Krađa Facebook profila socijalnim inžinjeringom

Da bi nedovoljno zaštićeni Facebook profil uhakovali ne morate biti neki hakerski IT mag svemira – dovoljno je samo ‘potrefiti‘ email adresu i lozinku kojom se taj neko loguje na svoj Facebook nalog. Kako?

Prvo, da objasnim, socijalni inžinjering ne zahteva nikakvo posebno umeće i znanje iz IT bezbednosti već je to, više, neka naprednija vrsta šibicarenja – žrtva je ubeđena da je to što radi naivno i bezbedno, a ono – opala, profil na društvenim mrežama, email nalog i slično ukradeni. Dakle, ako ste prevarant u životu i imate dara nekoga da zajebete – bićete dobar socijalni inženjer 🙂
Više i socijalnom inžinjeringu pročitajte ovde.

Hakovanje FacebookaU ovom primeru ću vam objasniti konkretno kako sam preoteo Facebook nalog jednog nedovoljno zaštićenog profila (iako nisam prevarant u životu), koji bi i dalje bio netaknut da je čovek aktivirao dvostepenu autentifikaciju i da je imao neku pametnu lozinku – tako da ćete na konkretnom slučaju biti upoznati sa važnošću e-zaštite.

 

Ne bavim se hakovanjem tuđih stvari na internetu, ne zanima me to niti želim da se time bavim, a iskreno ne vidim ni poentu toga…ali ovog puta lik je ostavio neka dva komentara koja su me isekla, prvo apsolutno je zloupotrebio tekst o hakovanju i zaštiti komšijinog interneta i posle i podjebavao time, drugo ostavljao je neke uštaša-četnik-partizan-nemac nac(ional)ističke komentare na Kompjuteras Facebook stranici…

Plan je bio sledeći:

  1. Pronaći email adresu kojom se čovek loguje – bila je skrivena, a Facebook username se nije video
  2. Pretpostavka na osnovu ova dva komentara koja sam video je da je čovek pomalo ograničen te da je u ogromnoj grupi ljudi na FB kojima je lozinka nešto tipa 1234567890, dvostepena autentifikacija isključena
  3. Probati se ulogovati kombinacijom slova iz email adrese, ako to ne prođe…
  4. Napraviti lažni profil „nafurane mawe (na njih se budale obično lože)“ i sa njime pokrenuti chat pa preko chata otkriti detalje iz njegovog života a koji najverovatnije mogu biti lozinka facebook naloga (imena dece, datum rođenja, ime kućnog ljubimca, mesto gde živi i slično) i nekako doći do njegove email adrese
  5. Ako to ne prođe – napraviti lažnu facebook stranicu i navesti ga da ode na nju i ukuca username/password (ovo već nije socijalni inžinjering nego fishing – ali srećom do ovoga nije došlo)

Gugl pretraga njegovog imena i prezimena mi nije dala ništa, dakle na osnovu nje nisam mogao da dodjem do njegove email adrese. Nadao sam se da je na nekom sajtu ostavio taj podatak.

Ništa, napravio sam lažni facebook profil pod imenom „Dražena Srce Machkitsa“, našao neku retardiranu duckface selfi fotku sa neta za profilku, BMW kao cover da se vidi da sam sponzoruša (hahahhah) i poslao mu poruku preko Facebooka, čovek se upecao, počela je priča i eto meni zanimacije u prevozu 😀

Lazni profil

Swatka mawa

Provaljivanje u Facebook profil socijalnim inžinjeringom

Nismo mnogo četovali, davao je sve informacije bez problema i rekao sam mu „da me je dečko prevario pa sad hoću da mu se osvetim a izgledam prelepo (i opet hahahahah)“ i zatražio mu da mi da njegovu mail adresu da mu pošaljem fotke jer ih već imam na mailu pa mi komplikovano da ih prevlačim na Facebook – i eto greške broj jedan – čovek mi dade njegovu email adresu – dakle pola posla gotovo.

