Rózne metody hakowania konta Facebook

Siema czytelnicy! Dzisiaj Wam ujawnie wszystkie najlepsze metody które można wykorzystać do przejęcia konta na facebooku. Nie ma tutaj metod na łamanie jakichkolwiek zabezpieczeń, jest to wpis czysto teoretyczny, jak postępują hakerzy. Są to najbardziej powszechne sposoby „włamywania się na facebooka„. Po co to robię? Ponieważ najlepszą obroną jest atak! Więc warto poznać napastnika zanim on pozna Nas. Metod ataków hakerów jest bardzo wiele, my ograniczymy się tylko do 10 najpopularniejszych wektorów ataku.

1. Atak Phishingowy na Facebooka

Wydaje mi się że jest to metoda najprostsza i najbardziej popularna. Nie wymaga stosowania wyrafinowanych metod i rozległej wiedzy. Na czym polega? Na stworzeniu klonu oryginalnej strony (Facebooka) ze specjalnym skryptem, dzięki któremu wszystko co ofiara wpisze w formularzach logowania jest do wglądu przez cyberprzestępce. Cyberprzestępca może wykorzystać płatny lub darmowy hosting i domenę .pl.

Przykładowa strona phishingowa facebook...
Przykładowa strona phishingowa,warto zwrócić uwagę na adres www…

2. Hakowanie konta Facebook za pomocą Keyloggera, bądź programu typu RAT

Dla nieco bardziej zaawansowanych „hakerów” wykorzystanie hostingu jest mało skutecznym sposobem, istnieją nieco bardziej spersonalizowane i wyrafinowane metody pozyskiwania kont do serwisów internetowych.

W tym sposobie nie dość że napastnik musi znaleźć, bądź kupić niewykrywalne narzędzie typu keylogger, bądź backdoor to musi jeszcze go wysłać nie świadomej ofierze. Należy pamiętać że darmowe rozwiązania są często nie dość że mocno wykrywalne przez antywirusy, to dodatkowo posiadają niemiły dodatek w sobie w postaci wirusa. Jak działa taki keylogger? Po skonfigurowaniu i wysłaniu ofierze (patrz: inżynieria społeczna) niczego nie świadoma ofiara jest monitorowana (co wpisuje na klawiaturze) a następnie zapisy tego stanu są wysyłane do cyberprzestępcy (np: na e-mail automatycznie co godzinę).




Backdoory nie dość że posiadają często funkcje keyloggera, pozwalają na dużo większą kontrole nad komputerem ofiary. Jeśli podesłalibyśmy takie aplikacje ofierze, to moglibyśmy w łatwy sposób wyśledzić jaki posiada adres e-mailowy i hasło do Facebooka.

Skąd można zdobyć takiego keyloggera?

Można poszukać tutoriali jak takiego samemu napisać, bądź zajrzeć na takie forum jak haker.com.pl lub zapoznać się z wpisem na naszym blogu:

3. Hakowanie glównego e-maila

Trzecią metodą jest pozyskanie dostępu do e-maila  który jest powiązany z kontem facebook ofiary, za jego pomocą możemy odzyskać „zapomniane hasło” i dokonać włamania. Sposobów jest wiele, od specjalnych ataków perswazyjno-manipulatorskich, poprzez odgadywanie hasła, bądź też pytania pomocniczego  aż po ataki brute-force (już dzisiaj mniej popularne w stosunku do łamania hasła do skrzynek pocztowych).

4. Inżynieria społeczna

Wbrew pozorom to też jest atak hackerski i polega na sprytnym nabraniu osoby w celu dostania się na konta. Sposobów jest multum, wiele z nich wyczytamy w książce „Sztuka podstępu” Kevin’a Mitnick’a. Jak sam twierdzi „Łamałem ludzi, nie hasła„. Można podszywać się pod dziewczynę, ciocie, wujka, obsługę serwisu i wiele wiele więcej. Oczywiście nie musze wspominać że to również jest przestępstwo? Często używa się inżynier społecznej do napisania ciekawego maila do ofiary nakłaniającego do zalogowania się na wcześniej przygotowanej stronie phishingowej.

inżynieria społeczna hakerów (np: phishing)
Manipulacja jako forma inżynierii społecznej. Źródło: www.stanart.pl

5. Próba zgadnięcia hasła

Często i to nie jest głupim pomysłem. Jakie ludzie najczęściej używają hasła?

  • numer telefonu komórkowego swój/dziewczyny bądź chłopaka (również stare numery)
  • nazwisko lub imię chłopaka bądź dziewczyny
  • data urodzenia
  • Ulubiony tytuł filmu, postaci z filmu bądź kreskówek, zespołu muzycznego itd…
  • wiele stron internetowych zmusza użytkowników do używania haseł alfanumerycznych więc wiele użytkowników dodaje do normalnego hasła cyfry 1,2,3,4.. bądź znaki !,@,#,$ co ciekawe wybiera często znaki leżące na klawiaturze obok siebie…

Jako ciekawostkę podam 25 najczęściej używanych haseł wykradzionych z różnych hostingów na świecie:

