Взлом через ссылку и как от этого защититься

Как взломать через ссылку

Часто на форумах появляется вопросы типа «Можно взломать аккаунт через ссылку?». В статье отвечу на этот вопрос и покажу, как это делают хакеры с помощью Kali Linux и BeEF. Мы не будем рассматривать подробно все детали, для этого не хватит одной статьи, но если вас интересует этичный хакинг, вы можете все это найти на нашем сайте.

Еще по теме: Лучшие устройства хакера

Статья написана в образовательных целях, для обучения пентестеров (этичных хакеров). Использование подобных методов без надлежащего разрешения, является незаконным и расценивается, как уголовное преступление. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши действия.

Данный материал будет также полезен и обычным пользователям. Изучения и понимание методов взлома и проникновения, поможет вам в соблюдении кибергигиены.

Взлом через ссылку и фейк-страницу

Итак, нам понадобится дистрибутив Kali Linux и фреймворк эксплуатации браузеров BeEF (Browser Exploit Framework). Это инструмент для тестирования на проникновение, который фокусируется на браузерах.

Инструмент позволяют создать фейк-страницу, содержащую JavaScript и менять контент в зависимости от конкретного клиента. Мы рассказывали про BeEF в статье «Использование фишинговой рассылки в пентесте».

Установка BeEF на Kali Linux

Запускаем Kali Linux (см. также Установка Kali Linux на Windows)

Для установки BeEF на Kali Linux используем команду:

Когда установка завершится, находим в приложениях фреймворк и запускаем пункт «beef start».

Установка BeEF на Kali Linux

Откроется терминал и будет предложено ввести новый пароль для веб-интерфейса BeEF. Также необходимо скопировать хук и сохранить в каком-нибудь текстовом файле. Позже надо будет его вставить в фейк-страницу.

Создание фейк страницы для взлома через ссылку

Через несколько секунд ваш браузер автоматически откроет веб-интерфейс BeEF. Войдите используя созданную ранее учетную запись.

Авторизация Beef на Kali Linux

Создание фейк-страницы

Для этого примера будем использовать страницу Google. Клонируем страницу Google репозитория GitHub.

Отредактируем файл index.html и вставим ссылку на файл hook.js с сервера BeEF между тегами head.

Создание фейк-стрСоздание фейк-страницы Beef Kali Linux аницы

Проверим работу сервера с помощью python http.server:

Проверка фейк-страницы для взлома через ссылку

Открываем браузер и видим фейк-страницу (поддельный сайт).

Взлом через ссылку и фейк-страницу

Как видим на скрине фейк-страница работает корректно.

Как взломать через ссылку и фейк-страницу

Взлом через ссылку

Для получения внешнего IP злоумышленник будет использовать облачные сервисы и зарегистрирует какой-нибудь похожий на google.ru домен. Может подойти и бесплатный домен.

Взломать аккаунт через ссылку

Дальше все просто. Хакер посылает ссылку на фейк-страницу пользователю, тот нечего не подозревая вводит логин и пароль и злоумышленник получает аутентификационные данные.

Найти предлог открыть ссылку и склонить вести свои данные — довольно просто. Для этого есть социальная инженерия.

Защита от взлома через ссылку и фейк-страницу

Вот несколько рекомендаций для защиты от подобной атаки:

  • Никогда не доверяйте полученным ссылкам. Особенное подозрение должны вызвать скрытые или укороченный ссылки. Перед переходом по такой ссылке, стоит расшифровать короткую ссылку и определить куда она ведет.
  • Всегда проверяйте домен (название сайта), когда хотите ввести учетные данные авторизации.
  • По возможности используйте расширение для блокировки JavaScript.
  • Никогда не заходите в свои аккаунты используя публичный сети WiFi. Для проверки почты или авторизации в соцсетях лучше использовать мобильную связь или надежный VPN.

Заключение

Рассмотренный способ называется MITM (человек посередине). Техника заключается в том, чтобы создать поддельный сайт и поддельный домен, а затем отправить пользователю фишинговое письмо с ссылкой на фейк-страницу.

Теперь вы знаете, что взломать через ссылку вполне возможно, в особенности, если пользователь не интересуется информационной безопасностью и летает в облаках.

Полезные ссылки:

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован.