https://forum.antichat.xyz/attachmen...638407d2dc.png

Приветствую, Друзья и Форумчане!

Сегодня разберём FotoSploit — свежий (2025) инструмент от испанца Cesar-Hack-Gray для проведения фишинговых атак + социальной инженерии против аккаунтов Facebook / Google.
Что под капотом

• Ядро: старый добрый SocialFish с доработками под
  
  Код:

  ---

  php

  ---

  и автоматическим туннелированием через ngrok.
  
• Лут: IP-адрес жертвы, HTTP headers (User-Agent), примерные Geo-координаты по GeoIP, плюс логин/пароль, если пользователь введёт их на поддельной форме.
  
• Фишка: «кликабельное откровенное фото» (JPG ≤ 500 KB) с заманчивым описанием и редиректом на реальный YouTube/Facebook, чтобы не вызвать подозрений.

Быстрая установка
Arch Linux / Manjaro

Код:


Termux (Android)

Код:


Подготовка поля боя

1. ngrok
   
   • Если бинари не встали автоматически — качаем под свою архитектуру и кидаем в каталог инструмента (
     
     Код:

     ---

     FotoSploit/ngrok

     ---

     ).
     
2. Приманка-фото
   
   • Любой JPG ≤ 500 KB (разрешение не критично, но 430 × 430 px — оптимум).
     
   • Кладём в
     
     Код:

     ---

     /root/

     ---

     или
     
     Код:

     ---

     $HOME/FotoSploit

     ---

     (см.
     
     Код:

     ---

     foto

     ---

     параметр).
     
3. Тест-аккаунт
   
   • Используем песочницу, чтобы не «стрельнуть» по продакшен-учётке.

Стартуем атаку

Код:


https://forum.antichat.xyz/attachmen...6bc8be78e2.png

• Дожидаемся, пока скрипт прогрузит картинку без ошибок.
  
• Получаем ссылку вида
  
  Код:

  ---

  https://hbhg2fg1.ngrok.io/id=1.php

  ---

  .
  
• Лайфхак: обфусцируйте URL (bit.ly, рекламный редирект, Base64 и т.д.), чтобы он выглядел правдоподобно.

Когда жертва переходит по ссылке, видит заставку 18+ и форму логина. Пока «тело думает», на вашей консоли уже лежат IP, User-Agent и гео-данные:

https://forum.antichat.xyz/attachmen...d9b0a1da6b.png

Если жертва всё же авторизуется — логин+пароль записываются в
, а она попадает на реальный YouTube-канал:

https://forum.antichat.xyz/attachmen...0424615a5f.png

Как это детектировать и отбиться

Техника защитыСуть2FA / FIDO2Даже при краже пароля злоумышленник не пройдёт второй фактор.Проверка URLОфициальные Facebook/Google-адреса всегда .com/ без
, bit.ly и лишних параметров.Браузер-алертыChrome/Edge помечают HTTP-формы «Небезопасно».Блокировка ngrokWAF или адресные ACL на
.Тренинги по фишингуРаз в квартал прогоняйте сотрудников через simulated-phish-кампании.

Юридический момент

• РФ: несанкционированный доступ (ст. 272 УК), до 6 лет лишения свободы.
  
• ЕС: директива 2013/40/EU + GDPR (штрафы до 20 млн € или 4 % оборота).
  
• Pen-test ≠ взлом: нужен письменный договор и чёткое согласие владельца системы.

Итоги

• FotoSploit — удобный конструктор фейковых страниц, но ничего принципиально нового: SocialFish + ngrok + JPG-приманка.
  
• Полезен только в рамках легального Red Team/Phishing-Simulation с согласием заказчика.
  
• Защититься помогают базовые меры — 2FA, фильтрация туннелей и здравый смысл пользователя.

Будьте этичными. Знание атаки — первый шаг к обороне.

До новых встреч, всем удачи и безопасных дорог в сети!

Только Фейсбук и Гугл?? Вк например ??

Вроде как можно, если веб часть переписать под вк. Еще исходники нужны FotoSploit

Обсуждение есть на телеге.

Не прикрепляет фото и ngrok выдает ссылку на localhost. Тестил на kali и parrot. Или лыжи не едут, или что-то с руками

Идея зачетная, но зачем все так усложнять? Не легче ли самим прописать несколько строчек open graph на фишере?

