Фишинг как сделать

Добавил пользователь Дмитрий К.
Обновлено: 07.09.2024

Данная статья написана в образовательных целях и не призывает к действиям. Будьте благоразумны и не совершайте противозаконных действий.

Фишинг – технология компьютерного взлома | Немного теории

Фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

Хостинг — услуга по предоставлению ресурсов для размещения информации на сервере, постоянно находящемся в сети (обычно Интернет).

Доменное имя — символьное имя сайта.

Сегодня я расскажу, как можно взламывать страницы в социальных сетях, не затрачивая при этом много денег, а при наличии хостинга и доменного имени вовсе бесплатно. Хотя, для данных целей, советую всё таки зарегистрировать новое, более подходящее доменное имя.

Фишинг – технология компьютерного взлома | Процесс взлома

Весь процесс делится на три этапа:

Как вы уже поняли, для взлома нам надо будет подговорить жертву для того, чтобы она перешла на наш поддельный сайт и ввела свои персональные данные. Тут уже в дело вступает социальная инженерия.

Если вы не знакомы с СИ, то можете почитать статьи, которые уже есть на сайте:

Этап первый: Создание поддельного сайта

Для создания сайта для фишинга нам понадобятся:

• Хостинг.
• Доменное имя.
• 100-300 грн (200-500 рублей).
• Файлы поддельного сайта.

По поводу создания имени домена. Как правило создаем длинные имена для своего сайта, к тому же регистрация доменного имени ограничивается 255 символами. А доменную зону выбираем .XYZ в конечном варианте мы получаем: sdkkjfgnsdjlfgnbsdlffbvfflbvazldfbvslfhbvsthnb.xyz ну или вроде того. Сделано для того, чтобы снять хоть какие-то подозрения от того, что это фишинговый сайт. Грубо говоря, выглядит как какой-то системный переход по ссылке.

• Существует множество CMS, которые позволяют создать одностраничный сайт в несколько кликов
• Заказать готовый сайт, если вы далеки от этой темы.
• Воспользоваться генератором, по типу Page Creator.
• Написать самому.
• Воспользоваться инструментами по копированию готовых сайтов, могу написать про клонирование сайтов на Kali Linux, если вам это интересно.

И тут важно, чтобы вся информация, которую вводит жертва в нашей форме на сайте, сохранялась в логах хостинга, а после просто перенаправляем её обратно на сайт.
Итак, на данном этапе мы имеем готовый фиш. сайт который записывает всю информацию что заполняет жертва и перенаправляет его обратно к исходному сайту.

Этап второй: Создание поддельного аккаунта

Этап третий: Развод жертвы

Для начала, нам нужно чтобы наша ссылка приобрела более приемлемый вид. Сокращаем её, в случае с вк лучше всего воспользоваться сервисом vk.cc, который они же и предоставляют.

Теперь наша ссылка vk.cc/ghty – что-то по такому типу. Согласитесь, такой вид куда лучше предыдущего. Далее набираем текст, который зацепит жертву и не оставит выбора, что-то по этому типу, тут у вас должна сработать фантазия.

Данную информацию мы размещаем на публичной странице.

Сегодня вы узнали про фишинг – технологию компьютерного взлома и помните, я никого не призываю к действиям. Поделитесь данной статьей с друзьями, чтобы они не попадались на подобные уловки, а также подписывайтесь на обновления сайта, чтобы не пропустить новые статьи.

Данная утилита создает ботов, которые маскируются под сервисы для накрутки.

Всем привет, на связи админ сайта. Как и обещал, представляю вашему вниманию программу по созданию фишинг ботов прямо в Telegram!

Как это работает?

Данная утилита создает ботов, которые маскируются под сервисы для накрутки. Боты просят логин и пароль от аккаунта, чтобы "накрутить" просмотры или лайки на аккаунт, однако данные отправляются вам, и никакой накрутки от них ждать не стоит. Перейдем к установке и настройке

Установка

Утилита работает на любых ОС на которых есть питон 3 и выше, но в моём случае всё будет показано на Termux.

Далее узнаем айди своего аккаунта, для этого пишем /start в боте @my_id_bot,

вставляем полученное значение в скрипт.

Заходим в @BotFather, Сначала вводим имя боту, потом юзернейм.

ПИШЕМ БОТУ СТАРТ!

После этого копируем токен и вставляем в скрипт. Далее выбираем, какие данные будет красть бот (в моём случае это фишинг инстаграм).

Должно быть что-то вроде этого:

После этого запускаем файл, который сохранился, в моём случае это Instagram.py

Всё, наш бот запущен и готов к работе, полученные данные будут выводится в боте и терминале, также эти данные сохраняются в файле bot-log.txt.

