26.7.13

Spargerea oricărui cont al unei victime cu ajutorul ingineriei sociale

Written by   | With 82 comments
După cum v-am obişnuit îmi place să aduc câte ceva mai diferit. Astăzi vom discuta despre subiectul: "Cum putem sparge un cont (al unei victime) al oricărui site web cu ajutorul ingineriei sociale". Dar punctul culminant nu este ingineria socială, ci metoda prin care obţinem datele de autentificare în cazul cel mai bun (în plain text) sau putem să ne mulţumim doar cu sesiunea acestuia (care este totodată suficientă pentru a surfa în contul său).


CONCEPT

Care este ideea. Poate că mulţi dintre voi aţi auzit de Burp Suite. Este o platformă scrisă în java, special creată pentru cei care doresc să facă penetration testing. Ce m-a atras la prima vedere? O chestie interesantă legată de proxy. Pe scurt să creăm un server proxy cu ajutorul aplicaţiei prin care vom intercepta traficul victimelor ce folosesc proxy-ul nostru. Adică să facem sniffing, dar de la distanţă.

THE PROOF

Pentru a realiza un exemplu cât mai frumos şi clar, am luat legătura cu 311733 (că era online pe chat-ul unui board de securitate şi dornic să ma ajute) pentru a se pune în postura de victimă. Aşa că am început prin a configura Burp Suite-ul ca în imaginea aceasta. În acest moment mi-am transformat calculatorul într-un server proxy. După ce am convins victima să folosească HTTP proxy-ul în browser-ul său, vom putea să-i interceptăm nestingheriţi traficul ca în imaginea asta sau asta. Vedem sesiunea cu parola encriptată, care sunt mai mult decât necesare pentru a ne îndeplini scopul.

SOCIAL ENGINEERING EXAMPLE

Să presupunem că victima are nevoie urgentă de o metodă care să îi ascundă pentru câteva momente identitatea, aşa că voi îi veţi propune să folosească un HTTP proxy securizat spunându-i că e foarte bun că l-aţi mai folosit şi că aveţi încredere în el. După ce îl va configura, îî interceptaţi conturile (dacă datele de logare către acele site-uri se transmit în plain text), sau ca în pozele de mai devreme, encriptate. Alte scenarii pot fi născocite în câteva minute deoarece nu dă nimic de bănuit, gen: postaţi pe un forum HTTP proxy-ul iar cine îl foloseşte devine victimă. Trimiteţi către un administrator al unui forum un mesaj privat că nu ştiţi dacă aţi configurat bine acel proxy să îl verifice dacă este bun sau trebuie să încercaţi altul s.a.m.d

Sper că vă va fi de folos pe viitor acest tutorial. Baftă.
Share on:

82 comments:

  1. soll862002July 27, 2013 at 12:53 AM

    bravo omule :)

    ReplyDelete
  2. AnonymousJuly 27, 2013 at 8:29 AM

    Merci! E chiar interesant pentru mine sa descopar adevaratul hacking...

    ReplyDelete
    Replies
    1. UnknownAugust 14, 2016 at 7:21 PM

      acea aplicatie este si la kali linux este utila ??__

      Delete
  3. cosmynAugust 2, 2013 at 2:24 AM

    Razvan vreau sa vorbescu urgent cu tine !

    ReplyDelete
  4. xGenera1uAugust 6, 2013 at 12:08 AM

    TinKode a uitat sa specifice ceva.Daca persoana caruia tu i-ai oferit posibilitatea de a se ascunde prin serverul Proxy al tau ,face ceva ilegal ,tu deja devi complice,fiindca lai acoperit sa zicem...

    ReplyDelete
  5. AnonymousAugust 6, 2013 at 11:40 AM

    Ai putea incerca sa spargi filelist.ro , este cel mai mare tracker din romania cu torrente priatate , doar sa vezi daca te poti infiltra in securitatea lui.

    ReplyDelete
  6. TinKode (Răzvan Cernăianu)August 6, 2013 at 3:09 PM

    xGenela1u: Nu se va întâmpla acest lucru deoarece tu poţi să vezi ce face. Şi dacă observi că accesează ceva ilegal îi opreşti serverul proxy.

    Anonymous: Nu. În primul rând aş comite o infracţiune şi în al doilea rând nu aş vrea să fac asta.

