Амигос, сегодня немного выйдем за формат, но это даже к лучшему. Присаживайтесь поудобнее, мы начинаем!
Предисловие
Уже довольно долгое время я ловлю себя на мысли, что мне не помешал бы действительно качественный фишинг для Instagram.
Для тех, кто в танке. Фишинг - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинами паролям.
Проще говоря, нужен был сайт, который в точности бы повторял дизайн страницы авторизации инсты и после того, как жертва залогинится, мне приходили бы логин и пароль.
Выходные оказались весьма скучными и позволили мне заняться поиском человека, шарящего в вебе, способного воплотить в жизнь эту тему. Вы читаете эту статью, а это значит, что звезды сошлись и поиски увенчались успехом.
Злобный брат-близнец
Вот так выглядит страница авторизации через ПК. Не идеально, есть небольшие недочеты, которые начинают бросаться в глаза лишь после целенаправленного сравнения с оригиналом. Думаю, далеко не каждый заметит разницу, особенно если открывать сайт с мобильных устройств.
На яблоке сайт действительно крайне похож на оригинал, скрин которого ниже.
Ладно. Суть достаточного сходства я донес. Возникает вопрос - куда будут приходить логин и пароль жертвы? Ответ меня порадовал - в горячо любимы телеграмчик, а именно, в бота.
Приятно удивило, что перед отправкой боту логин и пароль проверяются. Если первое или второе не верно (не получается авторизовать пользователя), то жертва получает сообщение о некорректности.
С функционалом более-менее понятно. Ах, да, забыл отметить один недостаток - при авторизации жертву не перекидывает на настоящий сайт инсты (странно, что кодер забыл про это).
Как ломать Instagram?
Так, для начала давайте определимся с тем, что нам необходимо, чтобы все это корректно работало.
Логично, что в первую очередь стоит позаботиться о домене и хостинге. Про то, как заливать сайты на хостинг скину мануал каждому в личку.
Детальнее остановимся на домене. Фишинг сам по себе от начала и до конца построен на захвате доверия жертвы (а это в чистом виде СИ). Вопросы манипуляций тут затрагивать я не буду, опишу лишь минимально необходимое для отработки сценария "Зайди в инсту подруги и поройся в ее грязном белье".
Согласитесь, даже самая упоротая блондинка заметит подвох, если ей скинуть ссылку вроде https://vzlomtvoyeyzhopy.com и сказать, что это инстаграм. Поэтому заходим на любой сайт для проверки занятых доменов и ищем то, что меньше всего отличается от оригинала.
Допустим, вы подобрали что-то подходящее, залили файлы на хостинг, привязали домен. Сайт полностью функционирует и готов разрушать отношения неожиданными открытиями. Переходим к следующему пункту.
Фишинг в большинстве случаев подразумевает контакт в жертвой. Так как мы рассматриваем взлом вашей подруги, то, предположим, что у нее уже есть к вам определенная степень доверия. В таком случае, можно воспользоваться просто замечательной локальной фичей ТГ - маскировка ссылок в слова.
Предлогом для того, чтобы она авторизовалась может послужить банальное:
"Привет. Я чет не могу зайти в [замаскированная ссылка] через браузер. У тебя тоже не работает? Срочно надо ответить в директе, а тут такая беда..."
Если у вас хорошо работает воображение, то вы точно придумаете повод, для авторизации по вашей ссылке.
Хорошо. Подруга повелась и слила лог:пас, но как теперь его принять? Как я писал выше, получение чувствительных данных реализовано при помощи бота в тг. Я бы был не я, не продемонстрируй, как его создать и подключить к фишингу.
Создание и настройка бота
1) Идем к отцу всех ботов - @BotFather и слезно просим его создать сыночка, отправляя:
/newbot
2) Придумываем название боту.
3) Прописываем нашему боту линк.
В итоге общение с "отцом" выглядит так:
Токен я замазал от греха подальше
4) Копируем токен - то, что я замазал на скриншоте и идем в файлы фишинга. Нас будет интересовать содержимое файла, который я выделил на скрине ниже.
5) Вставляем в поле 'token', то, что вы получили от отца ботов (токен, как не странно).
Токен должен находиться в одинарных ковычках (ну а кто вас знает, вдруг решите и их удалить)
6) Возвращаемся к отцу ботов, жмякаем на линк своего бота и запускаем его командой:
/start
Профит! Теперь логи будут приходить прямиком к нему. Только помните, что сначала нужно все настроить, а только потом уже пытаться наебать свою подружку.
