May 3, 2018

Угон любого аккаунта

Для начала не забудьте подписаться на наш телеграм канал MakeMoney

1. Фишинг

Один из самых эффективных способов получения пароля, причем хозяин об этом даже не узнает. Жертве предлагается ссылка, по которой нужно перейти и ввести свой логин и пароль. Эти данные отправляются в файл отчета, базу данных (если угон массовый) или на почту. Основная премудрость состоит в том, чтобы заставить жертву перейти по этой ссылке. Форма может быть какой угодно:

  • Сообщение «от администрации» (читай: с почтового сервиса с подменой адреса) о спаме с данного ящика.Пример: «Уважаемый пользователь, (имя пользователя)! На Ваш аккаунт поступили жалобы на спам, в связи с чем администрация имеет право временно приостановить или заблокировать его работу. Вполне возможно, что к нему получили доступ злоумышленники. Чтобы подтвердить принадлежность аккаунта, пройдите повторную авторизацию по этой ссылке (гиперссылка на фейк). Если в течение 5 дней подтверждения не будет, почтовый аккаунт будет заблокирован. С уважением, служба поддержки (название почтового сервиса)». Игра на страхе потери ящика.
  • Зная об увлечениях жертвы, можно взять на интерес. 
  • Отправляем письмо с интересующей темой, в которой освещена только часть информации, все остальное — при переходе по ссылке. Ссылка ведет на псевдостраницу авторизации, и прочитать остальную информацию можно только залогинившись.

Пример: «Только 15–17 августа 2018 года в (город жертвы) проходит практический тренинг по 100% эффективному построению межполовых отношений! Впервые откроются безотказные секреты сексуальности и привлекательности, часть из которых Вы можете увидеть здесь (гиперссылка). Остальное — на тренинге. И не забывайте, что теория — это всего лишь теория. Научиться всему вы сможете на практике. Проводит тренинг автор Егор Асин (гиперссылка). Для тех, кто зарегистрируется до 10 августа — первое занятие бесплатно. Для регистрации заполните эту форму (гиперссылка)».

Все гиперссылки ведут на фейковую страницу авторизации почтового сервера жертвы. Дальше — редирект на сайт с инфой.

2. Фарминг

Бывает и такое, что жертва достаточно умна (или пофигистична), чтобы не переходить по ссылкам. В этом случае тебе придется прибегнуть к помощи троянов/джойнеров/скриптов для манипуляции с файлом HOSTS, либо взломать DNS- или DHCP-сервер ее провайдера. При этом, когда юзер заходит на сайт, чтобы проверить e-mail, происходит перенаправление на точно такой же, только фишинговый. Ничего не подозревая, пользователь вводит свои данные и при помощи скрипта внутренней авторизации попадает в свою «родную» почту, а логин и пароль попадают к тебе на почту. Вся прелесть в том, что жертва даже не догадывается о произошедшем.

Как впарить троян?

Всеми нами любимые программы-«лошадки», они так просты в создании и так результативны при получении доступа к чужому компьютеру. Минус в том, что сами они не распространяются. Их нужно «впаривать». Именно в этот момент многие хакеры начинают осознавать пользу социальной инженерии. Давай рассмотрим некоторые наиболее популярные способы:

  • Отлично идут письма с предложениями полезных программ, например, ускоритель браузера, позволяющий увеличить скорость в несколько раз, или крякер паролей Просто введите адрес сайта, и через несколько минут Вы получите все пароли!»), или программа-перехватчик чужих SMS. Удобнее всего отправить письмо со ссылкой на скачивание, можно от имени друга жертвы (узнай предварительно его почту и воспользуйся формой для анонимной отправки). Чтобы повысить уровень доверия, можно сопровождать письмо скриншотами программы.
  • Идеальное место для создания ботнетов, очень многие сейчас имеют аккаунты на подобных сайтах. Ты тоже обязательно заведи там профайл, знакомься, флиртуй (как показывает практика, на женские аккаунты клюют чаще). Рано или поздно жертва сама попросит тебя выслать фотографию, и тут ты, добрая душа, предложишь не одну, а целый самораспаковывающийся архив фотографий с расширением .exe или даже презентацию себя в 3D. Предварительно заинтригуй настолько, чтобы ему не терпелось поскорее открыть архив, не отвлекаясь на ненужные подозрения. Например: после того, как он попросит твое фото, напиши что-то типа: «Только не удивляйся сильно, я достаточно нестандартно выгляжу. У меня есть одна деталь, которая очень нравится парням». Что конкретно ты «имела» в виду, пусть думает уже после того, как троянский конь вырвался на волю и пасется в его системе. Обязательно попроси фото взамен, чтобы у него не возникло сомнений (или ощущения невостребованности :)).
  • Под видом симпатичной девушки-ламера идем в чат или на форум, и жалуемся, что ну никак не получается разобраться в новой программе, которую недавно скачал старший брат. Беда в том, что брат уехал в свадебное путешествие, а тебе так не хочется отвлекать его. Программа обязательно должна быть малоизвестной и интригующей. Пусть это будет генератор кодов пополнения мобильного или интернет-счета, например. Обязательно найдется куча умников, желающих помочь красивой и глупой девушке. После того, как архив скачан, распакован и обнаружено, что генератор кодов пополнения каким-то чудом оказался генератором паролей для брута аськи, извинись и поблагодари ребят. Ведь они тебе помогли намного больше, чем сами того хотели :).
  • Подкидывание накопителей (флеш-карты, диски) работает почти безотказно, если сыграть на интересе. В зависимости от целевой аудитории, мотивировать к запуску на компьютере можно интригующими названиями: «Зарплата штата сотрудников (название конкурирующей компании)»«Мой первый лесби-опыт. Видео»«Узнай правду о своей жене/девушке» (подкинуть в почтовый ящик)«Мой дневник»«Секретная информация»«Для Лены. Остальным смотреть запрещается!»
  • На джоб-сайтах вешаем объявление: «Набираются люди для тестирования новой программы (суть программы). За каждую найденную ошибку — оплата (сумма). Архив с программой (12 Мб) и инструкции по почте. О желании участвовать в тестировании пишите на e-mail: beta-testing@***.com». Желательно, чтобы ящик размещался не на бесплатном сервере — так солиднее.

Подписывайтесь на канал:

@mydengi