Vor kurzem war ich entsetzt darüber, wie einfach es ist, auf die Benutzerseite zuzugreifen, da ich nur die Telefonnummer kenne, unter der die Seite des Opfers registriert ist. Das Hacken kostet ~ 1000-1500 Rubel, die Hackzeit ~ 30 Minuten. Die einzige Bedingung ist ein skrupelloser Mobilfunkbetreiber?
Warnung Alle nachfolgend beschriebenen Materialien und Methoden werden ausschließlich zu Bildungs- und Versuchszwecken vorgestellt. Wir erinnern Sie daran, dass das Hacken der persönlichen Seiten von Benutzern und das illegale Sammeln von Daten durch die Gesetzgebung der Russischen Föderation (insbesondere das Strafgesetzbuch der Russischen Föderation) verfolgt wird. Seien Sie vorsichtig und experimentieren Sie nur mit Ihren oder Testkonten!
Kommen wir sofort zur Sache.
Wenn Sie Ihre Passdaten jemals in einem großen Mobilfunkgeschäft hinterlassen haben und Ihr Mobilfunkbetreiber nicht sehr gewissenhaft ist, unterliegen Sie dieser Hacking-Methode. Sagen wir einfach, dass die Mehrheit der Mitarbeiter dieser Netzwerke nicht sehr besorgt über die Vertraulichkeit dieser Kunden ist und diese Informationen im Dunkeln sehr kühl handelt. (Nun, was ist da, eine Liste von Transaktionen auf einer Karte zu bekommen kostet nur 2.000 Rubel ...) Im Allgemeinen stellte sich heraus, dass es sehr einfach war, eine Person zu finden, die Ihre Passdaten mit der Telefonnummer des Benutzers durchsticht. In meinem Fall befanden sich sowohl meine Daten als auch die Daten meiner Mutter und sogar meiner Großmutter in der Datenbank eines großen Kommunikationssalons. Die Kosten für den Erhalt dieser Informationen passen nur in den Preis von ~ 500-1000 Rubel. Vielleicht sieht das ziemlich trostlos und problematisch aus, aber tatsächlich dauert es nicht länger als eine halbe Stunde und es ist unwahrscheinlich, dass sich jemand um Sie kümmert und Sie findet. Zahlungsmethoden sind überall unterschiedlich, jemand akzeptiert nur Bitcoins, jemand zögert nicht, seine Karte in einem Telegramm anzugeben. Übrigens ein weit verbreitetes Phänomen, wenn ein Angreifer keine Angst hat, die Nummer seiner (oder nicht seiner?) Karte anzugeben, weil beispielsweise Geld problemlos von Karte zu Karte übertragen wird und es praktisch unmöglich ist, den Karteninhaber zu belasten, bei dem das Geld überwiesen wurde . Persönlich habe ich keine Kommentare zu diesem Thema.
Also haben wir einen Scan des Benutzerpasses bekommen. Nein, wir machen kein Photoshop-Foto mit dem Gesicht des Benutzers, wo er es vor die Kamera hält. Wir werden zu Mobilfunkbetreibern gehen, die das Opfer gerne ersetzen. Wir registrieren die gefälschte VKontakte-Seite unter der linken Telefonnummer, schneiden das VPN ab und schreiben eine Nachricht mit den folgenden Inhalten an die offizielle Community des Mobilfunkbetreibers des Opfers:
"Guten Tag. Wir müssen die Anrufweiterleitung für alle neuen Telefonnummern einrichten. Ich habe keinen Zugriff auf das Telefon selbst. Was brauche ich, um diesen Vorgang abzuschließen? “
Also, was kommt als nächstes? Sie werden nach der Telefonnummer des Opfers gefragt, einer neuen Telefonnummer, unter der Sie alle Anrufe und Passdaten weiterleiten müssen, um "Ihre Identität und den Besitz der Telefonnummer zu bestätigen". Großartig, nicht wahr? Kaufen Sie einfach eine neue SIM-Karte an der Station für 300 Rubel oder kaufen Sie eine virtuelle SIM-Karte irgendwo im Netzwerk und nehmen Sie kein Dampfbad. Sie geben alle Informationen und alles, das Ding steckt im Hut - die Anrufweiterleitung ist aktiviert und das Opfer wird überraschenderweise nicht sofort über die Verbindungsweiterleitung informiert.
Zuerst kam die Benachrichtigung überhaupt nicht, eine Stunde verging - es kam bis zu zweimal:
Ich habe versucht, den Dienst mit einer anderen Telefonnummer dieses Betreibers zu verbinden. Nach 2-3 Minuten wird eine Benachrichtigung angezeigt. Dies reicht aus, um weitere Schritte zu unternehmen, um Zugriff auf die Seite zu erhalten. Wenn Sie dies alles um 4 Uhr morgens tun, ist es außerdem unwahrscheinlich, dass das Opfer vom SMS-Betreiber aufwacht und Zeit hat, rechtzeitig etwas zu tun.
Es ist im Allgemeinen schlecht, wenn Sie persönlich einen solchen Betreiber haben:
Nun, wenn dies:
Also, jetzt gehen wir zu VKontakte und fangen an zu knacken:
Wir beginnen das Passwort wiederherzustellen:
Zu diesem Zeitpunkt erhält unser Opfer eine SMS mit der Meldung, dass jemand versucht, das Kennwort auf der Seite zu ändern:
Aber erst jetzt, na und? Was schaffen Sie persönlich in 2 Minuten? Wir werden SMS nicht abfangen, weil Die Anrufweiterleitung funktioniert nur bei Anrufen. Wir sind aber nicht interessiert. Klicken Sie auf "Code erneut senden" und sehen Sie das folgende Fenster:
Verstehen Sie, was wir als nächstes tun werden? Ja, lassen Sie den Roboter einen Anruf tätigen und der Bediener leitet ihn an unsere Telefonnummer weiter und teilt uns den Code zum Ändern des Passworts mit. Rufen Sie also an:
Der Roboter ruft unsere linke Telefonnummer an, meldet den Code und danach nehmen wir einfach das Passwort und ändern es:
Der gesamte Zugriff auf die Seite wird empfangen. Höchstwahrscheinlich wird das in Panik geratene Opfer bald das Passwort ändern und dann kann diese Aktion erneut wiederholt werden und der Hacker hat nur noch 2-3 Minuten Zeit. Es ist jedoch kein Problem, ein Seiten-Dump-Skript auszuführen, das den gesamten Verlauf der Korrespondenz, alle Fotos und alles, was nur Ihr Herz begehrt, in wenigen Sekunden speichert.