1. password

2. 123456

3. 12345678

4. abc123

5. qwerty

6. monkey

7. letmein

8. dragon

9. 111111

10. baseball

11. iloveyou

12. trustno1

13. 1234567

14. sunshine

15. master

16. 123123

17. welcome

18. shadow

19. ashley

20. football

21. jesus

22. michael

23. ninja

24. mustang

25. password1

6. Hakowanie mobilnych urządzeń

Pomyślałeś o telefonie/tablecie ofiary? Coraz więcej osób używa aplikacji Facebook Mobile w swoim telefonie.  Być może łatwiej jest Ci (pamiętaj o inżynierii społecznej) pozyskać na chwile telefon ofiary niż nakłaniać ją na wejście na Twój hosting? Dalej „wiecie już co z nim zrobić” :)

 

Facebook phone hacking
Przykładowa aplikacja do obsługi Facebook z poziomu telefonu komórkowego…

7. Czas na wyższą szkołę jazdy – Session Hijacking

Przechwytywanie sesji facebook to trochę wyższa szkoła jazdy, gdy użytkownik się zaloguje na facebooka napastnik próbuje przejąc sesje następnie za jej pomocą uzyskuje prawa takie jak ofiara bez poznawania hasła (staje się zalogowanym).

Filmik przedstawiający ten atak można znaleźć tutaj: Jak wykonać Session Hijacking

8. DNS Spoofing czyli prawdziwy-fałszywy facebook

Metoda polega na stworzeniu fałszywej witryny (tak samo jak do phishingu) a następnie na zatruciu serwera DNS, dzięki czemu ofiara wchodząc na facebook.com ujrzy naszą fałszywą stronę przypisaną do naszego hostingu/adresu ip. Ten atak jest ciężki do wykrycia dla zwykłych użytkowników.

9. Facebook man in the middle, czyli niepewna droga pakietów

Ta technika polega na wykorzystaniu ataku MITM, dzięki czemu cały ruch pomiędzy serwerem (facebook) a komputerem ofiary będzie wykonywany z pośrednictwem naszego komputera dzięki czemu cały ruch możemy podsłuchać i wykonać atak.

Facebook mitm hacking tutorial
Uproszczony schemat ataku MITM…

Filmik prezentujący jak wykonać atak MITM na facebook

10. Facebook Sniffing, co piszczy w trawie

Do niedawna facebook nie używał domyślnie protokołu szyfrowanego https i podsłuchiwanie za pomocą takich narzędzi jak Wireshark (sniffery) było proste, w kilku krokach mogliśmy kradnąc cookies zalogować się jako ofiara, do tego praktycznie mówiąc niezauważalnie.

Zapraszam również:

Pozdrawiamy! :-)




143 myśli na temat “Rózne metody hakowania konta Facebook

    1. Cytuje:

      Pamiętaj o aspekcie prawnym, wpis może służyć jedynie do celów edukacyjnych przyszłych profesjonalnych specjalistów od bezpieczeństwa. Może zawierać celowe błędy (np: CSS) w celu utrudnienia atakom żartownisiom i script kiddie.

      Ten wpis nie jest dla włamywaczy i przestępców, więc to że się zdezaktualizował to nie szkodzi. Idea ataków typu phishing pozostaje taka sama.

    1. To zależy od implementacji phishingu przez programiste. Cyberprzestępca może sobie napisać kod wysyłający na maila, zapisujący na serwerze w pliku tekstowym lub nawet wysyłający smsem zebrane dane.

  1. Witam mam takie pytanie, czy jest możliwość odzyskania wiadomości które zostały skasowane usunięte nie archiwizowane z messengera za pomocą numeru imei telefonu z którego została napisana wiadomość?

  2. mam pytanie. czy znakac haslo na fb i login moge jakos wejsc bez kodu?osoba do ktorej konta chve wejsc ma powisdomienie sms kodem i przychodzi powiadomienie czy zaywierdzic i czy zna .. cos w tym stylu

  3. Hej. Mam pytanie… Czy jest jakas możliwość usunięcia wysłanych wiadomosci na facebooku aby dana osoba juz tego nie widziała? Skasować cała historie rozmowy. To bardzo ważne. Czy trzeba sie włamać komuś na konto i to usunąć czy jest jakas możliwość aby zniknęła ze skrzynki odbiorczej danej osoby?

    1. Nie istnieje taki sposób. Możesz co najwyżej usunąć wiadomości u siebie. Nawet jak konto swoje usuniesz, to wiadomości i tak nie znikną. A nawet jak znikną to Facebook przechowuje ich kopię dla bezpieczeństwa i organów ścigania.

  4. Agfraz dzięki za odpowiedź.Więc to musiał być jakiś błąd systemu lub sam nie wiem co ponieważ nie było w ogóle nazwy a tylko puste pole nadawcy.

    1. Wydaje mi się, że jakby nie był to błąd to by nadal „ta osoba” wykonywała ten ciekawy atak, który opisujesz. Osobiście nawet nie słyszałem o takiej metodzie podszywania się za nikogo na Facebooku. Chociaż: https://www.youtube.com/watch?v=V2NMmLgCDfE

      Ciężko mi coś na ten temat powiedzieć, bo i tak da się na profil rozmówcy wejść zapewne choćby za pomocą jakiś przycisków w oknie czatu. Więc głupota, ponieważ już na poziomie rejestracji aby uzyskać taką anonimowośc można się zarejestrować jako bezsensowne znaczki zamiast imion. Logi z adresem IP i tak zostają w razie popełnienia przestępstwa. A chyba nikt normalny nie podpisuje się i tak prawdziwymi danymi jeśli takie brzydkie rzeczy piszę ;-)

    2. Witam mam taki problem ktoś przeją mi fanpage firmowego jest szansa to jakoś odzyskać?? z góry dziękuję za odp

    3. To pytanie do Facebooka raczej, bo nie mam pojęcia jakie procedury mają odzyskiwania skradzionych kont i stron fanapge.

