Карыстальнік Habr з нікам php_freelancer распавёў , як яму атрымалася ўзламаць рахунак на соцсеть «Вконтакте», абышоўшы абарону двухфакторную аўтэнтыфікацыяй. Для гэтага ён даведаўся атрымаў пашпартныя дадзеныя ахвяры, яе нумар тэлефона і падлучыў пераадрасацыю выклікаў з яе нумара на свой.

Такім чынам, мы атрымалі скан пашпарта карыстальніка. Не, фотошоп фатаграфію з тварам карыстальніка, дзе ён трымае яго перад камерай, мы не будзем. Мы пойдзем да мабільных аператараў, якія з радасцю падставяць ахвяру. Рэгіструем фэйкавую старонку Укантакце на левы нумар тэлефона, ўсякаюць VPN і пішам у афіцыйнае супольнасць аператара мабільнай сувязі ахвяры паведамленне прыкладна наступнага зместу:

"Добры дзень. Нам патрабуецца ўстанавіць пераадрасацыю ўсіх званкоў на новы нумар тэлефона. Доступу да самога тэлефоне не маю. Што ад мяне трэба на будову дадзенай аперацыі? »

І што ж далей? У вас спытаюць нумар тэлефона ахвяры, новы нумар тэлефона, куды патрабуецца пераадрасаваць усе званкі і пашпартныя дадзеныя для «пацверджання вашай асобы і валодання нумарам тэлефона». Выдатна, ці не праўда? Дастаткова проста купіць новую сімку на вакзале за 300 рублёў, альбо купіць віртуальную симкарту дзе-небудзь у сеткі і не парыцца. Паведамляеце ўсю інфармацыю і ўсё, справа ў капелюшы - пераадрасацыя ўключана і, што самае дзіўнае, - ахвяра не імгненна аказваецца апавяшчэнне аб падключэнні пераадрасацыі.



Мяркуючы па скрыншотах перапіскі, Yota, «Мегафон» і МТС адмовіліся наладжваць пераадрасацыю ў онлайн-рэжыме. Толькі адзін аператар (з замазанымі чорна-жоўтым лагатыпам) апынуўся згаворлівы і без лішніх пытанняў пачаў перанакіроўваць званкі на нумар хакера.

«Укантакце» дазваляе змяніць пароль ад акаўнта пасля ўводу кода, які прыходзіць па SMS, але можна паказаць, што паведамленні не прыходзяць - тады на пазначаны нумар патэлефануе робат і прадыктуе код. SMS аб змене пароля будуць таксама прыходзіць на нумар ахвяры, і калі яна адрэагуе, то зможа аднавіць доступ да акаўнта, але гэта зойме некаторы час, а з дапамогай скрыптоў можна на працягу некалькіх секунд выгрузіць усе паведамленні і прыватныя фатаграфіі. Акрамя таго, калі хакер ўзломвае рахунак ноччу, у яго будзе значна больш часу, паколькі ахвяру можа не абудзіць SMS ці яна не адразу сцяміць, што яе ўзламалі.


lunapic.ru ў Telegram - t.me/iguides_ru
lunapic.ru ў Яндекс.Дзен - zen.yandex.ru/lunapic.ru