Фишинг паролей к социальным сетям с помощью скрипта BlaсkEye в Кали Линукс.
Как известно, доступ к социальным аккаунтам оппонентов всегда является лакомым куском для любого хакера. Причём, используя доступ к социальным профилям с умом можно не столько навредить, сколько извлечь собственную выгоду. И не обязательно материальную. Речь не о том, а вот как проводится простейшая атака на ловлю связки “логин-пароль” к социальным сетям, вы сейчас узнаете. В статье я покажу один из вариантов утечки пароля и логина к большинству социальных сетей с другими демаскирующими вас данными. Число автоматизированных средств выуживания паролей и логинов доступа становится всё больше. А локальные сети в определённых обстоятельствах можно считать идеальным полем для кражи конфиденциальной информации. И одним из таких инструментов в арсенал Кали Линукс можно получить BlackEye (Чёрное Око, “синяк под глазом”, она же БлэкАй). Некоторые “оригиналы”, знакомые с наследием великой русской культуры, быстро перефразировали название скрипта в “шоколадный глаз”. Коим утилита, несомненно, для жертвы и является. Смысл происходящего, к сожалению для нас всех, удручающе прост:
- подделка страницы социальной сети на выбор из списка, предлагаемого скриптом (что-то придётся доработать вручную)
- вброс генерируемой ссылки жертве (он/она должны её получить, перейти и зарегистрироваться)
- урожай – срисовываем вводимые им символы и т.д.
Смотреть на Rutube:
Как работать с BlackEye?
Процесс скачиванием, установкой и запуском скрипта не ограничивается. Шаманить злоумышленник может на всём пути следования: от запуска до ожидания результатов и сбора урожая. Начнём с того, что BlackEye изначально планировалась как средство тестирования, то есть пределы локальной сети покидать не должна была. Однако с появлением возможностей туннелирования в обход настроек роутера ситуация изменилась, и теперь с помощью скрипта можно украсть пароль и логин к странице Вконтакте, Яндекс, Instagram, Facebook, TikTok и т.д.
Получаем скрипт в арсенал Кали
По умолчанию BlackEye в дистрибутиве пока не поставляется. Так что придётся качнуть. Однако адреса наборов скриптов компилируются разными людьми, и не все они одинаково работоспособны. Регулярно обновляемые лежат на Github, и тот, с некоторых пор, требует регистрации. В любом случае наиболее работоспособный из скриптов пока лежит в предлагаемом мной хранилище. Запускаем терминал от имени root и сразу даём команду на установку:
git clone https://github.com/The-Burning/blackeye-im.git
переходим в скачанный раздел (если вы скачали по предложенному образцу):
cd blackeye-im
Внимание можно сразу уделить списку ресурсов, главные страницы которых можно подделать. Сразу проверьте наличие папки ngrok, в которой лежат скрипты для соединения локальных ресурсов компьютера с сетью. Если папки нет – придётся сменить источник, откуда BlackEye была скачана и повторять установку заново. Либо установить папку вручную, скачав её с сайта разработчика. Так как именно здесь и будет создаваться тоннель, через который на компьютер взломщика будет течь информация с вредоносной ссылки. На перечень сайтов можно взглянуть из нескольких мест. В папке sites хранятся страницы ресурсов, которые доступны для изменения хакером. Сюда мы ещё вернёмся:
cd sites ls
Или в начале атаки непосредственно перед выбором страницы. Там есть кое-что и для российского “любителя” потерять пару паролей с логинами. Запускаем скрипт, вернувшись в родительскую папку:
cd blackeye-im
bash blackeye.sh
Во время запуска в папку с BlackEye подгружается файл ngrok (единственная версия, в которой это делается безошибочно самой сборкой) для реализации идеи подключиться в глобальную сеть. Можно установить, как я упоминал уже, ngrok отдельной командой в папку самостоятельно. ОДНАКО работа сервера ngrok подразумевает обязательную регистрацию в одноимённом сервисе, после чего каждому выдаются персональный “автотокен”:
Вы можете зарегистрироваться тут же или использовать готовую учётную запись Google или Github. А пока останавливаем работу (Ctrl + C) скрипта (лучше остановить, а не делать это в другом окне терминала), и в папке с установкой BlackEye и самой ngrok ввести команды регистрации токена:
./ngrok authtoken ХХХХХХХХХХХХХХХХХХ_3fhU31GuWitobU8Wh432C
и повторяем процесс командой:
bash blackeye.sh
Выбираем порядковый номер страницы с подделкой. Я возьму Вконтакте (25). Копирую прилагаемую ссылку в строке Send this link to the Victim: – она и есть приманка для лоха. По ней тот должен щёлкнуть. Как ему эту ссылку подсунуть – забота пентестера. И вот что происходит, когда жертва по ней переходит:
Пароль с логином водятся в обозначенные поля, жертва перенаправляется на собственную страницу, а окне терминала хакера видны вводимые символы. При этом скрипт срисовывает текущий IP жертвы, логин и вводимый пароль. А теперь представьте, что логином вы в своё время вы к какой-то странице установили номер своего телефона. В общем, вы сдадите сами себя с потрохами. Взгляните. во такое письмо однажды вы можете встретить в почтовом клиенте. Всё вроде бы честно и грамотно:
Вы ничего не заметите. Но злоумышленник увидит всё:
Неудобным моментом является английский интерфейс всех подсовываемых жертве страниц. Что, впрочем, иногда сглаживается услужливыми настройками браузера перевести страницу на русский. Что характерно: BlackEye настроен таким образом, что жертва аккуратно перенаправляется на тот сайт, что и хотела посетить. Всё чин чинарём. Но теперь как минимум одна страница социальной сети вам уже не принадлежит.
А каким браузером пользуетесь вы?
Не все браузеры “одинаково полезны”. Только Chrome от Google постоянно бил тревогу при открытии зловредной ссылки, а вот Mozilla, Microsoft Edge и Opera меня, как жертву, ни разу не предупредили о том, что я собираюсь перейти по вредоносной ссылке. Благодаря чему все вводимые мною же символы благополучно мне же на Кали Линукс и “слились”. Так что не удивительно если в подобном письме, как показано выше, вас “убедительно попросят” воспользоваться, скажем, браузером Microsoft Edge. Ввиду того, что “некоторые символы в браузере Google Chrome” отображаются некорректно или соединения через этот веб-клиент “нестабильны”:
Выводы или как не попасться.
- Контролируйте действия, связанные с переходам по ссылкам, полученным от кого-либо. Даже типа “знакомых”, “коллег”, “администраторов с работы”, “знакомой продавщицы” из интернет-магазина и т.п. Особенно это касается мобильных устройств;
- Всегда смотрите на составляющие символы в ссылке и адресной строке браузера. Почти всегда это доступно при обычном наведении мыши на ссылку: видимая часть ссылки может быть одной, но содержимое совсем другим;
- Таким способом можно подделывать абсолютно любую страницу. В том числе и те, что содержат кошельки, корзины и вообще имеют хоть какое-то отношение к денежкам.
Успехов.