    ReplyDelete
    Replies
    1. AnonymousSeptember 5, 2014 at 1:16 PM

      Salut.as vrea sa vorbesc cu tine,lasa skype-ul tau,sau ceva,cu care te pot contacta.multumesc

      Delete
    2. AnonymousJuly 3, 2015 at 5:26 PM

      Salut Razvan am o mare rugaminte la tine,daca imi poti spune cum a reusit cineva sa-mi afle IP si sa stie cate module am la router doar cand am vorbit cu el pe chatul unui joc online NFS World! sau stie cineva cum,m-am sperit tare?!!

      Delete
  7. xGenera1uAugust 6, 2013 at 10:28 PM

    Ma bucur ca acum te gandesti de 2 ori inainte de a face o prostie,cum a fost cea cu NASA

    ReplyDelete
  8. AnonymousAugust 7, 2013 at 10:05 AM

    Salut Razvan! am o simpla intrebare pe propria raspundere, care este adevaratul hacking prin care se ajune sa aflam datele de la un cont de mail (parola) cer aceste informatii in cazul prietenei mele care vreau sa vad daca are legaturi si cu altcineva , increderea in femei in ziua de azi este slaba.... multumesc!

    ReplyDelete
  9. UnknownAugust 7, 2013 at 2:14 PM

    salut, despre parolele de yahoo, gmail ne poti vorbi? cum se poate obtine aceste date la adevaratul cuvant hacking nu ca toate prostiile scrise pe net

    ReplyDelete
    Replies
    1. AnonymousJune 3, 2014 at 1:08 AM

      buna dece. sa spargi parola cuiva cand poti sa te. joci cu mintea persoanei respective si sa obti parola foarte simplu si cu putina inginerie atata tot

      Delete
    2. AnonymousJuly 19, 2015 at 8:35 PM

      Si cum faci asta Anonymous...?Esti cumva mentalist online?

      Delete
  10. AnonymousAugust 8, 2013 at 1:56 AM

    Hello TinKode , my name is BlackFlame can we talk in private ? Thanks.

    ReplyDelete
  11. zzZZzzAugust 8, 2013 at 11:26 PM

    Imi place cum se baga toti copiii in seama. Tinkode, salvatorule, sparge si tu googal-u' ca suntem fani apple .

    ReplyDelete
  12. Johnny4EverAugust 8, 2013 at 11:44 PM

    TinKode , te rog fa un canal de youtube sa intelegem mai bine :P Nu zic ca nu inteleg ,dar ar fi mai frumos asa :P

    ReplyDelete
  13. AnonymousAugust 16, 2013 at 3:27 PM

    Te-ai lasat de "hacking" ? Si daca nu.. as vrea sa te'ntreb ceva.. pentru a sparge LOGIN-URILE unu'i site vulnerabil ce ar trebuii sa folosesc? Havij sau shelluri ? Multumesc.

    ReplyDelete
  14. CaddyAugust 18, 2013 at 4:41 PM

    Tinkode poti sa imi dai id tau de yahoo sau skype.. de care ai. Sa putem vorbi ceva in privat te rog.

    ReplyDelete
  15. CaddyAugust 18, 2013 at 5:02 PM

    Tinkode poti sa imi lasi id de yahoo sau skype sa te intreb cv in privat?

    ReplyDelete
  16. AnonymousAugust 26, 2013 at 3:04 AM

    Cand vad ce scrieti aici ma crucesc.. Mentalitatea voastra va ia in bataie de joc. Ce a facut el acolo sau respectiv The Legend este inginerie sociala si tine si de cat de bine sti tu sa comunici/socializezi cu oameni pe care vrei sa ii ataci. Daca vrei log-uri publice il adaugi intr-o lista de proxy-uri si o sa ai sute.. @_311733

    ReplyDelete
  17. *VeteranZ*September 2, 2013 at 5:07 PM

    Eu ma bucur ca ne inveti si pe alti cateva chesti folositore si interesante .

    ReplyDelete
  18. AnonymousSeptember 4, 2013 at 2:02 PM

    Respect !!!

    ReplyDelete
  19. TePuupaSuviSeptember 10, 2013 at 2:42 AM

    Salut Razvane.Mi-as dori sa te cunosc si sa discut cu tine personal.
    Esti un om inteligent si stii ce faci si faci totu` cu mare talent.

    Ai aici facebook-ul meu https://www.facebook.com/alexu.suvi

    Sper sa ma contactezi cumva .

    Iti multumesc anticipat.

