- Регистрация
- 20.01.2011
- Сообщения
- 7,665
- Розыгрыши
- 0
- Реакции
- 135
В этой статье я рас*ска*жу об исполь*зовании тех*ники соци*аль*ного фишин*га под наз*вани*ем клик*дже*кинг, с целью деано*ними*зации любого человека.
Всем салют, дорогие друзья!Вам наверняка знакома фраза, успевшая стать мемом: «Я тебя по айпи вычислю!».
Итак, давайте для примера рассмотрим, как мы, хакеры, можем добавить на стра*ницу вид*жет «VK», сделать его невиди*мым и подсунуть ничего не подоз*рева*юще*му поль*зовате*лю.
Но для начала пробежимся по терминам...
Что такое кликджекинг?
Кликджекинг – технология обмана посетителей сайтов, которая состоит в том, что на страницу сайта наслаивается другая, невидимая информация. При этом кнопки и ссылки на нормальной и подставной страницах совпадают по местоположению.
Дизайн фишингового сайта
Здесь мы можем придумать что угод*но. Всё ограничивается только вашей фантазией, друзья. Главное помните, что залог успешного фишинга - соци*аль*ная инже*нерия. Соответственно, нам пот*ребу*ется схе*ма вве*дения в заб*лужде*ние. Именно под неё в дальнейшем и будет под*гонять*ся содер*жимое нашего сай*та.
Авторизация VK
К счастью, для всего это*го у VK существует офи*циаль*ный API, к которому идет Для просмотра ссылки Войдиили Зарегистрируйся. Но вам ведь лень её читать?
☝???? На скриншоте я замазал искомое значение красным цветом
Как же переп*равить себе дан*ные об авто*ризо*ван*ных посети*телях?
Настройка видимости
Теперь самое интересное: нам с вами предстоит сделать виджет невиди*мым, после чего вста*вить поверх него какой‑нибудь интересный контент, что*бы поль*зователь не имел ни малейшей возможности понять, что только что про*шел авто*риза*цию.
☝???? Если параметра opacity нет, то его можно добавить самостоятельно.
Защита от деанона VK
Отмечу, что исходя из моего опыта, за*щитить*ся от данного способа деанона практически невозможно. Разве что каждый раз, при заходе на какой-либо сайт, производить поиск в исходном коде параметра opacity. Но, кто же будет заниматься таким гемороем?
Заключение
Всем салют, дорогие друзья!Вам наверняка знакома фраза, успевшая стать мемом: «Я тебя по айпи вычислю!».
Итак, давайте для примера рассмотрим, как мы, хакеры, можем добавить на стра*ницу вид*жет «VK», сделать его невиди*мым и подсунуть ничего не подоз*рева*юще*му поль*зовате*лю.
Но для начала пробежимся по терминам...
Что такое кликджекинг?
Кликджекинг – технология обмана посетителей сайтов, которая состоит в том, что на страницу сайта наслаивается другая, невидимая информация. При этом кнопки и ссылки на нормальной и подставной страницах совпадают по местоположению.
- Пользователь нажимает на ссылку, тем самым активируя скрытые функции.
- В результате этого пользователь может быть без согласия подписан на платные сервисы, либо хакеры получат данные авторизации, логины и пароли каких-то сервисов или любую другую доступную информацию.
- Таким образом человек даже не подозревает, что совершал какие-то действия на посторонних ресурсах.
- Лайкджекинг нацелен на сбор лайков в социальных сетях — пользователи фактически ставят отметку «Мне нравится» на нужной нам странице. Это может увеличить базу пользователей и поднять просмотры страницы.
- Кукиджекинг, когда пользователь взаимодействует с элементами интерфейса на сайте, предоставляя тем самым доступ к своим файлам Cookie.
- Файлджекинг — по такому же принципу хакеры получают доступ к локальной файловой системе пользователя.
- Курсорджекинг — курсор мыши находится не там, где он отображается в окне браузера, то есть пользователь может щелкнуть на чем-то одном, в то время как фактический курсор щелкает на чем-то другом.
Дизайн фишингового сайта
Здесь мы можем придумать что угод*но. Всё ограничивается только вашей фантазией, друзья. Главное помните, что залог успешного фишинга - соци*аль*ная инже*нерия. Соответственно, нам пот*ребу*ется схе*ма вве*дения в заб*лужде*ние. Именно под неё в дальнейшем и будет под*гонять*ся содер*жимое нашего сай*та.
Авторизация VK
К счастью, для всего это*го у VK существует офи*циаль*ный API, к которому идет Для просмотра ссылки Войди
- Тогда просто добавьте вот этот код в сек*цию head:
- А потом вот этот — в body:
- Теперь нам предстоит дать па*рамет*ру apiId нуж*но дать зна*чение, которое находит*ся в раз*деле «Код вид*жета для встав*ки на сай*те»:
☝???? На скриншоте я замазал искомое значение красным цветом
- Вот код со скрина выше:
- После того, как мы выполнили все шаги, на нашем сайте появить*ся вот такой виджет:
Как же переп*равить себе дан*ные об авто*ризо*ван*ных посети*телях?
- Самый простой вариант - писать их в обычный текстовый файл на сервере.
- Более продвинутые могут использовать БД (базу данных).
Настройка видимости
Теперь самое интересное: нам с вами предстоит сделать виджет невиди*мым, после чего вста*вить поверх него какой‑нибудь интересный контент, что*бы поль*зователь не имел ни малейшей возможности понять, что только что про*шел авто*риза*цию.
- Ес*ли в бра*узе*ре щел*кнуть пра*вой кноп*кой по виджету, а затем нажать "Исследовать", то мож*но увидеть вот такой код:
☝???? Если параметра opacity нет, то его можно добавить самостоятельно.
- После того, как вы выставите значение opacity : 0.0 (как на скрине выше), виджет ста*нет невиди*мым.
Защита от деанона VK
Отмечу, что исходя из моего опыта, за*щитить*ся от данного способа деанона практически невозможно. Разве что каждый раз, при заходе на какой-либо сайт, производить поиск в исходном коде параметра opacity. Но, кто же будет заниматься таким гемороем?
Заключение
- По моему мне*нию, этот способ деанонимизации чертовски эффективен.
- Как видите, все очень просто и эффективно!