top of page

Клик­дже­кинг. Деаноним любого пользователя

В этой статье я рас­ска­жу об исполь­зовании тех­ники соци­аль­ного фишин­га под наз­вани­ем клик­дже­кинг, с целью деано­ними­зации любого человека.

Всем салют, дорогие друзья! Вам наверняка знакома фраза, успевшая стать мемом: «Я тебя по айпи вычислю!».


✅ В этой статье я продолжу расширять ваш кругозор и рассмотрю технику фишинга, которая называется клик­дже­кинг.


⚠️ Данный способ также позволяет деано­ними­зиро­вать пользователей любых социальных сетей и платформ.


Итак, давайте для примера рассмотрим, как мы, хакеры, можем добавить на стра­ницу вид­жет «VK», сделать его невиди­мым и подсунуть ничего не подоз­рева­юще­му поль­зовате­лю.


Но для начала пробежимся по терминам...

 

Что такое кликджекинг?

Кликджекинг – технология обмана посетителей сайтов, которая состоит в том, что на страницу сайта наслаивается другая, невидимая информация. При этом кнопки и ссылки на нормальной и подставной страницах совпадают по местоположению.

  • Пользователь нажимает на ссылку, тем самым активируя скрытые функции.

  • В результате этого пользователь может быть без согласия подписан на платные сервисы, либо хакеры получат данные авторизации, логины и пароли каких-то сервисов или любую другую доступную информацию.

  • Таким образом человек даже не подозревает, что совершал какие-то действия на посторонних ресурсах.

Существуют так же разновидности кликджекинга:

  • Лайкджекинг нацелен на сбор лайков в социальных сетях — пользователи фактически ставят отметку «Мне нравится» на нужной нам странице. Это может увеличить базу пользователей и поднять просмотры страницы.

  • Кукиджекинг, когда пользователь взаимодействует с элементами интерфейса на сайте, предоставляя тем самым доступ к своим файлам Cookie.

  • Файлджекинг — по такому же принципу хакеры получают доступ к локальной файловой системе пользователя.

  • Курсорджекинг — курсор мыши находится не там, где он отображается в окне браузера, то есть пользователь может щелкнуть на чем-то одном, в то время как фактический курсор щелкает на чем-то другом.

 

Дизайн фишингового сайта

Здесь мы можем придумать что угод­но. Всё ограничивается только вашей фантазией, друзья. Главное помните, что залог успешного фишинга - соци­аль­ная инже­нерия. Соответственно, нам пот­ребу­ется схе­ма вве­дения в заб­лужде­ние. Именно под неё в дальнейшем и будет под­гонять­ся содер­жимое нашего сай­та.

 

Авторизация VK

К счастью, для всего это­го у VK существует офи­циаль­ный API, к которому идет под­робнейшая инс­трук­ция. Но вам ведь лень её читать?

  • Тогда просто добавьте вот этот код в сек­цию head:

<script src="https://vk.com/js/api/openapi.js?169" type="text/javascript"></script>
  • А потом вот этот — в body:

<div id="vk_auth"></div>
<script type="text/javascript"> window.onload = function () { VK.init({apiId:идентификатор});
VK.Widgets.Auth('vk_auth', {});
}
</script>
  • Теперь нам предстоит дать па­рамет­ру apiId нуж­но дать зна­чение, которое находит­ся в раз­деле «Код вид­жета для встав­ки на сай­те»:

☝🏻 На скриншоте я замазал искомое значение красным цветом

  • Вот код со скрина выше:

<script  type="text/javascript"
src="https://vk.com/js/api/openapi.js?168"
charset="windows-1251" ></script> <script type="text/javascript">VK.init({ apiId: идентификатор }); </script>
  • После того, как мы выполнили все шаги, на нашем сайте появить­ся вот такой виджет:

Как же переп­равить себе дан­ные об авто­ризо­ван­ных посети­телях?

  • Самый простой вариант - писать их в обычный текстовый файл на сервере.

  • Более продвинутые могут использовать БД (базу данных).

 

Настройка видимости

Теперь самое интересное: нам с вами предстоит сделать виджет невиди­мым, после чего вста­вить поверх него какой‑нибудь интересный контент, что­бы поль­зователь не имел ни малейшей возможности понять, что только что про­шел авто­риза­цию.


⚠️ Я бы советовал лепить поверх виджета еще одну кнопку.

  • Ес­ли в бра­узе­ре щел­кнуть пра­вой кноп­кой по виджету, а затем нажать "Исследовать", то мож­но увидеть вот такой код:

☝🏻 Если параметра opacity нет, то его можно добавить самостоятельно.


  • После того, как вы выставите значение opacity : 0.0 (как на скрине выше), виджет ста­нет невиди­мым.

 

Защита от деанона VK

Отмечу, что исходя из моего опыта, за­щитить­ся от данного способа деанона практически невозможно. Разве что каждый раз, при заходе на какой-либо сайт, производить поиск в исходном коде параметра opacity. Но, кто же будет заниматься таким гемороем? :)

 

Заключение

  • По моему мне­нию, этот способ деанонимизации чертовски эффективен.

Судите сами: дос­таточ­но просто нап­равить поль­зовате­ля на наш сайт, после этого у нас на руках будет его иден­тифика­тор VK.

  • Как видите, все очень просто и эффективно!



240 просмотров

Недавние посты

Смотреть все

Comentarios


bottom of page