Vorwort
Die Art und Weise, wie die Nummer offengelegt wird, ist eine Kombination aus einer technischen Fähigkeit des Kunden selbst und der Anwendung von Social Engineering (SI). Im Allgemeinen wurde diese Funktion bereits früher auf Habré beschrieben, bereits 2016 - eine
Referenz .
Der Autor hatte die „Nachricht“ bereits abgefangen und wollte gähnenden Benutzern mitteilen, dass sie
unsicher ist! , aber sein kleiner Artikel kritisiert schwach. Ich ging jedoch noch weiter und beschloss zu zeigen, wie diese „Funktion“ in den Händen des „Hackers“ wirkt.
Die Methode basiert auf Social Engineering, daher müssen Sie mit dem Benutzer kommunizieren, dessen Nummer wir herausfinden möchten. Der springende Punkt ist, dass der Benutzer die übliche Manipulation, die Boten innewohnt, ankurbeln muss, aber gleichzeitig sollte er nicht ahnen - warum sollte er genau diese Manipulation durchführen ...
Was muss das Opfer tun, um seine Nummer preiszugeben? Betrachten Sie ein Beispiel.
Es gibt Benutzer
A (
Angreifer ) und Benutzer
B (
Opfer ).
Und er klopft in einem persönlichen Dialog an
B und sendet eine Nachricht. Benutzer
B ist verantwortlich. Der Dialog beginnt. Benutzer
A ist mit Benutzer
B befreundet und fügt ihn seinen Kontakten hinzu. Benutzer
B ist glücklich und fügt Benutzer
A zu seinen Kontakten hinzu.
Danach kann Benutzer
A (der Angreifer) die Nummer von Benutzer
B (das Opfer) sehen, aber das Opfer (
B ) sieht nicht die Nummer des Angreifers (
A ).
Wie ist das passiert?
Erstens ist es auch nicht so einfach. Es ist wünschenswert, dass sich das Opfer im Desktop Messenger befindet. Wenn Sie auf das Benutzersymbol klicken, wird das folgende Fenster geöffnet:
Unter dem Benutzernamen ist die Aufschrift "ADD TO CONTACTS" sichtbar.
Durch Klicken darauf öffnet ein Fenster ein solches Fenster:
Alles ist einfach, Sie müssen nur die Autorisierung bestätigen und "
FERTIG "
drücken . Aber danach wird unsere Nummer für diesen Benutzer sichtbar sein. Der Fehler ist die Standardoption "
Meine Telefonnummer teilen " aktiviert. Ja, es ist standardmäßig aktiviert, sodass Benutzer, die ihren Kontakten jemanden hinzufügen, diese Funktion ignorieren.
Über den Desktop-Client können wir die Nummer ganz einfach herausfinden. Das Opfer wird diese Option einfach nicht bemerken und eine Nummer vergeben. Aber was ist mit Telefon-Apps? Hier ist die Situation schwieriger.
Erstens findet das Opfer die Benutzerautorisierungsfunktion nicht sofort. Zweitens ist dem Opfer nicht klar, warum überhaupt ein Benutzer zu Kontakten hinzugefügt werden sollte, wenn der Dialog ohne Probleme verläuft. Drittens heißt die Option "Meinen Kontakt teilen" - was bereits verdächtig ist. Wenn Sie auf diese Option klicken, wird eine Warnung angezeigt, in der die Nummer des Opfers und der Text geschrieben sind, damit der Benutzer sie sieht. Das Opfer wird dies nicht tun. Daher konzentriert sich diese Methode mehr auf die Desktop-Anwendung.
Bevor Sie einen Angriff starten, müssen Sie daher sicherstellen, dass das Opfer eine nicht mobile Version verwendet! Es gibt viele Möglichkeiten. Betrachten Sie beispielsweise die Schreibgeschwindigkeit, den Textstil, die Verwendung von Aufklebern und Emoticons usw.
Wenn wir sicher sind, dass das Opfer am Computer sitzt, können wir beginnen.
Wie kann das Opfer Sie zu Ihren Kontakten hinzufügen?
