Хабрахабр

ВК халява или обмен пароля на стикеры

Все вы знаете о такой абстрактной вещи как «халява».

Часть из этих предложений требуют неких активных действий, таких как регистрация, прохождение тестов, ввод данных. Возможность получить какую-то вещь бесплатно, пусть даже ненужную, собирает в интернете целые форумы единомышленников. Но в некоторых случаях люди предоставляют многие личные данные взамен на магнитик/кружку/блокнотик. И по большей части это взаимовыгодный обмен как для фирмы (получение данных о целевой аудитории), так и для человека (бесплатная безделушка). И этими данными могут воспользоваться.

Красивые односложные ответы, оформленные в виде картинок, которыми можно отвечать в диалогах. Стикеры ВК — занятная вещь, не правда ли? Многие тратят деньги за возможность получить стикеры а некоторые получают их бесплатно, и именно возможность бесплатно получить стикеры (то чем ты редко будешь пользоваться будешь ли?) подкупает.

image

Сегодня мне пришло сообщение от одного из друзей вк о возможности получения бесплатных стикеров.

image

При отправке сообщения боту он пишет чтоб вы поставили лайк и отправили ему сообщение. Пробуем просто отправить ему собщение.

image

Всё прошло. Теперь он просит отправить сообщение 15 друзьям и написать ему. Пробуем просто написать ему

image

Пишет, что мы жульничаем, но мы понимаем что бот без подтверждения через VK API и получения прав доступа не сможет читать наши сообщения, пробуем просто написать «Выполнил» и ура, осталось перейти по непонятной ссылке и получить стикеры.поднял бабла, стали другими дела

image

При переходе на ссылку, после редиректов нас выкидывает на неплохо визуально оформленный сайт с предложением войти через вконтакте чтобы наконец уже получить заветные стикеры.

image

При нажатии на кнопку идёт переход на страницу с модальным окном входа и уже установленным фавиконом из вконтакте. Внимательный пользователь заметит неверный адрес в адресной строке и то, что ранее мы уже были авторизованы вк.

image

Также для любознательных отключён вызов контекстного меню и выделение.

image

Данные отсылаются POST запросом на этот же адрес.

image

Идём во встречу, на которую нам присылали ссылку

image

В ссылках — реальная страница «Кока-кола», а организатор встречи — левая закрытая группа. Но оформлено всё более чем правдоподобно.

Что мы имеем:

Более 15000 просмотров записи, более 3400 лайкнувших запись, а значит отписавших боту.

В поддержку я уже отписал, жду ответа. Возможно это самый крупный слив данных ВК за этот год.

UPD: Написал в поддержку и через минут 15

image

Какой-то вывод? А нет его. Вспоминая знаменитую фразу Мавроди, люди, относящиеся к вопросу своей безопасности лояльно, не кончатся никогда, можно сделать предположение что похожих групп будет создано много. А что касается защиты — достаточно помнить слова венеролога: смотрите что и куда вводите.

Людям необходимо знать каким образом их могут взломать. UPD 2 (для комментариев): Вопросы грамотности населения в области компьютерной безопасности можно и нужно освещать, ведь малолетние долбкулхацкеры будут всегда, а вопросы взлома всегда умалчиваются. И надеюсь тогда количество таких вопросов станет сменьше
image

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть