Добываем аккаунты на истоках
Moneybag ⭐️ Private
Данная статья посвящена массовому «взлому» аккаунтов на истоках, последующему сливу трафа с них и автоматизации вышесказанного. Люди зачастую ставят одинаковые пароли на разные сервисы, этим мы и воспользуемся. Суть: берем существующую базу формата email:pass, отбираем те строки, email которых зарегистрирован на сайте, подставляем email:pass в форму авторизации, профит. Т.е. расчет идёт на то, что у юзера пароль от истока такой же, как от email. Стоит признать, этот способ куда более эффективен, чем обычный брутфорс (перебор паролей).
Метод используется, если проблемно самому регать акки. Например, если нужны:
- верификация по фото/номеру;
- отлежка аккаунта;
- трастовая/специфическая почта
И много других факторов.
Не подойдет, если для авторизации на сайте используется username, а не email.
Для начала нам нужно найти базу, соответствующую гео нашего истока.
Можете использовать свои базы, либо переходим по ссылке. 350 МБ баз, как по странам так и микс. Будет достаточно, но если что, можно найти самому. Подойдет любая паблик база.
Основной процесс
Задача состоим в том, чтобы определить, зарегистрирован ли email на нашем истоке. Для этого существует два основных метода:
Через форму восстановления пароля.
Такая есть на каждом сайте/прилке. Вводим туда наш еmail и если email валидный (зарегистрирован на сайте), получим сообщение типа «Мы отправили письмо с ссылкой на ваш адрес»
если нет – «Такой email отсутствует».
Нас интересует первый вариант – email'ы которые зарегистрированы на сайте. В последствии берем такую почту и пароль от нее и подставляем на авторизацию на истоке. Все эти действия легко автоматизируются хоть кликером.
Но бывает такое, что в ответ получаем сообщение «Если email зарегистрирован на сайте, то мы вышлем форму для восстановления». Может писать просто, что письмо отправлено, но email на самом деле на сайте не зареган. То есть какой-бы email мы не ввели, будет один и тот же ответ, из которого не понятно, валидный email или нет. В таком случае переходим ко второму варианту.
Через форму регистрации.
На этапе регистрации при указании почты которая уже зарегана на сайте, получим ошибку вроде «Юзер с таким email уже зарегистрирован».
При этом зачастую не обязательно заполнять все остальные поля, в том числе капчу, если таковая имеется. Просто вводим почту, подтверждаем регистрацию, и наряду с ошибками, что мы ничего не заполнили, будет ошибка уже существующей почты. Если получили ошибку, то как и в первом методе – берем эту почту и пароль от нее и подставляем на сайте.
Все вышеперечисленные действия легко поддаются автоматизации. Скрипт сначала перебирает почты на валид (зарегистрирована ли эта почта), затем подставляет пароли от них на сайте. Валид email'ов непосредственно зависит от посещаемости истока – чем больше, тем лучше. Я рекомендую брать источники от 100к. И в среднем у 1 юзера из 5-7 пароль от почты совпадет с паролем от сайта.
Вероятнее всего аккаунт, на который мы зайдем, окажется мужской, поэтому смотрим можно ли изменить пол. Если да – сливаем как обычно, если нет – используем нейтральный креатив, типа «Горячие девчата тут – *ссылка*». И да, хоть конверт проседает из-за мужского акка, но все равно работает!
Как быстро достать нужные доменные зоны из MIX базы
Базы крупных стран, таких как Германия, Россия, USA и др. есть в отдельных файлах. Но что если нам нужно достать, например, базу Венгрии? Достанем её из MIX базы. Как это сделать быстро:
Для этого я использую Sublime Text. Открываем в нем MIX базу.
1) Нажимает CTRL+F для поиска. Вводим нужную доменную зону. В нашем случае Венгрия, вводим без кавычек “.hu:”
2) Нажимаем Alt+ENTER – выберет все совпадения.
3) CTRL+L – выделение всей строки (т.е выделит все строки с .hu почтами)
4) SHIFT+стрелочка влево – чтоб не учитывало символ переноса строки
Получится так (на скрин попало две почты):
Копируем, вставляем в отельный документ, и вуаля – у нас есть Венгерская база.
