Как «взломать» страницу «ВКонтакте» или почему нельзя доверять даже друзьям

Многие думают: «Пффф, да меня невозможно взломать!». Как бы не так.

В закладки

Наверное, вы знаете что можно зайти в аккаунт, не зная пароля. Это можно сделать через токен авторизации и получить полный доступ к профилю. Именно так я взломал своих друзей.

Важно! Если Вам пишет человек с просьбой перейти по ссылке, нажать «разрешить» и отправить ссылку из адресной строки, шли ***** [нафиг] такого человека.

С помощью токена злоумышленник может незаметно получить доступ к странице, но для этого потребуются навыки социальной инженерии. При этом двойная авторизация никак не защитит пользователя.

Как работает «взлом»:

  1. Пользователю пишет человек с просьбой оценить его сайт и перейти по ссылке;
  2. Когда он нажимает «разрешить», то открывается окно с текстом — скорее всего никто не поймёт, что произошло;
  3. Тогда злоумышленник попросит ссылку из адресной строки;
  4. Если её прислать, то взломщик получит доступ к личным сообщениям — и это нигде не отобразится.

Предлогов может быть очень много, в некоторых случаях даже не нужна ответная ссылка — злоумышленники сами её получат с помощью скрипта. Если вас неожиданно просят о переходе по какой-то ссылке, просто не переходите.

Для «взлома» используют возможности API «ВКонтакте» — можно получить данные токена безопасности из cookies через отдельный сервис. Ссылку оттуда достаточно отправить жертве, после чего нужно попросить переслать назад. По этим данным можно совершить подмену cookies.

При внезапно смене IP «ВКонтакте» должна блокировать действия страницы до ввода номера, но этого почему-то не происходит.

Материал дополнен редакцией

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы рассказать свою историю.

Написать
{ "author_name": "Павел Скор", "author_type": "self", "tags": ["\u0432\u0437\u043b\u043e\u043c\u044b","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 134, "likes": 8, "favorites": 27, "is_advertisement": false, "subsite_label": "tech", "id": 89138, "is_wide": false, "is_ugc": true, "date": "Thu, 28 Feb 2019 20:59:40 +0300", "is_special": false }
0
{ "id": 89138, "author_id": 161780, "diff_limit": 1000, "urls": {"diff":"\/comments\/89138\/get","add":"\/comments\/89138\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/89138"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
134 комментария
Популярные
По порядку
Написать комментарий...
42

Комментарий удален по просьбе пользователя

Ответить
15

А ниже есть форум, где дебилы спрашивают друг у друга где их посылки, 5 млн. сообщений

В голос

Ответить
3

Срался как-то раз в тех комментах, доказывая им что можно ввести трек код в специальное поле

Ответить
2

Сейчас сам чекаю посылку через этот трекер. Увидел комментарии и с одной стороны было смешно, а с другой грустно(

Ответить
1

Это постирония братан.

Ответить
2

Это Казахстан.

Ответить
0

Это тоже постирония, братан.

Ответить
21

Когда он нажимает «разрешить», то открывается окно с текстом — скорее всего никто не поймёт, что произошло;

Открывается окно с текстом «Не копируйте данные из адресной строки, злоумышленники могут получить доступ к вашему аккаунту».

Если даже после этого пользователь скидывают ссылку, то аккаунт ему, видимо, не сильно то и нужен.

Ответить
6

чуваки которые разводят людей на деньги с карты, тех-поддержкой бвнка представляющиеся, говорят чтот типа:
- сейчас вам придёт смс с кодом, там сообщается о том что нельзя передавать эти данные никому постороннему, повторю, не сообщайте эти данные никому постороннему. Назовите код.
- 4591

Ответить
20

Ясно

Ответить
20

Понятно

Ответить
7

Ещё не стоит сообщать код с обратной стороны карточки

Ответить
25

Это всего лишь номер отделения банка. Мне так сотрудник банка по телефону сказал (с)

Ответить
1

А точно нельзя? Мне сейчас позвонили с какого-то номера, говорят что киви, попросили продиктовать код из СМС(

Ответить
0

Они просто хотят перевести тебе деньги.