    ReplyDelete
  20. UnknownSeptember 17, 2013 at 5:26 PM

    cum sa creez un autocliker nedetectabil (skip ads)

    ReplyDelete
  21. UnknownSeptember 28, 2013 at 4:35 AM

    Razvan as dori sa stiu daca dai si lecti de haking incat mar interesa sa invat protectia sitelor web ma gandesc ca daca as invata cate ceva imi pot gasi si eu un loc de munca eu nu sunt in romania sunt in italia ma gandeam daca poti da si lecti daca ai putea sami faci ceva tip ca o carte sau tutorial cu cea ce mar interesa multumesc anticipat adresa mia de mail bakecapasion@yahoo.it
    adresa mea de email bakecapasion@yahoo.it

    ReplyDelete
  22. AnonymousSeptember 30, 2013 at 6:34 PM

    Salut Razvane.Acum 2 luni cand am venit acasa, am intrat pe contul meu de mail pe care il am la gmail.Am vazut ca am o avertizare cum ca as fi accesat contul din Germania.Eu n-am fost in germania, asa ca am schimbat imediat parola.M-ai putea sfatui sa fac ceva pentru a nu mai avea conturile sparte?
    P.S Eu n-am aceeasi parola la toate mailurile sau la toate conturile.Am parole diferite.

    ReplyDelete
    Replies
    1. AnonymousNovember 10, 2014 at 8:06 PM

      Foloseste addonul lastpass ptr orice browser.

      Delete
  23. AnonymousOctober 1, 2013 at 3:12 PM

    TinKode ai skype sau messinger doresc sa-mi faci ceva...!

    ReplyDelete
  24. AnonymousOctober 7, 2013 at 7:05 PM

    ce marca de laptop folosesti?ce antivirus folosesti?

    ReplyDelete
  25. AnonymousOctober 19, 2013 at 7:49 PM

    ceva video ?

    ReplyDelete
  26. AnonymousNovember 6, 2013 at 8:13 PM

    Fratilor voi vreti sa faceti hack si nu stiti nici macar limba romana a o scrie bine....omg:))

    ReplyDelete
  27. AnonymousNovember 7, 2013 at 1:18 PM

    interesant

    ReplyDelete
  28. AnonymousNovember 15, 2013 at 7:26 PM

    Ok, de aratat neai aratat cum sa o facem, dar de aparat, cum putem face?

    ReplyDelete
  29. UnknownNovember 18, 2013 at 3:49 PM

    O decizie ti-a afectat viata!..succes in continuare

    ReplyDelete
  30. AnonymousNovember 18, 2013 at 10:42 PM

    Cum pot afla parola cuiva de facebook ? As putea creea cumva un link prin care acesta sa-l acceseze si sa-mi apara parola lui sau ceva de genu..

    ReplyDelete
    Replies
    1. AnonymousJune 11, 2014 at 4:16 PM

      cu metalsploit si cu uneltele disponibile poti crea pe calculatorul tau o pagina fake de facebook care contine doar index-ul(adica unde se logheaza victima) si dai linkul cu ip-ul tau sau folosesti no-ip pentru a genera un link diferit pe ip-ul tau..ex: am ip 127.0.0.1 si vreau sa dai la o victima linkul cu pagina web care vrea sa se logheze:gen http://127.0.0.1(este doar un exemplu...localhost)

      Delete
    2. AnonymousJune 5, 2015 at 1:11 PM

      Salut. Ma poti ajuta sa fac o fereastra de facebook fake asa cum ai dat exemplu mai sus? te rog. Contact: dany_172013@yahoo.ro

      Delete
    3. AnonymousJuly 1, 2015 at 7:27 PM

      Andrey esti de belea :)))))))))))))))))))

      Delete
  31. lilsaintNovember 24, 2013 at 10:18 PM

    Thanks !

    ReplyDelete
  32. RenataDecember 3, 2013 at 5:06 PM

    E primul articol scris de tine pe care l-am citit. Defapt abia azi am dat de ceva reportaje despre tine pe youtube si mi s-a parut interesant faptul ca multi dintre jurnalisti, si nu numai, nu fac diferenta intre hacker si cracker. Din cate am inteles tot ce ai facut tu a fost sa demonstrezi vulnerabilitatea companiilor respective si ale siteurilor lor. Cred ca mai afectat le-a fost orgoliul in comparatie cu orice altceva.
    In fine, din partea mea ai tot respectul. Nu multi pot ajunge la performantele la care ai ajuns tu, mai ales ca, din cate am inteles, a fost mai mult "self taught".
    Iar in legatura cu postarea de mai sus, pare destul de simpla in felul in care o explici, dar nu, nu cred ca a avea vreodata curajul sa fac asa ceva, nu-mi lipsesc amenzile :)

    ReplyDelete
  33. AnonymousDecember 3, 2013 at 5:53 PM

    Salut,

    Am doar cateva intrebari daca se poate:

    Daca parola e encriptata cum reusesti sa o decriptezi pentru a o folosi?

