Как я взломал своего друга в ВКонтакте?

Привет всем выкладываю статью как двое друзей решили провести эксперимент по взлому странички ВК имея только номер телефона одного из друзей.

Вот статья:

Всё что я знал, это только его номер телефона, ужаснулся от того, на который зарегистрирована страница. Единственное условие — недобросовестный оператор мобильной связи?

Эта статья написана только для образовательных целей. Автор не публиковал эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор не несёт ответственность за любой причиненный вред или ущерб.

Инструкция

Если вы когда-нибудь оставляли свои паспортные данные в каких-нибудь крупных салонах сотовой связи и ваш мобильный оператор не очень добросовестный, то вы подвержены данному способу взлома. Скажем так, большинство сотрудников данных сетей не сильно беспокоятся о конфиденциальности данных покупателей и очень здорово торгуют этой информацией в даркнете. (Да что уж там, получить список транзакций по карте стоит всего лишь 2000 рублей...).

В общем, это оказалось очень просто — найти человека, который пробьет вам паспортные данные по номеру телефона пользователя. В моем случае в базе данных крупного салона связи оказались как мои данные, так и данные моей мамы и даже бабушки. Стоимость получения данной информации как раз укладывается в ценник ~500-1000 рублей.

Возможно это выглядит достаточно муторно и проблемно, но по факту это занимает не более получаса. Способы оплаты везде разные, кто-то принимает только биткоины, кто-то не стесняется указать свою карту в телеграме. К слову сказать, достаточно часто встречающееся явление, когда злоумышленник не боится указывать номер своей (или не своей?) карты, ибо, например, деньги с карты на карту уводят досточно беспроблемно и после предъявить обвинение держателю карты, куда были переведены деньги, практически невозможно. Лично у меня нет комментариев по данному поводу.

Итак, я получил скан паспорта своего друга. Нет, фотошопить фотографию с лицом знакомого, где он держит его перед камерой, мы не будем. Мы пойдем к мобильным операторам, которые с радостью подставят его.

Я Зарегистрировал фейковую страницу ВКонтакте на левый номер телефона, врубил VPN и написал в официальное сообщество оператора мобильной связи своего друга сообщение примерно следующего содержания:

«Добрый день. Нам требуется установить переадресацию всех звонков на новый номер телефона. Доступа к самому телефону не имею. Что от меня нужно для совершения данной операции?»

И что же дальше? У меня спросили номер телефона друга, новый номер телефона, куда требуется переадресовать все звонки и паспортные данные для «подтверждения личности и владения номером телефона».

Здорово, не правда ли? Достаточно просто купить новую симку на вокзале за 300 рублей, либо купить виртуальную симкарту где-нибудь в сети и не париться. Сообщаете всю информацию и все, дело в шляпе — переадресация включена и, что самое удивительное, —вы не мгновенно оказывается уведомленным о подключении переадресации.

Сначала уведомление вообще не пришло, прошел час — пришло целых 2 раза:

Попробовал подключить услугу на другом номере телефона данного оператора — уведомление приходит спустя 2-3 минуты, что достаточно для совершения дальнейших действий по получению доступа к странице. К тому же, если проделывать это все в 4 часа утра, то вряд ли владелец страницы ВК проснется от смс оператора и успеет что либо сделать вовремя.

В общем плохо, если лично у вас такой оператор:

Хорошо, если такой:

Итак, теперь идем ВКонтакте и начинаем взламывать:

Начинаем восстанавливать пароль:

На данном этапе мой друг получил смс о том, что кто-то пытается сменить пароль на его странице:

Но только вот, что с того? Что вот лично вы успетеете сделать за 2 минуты? Смс мы не перехватим, т.к. переадресация работает только на звонки. Но нам это и не интересно. Нажимаем «Выслать код повторно» и видим следующее окно:

Поняли, что мы дальше сделаем? Ага, пусть робот сделает звонок и оператор переадресует его на на наш номер телефона и сообщит нам код для смены пароля. Итак, звоним:

Робот звонит на наш левый номер телефона, сообщает код и после мы просто берем и меняем пароль:

Все, доступ к странице получен. Скорее всего друг скоро сменит пароль и тогда данное действие можно будет повторить снова и у меня есть всего лишь 2-3 минуты в запасе. Но нет никаких проблем запустить скрипт дампа страницы, который сохранит всю историю переписок, все фотографии и все, что только душе угодно за пару секунд.