Siema. Podrzucie jakiś szybki sposób na to, żeby na podstawie ruchu sieciowego sprawdzić jakie dane logowania do fejsa ma współlokator. Od razu zaznaczam tym, którzy zaczną opowiadać bzdury, że się nie da, że jesteśmy w tej samej sieci lokalnej, więc na pewno jest jakiś soft którym to można zrobić.
taka fakeowa stronka nie będzie miała ważnego certyfikatu, przeglądarka wywali jebutne ostrzeżenie albo wręcz zabroni wejścia na stronę, a nawet jak wejdzie to po kliknięciu w pole w formualrzu też pokarze się dymek z ostrzeżeniem, żeby nie wpisywać hasła. Najprościej chyba przez ramię popatrzeć jak wpisuje albo poszukać w wyciekach czy mail gdzieś nie poleciał, np. haveibeenpwned.com, może używa tego samego hasła.
@keeper772: Taka fejkowa stronka nie będzie miała w
@GienekZFabrykiOkienek: no dokładnie, skoro to kolega z pokoju obok to zawsze można coś na pendrive ogarnąć coś na kompie sprawdzić bo mój się zespół, sposobów jest trochę, tylko trzeba popracować;P
@teddybear69: wg mnie nic nie zrobisz z sieci lokalnej z samym ruchem i zostaje Ci socjotechnika. Jest takie fajne narzędzie phishingowe hiddeneye, tylko do jego obsługi trzeba coś tam umieć, a jak widzę, że chcesz ściągać mitm z torrenta to wydaje mi się, że to Cię przerośnie. Ew. jak ktoś już pisał fake stronka logowania i podmianka w dns na routerze na coś pokroju facedook.com tylko jeszcze trzeba kogoś zmusić
I co, faceb0ok.com czy inna kombinacja z certem LE sprawi, że przeglądarka będzie się darła? Nie wydaje mnie się.
@tellet: Ciekawe tylko czy LE w ogóle wystawi mu certyfikat na taką domenę, spodziewałbym się, że mają jakieś automatyczne wykrywanie takich ewidentnych wałków - zwłaszcza, że tego typu ataki stały się dość popularne.
Wtedy pozostaje jeszcze jakaś opcja z włamem na telefon jeśli ma starego androida, lub na kompa jeśli używa i przez chamskiego RDPa czy jeszcze lepiej, teamviewera xD, w nocy czy pod nieobecność zalogować zdalnie i jazda.
@tellet: Ale nie SMS tylko połączenie głosowe.. FB ma opcje połączenia głosowego i kod nie przychodzi Ci w formie wiadomości tekstowej którą możesz podejrzeć, a połączenia głosowego gdzie automat mówi Ci liczby i mając
Widzę, że się ekspertów nazbierało. Dzięki za nic. Jestem przekonany, że się to da zrobić, bo osobiście znam gościa któremu hasło do maila ukradli tylko dlatego, że korzystał z otwartego wifi w galerii nawet nie logując się w niej na to konto, także jakby ktoś jednak tutaj znał sensowne sposoby to poproszę o info, a te wszystkie "nie da się bo szyfrowane" możecie sobie powtarzać waszym starym.
@GienekZFabrykiOkienek: może mieć jak sobie wygenerujesz. Chociaż wtedy przeglądarka też może ostrzegać przed selfsigned certificate, dlatego można certyfikat kupić albo użyć czegoś w rodzaju hiddeneye i wysłać phishingowy link. On tam używa jakiś fajnych usług do tymczasowego hostowania usług i nawet można customowe adresy tworzyć w jakimś tam zakresie. No i certyfikat będzie spoko, bo od dostawcy usługi
@GienekZFabrykiOkienek: to wtedy po zwykłym http. Może być nawet "WYGRAŁEŚ IPHONE 12 WPISZ PASSY DO FEJSA ABY ODEBRAĆ" jak ofiara jest deklem. Ostatecznie sprowadza się do dwóch tematów: -czy jest 2fa? -nakłonienie ofiary żeby podała passy.
@teddybear69: nawet jeśli byś przechwycił jego hasło, ba nawet gdyby sam Ci je podał to niestety w dobie 2FA bez dostępu do telefonu/maila nic nie zdziałasz ¯_(ツ)_/¯
@tygry: typ jest technicznym analfabetą więc jakie to ma znaczenie, większości z tego i tak nie zrozumie, a resztę sobie dopowie z tego co zobaczył w filmach 15 lat temu
że korzystał z otwartego wifi w galerii nawet nie logując się w niej na to konto
@teddybear69: Najprostszy i często jedyny element systemu zabezpieczeń który można złamać znajduje się miedzy klawiaturą a krzesłem. Jak się zalogował poprzez stronę phishing-owom to mogli mu wykraść hasło, inaczej się nie da - no można jeszcze hasło zgadnąć albo znaleźć zapisane na kartce na biurku ( ͡°͜ʖ͡°)
@47e225fbde01e447c74d3254752fe100: I jak najbardziej we własnej sieci można to zrobić na routerze, zaserwować własnego Facebooka żeby wyłuskać hasło i zalogować się jako my, weryfikacja dwuetapowa to utrudni, ale to też da się obejść (jak się logują do fejsa to się spodziewają, że muszą potwierdzić logowanie i to potwierdzą wiec nasza fejk stronka będzie się też logowała do prawdziwego fejsa). Bardzo prawdopodobne, że po takim ataku ktoś się zastanowi i nabierze
#programowanie #hacking #hackingnews #pytanie #pytaniedoeksperta #komputery #siecikomputerowe #facebook
@keeper772: Taka fejkowa stronka nie będzie miała w
@tellet: Ciekawe tylko czy LE w ogóle wystawi mu certyfikat na taką domenę, spodziewałbym się, że mają jakieś automatyczne wykrywanie takich ewidentnych wałków - zwłaszcza, że tego typu ataki stały się dość popularne.
@tellet: Ale nie SMS tylko połączenie głosowe.. FB ma opcje połączenia głosowego i kod nie przychodzi Ci w formie wiadomości tekstowej którą możesz podejrzeć, a połączenia głosowego gdzie automat mówi Ci liczby i mając
Ostatecznie sprowadza się do dwóch tematów:
-czy jest 2fa?
-nakłonienie ofiary żeby podała passy.
Pierwsza fizyka czarnej dziury.
Druga magia.
@teddybear69: Najprostszy i często jedyny element systemu zabezpieczeń który można złamać znajduje się miedzy klawiaturą a krzesłem. Jak się zalogował poprzez stronę phishing-owom to mogli mu wykraść hasło, inaczej się nie da - no można jeszcze hasło zgadnąć albo znaleźć zapisane na kartce na biurku ( ͡° ͜ʖ ͡°)
A
I jak najbardziej we własnej sieci można to zrobić na routerze, zaserwować własnego Facebooka żeby wyłuskać hasło i zalogować się jako my, weryfikacja dwuetapowa to utrudni, ale to też da się obejść (jak się logują do fejsa to się spodziewają, że muszą potwierdzić logowanie i to potwierdzą wiec nasza fejk stronka będzie się też logowała do prawdziwego fejsa). Bardzo prawdopodobne, że po takim ataku ktoś się zastanowi i nabierze