  5. Witam.
    Agfraz mam do ciebie/osób tu piszących pytanie czy da się pisać na messenger facebook anonimowo?
    Pytam tylko z czystej ciekawość gdyż byłem światkiem jak ktoś pisał do koleżanki i nie było wdać nazwy tej osoby,nie wiem czy to był może jakiś błąd na komputerze czy może faktycznie ktoś pisał jako anonim.
    Nie chodzi mi o poznanie metody lecz ciekawość bierze górę i po prostu pytam czy to możliwe.
    Pozdrawiam

    1. Nie da się, ale Facebook ma możliwość teraz zmiany pseudonimu w opcjach okna konwersacji i możesz być „kim chcesz” i drugiej osobie takowa nazwa jest wyświetlana.

  6. Mam sprawę. Jest osoba, która mnie obraża wyzywa itp. Chciałbym uzyskać hasło do jej konta ( i login też ) Kali linux nawet nie chce mis się zainstalować więc prosze o pomoc profesjonalistów. Czy moglibyście to dla mnie zrobić i uzyskać login i hasło do konta facebook.com/profile.php?id=XXXXXXXXXXXXXXXX
    Jeśli jesteście tak mili i swoimi umiejętnościami zdobędziecie tę informacje to prosze o kontakt na jasXXXXXXXX@XXXXXXXXXXX.

    1. Cześć haker, cześć Wam wszystkim. Co tam ciekawego u Ciebie, że pojawiasz się na naszym blogu? Jak się podoba? ;-)

    2. Siema, chcialem zhakowac swoja nazwe na fb czyli imie i nazwisko. zablokowali mnie i w zaden sposob nie moge tego zrobic a musze. wszystkie filmiki na yt sa bez uzyteczne. z wyjatkiem jednego hinduskiego, ktory pokazuje jak kliknac prawym guzikiem na swoja nazwe na osi czasowej. i faktycznie tam cos mozna naszponcic ale do konca i tak mi sie nie udaje. POMOZECIE ??

    3. Nie bo nawet nie wiem o czym mówisz. Chcesz po prostu zmienić imię i nazwisko, żeby na zrzucie ekranu wyglądało inaczej? Ale to będzie widoczne tylko na Twoim komputerze, aż do odświeżenia strony. W przeglądarce Opera wystarczy zaznaczyć swoje imię i nazwisko w miejscu w którym chcesz zmienić, następnie kliknąć na nie prawym przyciskiem myszy i wybrać opcje „zbadaj element”. Teraz wystarczy w interfejsie przeglądarki który wyskoczył zmienić odpowiednią wartość na inną i na żywo się to zmieni w przeglądarce.

    4. Afgraz. Dzieki ale wlasnie nie o to mi chodzi. Te kroki ktore opisales zrobilem juz i dokladnie jak mowisz to bylo chwilowe. Po odswiezeniu strony z powrotem mialem stara nazwe.
      Chce zmienic permanentnie imie i nazwisko w swoim profilu. FB zablokowalo mi ta opcje nie wiedziec czemu.
      Ani nie zmienialem czesto nazwy uzytkownika ani nie robilem zadnych glupot na fb, mimo to mi zablokowali i mimo uplywu juz pol roku i walczenia z fb o wlaczenie tej opcj, nie chca tego zrobic. Zmusili mnie do przeslania dowodu osobistego i nadali prawdziwe imie i nazwisko. Dzieki temu w ogole mialem odblokowane konto.
      Ale co to za bzdury jak 70% ludzi ma wymyslony pseudonim itp. Nie chce miec prawdziwego imienia i nazwiska.
      Chyba musi byc jak sposob ?? Mega mi na tym zalezy ! Z GORY DZIEKI !

    5. Odpisałem chyba już na tego e-maila z tym pytaniem? ;-)

      Osobiście nie znam sposobu innego niż założenie drugiego konta.

  7. Hej,

    mam pytanie do:

    „Być może łatwiej jest Ci (pamiętaj o inżynierii społecznej) pozyskać na chwile telefon ofiary niż nakłaniać ją na wejście na Twój hosting? Dalej „wiecie już co z nim zrobić” :)”

    Ok mam telefon, chwila mi nie wystarczy, czuje się oszukiwany i chce sprawdzić czy mam rację. Wątpie żebym miał czas przez ta chwilę utwierdzić się w moich obawach. Czy posiadając telefon, mogę w jakiś sposób pozyskać hasło do FB?

    1. Nie, hasło nie jest przechowywane raczej w żadnej XXI wiecznej aplikacji tego typu. Dzisiaj bazuje się na sesjach użytkownika przypisanych do telefonu. PS: TO co robisz zgodnie z art 267kk jest przestępstwem.

  8. Witam,
    czy po numerze ID użytkownika fb można sprawdzic kto do mnie pisał? albo znaleźć numer IP danej osoby?

  9. Witam, mam takie pytanie, czy jest mozliwosc w jakis sposob sprawdzic wprowadzone haslo na aplikacji mobilnej fb? Jest juz wprowadzony, chcialbym odzyskac to haslo. Samsung s5 neo.

