۴ راه اصلی کراک (هک) پسورد فیسبوک – درآمدی بر کراگینگ
یادمه جوون که بودم چه کسایی رو که با همین روش ها هک نکردم و چه لذت وافری که نبردم! ولی خدایی هیچکس اینارو بهم نگفت یعنی اون وقتا کسی نبود که اینارو بهم یاد بده یا اصلاً بلدش باشه! کنجکاوی ، تمرین ، آزمون خطا و تلاش زیاد کلید موفقیت من بود که به ندرت پیش میومد تو پروسه هک با شکست مواجه بشم ( حالا هدف چه شخص باشه چه ماشین و سرور و…)
پس تا انتهای این مقاله با (( حمید مهدوی فر)) همراه باشید:
فیس بوک با بیشتر از یک میلیارد اکانت و ۶۰۰ میلیون کاربر فعال بزرگترین شبکه مجازی اجتماعیه و بهترین گزینه واسه یه هکر ( ازگروه واکر و کراکر) واسه نفوذ به اطلاعات شخصی افراد و شکرت ها و سازمان ها به منظور افکار پلید یا مفیده. میخوایم تواین مقاله ۴ راه اصلی هک کردن رمز یه اکنت فیسبوک رو بررسی کنیم.
بطور عمومی ما زندگیمونو تو فیسبوک منتشر میکنیم! اطلاعاتی ازقبیل محل زندگی، دانشگاه، روز تولد، دوستان خانواده، عقاید و افکار و… (این اطلاعات مورد سواستفاده اشخاص خاصی قرارمیگیره مثل هکرها) ما از فیسبوک وسایر شبکه های اجتماعی مثل توییتر و فرندفید به منظور راههای جدید ارتباطات مجازی بهره برداری مکینم که بعضاً منجربه ارتباطات تو دنیای واقعی میشه ( این جمله آخر مربوط به ایرانه!! )
شبکه های اجتماعی تخصصی و شغلی هم وجود دارند که اطلاعات علمی و انجمن های تخصصی دراونها تبادل میشه ما واسه پیداکردن افرادی که باهامون تخصص یکسانی دارند وهمینطور ارتباطات علمی و حوزه فناوری ازاونا استفاده میکنیم که قطعاً در رأس اونها Linkedin (لینکداین )) قرار داره.
روش اول: ریست کردن پسورد: Reset the Password
ابتدا باید ایمیلی که کاربر باهاش لاگین میکنه بدست بیاریم و اگه ازش اطلاعی نداریم میتونیم تو فن پیج یا تایم لاین قربانی پیداش کنیم. دوم بر گزینه Forgotten your password? کلیک کرده و ادرس ایمیل قربانی رو وارد میکنیم حالا No longer have access to these? رو انتخاب میکنیم بعد ازت میپرسه How can we reach you? که انتخاب و اونو پرمیکنیم اگه بخوایم با ask you a question اینکارو کنیم و قربانی close friends (دوست صمیمی) شما باشه کارتون راحته چون با مهندسی اجتماعی ( که قبلاً شرح دادم) اطلاعاتی دارید که میتونید پاسخ سوالات امنیتی رو حدس بزنید!! فقط ماقب باشید که آی پی تون بلوکه نشه تا ۲۴ ساعت حق لاگین نداشته باشید..!
اگه سوالات امنیتی رو نمیتونید پاسخ بدین پس Recover your account with help from friends. رو انتخاب کنید و ازبین پروفایل هایی که تحویلتون میده ۳ تا ۵ تا از دوستای قربانی وجود دارند و شماکه قبلاً واسه این کار پید نقشه داشتین و تو پروفایلش دوستاشو شناسایی کردین ۳ تا ۵ تاشو از اون لیست پیداکنید.
واسه اینکه پسورد و ریست کنه ۳ تا ۵ تا اکانت جعلی فیسبوک بسازید و اد کنید حالا سیکیورتی کد های ارسال شده به اکانتهای fake (جعلی) رو توی باکس های مربوطه وارد کنید حالا دیگه کار تموم شده اس!! خوشحال باشید و یه کیک تجیحاً شکلاتی) به همراه چای نوش جان کنید تا خستگی از تنتون دربره! :d
– چطور این بلا سر خودمون نیاد؟!!! –
ایمیلی که واسه لاگین کردن استفاده میکنیدو تو پرفایلتون درج نکنید و از یه ادرس دیگه استفاده کنید!
سوالات امنیتی رو بطور غیرمتعارف پاسخ بدین که احیاناً حتی close friend هاتونم نتونن حدس بزنن!
به علاوه چند تا راه دیگه که حوصله تایپ کردنشو ندارم!! ببخشیدا خودتونم یه کوچولو به سلولهای خاکستری مغزتون فشار بیارید بخدا خسته شدم!
روش دوم: استفاده از کیلاگر Keylogger
این روش رو حسابی آموزش دادم! بطور کلی دوجور کیلاگر داریم نرم افزاری و سختافزاری.
Software Keylogger : وبسایت CNET یه کیلاگر نرم افزاری خوب واسه دانلود گذاشته که میتونید ازاینجا دریافتش کنید:
http://download.cnet.com/Free-Keylogger/3000-2162_4-10419683.html
Hardware Keylogger
دستگاه هایی شبیه فلش مموری و کول دیسک هستند که بعد از اتصال با پورت سخت افزاری مثه usb اطلاعات کاربر و هرچیزی که تایپ میکنه رو ذخیره و به شما تحویل میده!
– چطور این بلا سر خودمون نیاد؟!!! –
استفاده از فایروال های قوی و اینترنت سکیوریتی آپدیت شده. من شخصا روی سیستم های خانگی AVG یا Bit defender رو پیشنهاد میدم چون همه پورت های و اطلاعات تبادلی روی ماشین رو رصد کرده و بدون اجازه شما اجازه transfer اطلاعات به خارج و نمیدن.
بطور هفتگی رمزهاتون رو عوض کردین و روش های حفاظتی دیگه که خودتون زحمت پیداکردنشو بکشید.
روش سوم: فیشینگ Phishing
این روش واسه همه اکانتهای آنلاین (غیر از فیس بوک) جواب میده! یک صفحه جعلی لاگین فیسبوک fake login page درست کنید میتونید صفحه لاگین فیسبوک رو از تو مرورگر ذخیره کنید. حالا مسیر چک باکس هارو تغییر بدین که وقتی قربانی رمز رو وارد میکنه بجای ارسال به سرور به شما ایمیل بشه! (باید با برنامه نویسی تحت وب آشنا باشین) صفحه ساخته شده رو توی وب هاستینگ که قبلاً از یه شرکت ارائه خدمات میزبانی وب تهیه کردین آپلود کنید. من ازاین روش فراوان :d استفاده کردم! و چه کسایی رو که هک نکردم! بعد یجوری باید قربانی رو به محل صفحه اپلود شده هدایت کنید که آموزش روش این کار به من مربوط نیست! خودتون فک کنید چطوری باید اینکارو کرد (دیگه همه چیزو من نباید بگم که… بخدا هیشکی اینارو به من یاد نداده!!) خوده من خلاقیت بخرج میدادم و یه ساب دامین به اسم سایت واقعی مثه فیسبوک یا yahoo درست میکردم مثلاً: facebook.yourdomain.com حالا فکن yourdomain یه چیزی بود تو مایه های پسوند های همون سایت! مثل اسم سه گروه یاهرچیز دیگه. قربانی دیگه عمراً شک میکرد… حالا دیگه روش فنی اینکار و برید از وب سایت یکی از رفقای دوست داشتنی خودم ( بروبچه های لندن) مطالعه کنید:
http://www.hacker9.com/how-to-create-fake-login-page-orkut-yahoo-gmail-facebook-myspace-hotmail.html
– چطور این بلا سر خودمون نیاد؟!!! –
هر ایملی هر لینکی واسه لاگین داد روش کلیک نکنید از هویت فرستنده مطمئن بشید!
به URL آدرس سایتی که دارید نام کاربری و رمزتونو وارد میکنید خوب دقت کنید که واقعی و درست باشه. آنتی ویروس های اورجینال Norton و McAfee آنتی فیشینگ دارن!
روش چهارم: استخراج و آنالیز کوکی ها Stealing Cookies
گفتم کوکی گرسنم شد!! کوکی به معنای کیک هستش حالا چه ربطی به هک داره؟ ببینید بچه ها ساده بگم وارد هر سایتی که میشید اون سایت علاوه بر history یه اطلاعاتی از شما رو کامپیوتر یا موبایلتون ذخیره میکنه که دفعات بعدی مراجعه شما به اون سایت از اون اطلاعات واسه شناسایی شما استفاده میکنه. پوشه ای به نام کوکی cookieتو ویندوز دربر گیرنده این اطلاعاته که توی android و iOS هم همین اسمو داره ولی تو مکینتاش اسمش هست CooComind !!
این بحث خیلی مفصله و البته تخصصی که بر مرور سعی میکنم کامل توضیحش بدم و مباحثی ارائه بدم که تابحال هیچ جا توسط هیچ پارسی زبانی بیان نشده! فقط همینو فعلاً داشته باشید که افزونه Firesheep در فایرفاکس وجود داره که ترافیک قربانیو رصد کرده و …
– چطور این بلا سر خودمون نیاد؟!!! –
بعد از پایان کارتون حتماً log off کنید!
توی فیسبوک برید به Account Settings و گزینه Security رو چک کنید که Secure Browsing حتماً فعال باشه!
و نکته بعدی استفاده از سایتهای مبتنی بر پروتکل های SSL احیاناً دقت کردین بعضی از سایت ها ابتدای ادرسشون به جای http نوشته شده https آیا؟؟ خب این همون پروتکلیه که گفتم و داده ها رو از مبداً تا مقصد رمزنگاری میکنه پس اگه یه سایت واسه کاربراش ارزش قائل باشه مجوز یاهمون certificate میخره تا کاربراشو ازاین موهبت بهره مند کنه. حالا دیگه اکثر سایتهای مهم و بزرگ نسخه SSL دارن و بطور پیشفرض قرارش دادند.
خب انگشتام دیگه خسته شدن اجازه بفرمائید برم استراحت کنم
- ۹۴/۰۶/۱۲
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.