Rózne metody hakowania konta Facebook

Siema czytelnicy! Dzisiaj Wam ujawnię wszystkie najlepsze metody które można wykorzystać do przejęcia konta na facebooku. Nie ma tutaj metod na łamanie jakichkolwiek zabezpieczeń, jest to wpis czysto teoretyczny, jak postępują hakerzy. Są to najbardziej powszechne sposoby „włamywania się na facebooka„. Po co to robię? Ponieważ najlepszą obroną jest atak! Więc warto poznać napastnika zanim on pozna Nas. Metod ataków hakerów jest bardzo wiele, my ograniczymy się tylko do 10 najpopularniejszych wektorów ataku.

1. Atak Phishingowy na Facebooka

Wydaje mi się że jest to metoda najprostsza i najbardziej popularna. Nie wymaga stosowania wyrafinowanych metod i rozległej wiedzy. Na czym polega? Na stworzeniu klonu oryginalnej strony (Facebooka) ze specjalnym skryptem, dzięki któremu wszystko co ofiara wpisze w formularzach logowania jest do wglądu przez cyberprzestępcę. Cyberprzestępca może wykorzystać płatny lub darmowy hosting i domenę .pl.

przykładowa strona phishingowa Facebook
Przykładowa strona phishingowa, warto zwrócić uwagę na adres www…

2. Hakowanie konta Facebook za pomocą Keyloggera, bądź programu typu RAT

Dla nieco bardziej zaawansowanych „hakerów” wykorzystanie hostingu jest mało skutecznym sposobem, istnieją nieco bardziej spersonalizowane i wyrafinowane metody pozyskiwania kont do serwisów internetowych.

W tym sposobie nie dość że napastnik musi znaleźć, bądź kupić niewykrywalne narzędzie typu keylogger, bądź backdoor to musi jeszcze go wysłać nie świadomej ofierze. Należy pamiętać że darmowe rozwiązania są często nie dość że mocno wykrywalne przez antywirusy, to dodatkowo posiadają niemiły dodatek w sobie w postaci wirusa. Jak działa taki keylogger? Po skonfigurowaniu i wysłaniu ofierze (patrz: inżynieria społeczna) niczego nie świadoma ofiara jest monitorowana (co wpisuje na klawiaturze) a następnie zapisy tego stanu są wysyłane do cyberprzestępcy (np: na e-mail automatycznie co godzinę).


Backdoory nie dość że posiadają często funkcje keyloggera, pozwalają na dużo większą kontrole nad komputerem ofiary. Jeśli podesłalibyśmy takie aplikacje ofierze, to moglibyśmy w łatwy sposób wyśledzić jaki posiada adres e-mailowy i hasło do Facebooka.

Skąd można zdobyć takiego keyloggera?

Można poszukać poradników jak takiego szpiega samemu napisać, bądź zajrzeć na takie forum jak haker.edu.pl lub zapoznać się z wpisem na naszym blogu:

3. Hakowanie głównego e-maila

Trzecią metodą jest pozyskanie dostępu do e-maila  który jest powiązany z kontem facebook ofiary, za jego pomocą możemy odzyskać „zapomniane hasło” i dokonać włamania. Sposobów jest wiele, od specjalnych ataków perswazyjno-manipulatorskich, poprzez odgadywanie hasła, bądź też pytania pomocniczego  aż po ataki brute-force (już dzisiaj mniej popularne w stosunku do łamania hasła do skrzynek pocztowych).

4. Inżynieria społeczna

Wbrew pozorom to też jest atak hackerski i polega na sprytnym nabraniu osoby w celu dostania się na konta. Sposobów jest multum, wiele z nich wyczytamy w książce „Sztuka podstępu” Kevin’a Mitnick’a. Jak sam twierdzi „Łamałem ludzi, nie hasła„. Można podszywać się pod dziewczynę, ciocie, wujka, obsługę serwisu i wiele wiele więcej. Oczywiście nie musze wspominać że to również jest przestępstwo? Często używa się inżynier społecznej do napisania ciekawego maila do ofiary nakłaniającego do zalogowania się na wcześniej przygotowanej stronie phishingowej.

inżynieria społeczna hakerów (np: phishing)
Manipulacja jako forma inżynierii społecznej. Źródło: www.stanart.pl

5. Próba zgadnięcia hasła

Często i to nie jest głupim pomysłem. Jakie ludzie najczęściej używają hasła?

