Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Как создать фишинг приложение вк

Обновлено: 06.01.2025

Амигос, ранее я выкладывал исходники сайтов для фишинга ВК, но не приводил инструкции, как всем этим добром пользоваться. Сегодня исправлю это упущение и расскажу, чем пользуется 90% взломщиков, работающих на заказ.

Как уберечься от незваных гостей

Лучше всего юзать связку впн+тор, тор запускать в песочнице. Зачем песочница? Есть код, который отправляют на компьютер, он обрабатывается твоим железом и отсылает уже обработанный код. Этот самый обработанный код является отпечатком пальца твоего компьютера. А песочница это – мини компьютер, который использует только нужные ему ресурсы, так что этот код работать не будет). Но лучше всего делать все с деда. И да, самая девственная связка - это впн+тор, просто тор нельзя. Если вы занимаетесь этим ради удовольствия (ломаете одноклассниц), анонимностью можно пренебречь, но лучше делать все по-умному.

Из впн посоветую windscribe.

Взлом определенного человека

Основной способ – это фишинг, но можно вытащить пароль у человека через вирус или находясь рядом с ним, об этом позже.

Что там для этого нужно ?

  1. Фишинговый сайт.
  2. Фейковый аккаунт вк.
  3. Редирект (что бы вк не блочил ссылки).

Для начала нужно поставить свой сайт и уже потом залить на него фишинговый скрипт, ниже я дам несколько тех самых фишинговых скриптов.

Проверка – это фейк , который имеет функцию проверять введенные в него данные на валидность. Он имеет 2 минуса: 1)Когда жертва вводит данные, ей приходит уведомление о входе, так как что бы проверить аккаунт на валидность, нужно на него попробовать зайти. 2)Если у жертвы стоит двухфакторная аутентификация, скрипт не пропустит данные в админку, сочтет их за невалидные.

Как купить домен или как залить сайт на хостинг, можете посмотреть в интернете, просто в каждом конкретном случе все это настраивается по-разному.

С сайтом все понятно, теперь разберемся с аккаунтами для взлома.

Регистрируем аккаунты на сайтах (не реклама):

Есть и другие сайты, но использовал я только эти, советую залить по 100 рублей на 3-4 сайта и не париться , т. к. бывает, что на каком-то сайте отсутствуют свободные симки. Цена от 15 до 30 рублей.

Потом нужно их назвать, ниже приведу актуальные Имена и Фамилии, которые не банит вк.

Аккаунт назвали, теперь оформляем его.

Поставили аву, заходите в поиск групп и ищите оф. группу вк “Команда Вконтакте”, потом заходите в пункт “Редактировать”, изменяете в карьере место работы на “Команда Вконтакте”.

Аккаунт оформили, осталось самое важное - отправка текста жертве.

Перед отправкой нужно позаботиться о том, чтобы вк не посчитал вашу ссылку фишинговой.

Как сделали редирект на нашу ссылку, сокращаем ее на сайте vk.cc . Все, теперь ВКонтакте не будет блокировать нашу ссылку.

Ниже я вам дам шаблонные текста, не обязательно работать только по ним, вы можете их изменять или составлять свой. Чтобы вк реже блочил аккаунты, я поменял русские буквы на английские (только те, которое не отличить. Например: о o ; х x).

Куда же отправлять этот текст, если у жертвы закрыта личка ?

Заходите в друзья, нажимаете “Поиск друзей”, дальше в параметрах поиска выбираете любую страну, любой город, любое учебное заведение.

Им придет уведомление о том, что их упомянули в какой-то записи, это уведомление появляется в ответах, если жертва онлайн с компьютера.

Жертва ввела данные, где же они появятся?

Они появляются в админке. Что бы зайти в нее, нужно ввести имя вашего сайта и некоторую приставочку. Например, на сайтах, которые дал я, можно войти так:

На некоторых сайтах нужно ввести лог/пасс от админки, их смотрите в файле config

Способ входа на страницу без уведомления

Так , у нас есть токен жертвы, нужно как-то зайти на него без уведомления, сейчас я вам распишу, как это сделать.


Все, мы зашли на страницу, а ее хозяину уведомление не пришло.

1 способ я уже вам рассказал, думаю, что отсюда вы поняли всю суть взлома. Приступим к другим вариациям фишинга.

Массовый взлом

Мы будем разводить людей, которые сидят в пабликах ”Отдам даром”

Для этого нам нужно :

  • Фишинговый сайт.
  • Фейковый аккаунт вк.
  • Группа вк.
  • Анонимность (здесь лучше строго соблюсти все нюансы).

