Хабрахабр

[Из песочницы] Социальная инженерия в Instagram

Эта статья будет о способе взлома Instagram аккаунтов из-за неопытности их владельцев. Всё это описано лишь в ознакомительных целях.

С приходом эры двухфакторной аутентификации многие почтовые сервисы отказались от возможности восстановления аккаунта с-помощью секретного вопроса, но не все. Ключом ко взлому будет предварительное получение доступа к почте жертвы. Yandex и Rambler по-прежнему предлагают пользователям вместо номера телефона ввести ответ на секретный вопрос, это и поможет нам.

Чтобы не пересматривать профили вручную в поисках кнопки «Контакты» или «E-mail адрес», я написал простой скрипт на Python, который собирает логины подписчиков определенного человека и каждому отправляет запрос на восстановление пароля, и в файл записывается ответ сервера: Теперь главной задачей для нас будет найти те аккаунты Instagram, к которым привязана нужная нам почта.

В данном случае я выбрал первый попавшийся yandex.ru. image
Здесь мы видим списки профилей и их почтовые адреса, а точнее малую часть от их, но способную нам рассказать о том, какой это почтовый сервис.

Заходим на этот профиль и видим что указаны контакты среди которых искомый e-mail адрес.

image

Ожидаемо у нас просят ответить на вопрос «Имя собаки». Отлично, теперь переходим на сайт Яндекса и пытаемся сбросить пароль.

image

Придется действовать в рамках социальной инженерии. Хмм… Перебробовав самые популярные(Джек, Герда, Жучка) ничего не получилось.

Готово, теперь можно писать жертве: Создаём фейковый аккаунт, ставим на аватарку милую зверюшку и берем никнейм animal___planet.

image

На своём опыте скажу, большинство людей не используют двухфакторную аутентификация в Instagram, по-этому легко восстанавливаем его, а также множество сервисов, привязанных также к этому почтовому адресу. Вуаля, у нас есть ответ на секретный вопрос, у нас есть логин профиля, привязанного к этой почте.

image

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»