Можно сделать ещё красивее:
Сайт iplogger.org
На нём есть сервис, который сокращает ссылки
Самое интересное, что можно в конце ссылки указать "расширение",

приведя ссылку, например, к виду

Яндекс

Найдётся всё

iplis.ru

Привет! При попытке установить фото:

https://forum.antichat.xyz/attachmen...4a6a9bbfea.png

На Kali nethunter по идее должен работать,на стандартной Kali может не пойти.
Parrot обновлённый тоже может не потянуть из-за версий установочных пакетов.
скрипт ngrok попробуйте скопировать в директорию bin

Помогло, но теперь фото не хочет грузить. 3 разных варианта, разных размеров до 430х430. В чём косяк?(

https://forum.antichat.xyz/attachmen...f206740cf8.png

а зачем логин и пароль от гугла или фб, если при их вводе в гугле 99% запросит проверку а на фб 90%? нужна же куки сессия. или я чего-то не знаю?

А что мешает скрипту эту сессию поднять, авторизовавшись с указанными данными?
Та проверка, о которой ты говоришь, появится уже после введения "жертвой" логина и пароля.
Так что даже, если она откажется от подтверждения, данные к тому времени уже утекут.

Если ты имеешь в виду дальнейшую авторизацию, то ничто не мешает найти нужные прокси в нужной стране,
или авторизоваться через какие-то другие сервисы.

Я имею ввиду дальнейшую авторизацию. Но прокси нормальные еще поискать надо. А что за другие сервисы для авторизации для гугла например?

Ты же видишь сколько сейчас сервисов у гугла: и youtube, и календарь, и таблицы, и много чего ещё.
Вполне возможно, что сейчас или потом при входе в один из них получится авторизоваться без дополнительной проверки.
Другой вариант - это возможность использования тех же учетных данных для совсем иного сервиса, где не требуется проверка вообще.

ТС, окажи милость, дай подсказку)

авторизация на сервисах идет через одну и ту же форму.
А пароль сейчас вообще будет сложно получить, с последним обновлением хрома они вроде как хешируют поле пароля, и на прозрачном прокси виден только хэш. Такая вот защита от фишинга

Да если бы я знал решение проблем,поэтому и молчу сижу.)
Капризный инструмент.На BlackArch заводится легко,но бывает ,что придирается к файлам-картинкам,или не прогружает их с первого раза.
Пробуйте его переустановить сразу в директорию root ,ngrok он сам должен установить в свою директорию.
Автор 3 дня назад вносил изменения,пофиксил некоторые ошибки,но просто сам скрипт всё-таки создан для termux.

Речь не о форме. Ты можешь подключаться к сервисам не только через браузер, но и через телефон, телевизор и черт знает что ещё.
А какая реализация этого подключения есть и будет там неизвестно.
В любом случае это один из векторов атаки, использовать тебе его или нет, решай сам.

А как сайт, к которому обращается браузер, поймёт что это хеш, а не пароль?
На большинстве сайтов идёт авторизация по паролю, а не по хешу...
И не обязательно пользователь использует chrome, есть и другие браузеры.

наверное речь идет о самых популярных(гугл, фб, ... По аналогии с HSTS, где они уже вшиты в браузер) ну хром самый популярный, по моей статистике. Возможно остальные потом присоединятся

Да ребят это лучший способ фишинга который я встречал, только плохо что по ip правильно только страну показывает а так все идеально
Совет: чтобы фотка прогружалась нужно обрезать ее в галерее до размера ниже 430x430, ещё когда я впервые запускал скрипт у меня была ошибка типа "invaldo red social " я не знал что делать
Нужно ввести set red social --help

а дальше что? не грузится((( фото

Всем привет. Помогите пж, обрезал фото до 430x430, потом намного меньше, менял расширение. Первый раз когда поставил сразу фото добавлялось, но не был настроен ngrok, сейчас же я настроил ngrok, но фото не хочет добавляться. Что делать?

первый раз я имею ввиду я ставил прогу FotoSploit, потом пришлось удалить Termux.

Приветсвую.
Ищу специалистов по взлому Gmail и других зарубежных почтовых сервисов.

Поделитесь пожалуйста, кто владеет информацией.
Ссылку на профиль или топик селера.