Ответить
9

Когда узнал что такое сессии, токены и даже пытался xss приплести. Ну а вообще если твои друзья готовы ходить по левым ссылкам и отправлять все что их просят, будь уверен их логины и пароли давно есть в публичных базах :}

Ответить
0

К сожалению их в базах нету(

Ответить
9

Рубрика "Очевидности" на TJ

Ответить
8

Конечно, лучше не переходить. Но если очень хочется посмотреть, что по ссылке, то можно её копировать и вставить сюда: http://pici.picidae.net/ Этот сайт формирует картинку из того, что располагается по ссылке.

Ответить
1

Анус, анус себе минусни.

Ответить
2

Я людям тут годную вещь советую.

Ответить
7

Огонь горячий.

Ответить
0

Ветер дует.

Ответить
4

Пользоваться вк? Нет, спасибо

Ответить
0

Кстати да, нужно переходить в телегу)

Ответить
0

С Телегой тоже стоит быть аккуратнее. Лучше использовать чаты end-to-end вместо тех, что по умолчанию.

Ответить
3

Зимой холодно

Ответить
0

Дома тепло

Ответить
3

Дождь - это мокро, не стой под дождём.

Ответить
1

Плавание - это мокро, не плавай.

Ответить
1

Когда ты последний раз мочилась в бассейне?

Ответить
11

Когда ты последний раз мочилась в бассейне?

Теперь понятно почему тебя девки скипают

Ответить
0

Это двойная шутка, ну чё ты травишь

Ответить
0

тогда сорян, в последнее время не успеваю отслеживать местные тренды, скоро придется уходить

Ответить
0

Нет здесь никакого тренда. Мочиться означает также намочить себя. Опускаясь в бассейн с водой, ты всегда "промочишься"

Ответить
4

нужен раздел отношения. ширяяяяев!

Ответить
1

Подождем твою мать.

Ответить
3

Настя Иванова

Ответить
2

колесный диск

Ответить
1

я знаю толк в этом дерьме

Ответить
0

Че как, кстати, пробовал курс проходить?

Ответить
1

делаю на работе. правда у меня так жопа горит от скорости разговора чела. но в целом некоторые фишки которые он показывает прям заебись.

Ответить
0

Можно скорость воспроизведения видео менять

Ответить
0

Он тогда слишком долго показывает чё делать

Ответить
2

Запусти два видео одновременно :D
На одном нормальный видеоряд, на другом звук

Ответить
0

Ковер Ширяева

Ответить
0

Кот - не хлеб. Неешь. Подумой.

Ответить
0

Тиндер не помогает

Ответить
0

А в чем проблема? Не лайкают или на встречи не соглашаются?

Ответить
1

Просто когда ты говно — тебе ничего не поможет

Ответить
0

Лайкают, но не те.
За 2 месяца получил порядка 30 лайков.
Пары создал с 4-мя. Первая пара слилась после двух предложений, лол. Со второй парой даже сходил на свидание, но меня после него отшили. Третья пара слилась после 4 предложений. Четвёртая пара молчит уже 3 дня так и не поддержав начатый мной диалог.

Ответить
0

4 как-то очень мало. Попробуй лайкать вообще всех, а потом выбирай из совпавших.

Ответить
0

Лол. А зачем мне лайкать тех, кто не нравится?

Ответить
3

Потому что хикка, которую ты ищешь, скорее всего не умеет себя нормально красить и фоткать.

Ответить
11

И вообще вряд ли сидит в социоблядских приложениях.

Ответить
2

На самом деле я красивых тоже скипаю, когда вижу много фоточек, лакшери жизнь, социоблядство и всё в таком духе

Ответить
2

Ну все равно 4 - очень мало. Есть вероятность, что тот, кто по первой фотке не понравился, понравится при общении.

Ответить
0

Я боюсь ситуации, когда будет много пар. Будет нечестно. Поэтому дожидаюсь завершения с каждой парой.

Ответить
3

В этом и проблема. Ты скипаешь все преимущества тиндера, который дает возможность найти себе пару, выбирая из огромного количества вариантов. Это еще менее эффективный способ знакомства, чем просто доебы до незнакомцев на улице.

Ответить
2

Это охуительно эффективный способ знакомства.

