Alexander Popov
июль 2015.
139508

Как сейчас взламывают аккаунт во «ВКонтакте», ведь есть привязка к телефону?

Ответить
Ответить
Комментировать
2
Подписаться
25
7 ответов
Поделиться

А чем привязка к телефону мешает взломать аккаунт? Взлом - получение доступа, управление чужим аккаунтом, а не только "угон" аккаунта. Хотя оператор сотовой связи и специальные службы, очевидно, могут перехватывать СМС с кодом для смены вашего пароля, это слишком глупая стратегия для атаки. Во многом потому что с недавних пор ВК уведомляет вас о входе со стороны.

Сейчас большая часть "взломов" осуществляется через атаку на устройства (Android, iOS, Windows и пр). Сам "контакт" взламывать не нужно, нужно получить token пользователя и ваше подключение к сети, все это в пределах вашего устройства или компьютера. 

Многие сами вводят пароли в неофициальных местах: сайтах, приложениях, часто осознавая риск. "Неофициальные" приложения, малоизвестные расширения для браузера (особенно, российского авторства приложения) и пр. Они все получают ваш token или аналогичный уровень доступа к странице.

Существуют и "баги" в самих социальных сетях, ошибки в системе безопасности, которые заложены разработчиками, намеренно или случайно. Хакер использует разработанный или купленный exploit, что возможно благодаря уязвимости в самом сервере соц. сети. Пример

Насколько безопасна двухфакторная авторизация? 

Мера предосторожности на случай, если кто-то все-таки узнает ваш пароль, но не будет иметь доступ к вашим СМС. Она полезна, но не защищает от перечисленного. Но с момента написания этого ответа они сделали поддержку TOTP, поэтому нормальная двухфакторка стала реальнее, если отключить СМС-фактор после привязки Google Authenticator.

Дмитрий Игоревичотвечает на ваши вопросы в своейПрямой линии
99
-8
Комментарий удален модератором

Яркий пример — the fappening. Парень просто присылал знаменитостям письма от лица почтового сервиса и просил залогиниться на фейковой странице. Результат всем на руку.

+9
Ответить
Комментарий удален модератором
Комментарий удален модератором
Ещё 1 комментарий
Комментарий удален модератором
Комментарий удален модератором
Ещё 1 комментарий
Комментарий удален модератором

Двухфакторную авторизацию реально взломать?

-6
Ответить
Комментарий удален модератором
Ещё 16 комментариев

Обманом. Фейк страничка, запрос пароля и кода

-6
Ответить

А кто отменял перехват смс через тот же sdr?

+5
Ответить

Сами работники вк и раздают странички для рекламных агентов. Ведь реклама это деньги и тут просто весь вопрос в цене.

-15
Ответить

sniffing жи есть

+5
Ответить

Объясните мне, как угонщик сделает так, что смс придёт к нему на телефон? Как взломать эту часть схемы - сыпите какими-то аббревиатурами вроде sdr- но что это  и как работает ?

+9
Ответить

Анатолий, где-то на Пикабу был пост о том, как перехватывают сообщения с кодом подтверждения(для восстановления пароля)
Т.е находят уязвимость в мобильной сети, а не самом вк)

+2
Ответить

Но это работает только с GSM.

Или я ошибаюсь?

+1
Ответить

Ответ обновил.

По поводу первого комментария. Атаки типа man-in-the-middle (MITM) сами по себе в случае с HTTPS-трафиком действительно неэффективны, хотя если у вас есть private key сервера, который есть у владельцев ресурса, ваш трафик на ладони. Как думаете, у кого может оказаться ключик от крупнейшей соц. сети, так случайно?

Если вы читаете тот же xakep, вам пенять на целебные свойства https не приходится. А если живете в России, то смекалочку иметь надо..

+3
Ответить

Обычным сниффингом трафика пароль тоже не получить, для этого нужно ставить отдельные сертификаты на устройство и проксировать весь трафик. 

+1
Ответить

Уязвимые по природе системы Android или Windows позволяют проводить и такие атаки, дистанционно. Существуют коммерческие решения почти в открытом доступе, не только решения в исполнении АНБ и ЦРУ.  Подавляющее большинство людей не следит за безопасностью своих устройств, причем под угрозой не только пользователи названных систем, но и более гикнутых.

+2
Ответить
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором

Это развод полный...не ведитесь люди..

0
Ответить
Прокомментировать

Все Возможно Взломать. Если есть мозги и руки.

Если раньше взламывали через слабые пароли привязанной почты, то сейчас технология изменилась.

1. Можно телефон или ноутбук подключить к Wi-Fi в Макдональдсе или в других общественных местах с беспроводным доступом в интернет. Через снифер Intercepter-NG перехватывать cookie людей подключенных к этой сети и читать сообщения Вконтакте. Но есть минус: cookie временные и пароль к их аккаунту не получить.