    1. Nie jest to możliwe. Aplikacje się projektuje tak, żeby mimo zalogowania się nie przetrzymywały haseł. Wykorzystuje się do tego sesje.

  10. Jeśli zgodnie z krokiem 3. mam już dostęp do głównego maila, to co dalej? Jak uzyskać hasło bez jego resetowania? Tylko opcja odzyskania mnie interesuje, proszę o pomoc.

    1. Jedyny sposób to jego resetowanie. Może się tam źle wyraziliśmy, ale zwróć uwagę na cudzysłów „zapomniane hasło”. Innej metody w tym przypadku nie ma, oprócz brute-force ale do tego mail jest nie potrzebny.

  11. Potrzebuje pomocy chce zlamac haslo do fb mojego bylego chlopaka. Mam tylko tablet. Chce znac jego haslo tak bym mogla wchodzic na jego fb kiedy chce. Jak to mam zrobic? Jaki program uzyc?

    1. Pomyliłaś chyba blogi, my możemy co najwyżej powiedzieć jak zabezpieczyć swoje konto a nie jak zostać przestępcą :-)

  12. Witam. Mam taki problem. Otóż zalogowałam się na fejsie u mojego męża na laptopie. Klinkełam wyloguj. Poźniej zauważyłam, że otworzyła się ikonka free keylogger. Przeczytałam ze to program szpiegowski. Teraz boję się, ze będzie czytał moje wszystkie wiadomości. Użytkuję fb najczęściej na komórce. Zmieniłam hasło na fb, czy to pomoże, żeby nie miał już dostępu? Proszę o pomoc

    1. Dzień dobry. Prawdopodobnie ktoś monitorował komputer aplikacją typu Keylogger. Proszę zajrzeć do wpisu w celu zrozumienia tego problemu Pani Anno: darmowy keylogger na Windows. Polecam Pani nie używanie już tamtego komputera lub przed skorzystaniem z niego i z swoich kont/gg przeskanować komputer darmowym programem wyszukującym złośliwe oprogramowanie tego typu o nazwie Malwarebytes Anti-Malware. Kroki które Pani powinna podjąć:

      • Na Facebooku w zakładce Ustawienia->Bezpieczeństwo->Miejsca logowania wcisnąć „zakończ wszystkie aktywności. Wylogowuje to Panią z każdego miejsca
      • Następnie w tym samym miejscu w Twoje przeglądarki i aplikacje proszę usunąć wszystkie zapamiętane aplikacje (wylogowuje to Panią z aplikacji mobilnych np)
      • Jeśli chce Pani podnieśc poziom bezpieczeństwa konta Facebook warto użyć również w zakładce Bezpieczeństwo opcji Zatwierdzanie logowania (wysyła darmwego smsa z kodem do przepisania na Pani telefon, lub prosi o użycie generatora w aplikacji mobilnej Facebook kodów. Dzieje się to tylko w przypadku, gdy ktoś chce skorzystać na „nowym komputerze” z Pani konta
      • Teraz niech Pani z bezpiecznego komputera zmieni hasło do konta Facebook i konta e-mail z nim powiązanego. Bezpieczny czyli bez wirusów, więc jeśli to Pani domowy komputer to proszę przeskanować rówież profilaktycznie darmową aplikacją Malwarebytes Anti-Malware
      • Opcjonalnie może Pani przeskanować swój telefon programem antywirusowym, jeśli spowalnia potem jego pracę to po przeskanowaniu i usunięciu zagrożeń może Pani go odinstalować
      • Warto zmienić dodatkowo wszystkie hasła, które są identyczne jak „potencjalnie przechwycone” przez tą osobę i wszystkie które były tam używane też.

      Na pewno Panią zainteresuje również ten nasz film (bo wbrew tytułowi jest powiązany z Pani problemem):
      https://www.youtube.com/watch?v=zZlQ0rJfwAk

      Pozdrawiam

    2. Zrobiłam dokładnie co Pan napisał, prócz skanowania telefonu programem antywirusowym. Wprowadziłam zabezpieczenie na kod na komórkę przed logowaniem się z nieznanych źródeł. Czy messengera to również będzie chronić? Ja myślę, że tak, bo przecież jest powiązany z fb, ale mam do też zainstalowaną jako osobną aplikację. Ale chciałabym poznać Pana opinię.

    3. Tak będzie chronić. Jeśli wylogowałaby się teraz Pani z komputera/telefonu(aplikacji) i usunęła tzn. ciasteczka przeglądarki www/historie itd. To poprosi Panią oprócz hasła o przepisanie tego kodu bezpieczeństwa. Jeśli pani wykonała wcześniejsze czynności w ustawieniach Facebooka, czyli wylogowała się ze wszystkich miejsc a następnie chciała się zalogować z dowolnego komputera/telefonu to za pierwszym razem zostanie Pani poproszona o ten KOD SMS lub z GENERATORA KODU w aplikacji Facebook (tą drugą opcje niedawno wprowadzili). Morał jest taki, że aby zalogować się na Pani konto trzeba Pani najpierw ukraść telefon komórkowy w celu przejęcia kodu. Nie jestem pewien, ale każda próba niepoprawnego logowania (bez kodu) jest chyba rejestrowana i Pani przy zalogowaniu się po tym fakcie na Facebooka wyświetli się informacja, że ktoś PRÓBOWAŁ (ale się nie udało) dostać się na Pani konto. Taka sama informacja kiedyś dochodziła na maila powiązanego z Facebookiem. Morał taki, nawet jak ktoś teraz przechwyciłby hasło w jakiś magiczny sposób, to nic mu to nie da. Weryfikacja dwuetapowa, bo tak fachowo to się nazywa jest coraz popularniejszą techniką bezpieczeństwa wielkich firm i nawet w gmailu da się taką ochronę dodatkową włączyć.

