Атака через FotoSploit: пошаговое руководство по фишингу с превью-фото

06.12.2019, 21:31

Vertigo

Познавший АНТИЧАТ

Регистрация: 27.02.2017

Сообщений: 1,312

С нами: 4845950

Репутация: 0

Приветствую, Друзья и Форумчане!

Сегодня разберём FotoSploit — свежий (2025) инструмент от испанца Cesar-Hack-Gray для проведения фишинговых атак + социальной инженерии против аккаунтов Facebook / Google.

Цитата:

Информация предоставлена исключительно для обучения и анализа уязвимостей. Любое несанкционированное применение подпадает под ст. 272 УК РФ / Computer Misuse Act / GDPR.

Что под капотом

Ядро: старый добрый SocialFish с доработками под
Код:
```
php
```
и автоматическим туннелированием через ngrok.
Лут: IP-адрес жертвы, HTTP headers (User-Agent), примерные Geo-координаты по GeoIP, плюс логин/пароль, если пользователь введёт их на поддельной форме.
Фишка: «кликабельное откровенное фото» (JPG ≤ 500 KB) с заманчивым описанием и редиректом на реальный YouTube/Facebook, чтобы не вызвать подозрений.

Быстрая установка
Arch Linux / Manjaro

Код:

Код:

# git clone https://github.com/Cesar-Hack-Gray/FotoSploit.git
# mv FotoSploit /root/
# cd /root/FotoSploit
# chmod +x install.sh FotoSploit
# bash install.sh
# ./FotoSploit

Termux (Android)

Код:

Код:

pkg update && pkg upgrade -y
pkg install -y php python2 git
cd $HOME
git clone https://github.com/Cesar-Hack-Gray/FotoSploit
cd FotoSploit
bash install.sh
./FotoSploit

Подготовка поля боя

ngrok
- Если бинари не встали автоматически — качаем под свою архитектуру и кидаем в каталог инструмента (
  Код:
```
FotoSploit/ngrok
```
  ).
Приманка-фото
- Любой JPG ≤ 500 KB (разрешение не критично, но 430 × 430 px — оптимум).
- Кладём в
  Код:
```
/root/
```
  или
  Код:
```
$HOME/FotoSploit
```
  (см.
  Код:
```
foto
```
  параметр).
Тест-аккаунт
- Используем песочницу, чтобы не «стрельнуть» по продакшен-учётке.

Стартуем атаку

Код:

Код:

> show options
> set foto /root/pic.jpg
> set title "Моё откровенное фото здесь"
> set view YOUTUBE     # либо FACEBOOK
> show options         # проверяем
> go

Дожидаемся, пока скрипт прогрузит картинку без ошибок.
Получаем ссылку вида
Код:
```
https://hbhg2fg1.ngrok.io/id=1.php
```
.
Лайфхак: обфусцируйте URL (bit.ly, рекламный редирект, Base64 и т.д.), чтобы он выглядел правдоподобно.

Когда жертва переходит по ссылке, видит заставку 18+ и форму логина. Пока «тело думает», на вашей консоли уже лежат IP, User-Agent и гео-данные:

Если жертва всё же авторизуется — логин+пароль записываются в

Код:

sites/credentials.txt

, а она попадает на реальный YouTube-канал:

Как это детектировать и отбиться

Техника защитыСуть2FA / FIDO2Даже при краже пароля злоумышленник не пройдёт второй фактор.Проверка URLОфициальные Facebook/Google-адреса всегда .com/ без

Код:

ngrok

, bit.ly и лишних параметров.Браузер-алертыChrome/Edge помечают HTTP-формы «Небезопасно».Блокировка ngrokWAF или адресные ACL на

Код:

*.ngrok.io

.Тренинги по фишингуРаз в квартал прогоняйте сотрудников через simulated-phish-кампании.

Юридический момент

РФ: несанкционированный доступ (ст. 272 УК), до 6 лет лишения свободы.
ЕС: директива 2013/40/EU + GDPR (штрафы до 20 млн € или 4 % оборота).
Pen-test ≠ взлом: нужен письменный договор и чёткое согласие владельца системы.

Итоги

FotoSploit — удобный конструктор фейковых страниц, но ничего принципиально нового: SocialFish + ngrok + JPG-приманка.
Полезен только в рамках легального Red Team/Phishing-Simulation с согласием заказчика.
Защититься помогают базовые меры — 2FA, фильтрация туннелей и здравый смысл пользователя.

Будьте этичными. Знание атаки — первый шаг к обороне.

До новых встреч, всем удачи и безопасных дорог в сети!

𝕏 Twitter Reddit Telegram Копировать ссылку