#full
DeepWebКак я взломал своего друга в ВКонтакте?
Привет. На канале я уже не раз писал о том, как происходит взлом аккаунтов ВК, но вдруг в мою мысль пришла очередная идея: "а что, если проверить эти способы, работают ли?". Я написал своему знакомому и мы решили провести эксперимент.
Всё что я знал, это только его номер телефона, ужаснулся от того, на который зарегистрирована страница. Единственное условие — недобросовестный оператор мобильной связи?
Эта статья написана только для образовательных целей. Автор не публиковал эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор не несёт ответственность за любой причиненный вред или ущерб.
Инструкция
Если вы когда-нибудь оставляли свои паспортные данные в каких-нибудь крупных салонах сотовой связи и ваш мобильный оператор не очень добросовестный, то вы подвержены данному способу взлома. Скажем так, большинство сотрудников данных сетей не сильно беспокоятся о конфиденциальности данных покупателей и очень здорово торгуют этой информацией в даркнете. (Да что уж там, получить список транзакций по карте стоит всего лишь 2000 рублей...).
В общем, это оказалось очень просто — найти человека, который пробьет вам паспортные данные по номеру телефона пользователя. В моем случае в базе данных крупного салона связи оказались как мои данные, так и данные моей мамы и даже бабушки. Стоимость получения данной информации как раз укладывается в ценник ~500-1000 рублей.
Возможно это выглядит достаточно муторно и проблемно, но по факту это занимает не более получаса. Способы оплаты везде разные, кто-то принимает только биткоины, кто-то не стесняется указать свою карту в телеграме. К слову сказать, достаточно часто встречающееся явление, когда злоумышленник не боится указывать номер своей (или не своей?) карты, ибо, например, деньги с карты на карту уводят досточно беспроблемно и после предъявить обвинение держателю карты, куда были переведены деньги, практически невозможно. Лично у меня нет комментариев по данному поводу.
Итак, я получил скан паспорта своего друга. Нет, фотошопить фотографию с лицом знакомого, где он держит его перед камерой, мы не будем. Мы пойдем к мобильным операторам, которые с радостью подставят его.
Я Зарегистрировал фейковую страницу ВКонтакте на левый номер телефона, врубил VPN и написал в официальное сообщество оператора мобильной связи своего друга сообщение примерно следующего содержания:
И что же дальше? У меня спросили номер телефона друга, новый номер телефона, куда требуется переадресовать все звонки и паспортные данные для «подтверждения личности и владения номером телефона».
Здорово, не правда ли? Достаточно просто купить новую симку на вокзале за 300 рублей, либо купить виртуальную симкарту где-нибудь в сети и не париться. Сообщаете всю информацию и все, дело в шляпе — переадресация включена и, что самое удивительное, —вы не мгновенно оказывается уведомленным о подключении переадресации.
Сначала уведомление вообще не пришло, прошел час — пришло целых 2 раза:
В общем плохо, если лично у вас такой оператор:
Хорошо, если такой:
Итак, теперь идем ВКонтакте и начинаем взламывать:
Начинаем восстанавливать пароль:
На данном этапе мой друг получил смс о том, что кто-то пытается сменить пароль на его странице:
Но только вот, что с того? Что вот лично вы успетеете сделать за 2 минуты? Смс мы не перехватим, т.к. переадресация работает только на звонки. Но нам это и не интересно. Нажимаем «Выслать код повторно» и видим следующее окно:
Поняли, что мы дальше сделаем? Ага, пусть робот сделает звонок и оператор переадресует его на на наш номер телефона и сообщит нам код для смены пароля. Итак, звоним:
Робот звонит на наш левый номер телефона, сообщает код и после мы просто берем и меняем пароль:
Все, доступ к странице получен. Скорее всего друг скоро сменит пароль и тогда данное действие можно будет повторить снова и у меня есть всего лишь 2-3 минуты в запасе. Но нет никаких проблем запустить скрипт дампа страницы, который сохранит всю историю переписок, все фотографии и все, что только душе угодно за пару секунд.