Примерно так выглядит бот со стороны владельца бота:

Что бы все работало Вам нужно прожать по рекламе от гугла, иначе работать нечего не будет, проверенно, как только вы нажимаете один раз по рекламе гугл то все получается и работает, так что перед тем как написать админу что не работает, нажмите на рекламу от гугл.

Аккаунты в социальных сетях – любимая цель хакеров, а наиболее эффективные тактики для атаки на аккаунты на таких сайтах, как Facebook , Instagram и Twitter , часто основаны на фишинге. Эти кражи паролей основаны на том, что пользователи вводят свои пароли на фальшивой веб-странице, и их становится все проще делать благодаря таким инструментам, как BlackEye.

BlackEye – это инструмент для быстрой генерации фишинговых веб-сайтов социальных сетей, что значительно упрощает поиск потенциальных возможностей в одной сети. После перенаправления цели на фишинговую страницу можно легко получить пароли к учетным записям социальных сетей.

BlackEye для фишинга в социальных сетях

Пользователи доверяют своим аккаунтам в социальных сетях. Если у цели не включена 2FA, легкость, с которой злоумышленник может получить к ним доступ, может удивить. BlackEye – это подтверждение концепции, которая показывает, что эти фишинговые страницы не должны быть сложными или сложно настраиваемые для эффективной работы.

BlackEye – это простой bash-скрипт, представляющий несколько шаблонов на выбор, позволяющий вам выбрать, какой веб-сайт для социальных сетей эмулировать. Оттуда он создает на вашем устройстве функциональный фишинговый сайт с возможностью перенаправления портов или других подключений к машине вашей цели.

Поддерживаемые сайты социальных сетей

BlackEye поддерживает 32 различных веб-сайта с фишинговыми шаблонами, но они различаются по качеству. Лучше протестировать их перед их развертыванием, потому что некоторые жалуются на недостатки, которые могут их выдать, если пользователь обращает на это внимание. Хотя фишинговые страницы по умолчанию, предоставляемые с BlackEye, довольно хороши, всегда полезно иметь возможность их изменять.

Среди наиболее интересных сайтов, которые поддерживает BlackEye, – Protonmail, Github, Gitlab, Adobe, Verizon, Twitter, Facebook, Shopify, PayPal и Google. Вы можете быстро протестировать их, выполнив следующие шаги и перейти на фишинговый URL, чтобы выяснить, насколько реалистичным выглядит каждый шаблон.

Что необходимо

BlackEye – чрезвычайно простой инструмент, но лучше всего работает на Kali Linux. Это из-за количества зависимостей, но они могут быть установлены по мере необходимости на устройствах Ubuntu или Debian. После того, как вы полностью обновите дистрибутив Kali, вы должны установить BlackEye.

Во-первых, нам нужно клонировать исходный код из репозитория BlackEye GitHub . Для этого откройте новое окно терминала и введите следующие команды git и cd:

Это должно установить репозиторий BlackEye и предоставить его запуск из папки blackeye с помощью команды bash blackeye.sh . Когда мы запустим эту команду, мы увидим заставку ниже.

Шаг 2. Настройте фишинговые сайты

Если нам не нравится что-то вроде просроченного уведомления об авторских правах, мы можем довольно легко его изменить. Сначала выйдите из скрипта bash обратно в папку BlackEye. Затем мы введем ls, чтобы увидеть папку сайтов в репозитории BlackEye.

Мы можем перейти к нему с помощью команды cd sites . Затем введите ls, чтобы увидеть все шаблоны фишинг-сайтов, доступные для изменения.

Чтобы отредактировать Protonmail, мы можем набрать cd protonmail и затем снова ls, чтобы увидеть файлы в этой папке. Вы должны увидеть что-то вроде файлов ниже.

Чтобы изменить HTML- код фишинговой страницы, вы можете сделать это непосредственно, открыв login.html в текстовом редакторе, который позволяет легко обновлять любые уведомления об авторских правах или другие сведения.

Шаг 3. Включите фишинговую страницу

Чтобы запустить нашу фишинговую страницу, откройте окно терминала и снова перейдите к папке BlackEye. Затем выполните команду bash blackeye.sh, чтобы вернуться в меню выбора фишинговой страницы. Здесь мы выберем eBay – номер 18.

После ввода номера сайта, который вы хотите создать, нажмите Enter . Далее нас попросят предоставить наш IP-адрес. Если вы нажмете Enter, не добавив один, он попытается добавить ваш по умолчанию, но это не всегда работает. После предоставления вашего IP-адреса вы должны увидеть что-то вроде подсказки ниже.

Затем перейдите по ссылке фишинга в браузере, чтобы увидеть результат вашего фишингового сайта.

Шаг 4. Захватить пароль

Когда вы открываете сайт в браузере, он должен выглядеть примерно так:

Открытие ссылки заставляет скрипт сообщать о типе устройств, которые в настоящее время обращаются к фишинговой странице.