2. Для этого есть бесчисленное количество брутфорсеров, программ через которые можно подобрать пароль к аккаунту методом ТЫКа. Но только если такой пароль есть в сформированной .txt или .doc базе, которую можно создать самому или скачать в интернете. Но есть минус: Брут бесполезен, если пароль придуманный или сгенерированный, типа такого: M#sd3zulk74uned09M

3. Про то что писал выше "ИРАКЛИЙ МИХАЙЛОВИЧ" я не согласен. Конечно можно произвести замену сим-карты в салонах связи (если договориться за деньги или если работает знакомый). При условии если известен номер телефона на которую привязан нужный нам аккаунт. Зайти не получиться! Т.к. если двухфакторная аутентификация включена, услуга восстановления пароля по номеру телефона становится недоступной. Исключение: Если вы знаете логин и пароль от страницы, то способ прокатит.

4. Хотя можно попытаться обойти «Подтверждение входа». При подключении двухфакторной аутентификации выдается 10 резервных кода (пример одного такого кода: 8352 7035), которые позволят подтверждать вход, когда у вас нет доступа к телефону. Проблема заключается в том, что бы зайти нужно подбирать этот код с определенного диапазона вручную. Потому что, если зайти через брут, то после входа, код не будет действовать. Т.е если у вас есть 1 код, можете войти - 1 раз без СМС. Кропотливая работа..

5. Если вы владеете знаниями языка программирования, то можете создать фишинговый сайт. И с помощью vk.cc сократить и скрыть настоящее название, что бы не возникало подозрения. Отправить ссылку жертве в виде рекламы или создать фейк, втереться в доверие и отправить сообщение с ссылкой (пример сообщения: Вот твои фотки с клуба #ССЫЛКА#, по моему неплохо получилось =D  ). Минус данного способа: Служба администрации ВК может счесть ссылку подозрительной и не дать перейти по ней жертве.

6. Опять же, если вы знаете программирование можете создать вирус (троян к примеру) который перехватывает пароли с Android или Windows и отсылает к вам на почту. Минус: может брандмауэр или антивирус запалить.

7. Писать в службу поддержки по определенной схеме и предоставить им поддельные данные обработанные программами RF SCreater и Adobe Photoshop (только если вы им владеете на высочайшем уровне). Минус: Если не прокатит, посадят далеко и надолго за подделку паспорта.

8. Если вы знакомы с жертвой, то можете установить ей keylogger.

Способов взлома много, всех их не перечислить, не описать и у каждого есть своиминусы.

Внимание: Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами данной статьи.

68
-8

ться...

+1
Ответить
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором

Хорошая статья, пригодится

0
Ответить

Парень, забудь про брутфорс, уже с 2010 года ты не забрутишь ни один ресурс с высокой посещалкой.

+2
Ответить
Ещё 8 комментариев

Парень из прошлого

0
Ответить

Alexandr Samuilov поддерживаю. Сейчас более изощренные методы.

Но есть и те, что до сей пор актуальны.

0
Ответить
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором

Чечня круто. 

0
Ответить
Комментарий удален модератором
Комментарий удален модератором
Прокомментировать

Чтобы получить доступ к странице, нужно иметь верный логин и пароль. Для того, чтобы эти данные заполучить, нужно тем или иным способом выведать данные у владельца страницы (ВКонтакте не хранит пароли). Это фишинг, социальная инженерия, подбор пароля. Прикреплённый к странице номер телефона не предоставляет какую-то дополнительную защиту, а всего лишь является средством идентификации и инструментом по быстрому восстановлению пароля входа.

Всем тем пользователям, которые не особо понимают базовые правила безопасности стоит подключить «Подтверждение входа».

14
-10

Вы в курсе, что в ВК есть двухэтапная аутентификация? В аккаунт не войти без ввода кода с телефона.

-4
Ответить
Комментарий удален модератором

Последний абзац в комментарии посвящен именно этому.

+5
Ответить
Комментарий удален модератором

Вк разве не по дефолту просит смс, если заходишь с нового места/девайса?

-1
Ответить
Ещё 1 комментарий

Марат, Нет

0
Ответить
Прокомментировать

В интернете много схем угонов самих сим-карт и полного доступа ко всем ресурсам на которые этот телефон завязан. Обман салонов связи, и т.д. Разумеется таким занимаются за большие деньги и просто так это не будут делать. Будьте бдительны!

5
-5
Комментарий удален модератором

Могу помочь с этим,
если кому требуется,
пишите на почту: mail_crack@rocketmail.com

0
Ответить
Прокомментировать

По моему опыту чаще всего ворует реквизиты софтина VK Music , и не только от ВК. Все факты взлома страничек друзей а так же угона моих игровых аккаунтов в прошлом объединяет как раз таки эта программа. 

0
-1
Прокомментировать
Читать ещё 2 ответа
Ответить