    4. Zapomniałam dopisać. Już nie będę korzystać z tego laptopa. Czy już teraz po wprowadzeniu tych wszystkich czynności mogę się już czuć bezpiecznie, że ta osoba już nie zaloguje się na moim koncie fb na laptopie?

    5. Tak, ale musi Pani mieć świadomość że wszystko co Pani wtedy pisała na klawiaturze (jeśli to prawda z tym keyloggerem) zostało zarejestrowane i wie ta osoba co pani klikała na klawiaturze (nie wie do kogo i co ta osoba pisała, chyba że keylogger robił co jakiś czas zrzuty ekranu czyli jakby zdjęcia ekranu komputera). Niech Pani również zdaje sobie sprawę, że ta osoba popełniła przestępstwo nie informując Pani o monitoringu komputera. Taką informacje musi nawet pracodawca podać pracowniką, jeśli stosuje takie praktyki w celu polepszenia efektywności pracy (anty-fejsbuk?). Dokładniej mówi o tym art 267 kk (proszę sprawdzić w google). Ta osoba złamała pani prawo do tajemnicy korespondencji.

      Niech Pani też zdaje sobie sprawę, ze nie koniecznie ta osoba musiała zainstalować tą aplikacje. Być może i ona padła ofiarą cyberprzestępcy (logi keyloggera wysyłane na maila były), który miał na celu przejmować loginy do kont bankowych/gier właściciela komputera.

      Pozdrawiam i proszę na swoim komputerze profilaktycznie wykonywać raz na dwa tygodnie/miesiąc skanowanie programem Malwarebytes (przed skanowaniem kliknąć aktualizuj bazę zagrożeń).

    6. To mnie Pan uspokoił. Jestem bardzo wdzięczna za pomoc, naprawdę. Jeszcze raz dziękuję i pozdrawiam.

  13. hej , mam pytanie. Jest taka sytuacja ze grupa społecznościowa na Facebook została bez admina ( konto Admina pierwsze zostało zablokowane a teraz zlikwidowane i grupa jest bez administratora… bez kontroli i teraz nie ma kto nad ta grupą zapanować:) jest jakaś możliwość wybrania administratora?

    1. To raczej pytanie do supportu Facebooka, ale wątpliwe jest to że istnieje taka możliwość. Prowadziłoby to do nadużyć ze strony cyberprzestępców i trolli.

    1. Musisz posiadać ten telefon i go zrootować następnie wgrać coś w stylu np. AndroRAT. Innej możliwości dla Ciebie nie ma chyba że kupisz za kilkaset tysięcy odbiorniki odpowiednie i otoczysz tą osobę z trzech stron.

    1. Tak, istnieją również programy typu RAT. Takie rozwiązanie jednak wymaga zrootowanego urządzenia więc 99,9%% telefonów nie jest podatnych bez modyfikacji oprogramowania Android.

  14. Witam jakim sposobem moj chlopak wie z kim pisze na fcb malo tego zna nawet tresc dodam ze haslo zmienialam wiec nie moze znac….Czy jest cos w ustawieniach zeby nie widzial?

    1. Zobacz ten wpis: usuwanie wirusów komputerowych i adware. Usuniesz w ten sposób programy szpiegowskie (z naciskiem na program malwarebytes). Następnie zmień hasło do maila powiązanego z Facebookiem i zmień hasło do Facebooka. Teraz w ustawieniach Facebook przejdź do zakładki Bezpieczeństwo i w Twoje przeglądarki i aplikacje usuń tam wszystko. Następnie w tym samym miejscu o nazwie Miejsca logowania też usuń wszystko. W ten sposób ograniczysz dostęp osobą już zalogowanym gdzieś kiedyś do konta (będą musiały ponownie się logować znając nowe hasło). Pamiętaj że wykonując te kroki będziesz musiała ponownie się zalogować np: na telefonie/tablecie. Polecam też opcje „zatwierdzenie logowania”. Działa ona tak że jak logujesz się z nowego komputera lub czyścisz ciasteczka w swojej przeglądarce to zanim się zalogujesz wysyłany jest do ciebie bezpłatny sms z kodem który musisz przepisać na Facebooku. Jest to tzn. dwuetapowa weryfikacja i jedyna opcja na obejście tego i zalogowanie się na Twoje konto przez tą osobę to… kradzież Ci telefonu i przechwycenie smsa. Warto również w aplikacji facebook na telefonie lub na cały telefon (Android/iPhone) wprowadzić PIN lub wzór do odblokowywania telefonu.

  15. Witam, mam problem mój byly chłopak właśnie mnie tak załatwił, zmienilam hasło i e-maila ale wciąż widzi i czyta moje wiadomości, jak tamu zapobiec? Jest taka opcja?

