Мануал по получению доступа к instagram от uslugimail.cc
Магистр йодаПодробный и пошаговый мануал по получению доступа к аккаунтам instsgram с помощью фишинга.
Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.
Техника фишинга:
Жертва получает уведомление/сообщение с содержанием значимого для него события, задача "развода" встревожить пользователя и вызвать его немедленную реакцию, в виде ввода своего пароля в нашу фейковую страницу. Человек всегда реагирует на значимые для него события. Поэтому, к примеру, уведомление с содержанием «чтобы восстановить работоспособность вашего профиля …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.
В конечном итоге, нашей задачей является вынудить жертву "отдать" нам свой пароль.
Сейчас мы научимся регистрировать домен/хостинг и заливать на него фейк. Потребность в этом у нас возникнет когда "умрет" текущий домен и придется делать новый. Рекомендую сразу же зарегистрировать запасной домен и залить на него фейки, чтобы укрепить знания и иметь домен в запасе. Для примера будем использовать хостинг jino.ru.
Работу с хостингом крайне рекомендуется осуществлять под впн и пополнять баланс с кошельков оформленных на фиктивные данные
- Создаем аккаунт джино через email https://auth.jino.ru/registration/
- В правом верхнем углу нажимаем пополнить счет, пополняем на 199р
- После зачисления средств переходим в раздел услуги. https://cp-hosting.jino.ru/services/
- Нам требуется подключить следующие услуги: Поддержка 50 доменов . Поддержка поддоменов . Дисковое пространство 50 Гб . Поддержка 50 FTP-аккаунтов . Поддержка PHP
- Теперь регистрируем домен типа com-pp.ru com-tt.ru и т.д и т.п. https://cp-domains.jino.ru/registration/
- В разделе Данные владельца вбиваем левые данные
- Нажимаем зарегистрировать. Домен станет доступен в течении 5ти часов. Чтобы проверить встал домен или нет перейдите на него, если видим "Не удается получить доступ к сайту" значит еще нет, если видим "Сайт в разработке" значит домен встал можем продолжать
Итак, наш домен встал, продолжаем
- Теперь, нам нужно сделать SSL-СЕРТИФИКАТ. Заходим в раздел "Домены" - "Управление" Нажимаем настройки - ssl сертификат - получить. Ждем около 30 секунд.
- Создаем поддомен. Идем в раздел домены - управление доменами - привязать существующий домен . https://cp-hosting.jino.ru/domains/
- Создаем поддомен: instagram/inst/int.ваш домен, добавить. Жмем настройки - ssl сертификат - получить ( Кнопка получить может быть доступна не сразу, нужно подождать некоторое время после создания поддомена )
Для начала, скачай файлы: https://drive.google.com/drive/folders/1nO7TLOLFSxh-xmzOhTBXk1kMwknOtbG2
Для загрузки файлов/фейков на хостинг нам нужно установить программу https://filezilla.ru/get/ Эта программа служит нам импортером файлов с компьютера на хостинг. После того, как установили:
- Заходим на почту, которую указали при регистрации на jino и берем данные для подключения к фтп.
- Вводим эти данные в filezilla, нажимаем быстрое соединение (в окне хост: пишем свой домен)
- Переносим файлы из папки фейка в папку с вашим поддоменом
После того как залили фейк на хостинг, идем проверять сам фейк. Заходим в браузер телефона, в адресную строку пишем: вашдомен/?login=логинжертвы и переходим по ссылке. После перехода, выйдет сам фейк, это и будет вашей ссылкой на фейк.
Для рассылки нам нужны аккаунты максимально похожие на администрацию instagram. Логин делаем типа: support_service; inst_support и тд... После создания аккаунта, ставим аватар лого instagram и закрываем профиль.
- Идем на http://simsms.org/ регистрируемся, пополняем баланс. (тут мы будем брать виртуальные номера для активации аккаунтов)
- Берем номер (РФ номеров обычно нет, выбираем казахстан)
- Переходим на https://www.instagram.com
- Регистрируем профиль
- Далее оформляем аккаунт максимально похожий на администрацию
Так должен выглядеть ваш профиль в итоге ↓
Нам необходимо создать телеграм бота, который будет отправлять уведомления о переходах по фейку и введенных паролях.
Нового бота можно зарегистрировать у «папы всех ботов» — @BotFather, чтобы получить токен (ключ) для работы с Telegram API. Регистрация проходит в 5 простых этапов:
- Открываем чат с @BotFather
- Вводим или выбираем из списка команду /newbot
- Отправляем желаемое название для бота
- Пишем юзернейм бота, по которому его можно будет найти через поиск. Обязательно на конце юзернейма должно быть слово «bot» или «_bot». Например, NetologyRSSbot
По итогу регистрации получаем токен — 375466075:AAEARK0r2nXjB67JiB35JCXXhKEyT42Px8s
Теперь получаем id своего телеграм аккаунта, для этого просто напишем боту @userinfobot команду /start.
Эти токен и id нужно заменить в двух файлах фейка: index.php и main.php.
Для этого:
- Заходим в jino
- Открываем файловый менеджер
- Заходим в папку domains - папка с поддоменом - файл index.php и main.php
- В разделах $id меняем на свой id
- В разделах $tokken пишем токкен бота
Есть и другой, более сложный вариант отправки развода. Но, в случае удачи, наш развод попадет сразу в директ, обходя запрос. Единственное, у жертвы должен быть открытый профиль. Для этого заходим в подписки жертвы, ищем профиль с которым жертва маловероятно переписывалась и начинаем работать по этому профилю(совет- искать профиль с как можно меньшими публикациями и подписками/подписчиками. т.к все это придется удалять) Как открылся у нас профиль, заходим и переделываем под администрацию instagram. Такой способ не всегда срабатывает, т.к чаще всего профиль привязывают к номеру телефона, и жертва быстро восстановит доступ. Но, бывают и исключения, когда привязана только почта, в таком случае в настройках перевязываем почту на левую, так у жертвы займет время для восстановления доступа. И, дальше аналогично первому совету: заходим в профиль жертвы, отправляем сообщение с разводом. После того, как мы отправили сообщение жертве, удаляем диалог, чтоб в случае восстановления доступа хозяин страницы не сообщил жертве, что это спам/развод или еще что то...
Так же есть способ отправки развода на почту жертве. Но, для этого вы должны обладать знаниями email фишинга.
Как жертва открывает нашу ссылку, она видит ↓
Начинает вводить эл.адрес и текущий пароль. Допустим, жертва забыла пароль, наш фейк оборудован валидацией, ввести неверный не получится
После того, как жертва отдала нам свой пароль, желательно в течении 5 минут ответить ей: что, верификация/проверка успешно пройдена.
Итак, мы успешно взломали первый профиль, у нас есть логин/пароль и ip. Но, не все так просто! Чтобы войти требуется заходить с одного и того же ip адреса(или максимально похожим) для этого мы используем прокси для ПК http://www.vip72.com/ . Там же находим инструкцию ↓. Для телефонов: Secure Kit, hidemy.name. Если вы территориально находитесь рядом, допустим в одном городе, то можете попробовать зайти без прокси/vpn. Рекомендую лучше заходить через прокси.
instagram дает нам один шанс зайти с нужного ip адреса. Если мы зайдем не с того ip, жертве придет уведомление ↓ и она сменит пароль, поэтому тут важно найти такой же ip или максимально похожий
- Экспериментируйте с доменами, логинами, текстами разводов
- Зарегистрируйте сразу несколько профилей с которых будете слать
- Лучше не слать с одного профиля разные разводы, например: блокировка/жалоба