Hier müssen Sie verstehen, warum Sie die Opfernummer benötigen. Es versteht sich, dass Sie im Voraus alle Informationen über das Opfer kennen - Beruf, Interessen usw. Basierend auf dem Dialog müssen Sie selbst den Grund formulieren, warum das Opfer Sie hinzufügen sollte.
Von fast allen Praktiken habe ich die Methode mit zwei Konten verwendet: eine ist die Hauptmethode, die zweite ist eine Fälschung. Unter dem Strich beginnt ein Dialog mit dem Opfer vom ersten Konto an und wechselt dann zum zweiten. Das zweite Konto sollte nicht speziell Ihr Konto sein, sondern beispielsweise Ihr
Freund / Bruder / Kollege . Im Allgemeinen ist es notwendig, eine Illusion für das Opfer zu schaffen, in der sie beginnt, auf den zweiten Bericht zu schreiben, ihn aber nicht erreichen kann (wir müssen ihn ignorieren). Dies wird das Opfer in einen Stupor versetzen, so dass sie beginnt, den Grund aus unserem ersten Konto herauszufinden, und wir sollten als „
Kommunikationsbrücke “ fungieren, als ob wir das Opfer anweisen würden, ein zweites Konto zu ihren Kontakten hinzuzufügen und somit ihre Nummer herauszugeben.
Ist es schwierig Dann überlegen Sie in der Praxis.
Ich werde ein Beispiel geben, wenn ich Darknet-Betrüger dekanonymisiert habe.
Deanonymisierung eines Betrügers
Und so gibt es einen bestimmten Benutzer, der betrügerische Aktivitäten im Zusammenhang mit Finanzen betreibt - gestohlene Gelder auszahlen usw.
Ich habe 2 Konten (
A ) und (
B ) erstellt.
Vom ersten Bericht (
A ) an schrieb ich an das Opfer.
Das Opfer trat in einen Dialog. Ich antworte:
Ich füge den Link zu meinem zweiten Konto ein (
B ).
Das Opfer beginnt auf Konto (
B ) zu schreiben:
Ich lese diese Nachrichten nicht absichtlich.
Von Konto (
B ) schreibe ich den Text auf mein eigenes Konto (
A ) und sende ihn an das Opfer:
Hier stelle ich dem Opfer keine bestimmte Aufgabe - damit er mich zu den Kontakten hinzufügt. Es ist, als ob ich selbst nicht verstehe, wo das Problem liegt, daher biete ich verschiedene Optionen an.
Aber das Opfer schickt ratlos neue Briefe an Konto (
B ), die ich ebenfalls ignoriere.
Weiter - Ich spiele einen Dialog zwischen meinen Konten (
A ) und (
B ), den ich auch vom Hauptkonto an das Opfer sende:
Die Aufmerksamkeit des Opfers wird durch diesen Vorfall abgelenkt, daher versucht sie zu verstehen, was möglicherweise falsch ist. Sie denkt jetzt am allerwenigsten an ihre Sicherheit, weil ihr keine Links und Dateien gesendet werden. Das Opfer kann einfach keinen Dialog herstellen.
Von Konto (
B ) habe ich die Nachrichten noch gelesen, aber dem Opfer nicht geantwortet!
Als nächstes kommt der letzte Dialog:
Hier versteht das Opfer schließlich, dass die Angelegenheit in den Kontakten enthalten ist, und fügt dann das Konto (
B ) hinzu, wobei die Option „Meine Telefonnummer teilen“ ignoriert wird.
Danach wurde die Opfernummer in meinem Konto angezeigt (
B ).
Ich werde es dir direkt sagen. Ich habe viele Kontakte anprobiert und 7 von 10 haben mich zu Kontakten hinzugefügt und meine Nummer enthüllt. Grundsätzlich habe ich Betrüger, Drogendealer und andere unvernünftige „Dalqube“ offengelegt. Aber mit gewöhnlichen Benutzern können Sie eine gemeinsame Sprache finden, einschließlich List, und sich selbst in Vertrauen reiben. Es scheint: „Was ist daran so cool? Es ist so einfach! " Aber wussten Sie davon? Ich glaube nicht. Wenn nur Telegramm dieses Kontrollkästchen standardmäßig deaktiviert, wenn Sie es Ihren Kontakten hinzufügen, ist alles anders. Aber das alles ist nicht wichtig, weil alles so gut ist;)