    1. Piszę tutaj o telefonie jak zdobyć, jest również jeszcze inny wpis o tym.

    2. Witam, ktoś zalogował sie na moim telefonie na Facebook mobile i nie wylogował, czy mam szanse sprawdzic jakie zapisało mi się hasło? Czytałam wasz opis i nigdzie nie widze konkretu gdzie wejsc by sie to jakos wyświetliło w androidzie telefon.

    3. Nie, hasła nie są przechowywane. Jest przechowywany specjalny skrót (hash) który podtrzymuje sesje. Nie da się hasła z niego wyciągnąć. Nawet na serwerach Facebooka nie ma haseł bo to niebezpieczne. Przechowuje się tzn. skróty.

    1. Tak jak piszę w formularzu kontaktowym, informacje są tylko poglądowe. Nie popieramy włamywania się na czyjeś konta. Jako że najlepszą obronę jest atak, to żeby poznać metody obrony przed włamaniem się na Facebooka warto najpierw poznać wektory ataków.

  16. Wszystko fajnie, tylko czy „ofiara” może jakoś się uwolnić od hakera ? Jak sprawdzić że ktoś właśnie przejął naszego facebooka ? Dodam że zmiana hasła nie pomaga.

    1. Facebook – > Ustawienia -> Bezpieczeństwo -> Twoje przeglądarki i aplikacje. Ewentualnie miejsca logowania.

  17. A czy jest możliwość przejęcia sesji facebooka telefonem z androidem? Wiem, że są takie aplikacje, ale po przejściu facebooka na https nie przechwycą sesji. Tak więc czy jest to jakoś możliwe?

    1. Już nie. Androidem wątpie. Chyb, że jest aplikacja na zrootowany system do ataku MITM + sslstrip (w końcu to Linux).

  18. zrobiłem wszystko od poczatku do konca ale jak wrzucam pliki na serwer tylkonie przez file zille bo nie chce mi sie laczyc i chce otworzyc strone pfishingowa to pisze komunikat ze nie moze jej znalesc ;/

    1. Czyli jej nie wrzuciłeś proste :-). Podstawy podstaw. Na każdym hostingu jest dostępna pomoc do przeczytania jak wrzucić pliki :-)

  19. Czy jest możliwość odgadnięcia hasła na fb jak zna się starę? Albo na poczte wp jak też zna się stare hasło i login tak samo stare hasło do fb i login ? Nie moge użyc keylogera bo ta osoba nie używa mojego kompa tylko swojej komórki.

    1. Nie da się. Nawet jak wpisujesz stare hasło to facebook Cię ostrzega o logowaniu i osobę która zna hasło.

  20. JEST MOZLIWOSC ZAIMSTALOWANIA APLIKACJI NA FEJSIE KTORA PO CICHU WYSLA WSZYSTKIE WPISYWANE WIADOMOSCI NA MEILA ??

    1. Nie słyszeliśmy o takiej aplikacji. Chociaż istnieje oprogramowanie typu keylogger.

  21. A co jeśli znam e-mail ofiary i chcę uzyskać jej hasło, nie zmienić. Nie chcę aby ofiara dowiedziała się o tym włamaniu.

    1. Przestępcy używają w takim przypadku keyloggera (opisane gdzieś na blogu) lub phishing.

  22. Cześć mam pytanie chciałbym zdobyć hasło na fb, znam login i osoba logowała się na moim komputerze.. znam datę logowania.. czy jestem w stanie zdobyć hasło?

    1. W ten sposób nie, jeżeli się wylogowała to wygasła sesja. Musiałbyś zainstalować keyloggera a osoba ponownie się zalogować.

  23. Hej , mega ważne. Sądzę, że mój narzeczony mnie zdradza. potrzebuję dostępu do jego fb. Mam jego laptop, znam login, lecz brak hasła… do żadnych z jego kont nie znam hasła. potrzebuję pomocy!

  24. Mam takie pytanie. Potrzebuje hasło do starego konta fb mojej dziewczyny. Problem w tym, że dziewczyna już nie korzysta z tego konta i nawet sama nie pamięta hasła do niego. Nie pamięta nawet hasła do konta e-mail na które jest zarejestrowane konto fb. Także z tego e-maila też już nie korzysta. I teraz pytanie czy jest w ogóle jakakolwiek możliwość, aby uzyskać te hasło na fb? Jedyne co mi przychodzi na myśl to brute force/ metoda słownikowa, ale jakiego programu do tego użyć, jeśli istnieje w ogóle taki? Bardzo mi na tym zależy, prosiłbym o odpowiedź, pozdrawiam !

    1. Po kilku próbach (4-5) każe przepisać kod i zablokuje logowanie. BF jest nie skuteczne ani metoda słownikowa bo szybkość taka sama jak wpisywanie ręczne.

    1. Pewnie ktoś takie produkuje binarki dla danej osoby, ale płatne i trochę więcej od zwykłych produktów typu keylogger. Ewentualnie można kupić lub poprosić kogoś o crypter, aby zaszyfrował wykrywalny plik.

  25. a jeśli znam login i poczatęk hasła a nie znam cyfry która tam idzie po tym haśle ? czy jest jakaś metoda żeby wejść na konto ?

