33 thoughts to “Kody sms nie takie bezpieczne… | FACEBOOK SHAKOWANY!”

  1. Pozdrawiam i gratuluję takiego wkładu w kod. Gdybym prowadził takiego bloga, to nie pisałbym tego specjalnie dla czytelników. Także… Wielkie propsy dla redakcji!

    1. Chcemy propagować bezpieczny internet. Warto wiedzieć, że SMS też jest podstępem do obejścia. Dziękujemy za komentarz!

  2. Witam, Takie „pomysłowe e-maile z phishingiem” nazywają spear phishing, twoja metoda jest ciekawa, ale nie innowacyjna, im więcej szczegółów tym atak social techniczny lepszy wiadomo, użycie biblioteki cURL to w botach najbardziej podstawowych to podstawa, swoją drogą jak czytam komentarze od sk „czy jest jakaś strona gdzie można się nauczyć wszystkiego o hackingu za pomocą kali-linuxa?” to mnie zalewa krew przecież, kali-linux jest przydatną dystrybucją z wieloma szmelco-programami ale hacking to nie tylko kali-linux to przede wszystkim umiejętność kombinowania.

    1. Jeszcze masz błąd składniowy, „szczegółowiej” to jest przymiotnik stopniujący się opisowo (czyt. bardziej szczegółowo), Człowieku oczy bolą od tego, zadziwiająco dużo informatyków posługuje się poprawną polszczyzną z reguły

    2. Dziękuje za e-maila. My nie uczymy hackingu tylko poruszamy popularne tematy z grup dyskusyjnych/for. Nie zachęcamy nikogo do włamywania. Ataki spear phishing osobiście znam pod nazwą ataków spersonalizowanych/ataków ze nakierowanym wektorem działania. Wiele osób się śmieje, że jak one mogą być skuteczne, ludzie przecież nie są naiwni… szkoda tylko, że piszą to komputerowcy a nie zwykli użytkownicy Internetu a statystyki z poprzedniego roku pokazuja coś innego. Co do Kaliego się zgadzam i poleciłbym każdemu najpierw nauczyć się używać Linuksa.

  3. Genialne w swej prostocie 🙂 Banki podobno generują za każdym razem nowy kod, często ważny przez określony czas. Oby to było prawdą 😉

    1. Dlatego można by zmusić osobę do użycia opcji „wpisz kod sms później” za pomocą cURL. Wiele banków posiada taką opcje (np: mBank wydaje mi się). No chyba, że mówisz o dwustopniowej weryfikacji podczas logowania a nie wykonywania operacji podwyższonego ryzyka dla klienta. Potem możnaby edytować ten przelew (nr_konta?) i wpisać sms :-).

  4. skopiowalem dany kod wrzucilem na hosting i nie działa jakieś sugestie? chcialem przetestowac tak samo jak jest u cb

    1. Facebook popełnia w$zy$tkie błędy na które może $obie pozwolić.
      Ale tam gdzie interes facebooka rozbija $ię o pieniądze -nie ma miej$ca na żadne błędy!
      Zapewniam że $ystemy anty$pamowe na fb $ą niezawodne.

  5. Witam , ponawiam prośbe o toutorial z podszywaniem sie pod dany nr w telefonie „ofiary” jezeli mozna to tak nazwac za pomocą programu SET dolaczonego do kali linux o ile znajdziesz chwilę , pasowalo by to do tego wątku nie uwazasz? Pozdrawiam 😉

    1. Próbowałem i kiedyś i po Twoim wielokrotnym pytaniu (TAK SĄ WAKACJE :-)) i nigdy spoofing sms to nie działało w SET… Być może jestem akurat w tej kwestii niedoinformowany i ciężko mi odpowiedzieć na to pytanie. Podobno niektóre płatne bramki spoofingowe działają, jednak rzadziej do Polski… Pamiętaj że podszywanie się pod inną osobę jest przestępstwem.

  6. Dzieki za odpowiedz mam świadomość ze to przestepstwo dlatego chcialem przetestowac na swoim numerze:) ach te wakacje wlasnie pakuje torby i wyruszam jak znajdziesz chwile moze cos wiecej o sslstrip lub podobnym programie ktory przechwyci szyfrowane dane logowania https bo ostatnio sslstrip nie sprawdza sie czesto nie wlacza lub zapisuje moje testowe loginy i hasla w roznych znakach zamiast literek moze cos na ten temat jakis tutek 🙂 ? pozdrawiam milego wypoczywania i egipskiej spiekoty:P

    1. Może będzie, tylko my w wpisach uciekamy często od takich tematów ponieważ chcemy utrudnić gimnazjalistom włamywanie się kolegom i dziewczynom. Sztuka nie na tym polega. Wiedza cenna jest sama w sobie. Ostatni raz jak testowałem sslstrip+ to działał, jednak bodajże trzeba było przekierować parametrem bodajże dane zbierane do pliku tekstowego. Wtedy sslstrip mimo, że wywalał jakiś błąd Pythona to zapisywał logi poprawnie.