Как только цель вводит свои учетные данные, они перенаправляются на реальную страницу eBay, создавая иллюзию успешного входа в систему.

Со стороны хакера, BlackEye предоставляет нам учетные данные, которые только что была введена нашей целью.

Таким образом, мы перехватили и сохранили учетные данные, введенные целью на нашей фишинговой странице!

Вывод

Чтобы защититься от этой атаки, нужно везде включить двухфакторную аутентификацию. Без этого одна ошибка может привести к краже вашего пароля и его использованию злоумышленником для доступа к вашей учетной записи. Поэтому настройте 2FA на Facebook , Instagram и любых других ваших учетных записях .

Просили расписать каг делать фейки и каг их рассылать, чтоб достаточно народу повелось на это. В статье описывается пример фишенг-атаки, приготовление фейков\скамов, примеры соц.инженерии, необходимый софт и тп.

3. Переходим к действиям.
Что нам потребуется:
Немного терпения.
Капелька мозга.
Текстовый редактор.
Анонимный мейлер с поддержкой отправки писем в html.

Чем будем фишить?
- Фишить мы будем скамами ака фейками. - Поддельными страницами, идентичными оригенальным, но все введенные данные будут записываться в нашу бд и юзацо нами)
Какие фейки мы будем использовать?
- т.к. йа буду показывтаь фсе на примере mail.ru, то с-но и фейки будут "под них", создавать будем 2 типа фейков:
Фейк страници авторизации.
Фейк внутри письма, как описывалось в п.2.

И так, преступим, открываем текстовый редактор, рекомендую "Notepad 2", теперь переходим по адресу http://win.mail.ru/cgi-bin/auth , жмем "посмотреть исходный код страници" - зависит от браузера, йа буду показывать на примере оперы. Жмем ctrl+f, вводим в поле поиска " \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

Теперь нам остается только отредактировать параметр action и вписать полный путь, пример action="http://example.ru/login.php"
Открываем наш мейлер, копируем туда весь код, пишем "от кого" и "кому" тему моно выбрать типа "вам пришло скрытое письмо" и отправляем. теперь ждем пасса, запустите файл у себя в браузере, и вы поймете, что 2ой вариат фейка выглядит убедительнее.
Разумеется, вы можете видоизменять фейки, добавлять в них различные фичи, менять тексты и тп, тк это просто шаблон.

4. ФАК.
Ака часто задаваемые вопросы.

в. Я залил все на хост, решил проверить, но логина и пароля нету, что делать?
о. Скорее фсего ты забыл выставить прова на файл базы данных, проверь чтобы права были 777(0777).

в. Что за код мы вводили в login.php, почему он так работает?
о. Изучай php и тебе все будет понятно.

в. Йа отправил письмо, но почему-то он пришло в изначальном виде и хтмл теги не работают, почему?
о. Скорее всего твой мейлер не поддерживает отправки письм в html.

в. Ура, все получилось, все работает, но почему-то мне не пришли логи и пароль жертвы, почему?
о. Возможно "жертва" не такой идиот чтоб повестись на фейк, жди, если не будет результатов, пробуй другие способы.

в. А как мне сделать фейк, например, яндекса?!
о. Точно так же, как и описано в п.3. Параметры везде одинаковы, разве что можно убрать из login.php строку $dom = $_POST['Domain'];

в. А правдо, что если в письмо можно втавить хтмл теги, то йа смогу это использовать для ксс и айфреймов?
о. Нет. Теги типа iframe,

Zip File, мамкины хацкеры. Соскучились небось по контенту? Я тоже очень соскучился. Судя по статистике, последний ролик про Termux зашёл не хуже взлома WiFi, а значит я буду продолжать фигачить именно в этом направлении. Нынче речь пойдёт о создании годнейших фейковых фишинговых страниц авторизации в стиле контакта, инсты и даже стима прямо с вашего мобильного телефона.

Не нужно никаких рут прав, дополнительных прошивок и прочих танцев с бубном. Только среднестатический ведрофон, внимательность и немножко смекалки вкупе с навыками социальной инженерии, дабы ваш фишинг оказался удачным. В общем, если хотите узнать, как заправдовские злоумышленники разводят наивных хомячков на пароли от контача, фэйса и прочих соц. сеток, что называется на коленке.

Тогда откиньтесь по удобней в своём компутерном кресле, отхлебните побольше мамкиного борща из тарелки и окунитесь на 5 минут в атмосферу просто нереального хацкинга. Погнали.

Шаг 1. Первым делом рубим вафлю и включаем 4Г. Затем топаем в настройки и активируем точку доступа. Это позволит нам на дальнейшем этапе не иметь проблем с созданием веб-страницы в ngRok.

