Recentemente, fiquei horrorizado com a facilidade de acessar a página do usuário, sabendo apenas o número de telefone no qual a página da vítima está registrada. O custo de hackers ~ 1000-1500 rublos, tempo de hackers ~ 30 minutos. A única condição é um operador móvel sem escrúpulos?
Advertência Todos os materiais e métodos descritos abaixo são apresentados apenas para fins educacionais e experimentais. Lembramos que a invasão das páginas pessoais dos usuários e a coleta ilegal de dados são processadas pela legislação da Federação Russa (em particular, o Código Penal da Federação Russa). Tenha cuidado e experimente apenas suas contas ou teste!
Vamos direto ao assunto imediatamente.
Se você já deixou seus dados de passaporte em qualquer loja importante de telefones celulares e sua operadora de celular não é muito consciente, estará sujeita a esse método de hacking. Digamos apenas que a maioria dos funcionários dessas redes não esteja muito preocupada com a confidencialidade desses clientes e negocie essas informações muito friamente no escuro. (Bem, o que há para obter uma lista de transações em um cartão custa apenas 2.000 rublos ...). Em geral, acabou sendo muito simples - encontrar uma pessoa que perfuraria os dados do seu passaporte com o número de telefone do usuário. No meu caso, meus dados e os da minha mãe e até da minha avó estavam no banco de dados de um grande salão de comunicação. O custo de obter essas informações se encaixa no preço ~ 500-1000 rublos. Talvez isso pareça um tanto sombrio e problemático, mas na verdade não leva mais de meia hora e é improvável que alguém cuide de você e o encontre. Os métodos de pagamento são diferentes em todos os lugares, alguém aceita apenas bitcoins, alguém não hesita em indicar seu cartão em um telegrama. A propósito, é um fenômeno bastante comum quando um invasor não tem medo de indicar o número do seu (ou não dele?), Porque, por exemplo, o dinheiro é transferido de um cartão para outro sem problemas e depois é praticamente impossível cobrar do titular do cartão onde o dinheiro foi transferido . Pessoalmente, não tenho comentários sobre esse assunto.
Então, temos uma varredura do passaporte do usuário. Não, não tiraremos photoshop da foto com o rosto do usuário, onde ele a segura na frente da câmera. Iremos para as operadoras de telefonia móvel que substituirão com prazer a vítima. Registramos a página falsa do VKontakte no número de telefone esquerdo, cortamos a VPN e escrevemos uma mensagem do seguinte conteúdo para a comunidade oficial da operadora de celular da vítima:
Boa tarde Precisamos configurar o encaminhamento de chamadas para todos os novos números de telefone. Eu não tenho acesso ao telefone em si. O que preciso para concluir esta operação? ”
Então, o que vem a seguir? Ser-lhe-á pedido o número de telefone da vítima, um novo número de telefone, onde é necessário encaminhar todas as chamadas e dados do passaporte para "confirmar sua identidade e posse do número de telefone". Ótimo, não é? Basta comprar um novo cartão SIM na estação por 300 rublos ou comprar um cartão SIM virtual em algum lugar da rede e não tomar banho de vapor. Você fornece todas as informações e tudo mais, a coisa está no chapéu - o encaminhamento de chamadas está ativado e, surpreendentemente, a vítima não é imediatamente notificada sobre o encaminhamento de conexão.
No início, a notificação não chegou, passou uma hora - veio duas vezes:
Tentei conectar o serviço a outro número de telefone dessa operadora - uma notificação chega após 2-3 minutos, o que é suficiente para tomar outras medidas para obter acesso à página. Além disso, se você fizer tudo isso às quatro da manhã, é improvável que a vítima acorde do operador de SMS e tenha tempo para fazer algo a tempo.
Em geral, é ruim se você tiver um operador desse tipo:
Bem, se isso:
Então, agora vamos ao VKontakte e começamos a quebrar:
Começamos a recuperar a senha:
Nesse estágio, nossa vítima recebe um SMS informando que alguém está tentando alterar a senha na página:
Mas só agora, e daí? O que você pessoalmente consegue fazer em 2 minutos? Nós não interceptamos o SMS, porque o encaminhamento de chamadas funciona apenas em chamadas. Mas não estamos interessados. Clique em "Reenviar código" e veja a seguinte janela:
Entendeu o que faremos a seguir? Sim, deixe o robô fazer uma ligação e a operadora o redireciona para o nosso número de telefone e informa o código para alterar a senha. Então, ligue para:
O robô liga para o nosso número de telefone esquerdo, informa o código e depois disso apenas pegamos e alteramos a senha:
Todo o acesso à página é recebido. Provavelmente a vítima em pânico em breve alterará a senha e, em seguida, essa ação poderá ser repetida novamente e o hacker terá apenas 2-3 minutos. Mas não há problema em executar um script de despejo de página que salva todo o histórico de correspondência, todas as fotos e tudo o que apenas seu coração deseja em alguns segundos.