Ответить
3

Ты слишком заморочен

Ответить
0

Я могу привязаться лишь к одному человеку за раз, сорян.

Ответить
2

Так не привязывайся к картинке из интернета. До встречи ни о какой привязанности не должно идти речи.

Ответить
3

Так не в картинке дело, в эмоциональной привязке. Будет у меня 3-4 пары сразу в тиндере, мне как с ними общаться? На треть? Я эмоционально выгорю, стану вообще чёрствым тогда. Нахуй так жить

Ответить
4

Ну так и будь черствым, этож интернет, тут нельзя плакаться незнакомым людям.

Ответить
2

Нужно ли прям так сразу привязываться и бросаться в омут с головой?

Ответить
1

Правильно делаешь: 99% тёлочек, демонстрирующих в соцсетях лакшери жизнь, видели её только в те самые моменты позирования на фоточках, и в тиндере они как раз для того, чтобы такую жизнь получить. Такие очень активно начинают тебя лайкать, если ты выложишь пару ублюдских фоточек за рулем красного Порше и желательно с какими-нибудь часами типа Омеги Ролекс крупным планом. На футболке должен быть огромный принт Филипп Плейн или Бальман.

Ответить
3

Всё проще. У меня всего этого нет, чтобы им это дать. А раз они это всё демонстрируют, то они этого хотят. Но даже если бы в теории у меня вся эта материя была, то я бы их всё равно скипнул за меркантильную сущность.

Ответить
0

А если часы balmain, а принт на футболке rolex?

Ответить
0

Ну ты чё - дешёвки же)

Ответить
0

А зря. Я уже на тж в комментах или в чятиках рассказывал, как со мной внезапно сама связалась вся такая лакшери нимфоманка (спойлер: я лох и с ней так и не переспал, зато она сводила меня на предпремьеру в театр и кормила стейком в моём любимом баре. А потом уехала в Ростов)
Чем больше лайкаешь — тем больше шансов, что тебе кто-нибудь напишет сам

Ответить
0

Попробуй лайкать вообще всех, а потом выбирай из совпавших.

Если я правильно понимаю, то такое поведение в итоге отбросит его акк вниз рейтинга и он будет реже показываться другим людям.

Ответить
1

Просто упрется в максимум лайков

Ответить
0

фига, ты популярный

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Скрипт? Шта? Через веб-версию всех подряд скриптом лайкать? Скрипт не может знать, кто мне нравится. Из матчапов выбирать потом? У меня и так 23 лайка висит, мне они не нравятся.
Расширенный акк есть

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Добавил в закладки, когда-нибудь изучу питон

Ответить
0

Ну, значит, это твой косяк, а не косяк тиндера

Ответить
0

Черешня - не кот. Ешь.

Ответить
1

Желтый снег - не мороженное, не ешь его

Ответить
0

Это что за игра, какие правила?

Ответить
0

Просто нужно писать смешную чушь)

Ответить
0

Ну мне смешно)

Ответить
0

Какая игра, такие и правила.

Ответить
1

Как бы не так.

Скажи привет двухэтапной верификации

А вообще посыл хороший конечно, но он ограничен очень уж специфическим примером

Вряд ли многие будут париться с токеном если фишинг намного беспалевнее

Да и друзья дело другое, это уже скорее проблема доверия, нежели социнженерии

Ответить
0

Двухэтапная аутентификация не поможет)

Ответить
2

По токену айпишник с устройством чекаются, далеко уедешь, затребует код.

Ответить
–2

Ниче не понял))

Ответить
1

Токен привязывается к региону, человек скопировал токен в Москве, ты его заюзал в Питере, по токену запрашивается код авторизации, человеку приходит уведомление о попытке входа в аккаунт.

Ответить
–3

Возможно, но я этого не проверял)

Ответить
7

так какого *&# [хуя] ты тогда пишешь статью на эту тему.

проверил бы для начала, сделал собственный эксперимент с токеном на двух разных машинах, в разных сетях.