    1. Strzelać. Brute-force/atak słownikowy nie wchodzi w gre bo potem facebook prosi o przepisanie kodu z obrazka.

  26. ktoś przejął mi fb i konto mail nie mam teraz wogóle dostępu do tego jak to odzyskać ? żadne moje hasła co miałem nie działają proszę o pomoc, podpowiedz

  27. Witam mam problem najprawdopodniej dziewczyna mnie zdradza jestem tego pewny , bo włamałem się na jej Facebooka , lecz kłopot w tym , że za każdym razem , gdy włamałem się ona wiedziała , bo musiałem zmienić hasło jej , co do czego doszło , że wiedziała , potrzebuje prostej metody , która pozwoli mi złamać to hasło tak , żeby go nie zmieniać przez pocztę . PILNE PROSZĘ O ODPOWIEDZ !

  28. Super, dzięki za odpowiedź, dotyczy to nie tylko Facebooka ale również np. logowania na pocztę ; itp.?? Unikam logowania się w podejrzanych miejscach w obawie że ktoś przechwyci moje hasła, ale jak tak mówisz to nie mam się czego bać :)

    1. W podejrzanych miejscach ktoś może przejąć sesje (sniffing) będąc również w tej sieci i nasłuchując ale można go w ten sposób szybko odciąć i zidentyfikować. Należy uważać tylko na nieszyfrowane transmisje (NP: HTTP zamiast HTTPS) bo wtedy jeśli ktoś podsłuchuje przed jeszcze zalogowaniem się użytkownika może przejąć nie tylko sesje ale i hasło (tylko podczas momentu logowania). NP: Jeśli ktoś loguje się do swojego serwera FTP domyślnie nie ma szyfrowana i łatwo można przejąć hasło i login.

  29. Witam, mam pytanie, jeżeli logowałem się u kogoś na komputerze np. na maila, facebooka, nie zaznaczyłem opcji „zapamiętaj hasło” i zawsze się wylogowywałem to czy jest taka możliwość że właściciel konta jakimś sposobem posiada moje hasła? Nie miał wcześniej zainstalowanego keyloggera ani innych programów tego typu, chodzi mi bardziej o to czy po jakimś czasie od logowania mogła ta osoba „zdobyć” z systemu moje hasła? (czy są takie hasła w ogóle gdzieś przechowywane?) Z góry dzięki za odpowiedź. :)

    1. Nie, a jeśli się boisz w ustawieniach można przejrzęć logowania wraz z IP i zakończyć stare sesje, wtedy możliwość spada do 0%. Haseł komputer i serwer nie przechowuje tylko dane o sesji.

  30. Tak, tworzy się login i hasło w notatniku, więc wydaje mi się, że parametr jest dobrze zmodyfikowany. Myślę, że problem leży w darmowym hostingu i witryna facebook uważa ten hosting za niebezpieczny. Próbowałem na wielu innych hostingach to występował problem, że strona jest zagrożeniem albo nie tworzyło mi pliku txt z hasłem i loginem, mimo że testowałem skrypt na xampp i ten plik tworzyło i tworzy go tylko na dwóch darmowych hostignach z czego jeden wykrył po kilku godzinach, że moja strona jest do phishingu.
    Tak więc tylko na jednym darmowym hostingu działa mi stronka, i tworzy mi ten plik z loginem i hasłem. Działa również na xampp. Wpadłem na pomysł i ustawiłem w login.php stronę, na którą ma przekierować po zalogowaniu jako ” Not FoundThe requested URL / was not found on this server” czy coś takiego. Wszystko zdaje egzamin. Loguje się na stronie phishingowej a tu nagle przekierowanie i pisze coś, że nie znalazło stronki.
    Tak więc osoba, której umiejętności ogarniczają sie do zalogowania się na facebooka pomyśli sobie, że coś stało się z internetem czy cokolwiek. Taka gorsza alternatywa. Ale przekierowanie na oryginalnego facebooka zminimalizuje podejrzenia prawie do zera i jest nie podważalnie najlepszą opcją. Hosting, na którym działa mi stronka to cba.pl czyli ten na filmiku.
    Przepraszam za tak chaotyczne opisanie sytuacji. Jestem zielony w tych sprawach, dlatego lepiej nie umiem pewnych rzeczy obrać w słowa.

    1. Strona WWW, która Cię tu przekierowała nie była stroną Facebooka. Jeżeli wprowadziłeś na poprzedniej stronie dane do logowania do Facebooka, będziesz musiał zresetować swoje hasło.

      Co z tym zrobić ? :D

  31. Witam,
    Zrobiłem wszystko jak na filmiku, zamieniłem również napis faceebook, i po wpisaniu loginu i hasła wyskakuje już po przekierowaniu

    Strona WWW, która Cię tu przekierowała nie była stroną Facebooka. Jeżeli wprowadziłeś na poprzedniej stronie dane do logowania do Facebooka, będziesz musiał zresetować swoje hasło.
    Co można z tym zrobić? Proszę o pomoc

    1. A zmodyfikowałeś parametr action na action=”login.php” bo mam wrażenie że nie i przekierowuje na oryginalnego facebooka.

  32. siemka , czy jesli ktos logował sie na moim komputerze na facebooka moge zdobyc jakos to hasło? znam login ale nie znam hasła, czy keylogger na moim komputerze bedzie znał to hasło , jesli go zainstaluje teraz ? Ofiara raczej nie bedzie sie logowała wiecej na moim komputerze , dzieki za odp. ;)

    1. Nie, trzeba przed logowaniem zainstalować keyloggera. Jeżeli nie zaznaczył zapamiętaj mnie i nie wylogował to nie jest to możliwe (nie zachowała się sesja).

