Взлом Instagram*‑аккаунта — популярный запрос в поисковиках. Поэтому есть смысл рассказать о том, как это обычно работает. Просто для того, чтобы вы знали, откуда может пойти атака.
Чтобы начать попытки заполучить доступ к аккаунту, вы должны знать ник человека, которого вы пытаетесь взломать. Так что небольшая разведка будет очень кстати. Только не увлекайтесь.
Существуют различные инструменты для разведки, в первую очередь, поиск пользователя в конкретной соцсети с целью узнать его ник. Я нашёл отличный инструмент под названием «Slash», который можно использовать для поиска любых учётных записей пользователя, если он везде регистрируется под одним ником.
Ставим Slash
git clone https://github.com/theahmadov/slash
cd slash
pip install -r requirements.txt
python slash.py help
Я проверил Slash на себе, и посмотрите на эти результаты. Некоторые из учетных записей, перечисленных здесь, были созданы много лет назад.
Slash — это простой консольный инструмент. Но вы также можете использовать такие инструменты, как WhatsMyName Web, который совершенно бесплатен.
Вот, посмотрите. Я проверил WhatsMyName на себе. Мой ник «earthtoyash».
Теперь, когда мы знаем больше о нашем пользователе, можно использовать эти знания. Например, через отправку фишинговых ссылок. Для этого создадим полезную нагрузку с помощью Zphisher.
Ставим Zphisher с GitHub
Клонируем репозиторий:
git clone --depth=1 https://github.com/htr-tech/zphisher.git
Запускаем файл zphisher.sh:
cd zphisher && ./zphisher.sh
При первом запуске он установит зависимости и на этом всё. Система скажет, что Zphisher установлен. После установки вам нужно будет снова запустить zphisher.sh в каталоге zphisher командой ./zphisher
, и тогда вы получите что-то вроде этого:
Как вы можете видеть, есть много вариантов и шаблонов, благодаря чему любой может заниматься фишингом. Мы сосредоточимся на нельзяграме. Итак, введите «2» и нажмите Enter.
Следующий шаг полностью зависит от вас, выберите любой из них.
Затем появится окно с выбором. Я выбрал третий вариант, так как он минималистичный и удобен для того, чтобы показать возможности инструмента.
Опять же, чтобы все было просто, я пропущу пользовательский порт, но если вы уже используете порт 8080, то можете изменить его на 8000. Если нет, оставляйте всё как есть. Также важно маскировать URL, ну просто в целях безопасности. Можно использовать что‑то вроде этого:
Всё, Zphisher создал фишинговую ссылку, которую можно отправить жертве. Как только она нажмёт на ссылку, вы начнёте получать информацию о ней. Например, IP‑адреса, имена пользователей, пароли и т. д. Ещё можно использовать обратный поиск IP, чтобы определить местоположение вашей цели и многое другое.
Итак, вот эти фишинговые ссылки.
При нажатии открывается страница, похожая на официальную страницу входа в запрещённую соцсеть.
После ввода учётных данных можно получить много информации на «хакерской» стороне терминала.
Вот так, господа и дамы, можно без особого труда взломать учетную запись в нельзяграме. Поэтому в очередной раз напоминаем: нельзя нажимать на ссылки, которым вы не доверяете.
Само собой разумеется, не используйте информацию из этой статьи с намерением причинить кому-либо вред. OSINT законен, но фишинг и кража личных данных даже в запрещённой соцсети является уголовным преступлением. И да, * Организация Meta, а также её продукт Instagram, на которые мы ссылаемся в этой статье, признаны экстремистскими и запрещены на территории РФ.
Спасибо за внимание!
Что ещё интересного есть в блоге Cloud4Y
→ Информационная безопасность и глупость: необычные примеры
→ Взлом Hyundai Tucson, часть 1, часть 2