    Sau cum reusesti sa convingi victima ca connectia cu proxy-ul tau e securizata?

    Mersi

    ReplyDelete
    Replies
    1. UnknownDecember 27, 2013 at 10:33 PM

      Nu te poate nimeni invata cum sa minti , trebuie sa te descurci :))

      Delete
    2. AnonymousAugust 25, 2014 at 4:55 PM

      Serviciile mele mita_ftyn@yahoo.com

      Delete
  34. AnonymousDecember 10, 2013 at 7:55 PM

    thanks man ...!

    ReplyDelete
  35. andreeaDecember 14, 2013 at 4:40 AM

    Te felicit. Bravo

    ReplyDelete
  36. AnonymousDecember 21, 2013 at 1:09 AM

    Auzi poti sa-mi dai PM te rog ?

    ReplyDelete
  37. andreyDecember 25, 2013 at 6:09 PM

    razvane mie miau spart casa niste hoti poti sa ma ajuti sa iau legatura cu cei de la google pentru ami trimite imagini din satelit in preajma nu sint camere nimeni na vazut nimic printre lucrurile furate au luat si un telefon soni inainte de ami sparge casa mau sunat cu nr ascuns se poate gasi hotu cu ajutoru imaginelor de la google sau cu telefonul pe care lau luat .iti multumesc

    ReplyDelete
    Replies
    1. NokaMarch 8, 2014 at 3:29 PM

      Imaginile de la google sunt odata la 1-2-3 saptamani actualizate .. si sunt actualizate in momentul cand trece o masina de la google care inregistreaza toate chestiile astea :D

      Delete
    2. AnonymousMay 6, 2014 at 5:11 AM

      Hahaha....ma pis pe mine de ras haha
      Super tare.
      Andrey nu sunt TinKode dar gandeste daca tu ai putea face asta NSA ce ar mai face? Si daca poti sa faci asta si nu ma insel cred cai Spionaj(reteta de la cocacola secreta nar mai fi) ....ah si incalci privatitatea mea(ma refer in curtea mea nu pe strada la bloc.

      Delete
    3. AnonymousMay 8, 2014 at 12:02 AM

      :))) nu pot sa cred

      Delete
  38. AnonymousJanuary 2, 2014 at 7:53 PM

    Cel Mai tare Bravo tie ....!!

    ReplyDelete
  39. AnonymousJanuary 9, 2014 at 8:19 PM

    razvan lasa si tu o adresa yahoo vreau sa intreb ceva si sa vb ceva cu tn esti o legenda !!! Multumesc

    ReplyDelete
  40. AnonymousJanuary 9, 2014 at 8:20 PM

    Razvan lasa si tu o adresa de yahoo vreau sa te intreb ceva ca esti singurul care ma poate ajuta !!!

    ReplyDelete
  41. The ScoutJanuary 16, 2014 at 10:16 PM

    Vai ...mare gradina Domnului si plina de prosti,propun sa puneti mana pe o carticica invatati putin si reveniti. Ok? Lume plina de RaToNi

    ReplyDelete
  42. Cty-musicJanuary 21, 2014 at 7:32 PM

    Hi razvan cand ai facut ISR Trinity Bomb DDoS Tool lai facut in Visual basic ( Visual Studio ) ???


    ce dorui ai folosit pt al pune in functiune de attack ??

    ReplyDelete
  43. UnknownFebruary 27, 2014 at 5:58 PM

    Razvane un numar de telefon sau ceva te rog frumos? Vreau sa ma duc pe domenul IT hacking professional dar nu ma prea descurc si am nevoie de la cineva experimentat.. Daca ai timp te rog frumos sa ma ajuti putin

    ReplyDelete
  44. NokaMarch 8, 2014 at 3:27 PM

    Acest tutorial nu este destul de explicit . Arata daca poti cum sa faci pas cu pas toate aceste lucruri . Pentru ca mai sunt si incepatori ( ca mine ) care stiu despre ce e vorba dar nu stiu cum sa faca toate chestiile astea :D

    ReplyDelete
  45. AnonymousMay 23, 2014 at 10:07 PM

    salut poti sparge un cont de facebook fara a vorbi cu victima sau sa ii trimit un link sau un executabil?