  33. Witam, czy jest możliwe wykonanie ataku DNS spoofing w stosunku do hosta z którym nie jesteśmy w sieci? Czy tylko gdy jesteśmy we wspólnej sieci LAN, WLAN?

    1. Ta metoda o którą Ci chodzi trzeba wykonać w sieci z ofiarą, np podpiąć się pod WIFI lub włamać się do innej osoby z sieci i po VPN wykonać. Trzeba by przestudiować czym jest serwer DNS i gdzie się znajduje (tłumaczy nazwy domen typu haker.edu.pl na adres IP serwera prawdziwy i na odwrót). Jeśli się zastanowić to trzeba stanąć w jakiś sposób na drodze ofiary, czyli JA JAN KOWALSKI STANĘ POMIĘDZY ofiarą a serwerem DNS (atak MITM) i będę oszukiwał ofiarę, gdy poprosi serwer DNS o IP do strony www np google (oszukiwał że dawał inne IP do strony, przez co powstaje możliwość wskazania że google.pl to 127.0.0.1 (czyli ty sam jako haker) i postawienie u siebie na komputerze serwera HTTP i strony doskonałej phishingowej z domeną np facebook.com, tak jak w tutorialu jak włamać się na FB z serwerem XAMPP). Chociaż w historii bywało, że występowały ataki bezpośrednio na główne serwery DNS których jest tylko 13 na świecie. W takim przypadku WSZYSCY wtedy użytkownicy internetu byli nie świadomi że ktoś podmienił na głównych sewerach DNS adres IP do strony, więc ludzie wpisywali haker.edu.pl a serwer DNS główny zwracał adres fałszywy do innej strony choć przestępcy mogli ją przygotować że wyglądała tak samo. Ale taki atak wymaga głowy pięć na pięć :).

      Pozdrawiam i dziękuje za pytanie.

  34. Mam pytanie odnośnie 1 sposobu Atak Phishingowy na Facebooka.

    Czy on zadziała, gdy ofiara korzysta tylko z telefonu komórkowego?

    1. Jeżeli poczytasz na wikipedi na czym polega Phishing to sam stwierdzisz że jeżeli podeślesz komuś link do strony imitującej Facebook to zadziała.

  35. 6. Hakowanie mobilnych urządzeń

    Czyli jak „pozwiedzać”, lub zobaczyć wiadomości, bo nic nie pisze o tym sposobie co trzeba robić.

  36. Cześć. Może zrobiłbyś oddzielny temat w którym opisałbyś metodę Session Hijacking? Bo na tym filmie który dodałeś mało widać, nic nie jest wytłumaczone a myślę że wiele osób by coś takiego zainteresowało :)

  37. Hej, mam pytanie. Jesli ma sie dostep do email-a innej osoby, ktory jest uzywany na jej/jego facebook-u, czy jest mozliwosc zdobycia hasla na facebook-a tej osoby, bez resetowania go? jesli tak to jak to zrealizowac pomyslnie? pozdrawiam;)

    1. Nie znam osobiście takiego sposobu i wątpię że istnieje, nawet na facebooku nie przechowują Twojego hasła jawnie i nie mogą go zdeszyfrować, dlatego da się tylko zresetować. Pozdrawiam

  38. Witam :3 Wspomniałeś o sposobie z keylogger’em. Chciałbym sobie takiego napisać, poczytałem trochę poradników o jezyku C++, ale dalej nie wiem jak mógłbym się za to zabrać :C Skoro to strona z poradnikami, może byś przygotował jakiś poradnik, jak napisać Keylogger’a lub jak chociaż się za to zabrać :)

    Pozdrawiam i dzięki za poradniki :)
    FrozeenPL

    1. Dzień dobry,

      jest wiele keyloggerów gotowych w sieci (wystarczy poszukać na forum haker.com.pl). Strona dedykowana jest dla pytań które najczęściej przewijają się przez fora a nie dla zaawansowanych programistów. Podejście „chce jechać do sklepu, zbuduje samochód” nie jest dobrym podejściem, są ludzie którzy tym się zajmują i robią to lepiej.

      Pozdrawiam Frozeen!

  39. siema :)

    jest jakiś sposób żeby phishing był niewykrywalny ?napisałem phishing wrzuciłem na serwer ale jak wejdę w link to wyskakuje mi ze to strona phishing i że jest do wyłudzania informacji .w mozili i w operze nie wykrywa a w google chrome za każdym razem wykryje jest jakiś sposób żeby tez w google chrome nie wykrywało ?

    1. W tym wpisie odpowiedziałem już na podobne pytanie: https://haker.edu.pl/2013/09/01/jak-wbic-na-facebooka/

      Trzeba spróbować troszkę zmodyfikować kod, zdjęcia, html albo CSS. Najbardziej znaczącą sprawą, jest usunięcie z kodu odnośników/zdjęć z oryginalnej strony i umieszczenie ich na własnym www. Jak pisałem powyższy wpis, to jeszcze nie było wykrywalne w chrome.

  40. 9. Facebook man in the middle, czyli niepewna droga pakietów: jak chcę przejąć pakiety to muszę być podłączony to takiego samego iternetu/rutera albo kolo ?czy mogę z byle jakiego miejsca ?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *