🎣 Как взломать аккаунты в социальных сетях – ZPhisher |

🎣 Как взломать аккаунты в социальных сетях – ZPhisher

Мануал

С ростом использования социальных сетей кража учетных данных социальных сетей хакерами стала серьезной проблемой во всем мире.

Похищенные учетные данные социальных сетей впоследствии используются для выманивания и кражи денег и других ценных вещей у ничего не подозревающих пользователей социальных сетей, друзей и родственников.

В этом руководстве мы расскажем, как хакеры используют инструмент “zphisher”, чтобы получить данные для входа на платформы социальных сетей.

Ранее мы уже рассматривали этот инструмент в обзоре:

🎣10 лучших инструментов для фишинга

Процесс упростился благодаря использованию этого инструмента, вам нужно лишь иметь базовые знания об использовании терминала и некоторые навыки социальной инженерии, чтобы получить учетные данные для входа в систему ваших целей.

Это руководство было создано в образовательных целях. Авторы не несут ответственности за любые нарушенные при использовании этого инструмента. Получите согласие участвующих сторон, чтобы избежать нарушения установленных законов.

Введение в Zphisher

Zphisher – это инструмент, разработанный компанией hr-tech для продвинутого фишинга учетных данных в социальных сетях.

Этот инструмент является усовершенствованием другого инструмента, shellphish.

Разница между zphisher и shellphish заключается в том, что zphisher имеет обновленные шаблоны для различных платформ социальных сетей.

Zphisher также позволяет перенаправлять порты с помощью Ngrok.

Другие особенности zphisher включают;

  • Поддержка URL.
  • Он имеет последние страницы входа в систему.
  • Возможность многократного туннелирования.
  • Простой в использовании и удобный инструмент.

Установка zphisher на Kali Linux

Шаг 1: Загрузите инструмент zphisher из репозитория github

Мы клонируем инструмент zphisher из его официального репозитория git-hub.

Мы склонируем репозиторий с помощью следующей команды.

git clone git://github.com/htr-tech/zphisher.git

Шаг 2: Предоставление прав на выполнение инструмента zphisher

После завершения загрузки мы можем сменить каталог на каталог zphisher, где мы дадим инструменту zphisher разрешение на запуск в качестве исполняемого файла.

cd zphisher

Дайте zphisher разрешение на выполнение с помощью следующей команды.

chmod +x zphisher.sh

Шаг 3: Использование инструмента zphisher для автоматизированного фишинга

Теперь мы можем запустить zphisher для установки зависимостей.

[При первом запуске zphisher вам потребуется подключение к интернету, чтобы все необходимые зависимости были установлены].

Взлом учетных данных социальных сетей с помощью инструмента zphisher

Шаг 1: Запуск zphisher и выбор платформы

Теперь, когда мы установили zphisher, мы готовы начать нашу фишинговую атаку на учетные данные социальных сетей.

Запускаем инструмент zphisher с помощью команды.

./zphisher.sh

Как показано на экране ниже, на zphisher доступно более 30 шаблонов платформ, готовых к проведению фишинговых атак.

При выборе шаблона, основанного на используемой платформе, вам может потребоваться выбрать тип фишинговой атаки, которую вы хотите осуществить.

Это связано с тем, что при фишинге учетных данных в социальных сетях на разных платформах используются различные техники.

Шаблоны легко доступны на сайте zphisher.

В нашем случае мы можем выбрать фишинг учетных данных социальных сетей для Facebook.

Шаг 2: Выбор типа фишинговой атаки

После того как мы выбрали, что хотим получить учетные данные социальной сети Facebook, нам предоставляется несколько типов фишинговых атак, доступных для этой платформы.

Разные люди будут по-разному реагировать на каждую из фишинговых атак.

В зависимости от вашей цели вы должны выбрать ту, которая останется незамеченной.

В нашем случае мы можем использовать поддельную страницу fake security login page

Шаг 3: Выбор службы переадресации портов

На следующем этапе нам нужно выбрать службу переадресации портов, которую мы будем использовать для нашей атаки.

Zphisher имеет 3 службы переадресации портов: Localhost, Ngrok и недавно обновленный cloudflared.

Эти службы перенаправления портов полезны, особенно когда цель не находится в той же локальной сети, что и вы.

В нашем случае мы будем использовать службу перенаправления портов cloudflared.

После подтверждения предпочтительной службы переадресации портов будут сгенерированы две ссылки, как показано на изображении ниже.

Обе ссылки могут быть использованы для фишинга учетных данных социальных сетей в зависимости от того, как вы убедите свою цель нажать на фишинговую ссылку.

Шаг 4: Отправка фишинговой ссылки цели

После получения фишинговой ссылки мы можем отправить ее нашей цели.

Избегайте использования платформ обмена сообщениями, которые обнаруживают фишинговые ссылки.

Вы также можете сделать дополнительный шаг – спрятать ссылку за текстом в виде гиперссылки.

Использование надежного способа отправки фишинговой ссылки также сыграет большую роль в обеспечении успеха атаки.

Шаг 5: Получение учетных данных социальных сетей

После того как цель нажмет на ссылку.

Он/она будет перенаправлен/а на вредоносную страницу входа в систему с просьбой ввести его/ее учетные данные в социальных сетях.

Zphisher автоматически получит IP-адрес цели и учетные данные.

IP-адрес в этой ситуации может быть использован для определения местонахождения цели или для обхода системы безопасности Facebook, которая может сообщить о попытке входа с нового места.

Заключение

В приведенном выше руководстве мы смогли получить учетные данные социальных сетей нашей цели с помощью фишинга и использования социальной инженерии.

Инструмент Zphisher имеет легкодоступные фишинговые шаблоны, которые делают запуск фишинговой атаки еще более успешным

Атаки с использованием zphisher, особенно на ничего не подозревающих людей, оказались более успешными, чем используемые шаблоны.

Следует отметить, что zphisher должен использоваться только в образовательных целях, и все вовлеченные стороны должны быть проинформированы перед атакой.

¯\_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

 

см. также:

Добавить комментарий