Привет, хакеры!
Получение доступа к личной переписке является для многих желанной целью. Кто-то таким образом хочет проверить мужа/жену на верность, кто-то получить конфиденциальную информацию, кто-то просто хочет разыграть друга. Спектр возможностей, которые при этом открываются, довольно широкий.
Сегодня я расскажу о том, как злоумышленники могут взломать аккаунт в WhatsApp. Разберем пошагово, какие действия при этом совершаются и как от этого защититься.
Работать мы будем в Kali Linux.
Открываем терминал и вводим:
apt update
apt upgrade
Установим git и php
apt install git
apt install php
Переходим к скачиванию самого инструмента:
git clone https://github.com/Ignitetch/Whatsapp-phishing
cd Whatsapp-phishing
Как как я проверяю на себе, я запускаю локальный сервер.
php -S localhost:5555 (порт на конце можете указать любой)
Вывести это в глобальную не составляет труда. Самый примитивный способ через ngrok
Теперь я открываю браузер и перехожу по указанной ссылке.
В реальности эта ссылка отправляется жертве, под каким-нибудь предлогом типа: "Мы проводим розыгрыш, вот ссылка для регистрации на участие через WhatsApp".
Открывается страница.
Как только жертва её откроет, в терминале появится информация.
Жертва вводит номер телефона и жмет "Login". В это время у злоумышленника опять обновляется информация в терминале и теперь у него уже есть номер телефона жертвы (если он не знал его заранее).
Чтобы посмотреть номер телефона, который ввела жертва, открываем вторую вкладку терминала и переходим в ту же папку с программой. Вводим:
cat log.txt && cat logs.txt
и получаем номер жертвы.
После того как жертва ввела номер телефона и нажала Login, её перебрасывает на страницу ввода кода подтверждения, который должен прийти по СМС.
Злоумышленник вводит номер жертвы на своем устройстве и отправляет как раз этот самый запрос на код. Жертва получает его и вводит в поле, после чего перенаправляется на официальный сайт web.whatsapp.com
Ну дальше, думаю, все и так понимают, что происходит. Код попадает к злоумышленнику, он опять вводит
cat log.txt && cat logs.txt
и тем самым получает заветную комбинацию цифр для авторизации.
Вывод
Никогда не сообщайте код подтверждения третьим лицам, кем бы они не представлялись и какие бы заманчивые фразы не говорили.
Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.