Posle toga pokušao sam da se ulogujem na njegov email nalog, koji je bio na Gmailu kombinacijom slova iz mail adrese, FB imena i prezimena – neuspešno, isto probao na Facebooku – neuspešno. Dakle trebalo je provaliti koja je lozinka.

Potom je čet išao u smeru upoznavanja, odakle je on, odakle sam ja, dobio sam njegovo godište, (ima 20 godina), pravo ime i prezime (možda i nije pravo ali najverovatnije jeste), probao sam sve ove podatke kao lozinka i nisu bili – i posle sat vremena četa iz autobusa dođosmo do druge greške:

Provaljivanje u Facebook profil socijalnim inžinjeringom

Dakle, čovek je zaljubljen u svoj kraj – što me dovelo do lozinke: zemunpolje
Probao i ulogovao se.

Sledeći koraci – logovanje u profil, izmena email adrese vezane za profil tako da više ne može da se uloguje na nalog, izmena lozinke i to je to – profil preuzet. Nije dugo na Fejsbuku, 2014-te je kreirao nalog i imao je oko 150 Facebook prijatelja od kojih je ogromna većina „Nafuranih mawih“ i koliko vidim nije nešto ni bio aktivan na toj društvenoj mreži, možda 20-tak objava zatvorenih za javnost sa možda samo jednim ili dva komentara drugih korisnika.

ALI POSLASTICA – ista lozinka mu je bila i na email nalogu – a čovek je lajkovao facebook stranicu ovog bloga i mogao je pročitati da je email ključ hakovanja svih podataka te da se on mora dobro zaštititi kako ne bi bilo većih problema.

Email nalog mu nisam dirao, a mogao sam, gre’ota, vidim po email subjectima da je slao neke CV-jeve i jurio posao, što opet ima drugu stranu medalje – svi njegovi privatni podaci na izvol’te – ime i prezime (ipak mi je dao lažno ime i prezime), ulica i broj, pa čak i fiksni i mobilni telefon  – dakle, da sam maliciozan mogao sam da ga maltretiram do mile volje, da šaljem svakakve bljuvotine njegovim potencionalnim poslodavcima, a sve zahvaljujuću lošoj praksi: ista lozinka svugde, koja je pri tom i jednostavna i laka za probijanje plus nema dvostepene autentifikacije.

Acko

Dalje – kontakti sa njegovog Android telefona, imao sam uvid u sve njegove kontakte iz realnog života i njihove brojeve telefona jer su bili sinhronizovani, mogao sam sve da ih obrišem sa sve Google profilom, tako da više nikad ne može da ih povrati nazad (ako ste obrisali kontakte imate opciju da Gmail-u da ih vratite iz perioda od X dana).

Šta sam još mogao –  a nisam. Sa tom njegovom mail adresom da uradim reset lozinki na DropBox-u, Copy-ju i drugim cloud servisima te skinem ili obrišem sve fotke i dokumenta tamo, reset lozinke za druge društvene mreže, pokušao bih i reset e-banking naloga (na osnovu mailova i slanja izvoda od strane banke može se doći do infoa u kojoj je banci) pa da kupim online sebi, šta znam, Windows phone (da vidim jednom to čudo kako izgleda) i slično.

Sve u svemu, profil preotet, email ostavljen na miru uz poruku u inboksu da promeni lozinku, stavi neku zajebaniju i aktivira dvostepenu autentifikaciju na Gmail-u uz info kakvo je sve sranje moglo da se napravi – a da se od Facebook naloga oprosti i pazi ubuduće kako se ponaša na netu.

Kao što ste videli, nikakva hakerska veština, alat, linuksi, čuda, muda – samo navođenje korisnika da odavanje informacija.

