Alexander Popov
17 октября 11:33.
88166

Как сейчас взламывают аккаунт во «ВКонтакте», ведь есть привязка к телефону?

Ответить
Ответить
Комментировать
1
Подписаться
24
8 ответов
Поделиться

А чем привязка к телефону мешает взломать аккаунт? Взлом - это получение доступа, управление чужим аккаунтом, а не только "угон" аккаунта. Это все безумно устарело; хотя ваш оператор и специальные службы, очевидно, могут перехватывать СМС с кодом для смены вашего пароля, это какая-то глупая стратегия для атаки.

На данный момент большая часть таких "взломов" осуществляется через атаку на устройства вроде Android, iOS, Windows и пр.. Фактически, сам "контакт" взламывать не нужно, нужен лишь ваш token и ваше подключение к сети, все это в пределах вашего устройства или компьютера. Для целенаправленой атаки на человека со стороны кого-либо такое осуществимо.

Еще чаще пользователи сами вводят пароли в неофициальных местах, сайтах, приложениях, зачастую полностью осознавая риск, но не думая о последствиях. Никогда не вводите свой пароль в "неофициальные" приложения,  малоизвестные расширения для браузера и пр. Они все получают ваш token, или даже трафик полностью.

"Баги" в самих социальных сетях, то есть ошибки в системе безопасности, которые заложены разработчиками, намеренно или случайно. Хакер использует разработанный или купленный exploit, что возможно благодаря уязвимости в самом сервере соц. сети. Пример

Спасет ли двухфакторная авторизация? Ответ: нет, это мера предосторожности на случай, если кто-то все-таки узнает ваш пароль, но не будет иметь доступ к вашим СМС. Это полезная мера, но не защита от всего перечисленного.

Dmitrij Igorevichотвечает на ваши вопросы в своейПрямой линии
88
Комментарий удален модератором

Яркий пример — the fappening. Парень просто присылал знаменитостям письма от лица почтового сервиса и просил залогиниться на фейковой странице. Результат всем на руку.

+8
Ответить

Двухфакторную авторизацию реально взломать?

-6
Ответить
Ещё 12 комментариев

Обманом. Фейк страничка, запрос пароля и кода

-6
Ответить

А кто отменял перехват смс через тот же sdr?

+5
Ответить

Сами работники вк и раздают странички для рекламных агентов. Ведь реклама это деньги и тут просто весь вопрос в цене.

-14
Ответить

sniffing жи есть

+5
Ответить

Объясните мне, как угонщик сделает так, что смс придёт к нему на телефон? Как взломать эту часть схемы - сыпите какими-то аббревиатурами вроде sdr- но что это  и как работает ?

+8
Ответить

Анатолий, где-то на Пикабу был пост о том, как перехватывают сообщения с кодом подтверждения(для восстановления пароля)
Т.е находят уязвимость в мобильной сети, а не самом вк)

+2
Ответить

Но это работает только с GSM.

Или я ошибаюсь?

+1
Ответить

Ответ обновил.

По поводу первого комментария. Атаки типа man-in-the-middle (MITM) сами по себе в случае с HTTPS-трафиком действительно неэффективны, хотя если у вас есть private key сервера, который есть у владельцев ресурса, ваш трафик на ладони. Как думаете, у кого может оказаться ключик от крупнейшей соц. сети, так случайно?

Если вы читаете тот же xakep, вам пенять на целебные свойства https не приходится. А если живете в России, то смекалочку иметь надо..

+3
Ответить

Обычным сниффингом трафика пароль тоже не получить, для этого нужно ставить отдельные сертификаты на устройство и проксировать весь трафик. 

+1
Ответить

Уязвимые по природе системы Android или Windows позволяют проводить и такие атаки, дистанционно. Существуют коммерческие решения почти в открытом доступе, не только решения в исполнении АНБ и ЦРУ.  Подавляющее большинство людей не следит за безопасностью своих устройств, причем под угрозой не только пользователи названных систем, но и более гикнутых.

+2
Ответить
Комментарий удален модератором
Комментарий удален модератором
Прокомментировать

Все Возможно Взломать. Если есть мозги и руки.

Если раньше взламывали через слабые пароли привязанной почты, то сейчас технология изменилась.

1. Можно телефон или ноутбук подключить к Wi-Fi в Макдональдсе или в других общественных местах с беспроводным доступом в интернет. Через снифер Intercepter-NG перехватывать cookie людей подключенных к этой сети и читать сообщения Вконтакте. Но есть минус: cookie временные и пароль к их аккаунту не получить.

2. Для этого есть бесчисленное количество брутфорсеров, программ через которые можно подобрать пароль к аккаунту методом ТЫКа. Но только если такой пароль есть в сформированной .txt или .doc базе, которую можно создать самому или скачать в интернете. Но есть минус: Брут бесполезен, если пароль придуманный или сгенерированный, типа такого: M#sd3zulk74uned09M

3. Про то что писал выше "ИРАКЛИЙ МИХАЙЛОВИЧ" я не согласен. Конечно можно произвести замену сим-карты в салонах связи (если договориться за деньги или если работает знакомый). При условии если известен номер телефона на которую привязан нужный нам аккаунт. Зайти не получиться! Т.к. если двухфакторная аутентификация включена, услуга восстановления пароля по номеру телефона становится недоступной. Исключение: Если вы знаете логин и пароль от страницы, то способ прокатит.

4. Хотя можно попытаться обойти «Подтверждение входа». При подключении двухфакторной аутентификации выдается 10 резервных кода (пример одного такого кода: 8352 7035), которые позволят подтверждать вход, когда у вас нет доступа к телефону. Проблема заключается в том, что бы зайти нужно подбирать этот код с определенного диапазона вручную. Потому что, если зайти через брут, то после входа, код не будет действовать. Т.е если у вас есть 1 код, можете войти - 1 раз без СМС. Кропотливая работа..

5. Если вы владеете знаниями языка программирования, то можете создать фишинговый сайт. И с помощью vk.cc сократить и скрыть настоящее название, что бы не возникало подозрения. Отправить ссылку жертве в виде рекламы или создать фейк, втереться в доверие и отправить сообщение с ссылкой (пример сообщения: Вот твои фотки с клуба #ССЫЛКА#, по моему неплохо получилось =D  ). Минус данного способа: Служба администрации ВК может счесть ссылку подозрительной и не дать перейти по ней жертве.

6. Опять же, если вы знаете программирование можете создать вирус (троян к примеру) который перехватывает пароли с Android или Windows и отсылает к вам на почту. Минус: может брандмауэр или антивирус запалить.

7. Писать в службу поддержки по определенной схеме и предоставить им поддельные данные обработанные программами RF SCreater и Adobe Photoshop (только если вы им владеете на высочайшем уровне). Минус: Если не прокатит, посадят далеко и надолго за подделку паспорта.

8. Если вы знакомы с жертвой, то можете установить ей keylogger.

Способов взлома много, всех их не перечислить, не описать и у каждого есть своиминусы.

Внимание: Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами данной статьи.

59

ться...

+1
Ответить
Комментарий удален модератором

Хорошая статья, пригодится

0
Ответить

Парень, забудь про брутфорс, уже с 2010 года ты не забрутишь ни один ресурс с высокой посещалкой.

+1
Ответить
Ещё 6 комментариев

Парень из прошлого

0
Ответить

Alexandr Samuilov поддерживаю. Сейчас более изощренные методы.

Но есть и те, что до сей пор актуальны.

0
Ответить
Комментарий удален модератором
Комментарий удален модератором

Здравствуйте! Хочу поделиться своей историей. Прожили с мужем 20 лет,познакомились в студенческие годы, возникла взаимная симпатия,которая практически сразу переросла в любовь.Через пол года сыграли свадьбу, начинали жизнь со съемных квартир (коммуналок)в общем начинали что говориться с ложки и вилки. Закончили учебу, организовали небольшой бизнес, родили 2-х замечательных детей, жили душа в душу.Небольшой бизнес перерос в довольно большую компанию. Купили недвижимость и в городе и за городом,вобщем добились в жизни всего(казалось бы живи да радуйся) Но год назад мужа как будто подменили, стал раздражительным, грубым,постоянно прятал телефон, стал пропадать по несколько суток, (говорил что якобы командировка).Сначала я верила,думала возможно проблемы в компании. В один прекрасный день, муж приехал домой рано,пошёл в душ и оставил телефон на столе и в этот момент пришло СМС, «Милый встретимся через час». Я сразу поняла причину его командировок,но на все мои вопросы про любовницу муж только отмахивался.Знакомая у которой тоже были проблемы с мужем,посоветовала поставить прослушку на телефон мужа.Я обратилась к людям которые помогли узнать всю правду.Я смогла контролировать всю переписку мужа,а так же все входящие и исходящие вызовы.В итоге с мужем мы развелись,но я не о чем не жалею, считаю что лучше жить зная горькую правду чем постоянно жить во лжи.Вот номер людей которые мне помогли, может кому то тоже нужна помощь.(9686490203)

0
Ответить

Чечня круто. 

0
Ответить
Прокомментировать

Чтобы получить доступ к странице, нужно иметь верный логин и пароль. Для того, чтобы эти данные заполучить, нужно тем или иным способом выведать данные у владельца страницы (ВКонтакте не хранит пароли). Это фишинг, социальная инженерия, подбор пароля. Прикреплённый к странице номер телефона не предоставляет какую-то дополнительную защиту, а всего лишь является средством идентификации и инструментом по быстрому восстановлению пароля входа.

Всем тем пользователям, которые не особо понимают базовые правила безопасности стоит подключить «Подтверждение входа».

6

Вы в курсе, что в ВК есть двухэтапная аутентификация? В аккаунт не войти без ввода кода с телефона.

-4
Ответить

Последний абзац в комментарии посвящен именно этому.

+5
Ответить

Вк разве не по дефолту просит смс, если заходишь с нового места/девайса?

-1
Ответить
Ещё 1 комментарий

Марат, Нет

0
Ответить
Прокомментировать
Читать ещё 5 ответов
Ответить