Реализация метода в BAS на примере источника mylove.ru
Исток взял рандомно из топа, не тестил его, поэтому возможно далее следует рабочий кейс.
Покажу частичную автоматизацию брута аккаунтов с помощью запросов в BAS. Частичную, потому что скрипт проверяет на валид, но сам не заходит на аккаунт. Вход, естественно, можно реализовать, но это другая история и в примере мы сделаем это ручками. Уверен, всё легко реализуемо на зенке, кликере, калькуляторе и др. На входе у нас база почт формата email:pass, на выходе – список email зарегистрированных на сайте, с паролями.
Для начала я регнулся на истоке, ввел свой email в форму «Забыли пароль», в сниффере перехватил запрос и узнал, что ответит сервер. В качестве сниффера я использую Fiddler4.
В сниффере вижу, что в качестве ответа на валидный email приходит следующее:
На рандомный, невалидный:
Строка легко парсится регулярными выражениями. Набросал скрипт в BAS:
При запуске скрипта нужно указать ресурс Base – базу, ресурс Valid – документ куда записываются подходящие email.
1 – Из базы берется строка, и парсится на email и password
2 – Отправляется запрос на восстановление пароля по почте
3 – Получает ответ от сервера и применяет регулярку
4 – Если регулярка извлекла нужные данные, этот email:pass записывается в ресурс Valid.
Если нужно, скрипт можно скачать тут. Полностью рабочий, можете протестировать на вышеупомянутом истоке.
Запускаю для теста по базе в 3000 строк. Скрипт работал примерно полчаса, и на выходе я получил 400 строк подходящих почт с паролями.
Начал вводить на сайт, и по везению зашел на первый же аккаунт:
Изменил всё под девушку, благо пол менять можно, и немного проспамил.
Как позже я прочекал, прмерно 1 из 5 оказались валидными аккаунтами. Т.е. буквально за 30 минут я получил приблизительно 80 валидных аккаунтов от истока с посещаемостью в 10 миллионов человек.
Личный опыт
Этим способом я пользуюсь часто, если другие методы слива уже не катят. Когда я лил на общий акк нашего чата, я наткнулся на следующий источник: https://goldengate.hu/ . Венгерский порно-аматорный сайт с разделом для знакомств. Я зарегистрировался, и как оказалось, прежде чем отправлять сообщения, нужно подождать трое суток. Конечно, можно было нарегать сотню аккаунтов и оставить их в отлежке, но я сразу начал заниматься брутом.
Написал скрипт, прогнал небольшую базу, нашел валидные аккаунты, зашел на один из них. Изменил пол, и полностью настроил профиль под фейк. Начал тестить руками, никаких лимитов, ограничений и спам-фильтров не было и вскоре я решил сразу это дело автоматизировать. Парсил юзеров из последнего онлайна, и спамил их без задержек. Лиды не заставили себя ждать и буквально за пару часов пришло порядка 10 лидов. Всего за день я проспамил 1500 сообщений, и получил с этого около 30$.
Ближе к вечеру меня забанили, не проблема - просто зашел на следующий акк. Я решил, что если меня будут банить, а кол-во акков не бесконечное – то надо сразу спамить как можно больше (теперь я другого мнения и крайне не рекомендую убивать исток в короткие сроки). Короче говоря, следующие 5 дней я отправлял по 10к сообщений без блэк листа, т.е часто попадал на тех же юзеров. Каждый день мне банило акки по 1-2 раза, но я просто заходил на новые. В течении 5 дней конвертило на 50-60$ в день. Бывало, что я попадал на аккаунты с виртуальной валютой и покупал VIP, для траста. Админы пытались минимально подкрутить гайки, банили домен, креатив и прочее, но это всё мелочи, и я легко это обходил.
В конце концов, после такого обильного спама, сайт ввел ограничение на 15 сообщений дейли и пришлось уйти с истока, потому что спамить 15 сообщений в день не имеет смысла. В итоге, менее чем за неделю, я заработал около 400$ с помощью чужих аккаунтов.
Итог
Данный способ хорош тем, что он легко автоматизируется и очень эффективно добывает аккаунты. Можно по-новому взглянуть на свои старые истоки, на крупные знаковые сайты, или на истоки, где админы подкрутили все гайки.
Спасибо, что уделили внимание и всем удачи!