Предисловие
Уже довольно долгое время я ловлю себя на мысли, что мне не помешал бы действительно качественный фишинг для Instagram.
Для тех, кто в танке. Фишинг - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинами паролям.
Проще говоря, нужен был сайт, который в точности бы повторял дизайн страницы авторизации инсты и после того, как жертва залогинится, мне приходили бы логин и пароль.
Выходные оказались весьма скучными и позволили мне заняться поиском человека, шарящего в вебе, способного воплотить в жизнь эту тему. Вы читаете эту статью, а это значит, что звезды сошлись и поиски увенчались успехом.
Злобный брат-близнец
Вот так выглядит страница авторизации через ПК. Не идеально, есть небольшие недочеты, которые начинают бросаться в глаза лишь после целенаправленного сравнения с оригиналом. Думаю, далеко не каждый заметит разницу, особенно если открывать сайт с мобильных устройств.
На яблоке сайт действительно крайне похож на оригинал, скрин которого ниже.
Ладно. Суть достаточного сходства я донес. Возникает вопрос - куда будут приходить логин и пароль жертвы? Ответ меня порадовал - в горячо любимы телеграмчик, а именно, в бота.
Приятно удивило, что перед отправкой боту логин и пароль проверяются. Если первое или второе не верно (не получается авторизовать пользователя), то жертва получает сообщение о некорректности.
С функционалом более-менее понятно. Ах, да, забыл отметить один недостаток - при авторизации жертву не перекидывает на настоящий сайт инсты (странно, что кодер забыл про это).
Как ломать Instagram?
Так, для начала давайте определимся с тем, что нам необходимо, чтобы все это корректно работало.
Логично, что в первую очередь стоит позаботиться о домене и хостинге. Про то, как заливать сайты на хостинг скину мануал каждому в личку.
Детальнее остановимся на домене. Фишинг сам по себе от начала и до конца построен на захвате доверия жертвы (а это в чистом виде СИ). Вопросы манипуляций тут затрагивать я не буду, опишу лишь минимально необходимое для отработки сценария "Зайди в инсту подруги и поройся в ее грязном белье".
Согласитесь, даже самая упоротая блондинка заметит подвох, если ей скинуть ссылку вроде https://vzlomtvoyeyzhopy.com и сказать, что это инстаграм. Поэтому заходим на любой сайт для проверки занятых доменов и ищем то, что меньше всего отличается от оригинала.
Допустим, вы подобрали что-то подходящее, залили файлы на хостинг, привязали домен. Сайт полностью функционирует и готов разрушать отношения неожиданными открытиями. Переходим к следующему пункту.
Фишинг в большинстве случаев подразумевает контакт в жертвой. Так как мы рассматриваем взлом вашей подруги, то, предположим, что у нее уже есть к вам определенная степень доверия. В таком случае, можно воспользоваться просто замечательной локальной фичей ТГ - маскировка ссылок в слова.
Предлогом для того, чтобы она авторизовалась может послужить банальное:
"Привет. Я чет не могу зайти в [замаскированная ссылка] через браузер. У тебя тоже не работает? Срочно надо ответить в директе, а тут такая беда..."
Если у вас хорошо работает воображение, то вы точно придумаете повод, для авторизации по вашей ссылке.
Хорошо. Подруга повелась и слила лог:пас, но как теперь его принять? Как я писал выше, получение чувствительных данных реализовано при помощи бота в тг. Я бы был не я, не продемонстрируй, как его создать и подключить к фишингу.
Создание и настройка бота
1) Идем к отцу всех ботов - @BotFather и слезно просим его создать сыночка, отправляя:
/newbot
2) Придумываем название боту.
3) Прописываем нашему боту линк.
В итоге общение с "отцом" выглядит так:
Токен я замазал от греха подальше
4) Копируем токен - то, что я замазал на скриншоте и идем в файлы фишинга. Нас будет интересовать содержимое файла, который я выделил на скрине ниже.
5) Вставляем в поле 'token', то, что вы получили от отца ботов (токен, как не странно).
Токен должен находиться в одинарных ковычках (ну а кто вас знает, вдруг решите и их удалить)
6) Возвращаемся к отцу ботов, жмякаем на линк своего бота и запускаем его командой:
/start
Профит! Теперь логи будут приходить прямиком к нему. Только помните, что сначала нужно все настроить, а только потом уже пытаться наебать свою подружку.
