October 27, 2020

Взлом инсты

Не забудь подписаться на нас - https://t.me/joinchat/AAAAAEacVl4rwVEwFjnH9A

Предисловие

Уже довольно долгое время я ловлю себя на мысли, что мне не помешал бы действительно качественный фишинг для Instagram.

Для тех, кто в танке. Фишинг - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинами паролям.

Проще говоря, нужен был сайт, который в точности бы повторял дизайн страницы авторизации инсты и после того, как жертва залогинится, мне приходили бы логин и пароль.

Выходные оказались весьма скучными и позволили мне заняться поиском человека, шарящего в вебе, способного воплотить в жизнь эту тему. Вы читаете эту статью, а это значит, что звезды сошлись и поиски увенчались успехом.

Злобный брат-близнец

Вот так выглядит страница авторизации через ПК. Не идеально, есть небольшие недочеты, которые начинают бросаться в глаза лишь после целенаправленного сравнения с оригиналом. Думаю, далеко не каждый заметит разницу, особенно если открывать сайт с мобильных устройств.

На яблоке сайт действительно крайне похож на оригинал, скрин которого ниже.

Ладно. Суть достаточного сходства я донес. Возникает вопрос - куда будут приходить логин и пароль жертвы? Ответ меня порадовал - в горячо любимы телеграмчик, а именно, в бота.

Приятно удивило, что перед отправкой боту логин и пароль проверяются. Если первое или второе не верно (не получается авторизовать пользователя), то жертва получает сообщение о некорректности.

С функционалом более-менее понятно. Ах, да, забыл отметить один недостаток - при авторизации жертву не перекидывает на настоящий сайт инсты (странно, что кодер забыл про это).

Как ломать Instagram?

Так, для начала давайте определимся с тем, что нам необходимо, чтобы все это корректно работало.

Логично, что в первую очередь стоит позаботиться о домене и хостинге. Про то, как заливать сайты на хостинг я ну ооочень подробно написал тут - "Копируем сайты для скама"

Детальнее остановимся на домене. Фишинг сам по себе от начала и до конца построен на захвате доверия жертвы (а это в чистом виде СИ). Вопросы манипуляций тут затрагивать я не буду, опишу лишь минимально необходимое для отработки сценария "Зайди в инсту подруги и поройся в ее грязном белье".

Согласитесь, даже самая упоротая блондинка заметит подвох, если ей скинуть ссылку вроде https://vzlomtvoyeyzhopy.com и сказать, что это инстаграм. Поэтому заходим на любой сайт для проверки занятых доменов и ищем то, что меньше всего отличается от оригинала.

Допустим, вы подобрали что-то подходящее, залили файлы на хостинг, привязали домен. Сайт полностью функционирует и готов разрушать отношения неожиданными открытиями. Переходим к следующему пункту.

Фишинг в большинстве случаев подразумевает контакт в жертвой. Так как мы рассматриваем взлом вашей подруги, то, предположим, что у нее уже есть к вам определенная степень доверия. В таком случае, можно воспользоваться просто замечательной локальной фичей ТГ - маскировка ссылок в слова.

При нажатии будет перекидывать на фишинг

Предлогом для того, чтобы она авторизовалась может послужить банальное:

"Привет. Я чет не могу зайти в [замаскированная ссылка] через браузер. У тебя тоже не работает? Срочно надо ответить в директе, а тут такая беда..."

Если у вас хорошо работает воображение, то вы точно придумаете повод, для авторизации по вашей ссылке.

Хорошо. Подруга повелась и слила лог:пас, но как теперь его принять? Как я писал выше, получение чувствительных данных реализовано при помощи бота в тг. Я бы был не я, не продемонстрируй, как его создать и подключить к фишингу.

Создание и настройка бота

1) Идем к отцу всех ботов - @BotFather и слезно просим его создать сыночка, отправляя:

/newbot

2) Придумываем название боту. У меня это vzlom podrugi.

3) Прописываем нашему боту линк. Мой выбор пал, как вы уже, наверное, поняли на vzlompodrugi_bot (приписка _bot обязательна).

В итоге общение с "отцом" выглядит так:

Токен я замазал от греха подальше

4) Копируем токен - то, что я замазал на скриншоте и идем в файлы фишинга. Нас будет интересовать содержимое файла, который я выделил на скрине ниже.

Л

5) Вставляем в поле 'token', то, что вы получили от отца ботов (токен, как не странно).

Токен должен находиться в одинарных ковычках (ну а кто вас знает, вдруг решите и их удалить)

6) Возвращаемся к отцу ботов, жмякаем на линк своего бота и запускаем его командой:

/start

Профит! Теперь логи будут приходить прямиком к нему. Только помните, что сначала нужно все настроить, а только потом уже пытаться наебать свою подружку.