Да би недовољно заштићени Фејсбук профил ухаковали не морате бити неки хакерски ИТ маг свемира – довољно је само ‘потрефити‘ имејл адресу и лозинку којом се тај неко логује на свој Фејсбук налог а да исти није активирао двостепену аутентификацију. Како?

Наочаре за компјутер
Прво, да објасним, социјални инжињеринг не захтева никакво посебно умеће и знање из ИТ безбедности већ је то, више, нека напреднија врста шибицарења – жртва је убеђена да је то што ради наивно и безбедно, а оно – опала, профил на друштвеним мрежама, имејл налог и слично украдени. Дакле, ако сте преварант у животу и имате дара некога да зајебете – бићете добар социјални инжењер.
Више и социјалном инжињерингу прочитајте овде.

Хаковање ФејсбукаУ овом примеру ћу вам објаснити конкретно како сам преотео Фејсбук налог једног недовољно заштићеног профила (иако нисам преварант у животу), који би и даље био нетакнут да је човек активирао двостепену аутентификацију и да је имао неку паметну лозинку – тако да ћете на конкретном случају бити упознати са важношћу е-заштите.

Не бавим се хаковањем туђих ствари на интернету, не занима ме то нити желим да се тиме бавим, а искрено не видим ни поенту тога…али овог пута лик је оставио нека два коментара која су ме исекла, прво апсолутно је злоупотребио текст о хаковању и заштити комшијиног интернета и после и подјебавао тиме, друго остављао је неке ушташа-четник-партизан-немац нац(ионал)истичке коментаре на Компјутераш Фејсбук страници…

План је био следећи:

  1. Пронаћи имејл адресу којом се човек логује – била је скривена, а Фејсбук корисничко име се није видело
  2. Претпоставка на основу ова два коментара која сам видео је да је човек помало ограничен те да је у огромној групи људи на ФБ којима је лозинка нешто типа 1234567890, двостепена аутентификација искључена
  3. Пробати се улоговати комбинацијом слова из имејл адресе, ако то не прође…
  4. Направити лажни профил „нафуране маwе (на њих се будале обично ложе)“ и са њиме покренути чет па преко чета открити детаље из његовог живота а који највероватније могу бити лозинка Фејсбук налога (имена деце, датум рођења, име кућног љубимца, место где живи и слично) и некако доћи до његове имејл адресе
  5. Ако то не прође – направити лажну Фејсбук страницу и навести га да оде на њу и укуца своје кориснићко име и лозинку…мада ово већ није социјални инжињеринг него пецање (енг. fishing) – али срећом до овога није дошло)

Гугл претрага његовог имена и презимена ми није дала ништа, дакле на основу ње нисам могао да дођем до његове имејл адресе. Надао сам се да је на неком сајту оставио тај податак.

Ништа, направио сам лажни Фејсбук профил под именом „Dražena Srce Machkitsa“, нашао неку ретардирану „duckface“ селфи фотку са нета за профилку, BMW као кавер да се види да сам спонзоруша (хахаххах) и послао му поруку преко Фејсбука, човек се упецао, почела је прича и ето мени занимације у превозу.

Lazni profil

Swatka mawa

Provaljivanje u Fejsbuk profil socijalnim inžinjeringom

Нисмо много четовали, давао је све информације без проблема и рекао сам му „да ме је дечко преварио па сад хоћу да му се осветим а изгледам прелепо (и опет хахахахах)“ и затражио му да ми да његову мејл адресу да му пошаљем фотке јер их већ имам на мејлу па ми компликовано да их превлачим на Фејсбук – и ето грешке број један – човек ми даде његову имејл адресу – дакле пола посла готово.

После тога покушао сам да се улогујем на његов имејл налог, који је био на Gmail-у комбинацијом слова из мејл адресе, ФБ имена и презимена – неуспешно, исто пробао на Фејсбуку – неуспешно. Дакле требало је провалити која је лозинка. Фреквенција – један до два покушаја дневно, како му не би искочила нотификација или шта ти ја знам, да неко покушава да се улогује.

Потом је чет ишао у смеру упознавања, одакле је он, одакле сам ја, добио сам његово годиште, (има 20 година), право име и презиме (можда и није право али највероватније јесте), скупљао сам све податке које сам могао – и после сат времена чета из аутобуса дођосмо до друге грешке:

Provaljivanje u Fejsbuk profil socijalnim inžinjeringom

Дакле, човек је заљубљен у свој крај – што ме довело до лозинке: zemunpolje
Пробао и улоговао се.

