Kata Pengantar
Cara nomor tersebut diungkapkan adalah kombinasi dari satu kemampuan teknis dari klien itu sendiri dan penerapan rekayasa sosial (SI). Secara umum, fungsi ini sudah dijelaskan sebelumnya pada Habré, sudah di 2016 -
referensi .
Penulis telah menangkap "pesan" dan ingin memberi tahu pengguna yang menguap bahwa itu tidak
aman! , tapi artikel kecilnya dikritik lemah. Namun, saya melangkah lebih jauh dan memutuskan untuk menunjukkan bagaimana "fungsi" ini bertindak di tangan "peretas".
Metode ini didasarkan pada rekayasa sosial, jadi Anda harus berkomunikasi dengan pengguna yang nomornya ingin kami ketahui. Intinya adalah bahwa pengguna harus mendongkrak manipulasi yang biasa melekat pada messenger, tetapi pada saat yang sama, ia tidak boleh curiga - mengapa ia harus melakukan manipulasi ini ...
Apa yang harus dilakukan korban untuk mengungkapkan nomornya? Pertimbangkan sebuah contoh.
Ada pengguna
A (
penyerang ) dan pengguna
B (
korban ).
Dan dia mengetuk
B dalam dialog pribadi dan mengirim pesan. Pengguna
B bertanggung jawab. Dialog dimulai. Pengguna
A berteman dengan pengguna
B dan menambahkannya ke kontaknya. Pengguna
B senang dan juga menambahkan pengguna
A ke kontaknya.
Setelah itu, pengguna
A (penyerang) dapat melihat jumlah pengguna
B (korban), tetapi korban (
B ) tidak melihat jumlah penyerang (
A ).
Bagaimana ini bisa terjadi?
Pertama, itu juga tidak begitu sederhana. Diinginkan bahwa korban berada di desktop messenger. Ketika Anda mengklik ikon pengguna, jendela berikut terbuka:
Di bawah nama pengguna terlihat tulisan "ADD TO CONTACTS".
Dengan mengkliknya, sebuah jendela akan membuka jendela seperti itu:
Semuanya sederhana, Anda hanya perlu mengonfirmasi otorisasi dan tekan "
DONE ". Tetapi setelah ini nomor kami akan terlihat oleh pengguna ini. Kesalahannya adalah opsi default "
Bagikan nomor telepon saya " diaktifkan. Ya, ini diaktifkan secara default, sehingga pengguna yang menambahkan seseorang ke kontak mereka mengabaikan fitur ini.
Melalui klien desktop, kita akan dapat mengetahui nomornya secara sederhana. Korban tidak akan melihat opsi ini dan akan mengeluarkan nomor. Tetapi bagaimana dengan aplikasi telepon? Di sini situasinya lebih sulit.
Pertama, korban tidak akan segera menemukan fungsi otorisasi pengguna. Kedua, tidak akan jelas bagi korban - mengapa menambahkan pengguna ke kontak sama sekali jika dialog berjalan tanpa masalah. Ketiga, opsi ini disebut "bagikan kontak saya" - yang sudah mencurigakan. Dan jika Anda mengklik opsi ini, akan ada peringatan di mana nomor korban dan teks tertulis bahwa pengguna akan melihatnya. Korban tidak akan melakukan ini. Oleh karena itu, metode ini lebih berfokus pada aplikasi desktop.
Karena itu, sebelum memulai serangan, Anda harus memastikan bahwa korban menggunakan versi non-seluler! Ada banyak cara. Misalnya, lihat kecepatan mengetik, gaya teks, penggunaan stiker dan emotikon, dll.
Jika kami yakin korban sedang duduk di depan komputer, maka kami bisa mulai.
Bagaimana cara agar korban menambahkan Anda ke kontak Anda?
Di sini Anda perlu memahami mengapa Anda memerlukan nomor korban. Dapat dipahami bahwa Anda mengetahui terlebih dahulu informasi apa pun tentang korban - pekerjaan, minat, dll. Berdasarkan dialog, Anda sendiri harus merumuskan alasan mengapa korban harus menambahkan Anda.
Dari hampir semua praktik, saya menggunakan metode ini dengan dua akun: satu adalah yang utama, yang kedua palsu. Intinya adalah memulai dialog dengan korban dari akun pertama, dan kemudian beralih ke yang kedua. Akun kedua tidak seharusnya menjadi milik Anda secara khusus, tetapi, misalnya,
teman / saudara / kolega Anda . Secara umum, perlu untuk menciptakan ilusi bagi korban, di mana ia mulai menulis ke akun kedua, tetapi tidak dapat mencapainya (kita perlu mengabaikannya). Ini akan membuat korban menjadi pingsan, jadi dia akan mulai mencari tahu alasannya dari akun pertama kita, dan kita harus bertindak sebagai "
jembatan komunikasi ", seolah-olah mengarahkan korban untuk menambahkan akun kedua ke kontaknya dan, dengan demikian, mengeluarkan nomornya.
Apakah ini sulit? Kemudian pertimbangkan dalam praktik.
Saya akan memberikan contoh ketika saya men-scammers darknet.
Deanonimisasi scammer
Jadi, ada pengguna tertentu yang terlibat dalam kegiatan penipuan terkait dengan keuangan - mencairkan uang curian, dll.
Saya membuat 2 akun (
A ) dan (
B ).
Dari akun pertama (
A ) saya menulis kepada korban.
Korban memasuki dialog. Saya jawab:
Saya tempel tautan ke akun kedua saya (
B ).
Korban mulai menulis ke akun (
B ):
Saya tidak sengaja membaca pesan ini.
Dari akun (
B ) saya menulis ke akun saya sendiri (
A ) teks dan mengirimkannya ke korban:
Di sini saya tidak menetapkan tugas khusus dari korban - sehingga dia menambahkan saya ke kontak. Seolah-olah saya sendiri tidak mengerti apa masalahnya, karena itu saya menawarkan opsi yang berbeda.
Tapi korban, bingung, mengirim surat baru ke akun (
B ), yang juga saya abaikan.
Berikutnya - Saya memainkan dialog antara akun saya (
A ) dan (
B ), yang juga saya kirim ke korban dari akun utama:
Perhatian korban terganggu oleh kejadian ini, jadi ia mencoba memahami apa yang mungkin salah. Paling tidak sekarang dia memikirkan keselamatannya, karena tidak ada tautan dan file yang dikirimkan kepadanya. Korban tidak bisa berdialog.
Dari akun (
B ) saya masih membaca pesan, tetapi tidak menjawab korban!
Berikutnya adalah dialog terakhir:
Di sini, korban akhirnya mengerti bahwa masalahnya ada di kontak dan kemudian menambahkan akun (
B ), mengabaikan opsi "bagikan nomor telepon saya".
Setelah itu, nomor korban ditampilkan di akun saya (
B ).
Aku akan memberitahumu dengan jujur. Saya mencoba banyak kontak dan 7 dari 10 menambahkan saya ke kontak, mengungkapkan nomor saya. Pada dasarnya, saya mengungkapkan scammer, pengedar narkoba dan "dalqube" tidak masuk akal lainnya. Tetapi dengan pengguna biasa, Anda dapat menemukan bahasa yang umum, termasuk kelicikan dan gosok diri Anda menjadi percaya diri. Tampaknya: "apa yang keren tentang itu? Sangat mudah! " Tapi apakah Anda tahu tentang ini? ... Saya kira tidak. Jika hanya Telegram yang tidak dicentang kotak ini secara default ketika Anda menambahkannya ke kontak Anda, maka semuanya akan berbeda. Tetapi semua ini tidak penting, karena semuanya sangat baik;)