После того, как поставили сайт, создаем и заполняем нашу группу. Заходите на фейковый (очень похожий на живой) аккаунт. Заходите в реальную группу "Отдам даром", берете из нее страницы людей, которые находятся в онлайне и пишите им:

Переходим в админку, там будет БД аккаунтов, что с ними делать - решайте сами. Приведу некоторые возможные способы применения:

1) Продажа. Продавать их можно будет в разные шопы или даже на сайты автоматической покупки.

2) Раздача на форумах для набива репутации.

3) С помощью спама взламывать аккаунты друзей.

Текст, который мы будем отправлять:


Данная утилита создает ботов, которые маскируются под сервисы для накрутки.

Создаем ботов для фишинга

Всем привет, на связи админ сайта. Как и обещал, представляю вашему вниманию программу по созданию фишинг ботов прямо в Telegram!

Как это работает?

Данная утилита создает ботов, которые маскируются под сервисы для накрутки. Боты просят логин и пароль от аккаунта, чтобы "накрутить" просмотры или лайки на аккаунт, однако данные отправляются вам, и никакой накрутки от них ждать не стоит. Перейдем к установке и настройке

Установка

Утилита работает на любых ОС на которых есть питон 3 и выше, но в моём случае всё будет показано на Termux.

Далее узнаем айди своего аккаунта, для этого пишем /start в боте @my_id_bot,

вставляем полученное значение в скрипт.

Заходим в @BotFather, Сначала вводим имя боту, потом юзернейм.

ПИШЕМ БОТУ СТАРТ!

После этого копируем токен и вставляем в скрипт. Далее выбираем, какие данные будет красть бот (в моём случае это фишинг инстаграм).

Должно быть что-то вроде этого:


После этого запускаем файл, который сохранился, в моём случае это Instagram.py


Всё, наш бот запущен и готов к работе, полученные данные будут выводится в боте и терминале, также эти данные сохраняются в файле bot-log.txt.

Примерно так выглядит бот со стороны владельца бота:


Что бы все работало Вам нужно прожать по рекламе от гугла, иначе работать нечего не будет, проверенно, как только вы нажимаете один раз по рекламе гугл то все получается и работает, так что перед тем как написать админу что не работает, нажмите на рекламу от гугл.

Пару месяцев назад лаборатория Каспеского опубликовала статью о фишинге аккаунтов ВК в Google Play, но не рассказали как это реализовано и почему такие приложения задерживаются в маркете. В их статье говорилось о том, что около 1 миллиона пользователей могли стать жертвами фишинга.

Примерно те же приложения я реверсила еще весной. Я тогда поспорила с другом, что в маркете есть вредоносные приложения. Вредоносные приложения найти не получилось, нашлись только фейки для “Вконтакте”. Но возможно, просто мало искала. Но сейчас и их в маркете найти уже не удалось, скорее всего они были удалены, после обнаружения Лабораторией Касперского.

Но на момент моих поисков этих приложений было довольно много. Главной причиной их долгожительства было то что, они используют токены от официального приложения “Вконтакте”, в котором они хранятся в открытом виде. “Вконтакте” не может отозвать/поменять свои токены, потому что далеко не все пользователи хотят или могу обновлять приложение. Например, кто-то просто не хочет, у кого-то места нет на телефоне. А при смене токена старая версия приложения перестала бы работать.
Мне удалось найти токены за пару минут, что уже говорит о том, что они лежат в коде на виду.

Так-как при декомпиляции android приложений код восстанавливается почти до имен переменных. Тут ищем все Activity и классы у которых в именах что-то в духе VkLogin, AuthorizationVk. В них будут переменные для ввода логина и пароля, а так же ссылки на которые идут запросы. В этом месте сразу становится видно, вредоносное ли приложение.
В процессе реверса мне попадались интересные решения, например очень странная конструкция try-catch, в которой сначала авторизация пытается пройти с токенами приложения автора, а в catch токены от официального приложения. Мотивы такого странного решения мне до сих пор не понятны. А большинство сразу использует данные официального приложения.

Один из разработчиков решил успокоить пользователей и сделал почти копию авторизации через Oauth2


А вот как оно должно выглядеть


Так что, перед установкой приложения следовало бы внимательно просматривать отзывы и относиться с опаской к приложениям, которые требуют ваш логин и пароль. А для разработчиков, если запрос логина и пароля — это единственный вариант следует объяснить такое решение.

