

Этап первый: Создание поддельного сайта

Для создания сайта для фишинга нам понадобятся:

• Хостинг.
• Доменное имя.
• 100-300 грн (200-500 рублей).
• Файлы поддельного сайта.

1. Хостинг – для хостинга лучше всего выбирать мало известные компании т.к. система слежения и защиты у данных менее развита. Размер данного хостинга можно выбирать не большой т.к. сам сайт который будет на нем лежать весит достаточно мало.
2. Доменное имя – важно знать что домены третьего и более уровня хоть и бесплатные, но в большинстве случаев для фишинга не подходят, так как ссылка данного сайта имеет строение fish.sites.ru (где fish-домен третьего уровня, sites-домен второго уровня и ru-первого уровня) и любая соц. сеть или тот же gmail палит эту лавочку и при переходе по ссылке сразу же предупреждает о переходе на не безопасный сайт. Поэтому мы регистрируем домен второго уровня. Операция по регистрации не сложная, мало чем отличается от регистрации самого обычного email, за единственным исключением вместо почты мы прописываем имя сайта которым мы будем пользоваться.

   По поводу создания имени домена. Как правило создаем длинные имена для своего сайта, к тому же регистрация доменного имени ограничивается 255 символами. А доменную зону выбираем .XYZ в конечном варианте мы получаем: sdkkjfgnsdjlfgnbsdlffbvfflbvazldfbvslfhbvsthnb.xyz ну или вроде того. Сделано для того, чтобы снять хоть какие-то подозрения от того, что это фишинговый сайт. Грубо говоря, выглядит как какой-то системный переход по ссылке.

3. Файлы – где взять файлы для поддельного сайта? Тут у нас множество вариантов, которыми мы можем воспользоваться:

• Существует множество CMS, которые позволяют создать одностраничный сайт в несколько кликов
• Заказать готовый сайт, если вы далеки от этой темы.
• Воспользоваться генератором, по типу Page Creator.
• Написать самому.
• Воспользоваться инструментами по копированию готовых сайтов, могу написать про клонирование сайтов на Kali Linux, если вам это интересно.

И тут важно, чтобы вся информация, которую вводит жертва в нашей форме на сайте, сохранялась в логах хостинга, а после просто перенаправляем её обратно на сайт.
Итак, на данном этапе мы имеем готовый фиш. сайт который записывает всю информацию что заполняет жертва и перенаправляет его обратно к исходному сайту.

Этап второй: Создание поддельного аккаунта

Объясню на примере взлома вк, а уже перестроить данный метод для взлома почты или других социальных сетей будет не так уж и сложно.
Итак, регистрируем пользователя в вк. Даем ему какое-нибудь нейтральное имя. Например, Василий Иванов. Далее ставим на аватарку картинку из службы поддержки. После чего заходим в «мои группы» и создаем публичную страницу под названием «Агент Поддержки» или «Уведомление». Присваиваем аватар к группе, если это «уведомление» или что-то подобное, то на автарку ставим значок граммофона ну и для «агента поддержки» соответственно. Сразу хотелось бы отметить. Подобные имена в вк уже не такая и редкость так как тема с вк уже не мало кем используется, поэтому создавайте что-нибудь индивидуальное дабы вас и вашу публичную страницу не заблокировали.

Этап третий: Развод жертвы

Для начала, нам нужно чтобы наша ссылка приобрела более приемлемый вид. Сокращаем её, в случае с вк лучше всего воспользоваться сервисом vk.cc, который они же и предоставляют.

Теперь наша ссылка vk.cc/ghty – что-то по такому типу. Согласитесь, такой вид куда лучше предыдущего. Далее набираем текст, который зацепит жертву и не оставит выбора, что-то по этому типу, тут у вас должна сработать фантазия.

Данную информацию мы размещаем на публичной странице.

Дело в том, что когда вы заключаете id пользователя в @, он получает сообщения в ответах и это даёт нам шанс написать ему вне зависимости от того, открыты ли у него ЛС или нет. И если оно написано грамотно, то в достаточно большом проценте случаев жертва перейдет по ссылке. Далее дело техники, жертва видит поля для ввода логина и пароля вводит их туда и нажимает кнопочку «подтвердить». Сайт сохраняет логин и пароль. И жертву перекидывает обратно в сообщения. После этого проверяем правильно ли введены данные. Далее просто удаляем из публичной группы запись, и она автоматически пропадает из уведомлений.

Сегодня вы узнали про фишинг – технологию компьютерного взлома и помните, я никого не призываю к действиям. Поделитесь данной статьей с друзьями, чтобы они не попадались на подобные уловки, а также подписывайтесь на обновления сайта, чтобы не пропустить новые статьи.