Следећи кораци – логовање у профил, измена имејл адресе везане за профил тако да више не може да се улогује на налог, измена лозинке и то је то – профил преузет. Није дуго на Фејсбуку, 2014-те је креирао налог и имао је око 150 Фејсбук пријатеља од којих је огромна већина „Нафураних маwих“ и колико видим није нешто ни био активан на тој друштвеној мрежи, можда 20-так објава затворених за јавност са можда само једним или два коментара других корисника. Углавном свуда чет са сваткицама.

АЛИ ПOСЛАСТИЦА – иста лозинка му је била и на имејл налогу – а човек је лајковао Фејсбук страницу овог блога и могао је прочитати да је имејл кључ хаковања свих података те да се он мора добро заштитити како не би било већих проблема.

Имејл налог му нисам дирао, а могао сам, гре’ота, видим по имејл насловима да је слао неке CV-јеве и јурио посао, што опет има другу страну медаље – сви његови приватни подаци на извол’те – име и презиме (ипак ми је дао лажно име и презиме), улица и број, па чак и фиксни и мобилни телефон – дакле, да сам малициозан могао сам да га малтретирам до миле воље, да шаљем свакакве бљувотине његовим потенционалним послодавцима, а све захваљујућу лошој пракси: иста лозинка свугде, која је при том и једноставна и лака за пробијање плус нема двостепене аутентификације.

Acko

Даље – контакти са његовог Андроид телефона, имао сам увид у све његове контакте из реалног живота и њихове бројеве телефона јер су били синхронизовани, могао сам све да их обришем са све Google профилом, тако да више никад не може да их поврати назад (ако сте обрисали контакте имате опцију да Gmail-у да их вратите из периода од X дана).

Шта сам још могао – а нисам. Са том његовом мејл адресом да урадим ресет лозинки на DropBox-у и другим „cloud“ сервисима те скинем или обришем све фотке и документа тамо, ресет лозинке за друге друштвене мреже, покушао бих и ресет е-банкинг налога (на основу мејлова и слања извода од стране банке може се доћи до инфоа у којој је банци) па да купим онлајн себи, шта знам, Виндовс телефон (да видим једном то чудо како изгледа) и слично.

Све у свему, профил преотет, имејл остављен на миру уз поруку у инбоксу да промени лозинку, стави неку зајебанију и активира двостепену аутентификацију на Gmail-у уз инфо какво је све срање могло да се направи – а да се од Фејсбук налога опрости и пази убудуће како се понаша на нету.

Као што сте видели, никаква хакерска вештина, алат, линукси, чуда, муда – само навођење корисника да одавање информација.

Резиме:

  • Да је корисник активирао двостепену аутентификацију не бих могао ништа да провалим
  • Да је имао лозинку Z3moonP0lj3 уместо zemunpolje не бих могао ништа да урадим
  • Имао је исту лозинку на ФБ и на примарном имејлу – у што је опасно и мимо е-света (могу имати податке о месту становања човека, његове бројеве телефона, лозинке за плаћања преко нета и слично)

Могао сам ићи и другом методологијом, да му некако нађем Фејсбук пријатеља који је највише ствари објавио јавно, па отворим нови профил са пријатељевим именом и презименом и његовим јавним фоткама…и да пошаљем човеку: „Молим те неко ми ухаковао налог, можеш ли ми дати твоје податке само да проверим да ли је код мене подешавање као код тебе“ (шанса је 40:60 да би ово прошло, али што не пробати).

Ову методологију објасните својој деци јер ценим да на овакав начин разни болесници успевају да стартују дете преко Фејсбука (волео бих да радим у МУП-у и да се подробније упознам са методама које се користе).

У опасности је свако ко има једноставну лозинку која се може избунарити на овај или онај начин…рецимо кад бих почео да бургијам по профилима родитеља (родитељи које имам у пријатељима – а сакривени су са зида, наравно) који спамују зид сликама њихове деце – у дваес’ евра да би на бар 80% профила лозинка била по шаблону „име детета – његово годиште рођења“ или ако имају више деце онда „име првог име другог детета“ а од тих 80% бар 99% има исту лозинку и на мејлу.

Ако вам неко од пријатеља на било који начин затражи лозинку – не дајте му је, а ако баш-баш успе да вас убеди да му је дате – позовите тог пријатеља телефоном, па му је тад издиктирајте или га питајте да ли је тражио (или се видите уживо, попијте кафу па лагано) и ни под тачком разно немојте лозинку са имејла да користите игде другде кад вас кумим.