Как взламывают пароли от аккаунтов в социальных сетях путем брутфорса

Сегодняшняя статья будет очередным доказательством того, что короткие и несложные пароли нельзя использовать для защиты своих аккаунтов. Такие пароли обычно уже находятся в словарях паролей и легко подбираються с помощью скриптов, об одном из которых мы поговорим в этой статье. Сам скрипт называется Faitagram (GitHub).

Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей, а лишь для того, чтобы читатели могли знать как изнутри работают злоумышленники и не допустили таким образом утечки своей личной информации. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.

Что такое брутфорс

Дословно фраза brute force переводится как «грубая сила». Брутфорс — это полный перебор различных вариантов паролей при уже известном логине. Самый распространённый и простейший вид взлома, рассчитанный, как правило, на массовое получение доступа к аккаунтам. 

    Брут аккаунтов бывает двух типов: стандартный брут по заранее составленной базе слов (к примеру, password, monkey, parol123456, qwerty, vkontakte, durov, пароль, йцукен, вконтакте123 и т. д.) и индивидуальный брут. Последний вид брута рассчитан на конкретную жертву: злоумышленник узнаёт логин пользователя (а им является телефон либо электронная почта, что, по сути, узнать легко) и далее приступает к перебору возможных паролей. 

Как проходит взлом

Шаг 1: Готовимся

Для копирования скрипта вам нужно напечатать в терминале следующий текст:

git clone https://github.com/Juniorn1003/Faitagram.git/

После того, как скопировали Faitagram, напишите ls, чтобы увидеть, что находится внутри папки.Там вы увидите следующие пять файлов:

License, Readme, faitagram, setup.py and wlist. License – лицензия MIT (открытого программного обеспечения), Readme содержит основную информацию о скрипте, faitagram – главный файл, setup.py отвечает за установку зависимостей, wlist – это словарь. Все на месте? Тогда давайте изменим права доступа к файлам, чтобы мы могли ими воспользоваться:

chmod +x faitagram && chmod +x setup.py

Для того, чтобы установить все необходимое для работы скрипта, следует прописать:

python setup.py

Установится куча всяких штук. Вам нужно всего лишь подождать. После установки будут доступны команды и для Фейсбука, и для Твиттера, и для Инстаграма. В файле faitagram содержится очень сильный набор паролей, так что вам не придется беспокоиться о своих словарях. Но если вы мало мне верите, то можете использовать и свои. Формат следующий:

python faitagram -s service -u username -w wordlist -d delay

В service указываете facebook, twitter или Instagram. В username – имя пользователя, которого атакуете. Wordlist – путь до словаря. Delay – необязательный параметр, здесь указывается перерыв в секундах между попытками перебора пароля. По умолчанию стоит перерыв в одну секунду. Перед вами три пути, выбирайте и следуйте за мной.

Фейсбук

Для того, чтобы начать брутфорсить Фейсбук, нужно написать:

python faitagram -s facebook -u (email) -w (wordlist) -d (delay)

пространстве (email) указываем электронную почту цели. В пространстве (wordlist) указываем путь к словарю. А в (delay) указываем количество секунд. Delay является необязательным параметром, так что если не хотите его использовать, то просто не пишите «-d». Но все остальные обязательные. В том случае, если у вас нет словаря, пишите «wlist» вместо (wordlist).Только при атаке на Фейсбук вас попросят ввести имя цели. Это для предотвращения ошибок и проверки никнейма пользователя. Вот несколько примеров использования команды:

python -s facebook -u BURGERKING -w wlist -d 3 python -s facebook -u MEMEBIGBOY -w /root/password.txt python -s facebook -u NullByte -w /root/SadminDontBanMe.txt -d 2

Твиттер

Для брутфорса Твиттера напишите следующее:

python faitagram -s twitter -u (username) -w (wordlist) -d (delay)

Параметр -s отвечает за сервис, -u за имя пользователя, -w за путь к словарю, -d – задержка в секундах. Все, что вам нужно, так это указать имя пользователя в пространстве username и путь к словарю в (wordlist). Эти два параметра обязательные, -d на ваше усмотрение. Просто не пишите –d, если не хотите устанавливать время задержки. Примерно вот так:

python faitagram -s twitter -u juniorn1003 -w wlist

После этого система автоматически поставит задержку в 1 секунду.

Инстраграм

Для брутфорса Инстаграма напишите:

python faitagram -s instagram -u username -w wordlist -d delay

Поменяйте username на имя пользователя, wordlist замените на путь к вашему словарю. Параметр задержки необязательный, вам по сути не очень нужен. Но если вы хотите установить время перерыва между попытками подбора пароля, то тогда следует изменить данный параметр.

Как он работает

Скрипт полностью выполнен на Питоне. Он не может не сработать, так как использует selenium для работы. Selenium – это программа, которая позволяет запустить актуальный веб-браузер и позволяет сделать скрипту оставшуюся часть работы. Но я решил сделать так, чтобы все запускалось на виртуальном дисплее, используя Xvfb и pyvirtualdisplay. Возможны некоторые ошибки, это единственное, чего вам стоит опасаться, пока проводите брутфорс. Скрипт использует STEM-прокси. 

Как защитить себя

Не использовать в качестве пароля стандартные фразы и слова, а также дату рождения, имя матери и отца, кличку питомца и другие данные, которые можно о вас узнать в сети. Ни в коем случае не надейтесь, что от брута вас убережёт хитрый способ смены раскладки с русской на английскую либо наоборот (к примеру, gfhjkm вместо пароль), — при вводе пароля в некоторых соц. сетях (например в ВК) раскладка клавиатуры не учитывается!