Всем салам! Решил написать сие творение чисто из альтруистических побуждений. Все рассмотренные материалы бесплатны, или стоят совсем копейки.
Запилить эту скромную статтейку меня вынудил пиZдейш вокруг этой простой истории под названием Фи́шинг (англ. phishing от fishing «рыбная ловля, выуживание») — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинами и паролями.
Развелось кучу шума вокруг темы, которая была популярна в годе так 2007, утрирую конечно, но блэт, эта тема стара как мир! Как ее можно до сих пор продавать, или еще более ебанутый вопрос: как ее можно сука покупать.
Мой первый бесплатный мануал давно утерят в глубинах интернета, но тот что мне удалось отрыть датируеться July 23, 2018 , именно сейчас он будет рассмотрен. Не расстраивайся, он все еще рабочий). Есть правда парочка изменений, теперь все стало намного удобнее.

Итак пора заканчивать вступление, погнали! (выкладываю все в неизменненном виде)

Для спама я использую программу "vk-robot" (кликабельно).
Можно и руками, но так долго и муторно. У программы есть триал так, что для начала, вложений можно избежать, дальше можно искать кряки либо альтернативу.
Для начала выбираем акк для спама. Идем в панель и создаем ссылки на фишинг.
Нам понадобится - доставка.

efe6ba741a891579aa2d4.jpg

рекомендую выбирать этот домен, так как с ним меньше проблем
и голосования:

5413b566ad295d6f51481.jpg

После входа справа жмем на иконку пользователя -> Изменить оформление -> Тема вебсайта -> Изменить

Листаем слева в самый низ, добавляем новую страницу. Слева выбираем -> Пользовательский макет. Назывваем ссылку.

Жмем сохранить. Редирект готов по созданному адресу.

Дальше идем на goo.gl или vk.cc и сокращаем нашу ссылку.

939c72a731d2fe507adfc.jpg

fc18d03465b7a6d20c492.jpg

Как видите аккаунт я выбрал не очень удачно, но для примера сойдет.
Дальше идем в отдам даром и выбираем приглянувшийся нам пост

da982975db03395a8470f.jpg

Копируем ссылку и идем в парсер.
Вставляем ссылку в парсер, кто поделился. Потом выбираем только тех кто онлайн.

33d97419210c0a4b51514.jpg

27c29e32d3c66d68547d2.jpg

Переходим в параметры

d881223479c59cce38042.jpg

Выставляем интервал, добавляем текст
текст примерно следующий.

b05c74da3f1e0251ba37a.jpg

1a95e82cd5709f26bc692.jpg

ff49b09a8f9e25c3815fa.jpg

Проставляем выбираем файл с айди друзей. переходим в параметры

5c8f61817f99dc6bddc47.jpg

На скрине я забыл поставить галочку - После 10 смс жать 1 мин. Ставим её
Добавляем текст

3a5e982d3e85b1ff3d38b.jpg

Дальше оставляем странницу, берем новую и по кругу.

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Далее короткие выжимки как работать с каждым из вариантов на тот момент. Самым перспективным и простым на мой взгляд был фиш с голосованием. Там все до боли тупо, просто спарсил друзей в софте и проспамил по лс, с прозьбой проголовать. (Надо учитывать все лимиты и спамить с умом!)

Стикеры:
Работают любые варианты, думаю самый действенный - группа с ботом. Можно флудить по группам, по друзьям, можно создать видео на youtube.
В общем все зависит от вас.
Ссылка на стикеры создается в кабинете. Заголовок - как отображается название сайта. Фото предпоказа - ссылка на фото, которое будет прикладываться как вложение.

Петиции:
Работать можно также как и со стикерами. По группам и друзьям.
Cоздать петицию - кнопка "создать петицию".
Количество голосов - количество с которого начинается отсчет, до 10к (Пример: 5500 из 10000)
Ссылку на фото вводить любую, главное чтобы было на конце (.jpg, .jpg и т.д.).

Доставка:
Хорошо работает на людях, которые репостят в группах "Отдам даром", можно писать по ЛС (или в комменты), якобы вы выиграли, заполните данные. Тут все тоже зависит от вас.

Жалобы:
Работают как точечный фиш(многие люди которые принимают заказы пользуются такими) -> создаем в админке -> отсылаем от вида администрации или что то типо того.

Под конец хочу сказать что пользовался панелью от Дениса, если не найдете сами, пишите в лс. Он не вкурсе об этом легком пиаре. Если будете брать у него панельку, можете сослаться на эту статью)

Читайте также:

      
  • Как изменить номер телефона в лиге ставок в приложении
    •   
  • Не могу удалить приложение вконтакте с телефона
    •   
  • Hdrezka скачать приложение для андроид бесплатно последняя версия на русском языке без регистрации
    •   
  • Я не знаю такого приложения
    •   
  • Как зарегистрироваться в приложении мой кидс
  • Контакты
  • Политика конфиденциальности