Деанон пользователя VK с помощью фишинга

Деанон пользователя VK с помощью фишинга

Вам наверное знакома фраза «Я тебя с##кa по айпи вычислю!». В сегодняшней статье я покажу один из способов, которые используют хакеры для деано­на пользователей VK. Мы рассмотрим технику фишинга, которая называется клик­дже­кинг. Данный способ также позволяет деано­ними­зиро­вать пользователей других социальных сетей и платформ. Надеюсь, после прочтения статьи, вы будете более осторожны, переходя по ссылкам и тыкая на всякие кнопочки.

Еще по теме: Поддельная точка доступа на ESP8266

Деанон пользователя VK с помощью фишинга

Итак, давайте рассмотрим, как хакеры добавляют на стра­ницу вид­жет «VK», делают его невиди­мым и подсовывают не подоз­рева­юще­му поль­зовате­лю, но для начала разберемся с терминами.

Статья написана в образовательных целях, для обучения этичных хакеров и информирования простых пользователей. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши незаконные действия.

Что такое кур­сор­дже­кинг и кликджекинг

Кликджекинг (Clickjacking) — это техника обма­на, свя­зан­ный с раз­мещени­ем на сай­те невиди­мых эле­мен­тов, с которы­ми поль­зователь может вза­имо­дей­ство­вать, даже не подоз­ревая это­го. Принцип действия такой: соз­дает­ся кноп­ка и в невиди­мом слое нак­ладыва­ется поверх дру­гой — видимой.

К примеру пользователь хочет пос­мотреть фильм на сай­те и нажимает Play, и нечего не подозревая слу­чай­но дает «сог­ласие на обра­бот­ку пер­сональ­ных дан­ных». Най­ти подобные невиди­мые эле­мен­ты довольно сложно, толь­ко если заглянуть в код сай­та.

Существует и другая техника, которая называется «кур­сор­дже­кинг». Это незамет­ное переме­щение кур­сора мыши, для выпол­нения тех или иных дей­ствий на стра­нице. Переме­щать­ся с кур­сором мышки может и и другой эле­мент.

Дизайн фишингового сайта

Здесь хакер может придумать что угод­но. Ему нужна схе­ма вве­дения в заб­лужде­ние, под которую уже будет создаваться  фишинговый сай­т. Как правило для подобных задач хакеры используют методы социальной инженерии.

Берется пус­той шаб­лон.

Авторизация VK

Те­перь на сайт добав­ляет­ся воз­можность авто­ризо­вать­ся через VK. Для это­го есть офи­циаль­ный API, к нему идет под­робная инс­трук­ция.

Ес­ли вкрат­це, то дос­таточ­но добавить вот этот скрипт в сек­цию head:

И вот это — в body:

Па­рамет­ру apiId нуж­но дать зна­чение, которое находит­ся в докумен­тации и есть в раз­деле «Код вид­жета для встав­ки на сай­те».

Деанон VK с помощью фишинга

Есть широкий выбор вари­антов того, как переп­равлять себе дан­ные об авто­ризо­ван­ных посети­телях. На сто­роне сер­вера для это­го может исполь­зовать­ся база дан­ных или прос­то тек­сто­вый файл.

Деанон VK фишинг

Как ска­зано в докумен­тации, пос­ле авто­риза­ции метод VK.Widgets.Auth воз­вра­щает дан­ные о поль­зовате­ле в виде GET-парамет­ров URL при исполь­зовании authUrl или в виде парамет­ров фун­кции при исполь­зовании onAuth. Воз­вра­щают­ся сле­дующие поля:

  • uid (integer) — иден­тифика­тор поль­зовате­ля;
  • first_name (string) — имя;
  • last_name (string) — фамилия;
  • photo (string) — URL фотог­рафии про­филя поль­зовате­ля шириной 200 px;
  • photo_rec (string) — URL фотог­рафии про­филя поль­зовате­ля шириной 50 px;
  • hash (string) — слу­жеб­ный параметр, необ­ходимый для про­вер­ки авто­риза­ции на уда­лен­ной сто­роне.

Для про­вер­ки авто­риза­ции мож­но исполь­зовать получен­ный параметр hash, срав­нивая его со зна­чени­ем фун­кции MD5 от app_id + user_id + secret_key. Нап­ример:

Как нас­тра­ивать этот вид­жет, есть мно­гочис­ленные инс­трук­ции, здесь никаких сек­ретов, разоб­рать­ся под силу каж­дому. Так что идем даль­ше.

Настройка видимости

Обыч­ный веб‑раз­работ­чик на этом эта­пе бы и оста­новил­ся, но зло­умыш­ленни­ку нуж­но сде­лать кноп­ку авто­риза­ции невиди­мой и вста­вить поверх нее какое‑нибудь прив­лекатель­ное изоб­ражение, что­бы поль­зователь про­шел авто­риза­цию, не заметив это­го. Нап­ример, мож­но пос­тавить поверх какую‑то дру­гую кноп­ку.

Ес­ли в любом бра­узе­ре выб­рать «Прос­мотр кода» и навес­ти кур­сор мыши на кноп­ку вхо­да в VK, а затем щел­кнуть пра­вой кноп­кой, то мож­но най­ти такой абзац (на скрин­шоте замаза­на часть тек­ста, которой на этом эта­пе не будет).

Деанон вконтакте

Те­перь чтобы кнопка стала невидимой в окне CSS надо добавить:

Определить IP вконтакте

Код абза­ца уже со зна­чени­ем opacity : 0.0 мож­но ско­пиро­вать и получить код скры­той кноп­ки. В таком виде зло­умыш­ленник и добав­ляет кноп­ку на свой сайт вмес­то преж­него кода.

Защита от деанона VK

За­щитить­ся от данного способа деанона VK очень слож­но. Мож­но только поис­кать в исходни­ке подоз­ритель­ного сай­та сло­во opacity, но вряд ли кто‑то будет делать это на каж­дой посеща­емой стра­нице.

Заключение

По­луча­ется невиди­мая кноп­ка, и при нажатии на нее выпол­няет­ся дей­ствие. Кста­ти, если прос­то скрыть этот эле­мент атри­бутом hidden, то никако­го резуль­тата не будет, ведь кноп­ка не толь­ко про­падет визу­аль­но, но и не будет получать событий вро­де щел­чка кноп­кой мыши.

Это, по моему мне­нию, край­не эффектив­ный спо­соб деано­на, ког­да поль­зовате­ля дос­таточ­но нап­равить на стра­ницу — и мож­но получить его иден­тифика­тор VK и некото­рые дру­гие дан­ные. Работа­ет же такая схе­ма прак­тичес­ки незамет­но для обы­вате­ля.

РЕКОМЕНДУЕМ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий