В этой статье я расскажу об использовании техники социального фишинга под названием кликджекинг, с целью деанонимизации любого человека.
Всем салют, дорогие друзья! Вам наверняка знакома фраза, успевшая стать мемом: «Я тебя по айпи вычислю!».
✅ В этой статье я продолжу расширять ваш кругозор и рассмотрю технику фишинга, которая называется кликджекинг.
⚠️ Данный способ также позволяет деанонимизировать пользователей любых социальных сетей и платформ.
Итак, давайте для примера рассмотрим, как мы, хакеры, можем добавить на страницу виджет «VK», сделать его невидимым и подсунуть ничего не подозревающему пользователю.
Но для начала пробежимся по терминам...
Что такое кликджекинг?
Кликджекинг – технология обмана посетителей сайтов, которая состоит в том, что на страницу сайта наслаивается другая, невидимая информация. При этом кнопки и ссылки на нормальной и подставной страницах совпадают по местоположению.
Пользователь нажимает на ссылку, тем самым активируя скрытые функции.
В результате этого пользователь может быть без согласия подписан на платные сервисы, либо хакеры получат данные авторизации, логины и пароли каких-то сервисов или любую другую доступную информацию.
Таким образом человек даже не подозревает, что совершал какие-то действия на посторонних ресурсах.
Существуют так же разновидности кликджекинга:
Лайкджекинг нацелен на сбор лайков в социальных сетях — пользователи фактически ставят отметку «Мне нравится» на нужной нам странице. Это может увеличить базу пользователей и поднять просмотры страницы.
Кукиджекинг, когда пользователь взаимодействует с элементами интерфейса на сайте, предоставляя тем самым доступ к своим файлам Cookie.
Файлджекинг — по такому же принципу хакеры получают доступ к локальной файловой системе пользователя.
Курсорджекинг — курсор мыши находится не там, где он отображается в окне браузера, то есть пользователь может щелкнуть на чем-то одном, в то время как фактический курсор щелкает на чем-то другом.
Дизайн фишингового сайта
Здесь мы можем придумать что угодно. Всё ограничивается только вашей фантазией, друзья. Главное помните, что залог успешного фишинга - социальная инженерия. Соответственно, нам потребуется схема введения в заблуждение. Именно под неё в дальнейшем и будет подгоняться содержимое нашего сайта.
Авторизация VK
К счастью, для всего этого у VK существует официальный API, к которому идет подробнейшая инструкция. Но вам ведь лень её читать?
Тогда просто добавьте вот этот код в секцию head:
<script src="https://vk.com/js/api/openapi.js?169" type="text/javascript"></script>А потом вот этот — в body:
<div id="vk_auth"></div>
<script type="text/javascript"> window.onload = function () { VK.init({apiId:идентификатор});
VK.Widgets.Auth('vk_auth', {});
}
</script>Теперь нам предстоит дать параметру apiId нужно дать значение, которое находится в разделе «Код виджета для вставки на сайте»:
☝🏻 На скриншоте я замазал искомое значение красным цветом
Вот код со скрина выше:
<script type="text/javascript"
src="https://vk.com/js/api/openapi.js?168"
charset="windows-1251" ></script> <script type="text/javascript">VK.init({ apiId: идентификатор }); </script>После того, как мы выполнили все шаги, на нашем сайте появиться вот такой виджет:
Как же переправить себе данные об авторизованных посетителях?
Самый простой вариант - писать их в обычный текстовый файл на сервере.
Более продвинутые могут использовать БД (базу данных).
Настройка видимости
Теперь самое интересное: нам с вами предстоит сделать виджет невидимым, после чего вставить поверх него какой‑нибудь интересный контент, чтобы пользователь не имел ни малейшей возможности понять, что только что прошел авторизацию.
⚠️ Я бы советовал лепить поверх виджета еще одну кнопку.
Если в браузере щелкнуть правой кнопкой по виджету, а затем нажать "Исследовать", то можно увидеть вот такой код:
☝🏻 Если параметра opacity нет, то его можно добавить самостоятельно.
После того, как вы выставите значение opacity : 0.0 (как на скрине выше), виджет станет невидимым.
Защита от деанона VK
Отмечу, что исходя из моего опыта, защититься от данного способа деанона практически невозможно. Разве что каждый раз, при заходе на какой-либо сайт, производить поиск в исходном коде параметра opacity. Но, кто же будет заниматься таким гемороем? :)
Заключение
По моему мнению, этот способ деанонимизации чертовски эффективен.
Судите сами: достаточно просто направить пользователя на наш сайт, после этого у нас на руках будет его идентификатор VK.
Как видите, все очень просто и эффективно!
Comments