Da bi nedovoljno zaštićeni Facebook profil uhakovali ne morate biti neki hakerski IT mag svemira – dovoljno je samo ‘potrefiti‘ email adresu i lozinku kojom se taj neko loguje na svoj Facebook nalog. Kako?

Prvo, da objasnim, socijalni inžinjering ne zahteva nikakvo posebno umeće i znanje iz IT bezbednosti već je to, više, neka naprednija vrsta šibicarenja – žrtva je ubeđena da je to što radi naivno i bezbedno, a ono – opala, profil na društvenim mrežama, email nalog i slično ukradeni. Dakle, ako ste prevarant u životu i imate dara nekoga da zajebete – bićete dobar socijalni inženjer 🙂
Više i socijalnom inžinjeringu pročitajte ovde.

Hakovanje FacebookaU ovom primeru ću vam objasniti konkretno kako sam preoteo Facebook nalog jednog nedovoljno zaštićenog profila (iako nisam prevarant u životu), koji bi i dalje bio netaknut da je čovek aktivirao dvostepenu autentifikaciju i da je imao neku pametnu lozinku – tako da ćete na konkretnom slučaju biti upoznati sa važnošću e-zaštite.

 

Ne bavim se hakovanjem tuđih stvari na internetu, ne zanima me to niti želim da se time bavim, a iskreno ne vidim ni poentu toga…ali ovog puta lik je ostavio neka dva komentara koja su me isekla, prvo apsolutno je zloupotrebio tekst o hakovanju i zaštiti komšijinog interneta i posle i podjebavao time, drugo ostavljao je neke uštaša-četnik-partizan-nemac nac(ional)ističke komentare na Kompjuteras Facebook stranici…

Plan je bio sledeći:

  1. Pronaći email adresu kojom se čovek loguje – bila je skrivena, a Facebook username se nije video
  2. Pretpostavka na osnovu ova dva komentara koja sam video je da je čovek pomalo ograničen te da je u ogromnoj grupi ljudi na FB kojima je lozinka nešto tipa 1234567890, dvostepena autentifikacija isključena
  3. Probati se ulogovati kombinacijom slova iz email adrese, ako to ne prođe…
  4. Napraviti lažni profil „nafurane mawe (na njih se budale obično lože)“ i sa njime pokrenuti chat pa preko chata otkriti detalje iz njegovog života a koji najverovatnije mogu biti lozinka facebook naloga (imena dece, datum rođenja, ime kućnog ljubimca, mesto gde živi i slično) i nekako doći do njegove email adrese
  5. Ako to ne prođe – napraviti lažnu facebook stranicu i navesti ga da ode na nju i ukuca username/password (ovo već nije socijalni inžinjering nego fishing – ali srećom do ovoga nije došlo)

Gugl pretraga njegovog imena i prezimena mi nije dala ništa, dakle na osnovu nje nisam mogao da dodjem do njegove email adrese. Nadao sam se da je na nekom sajtu ostavio taj podatak.

Ništa, napravio sam lažni facebook profil pod imenom „Dražena Srce Machkitsa“, našao neku retardiranu duckface selfi fotku sa neta za profilku, BMW kao cover da se vidi da sam sponzoruša (hahahhah) i poslao mu poruku preko Facebooka, čovek se upecao, počela je priča i eto meni zanimacije u prevozu 😀

Lazni profil

Swatka mawa

Provaljivanje u Facebook profil socijalnim inžinjeringom

Nismo mnogo četovali, davao je sve informacije bez problema i rekao sam mu „da me je dečko prevario pa sad hoću da mu se osvetim a izgledam prelepo (i opet hahahahah)“ i zatražio mu da mi da njegovu mail adresu da mu pošaljem fotke jer ih već imam na mailu pa mi komplikovano da ih prevlačim na Facebook – i eto greške broj jedan – čovek mi dade njegovu email adresu – dakle pola posla gotovo.

Posle toga pokušao sam da se ulogujem na njegov email nalog, koji je bio na Gmailu kombinacijom slova iz mail adrese, FB imena i prezimena – neuspešno, isto probao na Facebooku – neuspešno. Dakle trebalo je provaliti koja je lozinka.

Potom je čet išao u smeru upoznavanja, odakle je on, odakle sam ja, dobio sam njegovo godište, (ima 20 godina), pravo ime i prezime (možda i nije pravo ali najverovatnije jeste), probao sam sve ove podatke kao lozinka i nisu bili – i posle sat vremena četa iz autobusa dođosmo do druge greške:

Provaljivanje u Facebook profil socijalnim inžinjeringom

Dakle, čovek je zaljubljen u svoj kraj – što me dovelo do lozinke: zemunpolje
Probao i ulogovao se.