  7. Z rozpaczą przeczytałam ten artykuł, gdyż od jakiegoś czasu jestem prześladowana notorycznymi włamaniami na facebooka i gmaila. Sądziłam, że włączenie weryfikacji dwuetapowej pomoże, a tu czytam, że i to można obejść jak ktoś się zna. Dodam też, że w całej tej obsesji wszystko sprawdzam już po 5 razy, malwarebytes skanuje codziennie, dodatkowo zainstalowałam ESET NOD30 (choć biorąc pod uwagę, że antywirus sobie a włamania sobie, zaczynam się zastanawiać, czy to w ogóle coś daje). Czy istnieje jakaś metoda zabezpieczenia się całkowicie? Bo sprawdzanie co 10 minut miejsca logowania zaczyna być już uciążliwe, a zdaję sobie sprawę, że zapewne to, jak i powiadomienia o logowaniu można obejść, by się nie pojawiały.

    1. To co Pani robi wystarczy. Dalej niech Pani cyklicznie skanuje raz w tygodniu komputer Malwarebytes z aktualna baza danych. Niech Pani również ustawi inne od siebie hasło na Gmailu i Facebooku, sprawdzi pytania pomocnicze i podobne mechanizmy czy ktoś nie zmienił (do odzyskiwania hasła) no i w Facebook->Bezpieczeństwo niech pani usunie wszystkie miejsca logowania i urządzenia. Wtedy będzie potrzeba ponownego zalogowania się (wyloguje przestępce). Niech Pani włączy weryfikacje SMS również na GMAILU (konto Google). Niech Pani unika stron podejrzanych internetowych i plików nie otwiera równie podejrzanych. W razie podejrzenia wirusowego pliku wysłać go i sprawdzić w usłudze https://virustotal.com. Proszę zawsze sprawdzać czy adres pod którym Pani się loguje jest poprawny (https://facebook.com). Jest to ochrona przed phishingiem, przed którym raczej antywirusy nie bronią. Proszę również przeczytać nasz stary wpis: https://www.haker.edu.pl/2014/01/03/jak-chronic-konto-internetowe-przed-phishingiem/. Jeśli system operacyjny jest oryginalny niech Pani się upewni, że się aktualizuje (włączony mechanizm Windows Update). Ostatnio też firma Kaspersky wydała fajne narzędzie o nazwie Kaspersky Software Updater, które sprawdza czy Pani programy są w aktualnej wersji. Stare wersje np: przeglądarki internetowej mogą ułatwić ataki. Hasła cyklicznie zmieniać co 6-12 miesięcy (mogą się minimalnie różnić w miejscu tylko znanym Pani).

      Podsumowując uważać na fałszywe adresy www (phishing), skanować raz w tygodniu i używać dwuetapowej weryfikacji GMAIL/FACEBOOK.

  8. Mój były chłopak bardzo mnie zranił :c nie dość tego ze mnie zwyzywał i zostawil to jeszcze chciał mi przejąć konto na fb i wgl zaczęłam sie go bać . Zabrał mi coś co chce odzyskać i potrzebuje pomocy

  9. Dlaczego ustawiliście hasło na archiwum w którym miał się znajdować filmik demonstrujący atak?

    1. Ale hasło jest dostępne w dziale download… Ma to gównie na celu ograniczyć użytkowanie wideo przez osoby, które nawet nie przeczytają wpisu lub działu wideo/download. To zdecydowanie nie dla takich osób jest blog. Druga kwestia to obrona przed wygodnickimi alternatywnymi uploaderami. Warto, żeby pobierający znał źródło skąd pochodzi materiał.

    1. Cyberprzestępcy w identyczny sposób wyłudzają kod z generatora kodów. Przygotowują witrynę praktycznie w identyczny sposób jak ten przedstawiony w tej demonstracji. Oczekują po prostu na wpisanie kodu poza SMS i LOGINU :-). Bez różnicy czy osoba go dostaje smsem, generatorem kodów czy listem poleconym.

  10. Mam emaila I swoje haslo , ale mam wlaczony generator kodu ktory przychodzi mi na tel. Telefon zgubilem I nie moge sie zalogowac , wysylalem do Facebook nawet moj dowod osobisty, ale zero odp. Mogbys mi jakos pomoc?

  11. Witam , mam problem ze swoim kontem kod sms nie dociera na moje konto szukam pomocy nie zależy mi na niczym tylko żeby odzyskać konto nie mam na nim nic co mogłoby mnie pogrążyć jedynie zależy mi na znajomych i powiązanych kontach z FB tzn insta itp. czy jest tu ktoś kto jest w stanie mi pomóc odzyskać moje konto ?

  12. Witam mam problem skasowalam smsy generatorow kody na facebooka mam wlonczony generator kodow ale nie moge sie zalogowac na facebooka co mam zrobic teraz prosze pomoc

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *