No, no estamos ampliando nuestro catálogos de servicios, es algo que todo el mundo sabe que se hace, pero nadie explica como. Esto sin tener las facilidades de tener el usuario en tu red, y utilizar "kain" o sniffers generales.
Es verdad, que antes las estrategias eran más sofisticadas, como crear una aplicación para facebook. Esperar que la gente se agregase tu aplicación y mediante las condiciones ya te autorizaba a conseguir la información, otra vía era aprovechar un fallo de seguridad de una de estas aplicaciones y obtener esta información.
Ahora es mucho más sencillo, engañas al usuario:
- Te bajas el frontal de la web entera de Facebook.
- Haces un par de modificaciones en el código, para que te envíe la información de la cuenta. Publicas la web, con una cuenta "anonyma".
- Le envías al usuario objetivo, un correo de parte de FB con tu enlace.
- El usuario se valida en tu web, obtienes su usuario y password, y luego lo rediriges a la web correcta como si se hubiese equivocado la primera vez.
Ahora el paso a paso for dummies. Este contenido solo es para prevenir a nuestros conocidos de este mecanismo, bajo ninguna circunstancia es para que lo utilicéis.
Enlace de la web de donde he obtenido la información:
1.-Te bajas el frontal de la web entera de Facebook.
2.-Haces un par de modificaciones en el código, para que te envíe la información de la cuenta. Publicas la web, con una cuenta "anonyma".
First of all open www.facebook.com in your web browser, from “file” menu select “save as” and type “Facebook” in file name and select “web page complete” from save as menu. Once done you will have a file named “Facebook.html” and a folder named “Facebook_files”. Folder will have several files in it, let them as it is and open Facebook.html in notepad or word-pad. From edit menu select find, type action in it and locate following string.
Now save it as mail.php and create an empty log.txt file. Now you'll need a free web hosting service that supports PHP. Go to http://www.100best-free-web-space.com/ and select service and plan that suits you. Now in root folder of your website create Facebook_files folder and upload all files in Facebook_files of your hard disk to it. Come back to root folder and upload Facebook.html, mail.php and log.txt in it. Change permission for log.txt that it can be seen by administrator only. Once done make Facebook.html your index page and make site live.
3.-Le envías al usuario objetivo, un correo de parte de FB con tu enlace.
Now create a message from support@facebook.com to your victim.
Sub: Invalid activity on your facebook account
Body:
Dear facebook user (victim's facebook user name),
Recently we saw some suspicious activity on your account, we suspect it as a malicious script. As a valuable user to us we understand this might be system error, if the activity is not generated by you then please log-in to your account by following link,
Failing to log-in within next 48 hours Facebook holds right to suspend your account for sake of privacy of you and others. By logging in you'll confirm it is system error and we will fix it in no time. Your inconvenience is regretted. Thank you.
support@facebook.com,
Facebook, Inc,
1601 S.California Ave
Palo Alto CA 94394
US
4.-El usuario se valida en tu web, obtienes su usuario y password, y luego lo rediriges a la web correcta como si se hubiese equivocado la primera vez.
If your victim is not security focused, he/she will surely fall prey to it. And will log-in using phished site handing you his password in log.txt file. Pleas note that you must use that email id of victim which he/she uses to log in facebook. If you are in his/her friend list then click on information tab to know log-in email ID.
Facile e divertente
RobClav
No hay comentarios:
Publicar un comentario