Sledeći koraci – logovanje u profil, izmena email adrese vezane za profil tako da više ne može da se uloguje na nalog, izmena lozinke i to je to – profil preuzet. Nije dugo na Fejsbuku, 2014-te je kreirao nalog i imao je oko 150 Facebook prijatelja od kojih je ogromna većina „Nafuranih mawih“ i koliko vidim nije nešto ni bio aktivan na toj društvenoj mreži, možda 20-tak objava zatvorenih za javnost sa možda samo jednim ili dva komentara drugih korisnika.

ALI POSLASTICA – ista lozinka mu je bila i na email nalogu – a čovek je lajkovao facebook stranicu ovog bloga i mogao je pročitati da je email ključ hakovanja svih podataka te da se on mora dobro zaštititi kako ne bi bilo većih problema.

Email nalog mu nisam dirao, a mogao sam, gre’ota, vidim po email subjectima da je slao neke CV-jeve i jurio posao, što opet ima drugu stranu medalje – svi njegovi privatni podaci na izvol’te – ime i prezime (ipak mi je dao lažno ime i prezime), ulica i broj, pa čak i fiksni i mobilni telefon  – dakle, da sam maliciozan mogao sam da ga maltretiram do mile volje, da šaljem svakakve bljuvotine njegovim potencionalnim poslodavcima, a sve zahvaljujuću lošoj praksi: ista lozinka svugde, koja je pri tom i jednostavna i laka za probijanje plus nema dvostepene autentifikacije.

Acko

Dalje – kontakti sa njegovog Android telefona, imao sam uvid u sve njegove kontakte iz realnog života i njihove brojeve telefona jer su bili sinhronizovani, mogao sam sve da ih obrišem sa sve Google profilom, tako da više nikad ne može da ih povrati nazad (ako ste obrisali kontakte imate opciju da Gmail-u da ih vratite iz perioda od X dana).

Šta sam još mogao –  a nisam. Sa tom njegovom mail adresom da uradim reset lozinki na DropBox-u, Copy-ju i drugim cloud servisima te skinem ili obrišem sve fotke i dokumenta tamo, reset lozinke za druge društvene mreže, pokušao bih i reset e-banking naloga (na osnovu mailova i slanja izvoda od strane banke može se doći do infoa u kojoj je banci) pa da kupim online sebi, šta znam, Windows phone (da vidim jednom to čudo kako izgleda) i slično.

Sve u svemu, profil preotet, email ostavljen na miru uz poruku u inboksu da promeni lozinku, stavi neku zajebaniju i aktivira dvostepenu autentifikaciju na Gmail-u uz info kakvo je sve sranje moglo da se napravi – a da se od Facebook naloga oprosti i pazi ubuduće kako se ponaša na netu.

Kao što ste videli, nikakva hakerska veština, alat, linuksi, čuda, muda – samo navođenje korisnika da odavanje informacija.

Rezime:

  • Da je korisnik aktivirao dvostepenu autentifikaciju ne bih mogao ništa da provalim
  • Da je imao lozinku Z3moonP0lj3 umesto zemunpolje ne bih mogao ništa da uradim
  • Imao je istu lozinku na FB i na primarnom emailu – u što je opasno i mimo e-sveta (mogu imati podatke o mestu stanovanja čoveka, njegove brojeve telefona, lozinke za plaćanja preko neta i slično)

Mogao sam ići i drugom metodologijom, da mu nekako nađem facebook prijatelja koji je najviše stvari objavio javno, pa otvorim novi profil sa prijateljevim imenom i prezimenom i njegovim javnim fotkama…i da pošaljem čoveku: „Molim te neko mi uhakovao nalog, možeš li mi dati tvoje podatke samo da proverim da li je kod mene podešavanje kao kod tebe“ (šansa je 40:60 da bi ovo prošlo, ali što ne probati).
Ovu metodologiju objasnite svojoj deci jer cenim da na ovakav način razni bolesnici uspevaju da startuju dete preko FB-a (voleo bih da radim u MUP-u i da se podrobnije upoznam sa metodama koje se koriste).

U opasnosti je svako ko ima jednostavnu lozinku koja se može izbunariti na ovaj ili onaj način…recimo kad bih počeo da burgijam po profilima roditelja (roditelji koje imam u prijateljima – a sakriveni su sa zida, naravno) koji spamuju zid slikama njihove dece – u dvaes’ evra da bi na bar 80% profila lozinka bila po šablonu „ime deteta – njegovo godište rođenja“ ili ako imaju više dece onda „ime prvog ime drugog deteta“ a od tih 80% bar 99% ima istu lozinku i na mailu.

Ako vam neko od prijatelja na bilo koji način zatraži lozinku – ne dajte mu je, a ako baš-baš uspe da vas ubedi da mu je date – pozovite tog prijatelja telefonom, pa mu je tad izdiktirajte ili ga pitajte da li je tražio (ili se vidite uživo, popijte kafu pa lagano) i ni pod tačkom razno nemojte lozinku sa emaila da koristite igde drugde kad vas kumim.