Шаг 2. Далее, как обычно, запускаем Termuxи обновляем список пакетов. Сразу скажу, что всё что я показываю сейчас Термуксе работает и в Kali и в iSH, с некоторыми корректировками. Линукс, он и Африке Линукс. Соответственно принцип работы, что с терминалом в самой ОСи, что через говноэмуль типа термы, плюс-минус аналогичный.

Шаг 3. Ставим наши обновы, если они, есть введя upgrade.

Шаг 4. И дождавшись завершения процесса накатываем пакеты, которые сто пудово должны быть у каждого уважающего себя фишинг-мэна. А именно Curl. Главный инструмент для передачи данных на сервер и обратно. Git – для копирования скрипта с Гитхаба. Ну и само собой PHP и SSH’шем. В конце добавляем ко всей этой истории ключ -y, дабы избежать диалоговых окон, да и в принципе всё. Заводим шарманку.

Шаг 5. После того, как все допы проинсталлированы, копируем с гитхаба наш скрипт. Пользуясь случаем, хочу передать привет не слишком сообразительным камрадам, которые периодически пишут в комментах, мол ссылка не работает. Ребзи, я показываю принцип работы программ и утилит, а не занимаюсь актуализацией ссылок на гитхабовские скрипты. Если вы не в состоянии в случае отсутствия актуальной ссылки, тупо найти новую используя встроенный поиск, то задумайтесь над тем, той ли деятельностью вы вообще занимаетесь. Может лучше пока не поздно устроиться в Мак, или пойти торговать арбузами. IT – это явно не ваша сфера, если подобный затуп наступает на совсем уж элементарных вещах.

Шаг 6. После того, как zphisher скопировался, заходим в соответствующий катАлог или каталОг. Грамар-наци, обязательно поправьте в комментах.

Шаг 7. И запускаем сам скрипт через баш.

Шаг 8. В появившемся списке выбираем страницу авторизации сервиса, под который будем косить. Пусть будет VK.

Шаг 9. Далее программа предлагает нам 2 варианта. Либо стандартный index, либо страницу голосования. Возьмём классику.

Шаг 10. Порты через Ngrok.

Шаг 11. Всё. Ждём ссылку. И копируем сгенерированный вариант на какой-нибудь сократитель.

Шаг 12. В принципе, раз уж мы юзаем контакт в качестве фейка, можно воспользоваться тем же VK.CC.

Шаг 13. Проходим по сокращённому линку. Пробуем залогиниться.

Шаг 14. Вуаля. Логин и пасс от аккаунта улетают прямиком на наш ведрофон.

Сервисов и утилит для создания фишинговых страниц существует огромное множество. Это лишь один из примеров того, как всего за пару минут любой школьник со смартфоном в руках, может превратиться в потенциального злоумышленника. К счастью для нас, чтобы защититься от подобной напасти не нужно быть семи пядей во лбу. Вполне достаточно быть просто внимательным и никогда не переходить по ссылкам, присылаемым даже из проверенных источников.

Сегодня, современные технологии позволяют подделывать абсолютно всё. E-mail отправителя, телефон и даже голос звонящего. Хотя это, как правило, и не нужно. Злоумышленник может запросто притвориться вашим другом и даже скинуть в диалог пару мемчиков, прежде чем подтолкнёт вас к голосованию за его якобы хорошего знакомого через контакт.

Причём большую часть из того, что я перечислил, можно сделать абсолютно бесплатно. Для богатых же в Дарке есть даже специальный фишинг-панели. Они значительно упрощают взлом и содержат в себе кучу уже готовых страниц. Поэтому, друзья мои, будьте бдительны и не переходите по ссылкам из внешних источников ни под каким предлогом. Нафиг все эти голосования за псевдо-друзей. Лучше уж меня поддержите лайком. И вам польза. И мне приятно.

Что ж, братцы, на этом сегодня всё. Надеюсь, что данное видео оказалось для вас полезным и вы узнали для себя что-нибудь новенькое. А если даже и не узнали, то как-минимум отлично провели время. Обязательно пишите свои идеи для следующих роликов и если хотите, чтобы я действительно разобрал какую-то тему в рамках основной рубрики, то напоминаю, что сумма доната за это дело у нас всего 1488 руб.

Как говорится, правильная цена, для правильных пацанов. Ссылка на донэйшен алерт само-собой в описании. Главное не забудьте в приписке указать тему, а то ведь я решу, что вы просто решили по-братски меня поддержать. С вами, как обычно, был Денчик. Удачи, успехов и самое главное, отличного настроения. Берегите себя и свои данные. Не переходите по левым ссылкам. Помните, никому нельзя доверять. Даже себя. До новых встреч, камрады. Всем пока!

Читайте также:

  
• Подогрев бассейна газом своими руками
  
• Мячики фребеля своими руками вяжем
  
• Одуванчик из бисера своими руками
  
• Соломенные маты своими руками
  
• Спортивные сиденья своими руками