  • numer telefonu komórkowego swój/dziewczyny bądź chłopaka (również stare numery)
  • nazwisko lub imię chłopaka bądź dziewczyny
  • data urodzenia
  • Ulubiony tytuł filmu, postaci z filmu bądź kreskówek, zespołu muzycznego itd…
  • wiele stron internetowych zmusza użytkowników do używania haseł alfanumerycznych więc wiele użytkowników dodaje do normalnego hasła cyfry 1,2,3,4.. bądź znaki !,@,#,$ co ciekawe wybiera często znaki leżące na klawiaturze obok siebie…

Jako ciekawostkę podam 25 najczęściej używanych haseł wykradzionych z różnych hostingów na świecie:

1. password

2. 123456

3. 12345678

4. abc123

5. qwerty

6. monkey

7. letmein

8. dragon

9. 111111

10. baseball

11. iloveyou

12. trustno1

13. 1234567

14. sunshine

15. master

16. 123123

17. welcome

18. shadow

19. ashley

20. football

21. jesus

22. michael

23. ninja

24. mustang

25. password1

6. Hakowanie mobilnych urządzeń

Pomyślałeś o telefonie/tablecie ofiary? Coraz więcej osób używa aplikacji Facebook Mobile w swoim telefonie.  Być może łatwiej jest Ci (pamiętaj o inżynierii społecznej) pozyskać na chwile telefon ofiary niż nakłaniać ją na wejście na Twój hosting? Dalej „wiecie już co z nim zrobić” 🙂

facebook phone hacking

 

7. Czas na wyższą szkołę jazdy – Session Hijacking

Przechwytywanie sesji facebook to trochę wyższa szkoła jazdy, gdy użytkownik się zaloguje na facebooka napastnik próbuje przejąć sesje następnie za jej pomocą uzyskuje prawa takie jak ofiara bez poznawania hasła (staje się zalogowanym).

Filmik przedstawiający ten atak można znaleźć tutaj: Jak wykonać Session Hijacking

8. DNS Spoofing czyli prawdziwy-fałszywy facebook

Metoda polega na stworzeniu fałszywej witryny (tak samo jak do phishingu) a następnie na zatruciu serwera DNS, dzięki czemu ofiara wchodząc na facebook.com ujrzy naszą fałszywą stronę przypisaną do naszego hostingu/adresu IP. Ten atak jest ciężki do wykrycia dla zwykłych użytkowników.

9. Facebook man in the middle, czyli niepewna droga pakietów

Ta technika polega na wykorzystaniu ataku MITM, dzięki czemu cały ruch pomiędzy serwerem (facebook) a komputerem ofiary będzie wykonywany z pośrednictwem naszego komputera dzięki czemu cały ruch możemy podsłuchać i wykonać atak.

Facebook mitm hacking tutorial
Uproszczony schemat ataku MITM…

Filmik prezentujący jak wykonać atak MITM na facebook

10. Facebook Sniffing, co piszczy w trawie

Do niedawna facebook nie używał domyślnie protokołu szyfrowanego https i podsłuchiwanie za pomocą takich narzędzi jak Wireshark (sniffery) było proste, w kilku krokach mogliśmy kradnąc cookies zalogować się jako ofiara, do tego praktycznie mówiąc niezauważalnie.

Zapraszam również:

Pozdrawiamy! 🙂

243 thoughts to “Rózne metody hakowania konta Facebook”

  1. 9. Facebook man in the middle, czyli niepewna droga pakietów: jak chcę przejąć pakiety to muszę być podłączony to takiego samego iternetu/rutera albo kolo ?czy mogę z byle jakiego miejsca ?

  2. siema 🙂

    jest jakiś sposób żeby phishing był niewykrywalny ?napisałem phishing wrzuciłem na serwer ale jak wejdę w link to wyskakuje mi ze to strona phishing i że jest do wyłudzania informacji .w mozili i w operze nie wykrywa a w google chrome za każdym razem wykryje jest jakiś sposób żeby tez w google chrome nie wykrywało ?

