Хакер

Пользователь Habr с ником php_freelancer рассказал, как ему удалось взломать аккаунт в соцсети «ВКонтакте», обойдя защиту двухфакторной аутентификацией. Для этого он узнал получил паспортные данные жертвы, её номер телефона и подключил переадресацию вызовов с её номера на свой.

Итак, мы получили скан паспорта пользователя. Нет, фотошопить фотографию с лицом пользователя, где он держит его перед камерой, мы не будем. Мы пойдем к мобильным операторам, которые с радостью подставят жертву. Регистрируем фейковую страницу ВКонтакте на левый номер телефона, врубаем VPN и пишем в официальное сообщество оператора мобильной связи жертвы сообщение примерно следующего содержания:

«Добрый день. Нам требуется установить переадресацию всех звонков на новый номер телефона. Доступа к самому телефону не имею. Что от меня нужно для совершения данной операции?»

И что же дальше? У вас спросят номер телефона жертвы, новый номер телефона, куда требуется переадресовать все звонки и паспортные данные для «подтверждения вашей личности и владения номером телефона». Здорово, не правда ли? Достаточно просто купить новую симку на вокзале за 300 рублей, либо купить виртуальную симкарту где-нибудь в сети и не париться. Сообщаете всю информацию и все, дело в шляпе — переадресация включена и, что самое удивительное, — жертва не мгновенно оказывается уведомленной о подключении переадресации.



Судя по скриншотам переписки, Yota, «МегаФон» и МТС отказались настраивать переадресацию в онлайн-режиме. Лишь один оператор (с замазанным чёрно-жёлтым логотипом) оказался сговорчив и без лишних вопросов начал перенаправлять звонки на номер хакера.

«ВКонтакте» позволяет сменить пароль от аккаунта после ввода кода, который приходит по SMS, но можно указать, что сообщения не приходят — тогда на указанный номер позвонит робот и продиктует код. SMS о смене пароля будут также приходить на номер жертвы, и если она отреагирует, то сможет восстановить доступ к аккаунту, но это займёт некоторое время, а с помощью скриптов можно в течение нескольких секунд выгрузить все сообщения и приватные фотографии. Кроме того, если хакер взламывает аккаунт ночью, у него будет гораздо больше времени, поскольку жертву может не разбудить SMS или она не сразу сообразит, что её взломали.


iGuides в Telegram — t.me/iguides_ru
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru