Технологии
Павел Скор

Как «взломать» страницу «ВКонтакте» или почему нельзя доверять даже друзьям

Многие думают: «Пффф, да меня невозможно взломать!». Как бы не так.

Наверное, вы знаете что можно зайти в аккаунт, не зная пароля. Это можно сделать через токен авторизации и получить полный доступ к профилю. Именно так я взломал своих друзей.

Важно! Если Вам пишет человек с просьбой перейти по ссылке, нажать «разрешить» и отправить ссылку из адресной строки, шли ***** [нафиг] такого человека.

С помощью токена злоумышленник может незаметно получить доступ к странице, но для этого потребуются навыки социальной инженерии. При этом двойная авторизация никак не защитит пользователя.

Как работает «взлом»:

  1. Пользователю пишет человек с просьбой оценить его сайт и перейти по ссылке;
  2. Когда он нажимает «разрешить», то открывается окно с текстом — скорее всего никто не поймёт, что произошло;
  3. Тогда злоумышленник попросит ссылку из адресной строки;
  4. Если её прислать, то взломщик получит доступ к личным сообщениям — и это нигде не отобразится.

Предлогов может быть очень много, в некоторых случаях даже не нужна ответная ссылка — злоумышленники сами её получат с помощью скрипта. Если вас неожиданно просят о переходе по какой-то ссылке, просто не переходите.

Для «взлома» используют возможности API «ВКонтакте» — можно получить данные токена безопасности из cookies через отдельный сервис. Ссылку оттуда достаточно отправить жертве, после чего нужно попросить переслать назад. По этим данным можно совершить подмену cookies.

При внезапно смене IP «ВКонтакте» должна блокировать действия страницы до ввода номера, но этого почему-то не происходит.

#взломы #безопасность