    ReplyDelete
  46. UnknownJune 5, 2014 at 10:00 PM

    Salut Razvan! Am nevoie de ajutor ! cat este pretul pt.un hack ?

    ReplyDelete
  47. AnonymousJuly 1, 2014 at 7:58 PM

    Se poate face si cu backtrack 5 chestia cu spartul parolelor facebook de exemplu sau un keylogger pentru aflarea parolelor s.a :P

    ReplyDelete
  48. TeacherJuly 26, 2014 at 9:58 PM

    Lasati hack-ul , faceti altceva folositor :))

    ReplyDelete
  49. AnonymousAugust 29, 2014 at 11:42 AM

    faceti si voi un tutorial video

    ReplyDelete
  50. AnonymousOctober 1, 2014 at 10:21 PM

    Salut Razvan!Mi s-a intamplat acum un 1 sa mi se sparga un cont cu keylogger, as vrea sa stiu cum pot sa il gasesc pe acela, mi-a trimis virus-ul prin yahoo.Bafta in continuare.

    ReplyDelete
  51. AnonymousOctober 11, 2014 at 1:33 PM

    Salut Razvan, sincer te respect pentru ce faci cu toate ca este ilegal , este un lucru prin care le arati cat de priceputi pot fi unii adolestenti precum tine .RESPECT

    ReplyDelete
    Replies
    1. TinKodeOctober 14, 2014 at 9:42 PM

      În primul rând nu sunt adolescent și tot ceea ce fac în acest moment ( de când am fost arestat ) este legal.

      Delete
  52. r3dm0v3October 31, 2014 at 7:32 PM

    TinKode , Ma bucur ca esti liber si lucrezi in domeniul IT exact din cate am inteles ce ti-ai dorit tu ;) Tot respectul pentru realizarea ta inteleg ca nu e o asa lauda treaba asta cum ai spus si tu are avantaje si dezavantaje :) Dar prostia e ca ar fi trebuit sa te plateasca pentru ca tu le-ai divulgat vulnerabilitatiile si daca le repara ar fi mai greu de accesat sistemele lor , etc pentru a fi hack , pacat de amenda dar conteaza ca esti okay :-D si faci ceea ce iti doresti si nu ceea ce zic altii ...Bafta Domnule Razvan sper sa ai parte de success si bani multi ;)..!

    ReplyDelete
  53. Blogger cosminNovember 22, 2014 at 9:55 PM

    cum pot sa sparg un cont de youtube ?

    ReplyDelete
  54. AnonymousDecember 1, 2014 at 7:01 PM

    cum pot sa afllu parola de facebook daca stiu doar mail-ul? ma poti ajuta ?

    ReplyDelete
  55. AnonymousFebruary 13, 2015 at 12:32 AM

    You Tinkode you are not the best hacker in the world/ I can do more like you do

    ReplyDelete
  56. AnonymousMarch 2, 2015 at 8:58 PM

    Buna TinKode (Răzvan Cernăianu)
    Am facut acum 2 ani doua conturi pe respectivul google si as vrea sa le sterg dar nu mai am acces la ele ... Am pe fiecare cont 1 poza si as dori sa scap de ia si nu pot ce e de facut ?? Multumesc astept raspuns

    ReplyDelete
  57. AnonymousJune 12, 2015 at 2:45 PM

    Ma intreb oare cat o costa sa stergi identitatea cuiva,de exemplu cum e a mea...imi doresc sa fiu anonim,dat fiind ca ai descoperit nereguli la westernunion china si tiau dat 2600 Dolari....mi se pare cam putin...un om asa destept merita mult mai mult :)

    ReplyDelete
  58. UnknownJune 25, 2015 at 8:04 PM

    Se poate sparge icloud la iphone? ??

    ReplyDelete
  59. AnonymousOctober 9, 2015 at 1:28 AM

    da se poate dar cu unele root-uri ;) mai exact sa root-ezi telefonul ;)

    ReplyDelete
  60. UnknownApril 15, 2016 at 7:55 PM

    T-ai gândit sã faci un tutorial cum si de unde ai inceput cu pentesting ?

    ReplyDelete
  61. AnonymousDecember 12, 2016 at 10:41 PM

    Când vei face tutoriale cu Kali Linux?

    ReplyDelete