  3. Witam :3 Wspomniałeś o sposobie z keylogger’em. Chciałbym sobie takiego napisać, poczytałem trochę poradników o jezyku C++, ale dalej nie wiem jak mógłbym się za to zabrać :C Skoro to strona z poradnikami, może byś przygotował jakiś poradnik, jak napisać Keylogger’a lub jak chociaż się za to zabrać 🙂

    Pozdrawiam i dzięki za poradniki 🙂
    FrozeenPL

    1. Dzień dobry,

      jest wiele keyloggerów gotowych w sieci (wystarczy poszukać na forum haker.com.pl). Strona dedykowana jest dla pytań które najczęściej przewijają się przez fora a nie dla zaawansowanych programistów. Podejście „chce jechać do sklepu, zbuduje samochód” nie jest dobrym podejściem, są ludzie którzy tym się zajmują i robią to lepiej.

      Pozdrawiam Frozeen!

  4. Hej, mam pytanie. Jesli ma sie dostep do email-a innej osoby, ktory jest uzywany na jej/jego facebook-u, czy jest mozliwosc zdobycia hasla na facebook-a tej osoby, bez resetowania go? jesli tak to jak to zrealizowac pomyslnie? pozdrawiam;)

    1. Nie znam osobiście takiego sposobu i wątpię że istnieje, nawet na facebooku nie przechowują Twojego hasła jawnie i nie mogą go zdeszyfrować, dlatego da się tylko zresetować. Pozdrawiam

  5. Cześć. Może zrobiłbyś oddzielny temat w którym opisałbyś metodę Session Hijacking? Bo na tym filmie który dodałeś mało widać, nic nie jest wytłumaczone a myślę że wiele osób by coś takiego zainteresowało 🙂

  6. 6. Hakowanie mobilnych urządzeń

    Czyli jak „pozwiedzać”, lub zobaczyć wiadomości, bo nic nie pisze o tym sposobie co trzeba robić.

  7. Mam pytanie odnośnie 1 sposobu Atak Phishingowy na Facebooka.

    Czy on zadziała, gdy ofiara korzysta tylko z telefonu komórkowego?

    1. Jeżeli poczytasz na wikipedi na czym polega Phishing to sam stwierdzisz że jeżeli podeślesz komuś link do strony imitującej Facebook to zadziała.

  8. Witam, czy jest możliwe wykonanie ataku DNS spoofing w stosunku do hosta z którym nie jesteśmy w sieci? Czy tylko gdy jesteśmy we wspólnej sieci LAN, WLAN?

    1. Ta metoda o którą Ci chodzi trzeba wykonać w sieci z ofiarą, np podpiąć się pod WIFI lub włamać się do innej osoby z sieci i po VPN wykonać. Trzeba by przestudiować czym jest serwer DNS i gdzie się znajduje (tłumaczy nazwy domen typu haker.edu.pl na adres IP serwera prawdziwy i na odwrót). Jeśli się zastanowić to trzeba stanąć w jakiś sposób na drodze ofiary, czyli JA JAN KOWALSKI STANĘ POMIĘDZY ofiarą a serwerem DNS (atak MITM) i będę oszukiwał ofiarę, gdy poprosi serwer DNS o IP do strony www np google (oszukiwał że dawał inne IP do strony, przez co powstaje możliwość wskazania że google.pl to 127.0.0.1 (czyli ty sam jako haker) i postawienie u siebie na komputerze serwera HTTP i strony doskonałej phishingowej z domeną np facebook.com, tak jak w tutorialu jak włamać się na FB z serwerem XAMPP). Chociaż w historii bywało, że występowały ataki bezpośrednio na główne serwery DNS których jest tylko 13 na świecie. W takim przypadku WSZYSCY wtedy użytkownicy internetu byli nie świadomi że ktoś podmienił na głównych sewerach DNS adres IP do strony, więc ludzie wpisywali haker.edu.pl a serwer DNS główny zwracał adres fałszywy do innej strony choć przestępcy mogli ją przygotować że wyglądała tak samo. Ale taki atak wymaga głowy pięć na pięć :).

      Pozdrawiam i dziękuje za pytanie.

  9. siemka , czy jesli ktos logował sie na moim komputerze na facebooka moge zdobyc jakos to hasło? znam login ale nie znam hasła, czy keylogger na moim komputerze bedzie znał to hasło , jesli go zainstaluje teraz ? Ofiara raczej nie bedzie sie logowała wiecej na moim komputerze , dzieki za odp. 😉

    1. Nie, trzeba przed logowaniem zainstalować keyloggera. Jeżeli nie zaznaczył zapamiętaj mnie i nie wylogował to nie jest to możliwe (nie zachowała się sesja).

