Recientemente, me horrorizó lo fácil que es acceder a la página del usuario, sabiendo solo el número de teléfono en el que está registrada la página de la víctima. Costo de pirateo ~ 1000-1500 rublos, tiempo de pirateo ~ 30 minutos. ¿La única condición es un operador móvil sin escrúpulos?
Advertencia Todos los materiales y métodos descritos a continuación se presentan únicamente con fines educativos y experimentales. Le recordamos que piratear las páginas personales de los usuarios y recopilar datos ilegalmente es procesado por la legislación de la Federación de Rusia (en particular, el Código Penal de la Federación de Rusia). ¡Tenga cuidado y solo experimente con sus cuentas de prueba!
Empecemos a trabajar de inmediato.
Si alguna vez dejó los datos de su pasaporte en alguna de las principales tiendas de teléfonos móviles y su operador de telefonía móvil no es muy consciente, entonces está sujeto a este método de piratería. Digamos que la mayoría de los empleados de estas redes no están muy preocupados por la confidencialidad de estos clientes y comercializan esta información de manera muy fría en la oscuridad. (Bueno, qué hay allí, obtener una lista de transacciones en una tarjeta cuesta solo 2,000 rublos ...). En general, resultó ser muy simple: encontrar a una persona que perforará los datos de su pasaporte con el número de teléfono del usuario. En mi caso, tanto mis datos como los de mi madre e incluso mi abuela estaban en la base de datos de un gran salón de comunicación. El costo de obtener esta información solo se ajusta al precio ~ 500-1000 rublos. Quizás esto parezca bastante triste y problemático, pero de hecho no lleva más de media hora y es poco probable que alguien lo cuide y lo encuentre. Los métodos de pago son diferentes en todas partes, alguien acepta solo bitcoins, alguien no duda en indicar su tarjeta en un telegrama. Por cierto, es un fenómeno bastante común cuando un atacante no tiene miedo de indicar su número de tarjeta (¿o no el suyo?), Porque, por ejemplo, el dinero se transfiere de una tarjeta a otra sin problemas y después de que es prácticamente imposible cobrar al titular de la tarjeta donde se transfirió el dinero . Personalmente, no tengo comentarios sobre este tema.
Entonces, obtuvimos un escaneo del pasaporte del usuario. No, no tomaremos la foto de Photoshop con la cara del usuario, donde la sostiene frente a la cámara. Iremos a operadores móviles que con mucho gusto sustituirán a la víctima. Registramos la página falsa de VKontakte en el número de teléfono izquierdo, cortamos la VPN y escribimos un mensaje de los siguientes contenidos a la comunidad oficial del operador móvil de la víctima:
Buenas tardes Necesitamos configurar el desvío de llamadas a todos los nuevos números de teléfono. No tengo acceso al teléfono en sí. ¿Qué necesito para completar esta operación?
Entonces, ¿qué sigue? Se le preguntará el número de teléfono de la víctima, un nuevo número de teléfono, donde deberá reenviar todas las llamadas y los datos del pasaporte para "confirmar su identidad y posesión del número de teléfono". Genial, ¿no es así? Simplemente compre una nueva tarjeta SIM en la estación por 300 rublos, o compre una tarjeta SIM virtual en algún lugar de la red y no tome un baño de vapor. Usted proporciona toda la información y todo, la cosa está en el sombrero: el desvío de llamadas está activado y, lo más sorprendente, la víctima no es notificada instantáneamente del reenvío de la conexión.
Al principio, la notificación no llegó en absoluto, pasó una hora, llegó hasta 2 veces:
Traté de conectar el servicio a otro número de teléfono de este operador: llega una notificación después de 2-3 minutos, que es suficiente para tomar medidas adicionales para obtener acceso a la página. Además, si hace todo esto a las 4 a.m., es poco probable que la víctima se despierte del operador de SMS y tenga tiempo de hacer algo a tiempo.
En general, es malo si personalmente tiene un operador de este tipo:
Bueno, si esto:
Entonces, ahora vamos a VKontakte y comenzamos a descifrar:
Comenzamos a recuperar la contraseña:
En esta etapa, nuestra víctima recibe un SMS que dice que alguien está tratando de cambiar la contraseña en la página:
Pero solo ahora, ¿y qué? ¿Qué logras hacer personalmente en 2 minutos? No interceptaremos SMS, porque el desvío de llamadas solo funciona en llamadas. Pero no estamos interesados. Haga clic en "Reenviar código" y vea la siguiente ventana:
¿Entiendes lo que haremos a continuación? Sí, deje que el robot haga una llamada y el operador lo redirija a nuestro número de teléfono y nos diga el código para cambiar la contraseña. Entonces, llama:
El robot llama a nuestro número de teléfono izquierdo, informa el código y luego tomamos y cambiamos la contraseña:
Se recibe todo el acceso a la página. Lo más probable es que la víctima del pánico cambie pronto la contraseña y luego esta acción se pueda repetir nuevamente y el pirata informático tenga solo 2-3 minutos restantes. Pero no hay ningún problema en ejecutar un script de volcado de página que guarde todo el historial de correspondencia, todas las fotos y todo lo que solo tu corazón desea en un par de segundos.