Ответить
0

Я имею ввиду что не я не смотрел будет ли запрашиваться код авторизации если я буду в другом городе...🤦‍♂️

Ответить
1

так посмотрел бы, блядь, документацию!!! 🤦‍♂️
у тебя статья вообще своеобразная. ты даже не написал про огромную надпись НЕ ОТПРАВЛЯЙТЕ НИЧЕГО ИЗ АДРЕСНОЙ СТРОКИ, которая на той странице появляется

Ответить
0

Сорри, забыл указать. Но уже поздно)

Ответить
0

Токен не привязан к региону. Иначе как при поездке в другую страну работает сессия? У меня вот ниразу она не слетала из-за смены местоположения. Максимум что может быть это привязка к user agent браузера, который в свою очередь собирается таким же скриптом вместе с кукой

Ответить
0

Скорее всего, по browser fingerprint еще дополнительно идентифицирует.

Ответить
0

Очень врятли. Сервисы взлома пишут свои клиенты, которые потом по голому токену дают доступ к акку через api контача. Но скоро так перестанут читаться сообщения из-за изменения апи. Но и это я думаю как-нибудь обойдут

Ответить
1

Почему это важно?

Этому баяну уже 99 лет в обед.

Ответить
0

Потому что я до сих пор могу получить интимки друга за 10 минут....

Ответить
1

ну круто, только нам то зачем эта информация?

Ответить
0

Рассказать людям, как их могут взломать

Ответить
0

Вы аккуратнее с этим. Несмотря на здравый смысл, в России не всегда поощряется охота за багами.

Ответить
0

охота за фичами

ШИРЯЕВ

Ответить
0

Мой стёб подействовал: Шэрман решил отключить автозамену.

Ответить
0

Клиииимоооов

Ответить
0

из плеймаркет глючная чутка, версия с сайта несколько лучше, но потренируйся сначала на своем, чтоб гузами не заболеть :)

Ответить
0

А мог бы просто попросить друга.

Ответить
0

Меня сегодня мальчик лет 10 спросил в метро как удалить страницу вконтакте, потому что его взломали. Так волновался.
Я к тому, что аудитория для объяснения "не ходите по левым ссылкам и не верьте сообщениям в стиле "как ЭТО оказалось в интернете!??", выбрана не особенно удачно.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

Не знаю, видимо, я был самый молодой в радиусе диалога. Но когда я сказал, что понятия не имею, он убежал к кому-то другому. Откуда ж ему было знать, что я практически не пользуюсь ВК.

Ответить
0

у меня даже друзей в вк нет и так никому не доверяешь

Ответить
1

У тебя не только в вк нет друзей

Ответить
0

кто-то ещё всерьёз относится к этой помойке?

Ответить
0

Он сейчас такой, так-то он переживёт создателей и владельцев.

Ответить
0

Так это же очевидно

Ответить
0

Хмм
Мда

Ответить
0

Могли бы токен к IP привязать

Ответить
0

так ведь уже. :)

Ответить
0

Так ведь нет)

Ответить
0

Не вводите в заблуждение людей. Сам факт перехода по какой-либо ссылке ничего не должен сделать, если только у вас не установлено какое-нибудь расширение в браузере, от этого же автора.

Ответить
0

Можно делать так что после перехода злоумышленник получит токен даже без расширений в браузере!

Ответить
0

Это было бы уязвимостью. Так что нет нельзя

Ответить
0

Алло, через xxs можно подтянуть нужный скрипт, отпарсить нужную информацию и послать ее запросом себе. Так что все можно, тем более у нас люди не смотрят на длинные ссылки)

Ответить
0

Давай расскажи это человеку у которого компания занимается защитой информации

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Обсуждаемое
Новости
Правительство рекомендовало ограничить использование мобильных телефонов в школах
Для родителей, учеников и педагогов также разработали памятку по использованию гаджетов.
Интернет и мемы
Гениальный грузинский анекдот от Евгения Понасенкова!
Новости
Православные активисты заставили новосибирца снять футболку
«Сегодня в районе метро Площадь Маркса молодой парень вежливо после прохода к сотрудникам полиции вместе с братом из Движения Сорок Сороков (Новосибирск) согласился снять футболку с карикатурой на святого. Хорошо, с собой у него была еще джинсовая накидка — если бы поехал с голым торсом — мог бы замерзнуть», — сказано в группе «Сорок…

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]