  10. Witam,
    Zrobiłem wszystko jak na filmiku, zamieniłem również napis faceebook, i po wpisaniu loginu i hasła wyskakuje już po przekierowaniu

    Strona WWW, która Cię tu przekierowała nie była stroną Facebooka. Jeżeli wprowadziłeś na poprzedniej stronie dane do logowania do Facebooka, będziesz musiał zresetować swoje hasło.
    Co można z tym zrobić? Proszę o pomoc

    1. A zmodyfikowałeś parametr action na action=”login.php” bo mam wrażenie że nie i przekierowuje na oryginalnego facebooka.

  11. Tak, tworzy się login i hasło w notatniku, więc wydaje mi się, że parametr jest dobrze zmodyfikowany. Myślę, że problem leży w darmowym hostingu i witryna facebook uważa ten hosting za niebezpieczny. Próbowałem na wielu innych hostingach to występował problem, że strona jest zagrożeniem albo nie tworzyło mi pliku txt z hasłem i loginem, mimo że testowałem skrypt na xampp i ten plik tworzyło i tworzy go tylko na dwóch darmowych hostignach z czego jeden wykrył po kilku godzinach, że moja strona jest do phishingu.
    Tak więc tylko na jednym darmowym hostingu działa mi stronka, i tworzy mi ten plik z loginem i hasłem. Działa również na xampp. Wpadłem na pomysł i ustawiłem w login.php stronę, na którą ma przekierować po zalogowaniu jako ” Not FoundThe requested URL / was not found on this server” czy coś takiego. Wszystko zdaje egzamin. Loguje się na stronie phishingowej a tu nagle przekierowanie i pisze coś, że nie znalazło stronki.
    Tak więc osoba, której umiejętności ogarniczają sie do zalogowania się na facebooka pomyśli sobie, że coś stało się z internetem czy cokolwiek. Taka gorsza alternatywa. Ale przekierowanie na oryginalnego facebooka zminimalizuje podejrzenia prawie do zera i jest nie podważalnie najlepszą opcją. Hosting, na którym działa mi stronka to cba.pl czyli ten na filmiku.
    Przepraszam za tak chaotyczne opisanie sytuacji. Jestem zielony w tych sprawach, dlatego lepiej nie umiem pewnych rzeczy obrać w słowa.

    1. Strona WWW, która Cię tu przekierowała nie była stroną Facebooka. Jeżeli wprowadziłeś na poprzedniej stronie dane do logowania do Facebooka, będziesz musiał zresetować swoje hasło.

      Co z tym zrobić ? 😀

  12. Witam, mam pytanie, jeżeli logowałem się u kogoś na komputerze np. na maila, facebooka, nie zaznaczyłem opcji „zapamiętaj hasło” i zawsze się wylogowywałem to czy jest taka możliwość że właściciel konta jakimś sposobem posiada moje hasła? Nie miał wcześniej zainstalowanego keyloggera ani innych programów tego typu, chodzi mi bardziej o to czy po jakimś czasie od logowania mogła ta osoba „zdobyć” z systemu moje hasła? (czy są takie hasła w ogóle gdzieś przechowywane?) Z góry dzięki za odpowiedź. 🙂

    1. Nie, a jeśli się boisz w ustawieniach można przejrzęć logowania wraz z IP i zakończyć stare sesje, wtedy możliwość spada do 0%. Haseł komputer i serwer nie przechowuje tylko dane o sesji.

  13. Super, dzięki za odpowiedź, dotyczy to nie tylko Facebooka ale również np. logowania na pocztę ; itp.?? Unikam logowania się w podejrzanych miejscach w obawie że ktoś przechwyci moje hasła, ale jak tak mówisz to nie mam się czego bać 🙂

    1. W podejrzanych miejscach ktoś może przejąć sesje (sniffing) będąc również w tej sieci i nasłuchując ale można go w ten sposób szybko odciąć i zidentyfikować. Należy uważać tylko na nieszyfrowane transmisje (NP: HTTP zamiast HTTPS) bo wtedy jeśli ktoś podsłuchuje przed jeszcze zalogowaniem się użytkownika może przejąć nie tylko sesje ale i hasło (tylko podczas momentu logowania). NP: Jeśli ktoś loguje się do swojego serwera FTP domyślnie nie ma szyfrowana i łatwo można przejąć hasło i login.