Rezime:

  • Da je korisnik aktivirao dvostepenu autentifikaciju ne bih mogao ništa da provalim
  • Da je imao lozinku Z3moonP0lj3 umesto zemunpolje ne bih mogao ništa da uradim
  • Imao je istu lozinku na FB i na primarnom emailu – u što je opasno i mimo e-sveta (mogu imati podatke o mestu stanovanja čoveka, njegove brojeve telefona, lozinke za plaćanja preko neta i slično)

Mogao sam ići i drugom metodologijom, da mu nekako nađem facebook prijatelja koji je najviše stvari objavio javno, pa otvorim novi profil sa prijateljevim imenom i prezimenom i njegovim javnim fotkama…i da pošaljem čoveku: „Molim te neko mi uhakovao nalog, možeš li mi dati tvoje podatke samo da proverim da li je kod mene podešavanje kao kod tebe“ (šansa je 40:60 da bi ovo prošlo, ali što ne probati).
Ovu metodologiju objasnite svojoj deci jer cenim da na ovakav način razni bolesnici uspevaju da startuju dete preko FB-a (voleo bih da radim u MUP-u i da se podrobnije upoznam sa metodama koje se koriste).

U opasnosti je svako ko ima jednostavnu lozinku koja se može izbunariti na ovaj ili onaj način…recimo kad bih počeo da burgijam po profilima roditelja (roditelji koje imam u prijateljima – a sakriveni su sa zida, naravno) koji spamuju zid slikama njihove dece – u dvaes’ evra da bi na bar 80% profila lozinka bila po šablonu „ime deteta – njegovo godište rođenja“ ili ako imaju više dece onda „ime prvog ime drugog deteta“ a od tih 80% bar 99% ima istu lozinku i na mailu.

Ako vam neko od prijatelja na bilo koji način zatraži lozinku – ne dajte mu je, a ako baš-baš uspe da vas ubedi da mu je date – pozovite tog prijatelja telefonom, pa mu je tad izdiktirajte ili ga pitajte da li je tražio (ili se vidite uživo, popijte kafu pa lagano) i ni pod tačkom razno nemojte lozinku sa emaila da koristite igde drugde kad vas kumim.

26 komentara na tekst Krađa Facebook profila socijalnim inžinjeringom

  • Nenad

    Kako da podesim dvostepenu zastitu na gmail????
    Svaka cast za trud

    • Dule

      Možeš podestiti dvostepenu autentifikaciju na Google Account-u, ona ti vrijedi i za gmail. Pogledaj u Security&Privacy, tu se zove two-step variation…

    • Darko Dražović

      Kreni odavde, pa lagano 🙂 https://www.google.com/landing/2step/

  • Dule

    Odličan text… Kompjuteraš – najbolji si, samo nastavi tako 🙂

  • Acko

    Znao sam da ceš da pišeš o ovome. Iako si papak ja i dalje imam besplatan net i hvala ti na njemu haaahaaa
    A profil mi i onako nije bio bitan i onako sam hteo da ga obrišem super što si ti to odradio da ne gubim vreme

    • Darko Dražović

      U to ime – obrisah ti upravo FB nalog. Vidim promenio si lozinku na Gmail-u, svaka čast 😀
      Pozdravljam te NENADE!

    • Nenad

      Kome je ovo bilo upućeno meni ili Acko_
      …Doh….

    • Darko Dražović

      Što bi tebi bilo upućeno, živ ti ja?

  • Bob

    Jel si probao neki online kraker?

    • Darko Dražović

      Ma jok, ne bakćem se time.

    • Aleksandar

      Zašto se time mučiti? Većina je čista laž i prevara, onaj mali dio koji zapravo ima smisla nema potrebe da se koristi kao što je prikazano u ovom primjeru.

  • Bob

    Nakon nekoliko pogresnih unosa lozinke Google i Face blokiraju dalje pokusaje, tako da je nejasno kako si pokusavao s prostim lozinkama. Zato pitam za online kraker, koga bi trebalo da ima linux distra koju koristis.

