Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Как вы знаете фишинг ВК был очень популярен, но после обновления ВКонтакте политики безопасности стал исчерпывать себя. Так ли это на самом деле? Ведь ничто не стоит на месте и с новой политикой безопасности пришли и новые методы фишинга.
В данной статье я расскажу немного о "проблемах" фиш-сайта ВК и их решениях на примере давно слитого в паблик, сайта.
Исходники можно скачать тут: Я.Диск https://yadi.sk/d/Sb__9xGa3SJmGq
Что же первое бросается в глаза при открытии такого сайта?
Сокращение ссылок
Как делал я, когда только-только учился фишингу: создавал сайт на uCoz, в редакторе HTML страничек добавлял скрипт, который редиректил на фиш сайт. Затем загонял URL сайта в vk.cc и получалась готовая ссылка, которую ВК пропускал. Как избежать этой галиматьи? Да очень просто. Есть два пути:
Получение SSL сертификата
Как я уже говорил SSL сертификат нужен, чтобы браузеры и антивирусы не помечали наш фишинговый сайт как "мошеннический". Помимо этого ссылки на сайт c SSL пропускает ВК, а это значит, что манипуляции, описанные выше будут не нужны, мы сможем просто скидывать ссылку в исходном ее виде.
На данный момент существуют множество хостингов, работающих с центрами сертификации. Самое простое решение вопроса с SSL - это разворачивать свои сайты, как раз на таких хостингах. В их панели управления уже есть вкладка с управлением SSL, там можно заказать новый сертификат, установить свой или управлять существующими сертификатами.
Так же, чтобы снизить вероятность блокировки сайта с пометкой как мошеннический можно прописать в файл .htaccess запрет на индексацию ботами поисковых механизмов.
В данной статье я расскажу немного о "проблемах" фиш-сайта ВК и их решениях на примере давно слитого в паблик, сайта.
Исходники можно скачать тут: Я.Диск https://yadi.sk/d/Sb__9xGa3SJmGq
Что же первое бросается в глаза при открытии такого сайта?
- Подозрительный внешний вид: сайт выглядит как старая мобильная версия ВК, не работает переключение языков, старые шрифты и пиксельное лого сразу наводят на мысль, что мы попали именно на зловредный сайт.
- Отсутствие десктопной версии сайта: да, я понимаю, что 80% трафика ВК приходится на мобильные устройства, но все же, готовым надо быть ко всему, особенно, если вы занимаетесь индивидуальным взломом.
- Подобные сайты сразу отмечаются браузерами как "мошеннические": дело в том, что браузер прежде всего смотрит на SSL сертификат или его отсутствие, ну и т.к. фишеры в основной своей массе разворачивают фиш сайты на бесплатных хостингах, то и получение хотя бы DV SSL сертификата там отсутствует. сайты помечаются как "мошеннические", а потом и аккаунт на хостинге уходит в бан.
- Полное отсутствие проверки валидности данных: все что мне доводилось видеть в таких скриптах это в основном форму с полями "логин", "пароль", кнопку и запись этого добра в блокнот. Никаких проверок на валид, пустые поля или BadRequest...о работе с 2FA аккаунтами даже не говорю. Максимум - запрос в API ВК на получение токена.
- Рассылка сообщений, содержащих ссылку на фишинговый сайт: при рассылке сообщений текст был примерно такой: "О боженьки, ты выиграл в конкурсе репостов, пройди по ссылке https://vk.cc/dsg4twe и получи 100500$". Ну согласитесь звучит глупо. Но да, на такое ведутся до сих пор...такого наивного народа осталось очень мало и в основном это дети.
- Сокращение ссылок: чтобы ВК пропускал ссылки на фиш сайты приходилось делать редирект + сокращение, в итоге ссылка получалась типа https://vk.cc/dsg4twe, что только портило внешний вид сообщения.
Сокращение ссылок
Как делал я, когда только-только учился фишингу: создавал сайт на uCoz, в редакторе HTML страничек добавлял скрипт, который редиректил на фиш сайт. Затем загонял URL сайта в vk.cc и получалась готовая ссылка, которую ВК пропускал. Как избежать этой галиматьи? Да очень просто. Есть два пути:
- Мы не будем сокращать ссылки с vk.cc, а немного схитрим с uCoz. (Если вы используете сайт-прокладку по типу сайта с голосованием, то это вообще шикарно)
- Получить SSL сертификат для своего домена.
Code:
<script type="text/javascript">
location.replace("http://сайт, куда нужен редирект");
</script>Получение SSL сертификата
Как я уже говорил SSL сертификат нужен, чтобы браузеры и антивирусы не помечали наш фишинговый сайт как "мошеннический". Помимо этого ссылки на сайт c SSL пропускает ВК, а это значит, что манипуляции, описанные выше будут не нужны, мы сможем просто скидывать ссылку в исходном ее виде.
На данный момент существуют множество хостингов, работающих с центрами сертификации. Самое простое решение вопроса с SSL - это разворачивать свои сайты, как раз на таких хостингах. В их панели управления уже есть вкладка с управлением SSL, там можно заказать новый сертификат, установить свой или управлять существующими сертификатами.
Так же, чтобы снизить вероятность блокировки сайта с пометкой как мошеннический можно прописать в файл .htaccess запрет на индексацию ботами поисковых механизмов.
Code:
SetEnvIfNoCase User-Agent "^Googlebot" search_bot
SetEnvIfNoCase User-Agent "^Yandex" search_bot
SetEnvIfNoCase User-Agent "^Yahoo" search_bot
SetEnvIfNoCase User-Agent "^Aport" search_bot
SetEnvIfNoCase User-Agent "^msnbot" search_bot
SetEnvIfNoCase User-Agent "^spider" search_bot
SetEnvIfNoCase User-Agent "^Robot" search_bot
SetEnvIfNoCase User-Agent "^php" search_bot
SetEnvIfNoCase User-Agent "^Mail" search_bot
SetEnvIfNoCase User-Agent "^bot" search_bot
SetEnvIfNoCase User-Agent "^igdeSpyder" search_bot
SetEnvIfNoCase User-Agent "^Snapbot" search_bot
SetEnvIfNoCase User-Agent "^WordPress" search_bot
SetEnvIfNoCase User-Agent "^BlogPulseLive" search_bot
SetEnvIfNoCase User-Agent "^Parser" search_bot