    • Darko Dražović

      Ne bre, ovo je bilo ukupno možda 10-tak pokušaja razbijenih na čini mi se na 5 dana, u to u jutarnjim satima oko 7h ili ranije kad sam pretpostavljao da gospodin nije ulogovan i kunta.
      Kombinacija imena, prezimena, godišta i na kraju zemunpolje, uvek malim slovima i uvek spojeno, kao što koristi većina korisnika

  • Sasa

    Pozdrav majstore,imam jedno pitanje,zanima me kako da povratim facebook nalog,a za koji sam zaboravio i email i password,a bas mi je potreban?Imas li resenja nekog?Unapred zahvalan.Cao.

    • Darko Dražović

      FB nalog možeš oporaviti ako si uneo nešto od ovih podataka na svoj FB nalog: Email, Phone, Username or Full Name.
      https://www.facebook.com/recover/initiate

      Ono što sigurno znaš je Full Name, unesi ime i prezime kojim si se prijavio na FB, lupi pretragu, klikni na svoju profilku koju si imao na FB – pa će oni da ti pošalju na email kojim si se prijavio, mozda ga se setiš koji je (videćeš prvi i poslednji karakter username-a i koji je servis u pitanju, npr d**********f@gmail.com).

      A probaj i sa brojem mobilnog.

  • nenad

    DARKO , KAKO DA STUPIM U KONTAKT STOBOM

    • Jelena

      Darko,molim Vas kime da se obratim osoba po imenu Aida Sokolivic iz Sarajeva uposlena u pio/mio je otvorila profil i uzela moje fotografije kao profinu i baslovnu…Provil je otvorila 24.08.2016.

  • malena

    Mojoj je sestri neko hakovao profil, ali nemam pojma kako da vratim…pokušavala sam na sve načine i pratila linkove,ali ništa…ima br. fona na fb nalogu…pošaljem da mi kod pošalju, ali kod ne dolazi…e-mail ne mogu da šaljem, jer joj je e-mail pravila drugarica davno i ona se ne sjeća lozinke…ako možeš ti da vratiš, daću ti podatke…pa da pokušaš…jer ja stvarno ne znam šta više da radim… :/

  • malena

    Izgleda da ti mene zezaš… 🙁

    • Kako pomoći nekome ukoliko on nije unaprijed pomogao sebi? Reci prijateljici da koristi mail kojem zna šifru, nek uključi 2FA i neće joj se ponoviti.

    • Darko Dražović

      Teško, toga se ljudi sete tek posle…a opet i posle idu logikom „Pa bilo mi je zapamćeno u browseru, nisam tu lozinku nikad ukucavala“

  • Kazablanka

    Da li je moguće da povratim lozinku od Skajpa a ne znam ni email a lozinka nije sacuvana ni u kompu?Samo ynam ime…

    • Teško.

      Jedino što mi pada na pamet jeste da pokušaš otvoriti web verziju Skype-a sa svojih uređaja i da se nadaš da si na nekom ostao prijavljen. Obično ti šalju novu šifru na mail u slučaju da se to dogodi. Ukoliko nemaš pristup tom mail-u (a pogotovo ukoliko ga ni ne znaš), zajebao si se. Nauči na svojim grešakama i više sreće drugi put.

  • qwert

    Najbolje zapisujte u neku svesku lozinke, nikako na papirić jer se kao po pravilu izgubi..Za Skype zaboravljenu lozinku mozete probati ovaj program. http://ccm.net/download/download-8031-skype-password-recovery
    Ima vise programa za zaboravljene lozinke, guglajte „password recovery“.

  • milos

    cao imam problem sa fb ,hakovao mi neko profil, zelim da povratim,pokusao sam preko email , resetovao sam lozinku ,ali posle toga zahteva mi ovo, To upload your ID:
    Cover any confidential information (ex: address, license number) on you ID but make sure your name, birthday and photo are clearly visible
    Take a picture of your ID with a digital camera or scan it
    Save the photo to your desktop
    Click „Choose Photo“ below and follow the instructions
    Одабери датотеку , sto se tice tih podataka nemam , sada neznam na dalje sta i kako , hvalaa

Komentarišite

Email neće biti javno objavljen. Sajt je neobavezan podatak, svi ostali su obavezni.