Zip File, мамкины хацкеры. Вы давно просите меня в комментах сделать какой-нибудь ролик с использованием стандартного Kali’шного метасплоита. Возможностей у данного фреймворка много, поэтому и задач, которые можно было бы решить с его помощью существует немало. Но сегодня мы остановимся на такой пикантной теме, как получение доступа к чужому мобильному устройству и последующее выкачивание данных об СМС и контактах из записной книжки.
Помимо этого, мы получим фотографии с камеры в реальном времени, а также сможем перехватить звук со встроенного микрофона. Хотя последним уже никого в принципе не удивишь, но тут всё будет проделано исключительно средствами Метайсплойта.
Так что, если вы давно ждали ролика по Метахе, а также для всех тех, кто до сих пор свято верит в силу и мощь двухфакторной аутентификации и искренне недоумевает, почему Androidсчитается самой небезопасной мобильной ОС. У меня отличные новости. Сегодня я покажу, как применяя навыки соц. инженерии и умея мало-мальски работать в Линухе, любой злоумышленник сможет слямзить с вашей карты 100, 200 или даже 1000 долларов.
Всё зависит только от аппетитов и вашего финансового положения. Ладненько, не буду вас долго томить. Всё-таки темка весьма щекотливая и лучше продемонстрировать всё на практике. Погнали.
Шаг 1. Я буду исходить из того, что злоумышленник конченый нищеброд и белого IP не имеет. Для того, чтобы это компенсировать можно использовать VPN, либо зарегать учётку ngrok.
Шаг 2. Скачиваем инсталлер с офф сайте и тут же копируем именной токен.
Шаг 3. Теперь переходим в Kaliи открываем в терминале каталог с загруженным ранее zip-архивом.
Шаг 4. Распаковываем его.
Шаг 5. И прописываем в конфиге аутокен.
Шаг 6. Далее запускаем рок на нужный нам порт.
Шаг 7. И в окне открывшейся сессии запоминаем данные форварда.
Шаг 8. Не закрывая сессию, открываем рядом новое окно терминала и вводим команду для генерации полезной нагрузки. В конце портянки указываем место для сохранения APK’шки.
Шаг 9. Её нам и предстоит установить на смартфон жертвы. Сделать это можно различными хитроумными способами, от схлопывания с другой APKшкой и прокачивания жертвы посредством соц. инженерии, до прямого контакта с устройством.
Шаг 10. После того, как нужный файл будет установлен на ведрофон, переходим к запуску мультидрайвера.
Шаг 11. Юз эксплоит.
Шаг 12. Пэйлоад.
Шаг 13. Задаём параметры хоста.
Шаг 14. Не забываем про порт.
Шаг 15. Погнали.
Шаг 16. После запуска драйвера остаётся только дождаться пока жертва запустит Пэйлоад. В идеале его конечно нужно добавить в автозагрузку и затем закинуть подальше в папку ненужные приложения – бесполезный хлам.
Шаг 17. В запустившейся сессии можно проделать со смартфоном массу весёлых манипуляций. Послушать звук с микрофона. Посмотреть фотку с камеры.
Шаг 18. Запустить стрим. Узнать местоположение и даже прочитать последние принятые SMS-сообщения.
А вот это уже действительно тема. Причём реально рабочая. Мозговитый злоумышленник знакомится cдевушкой в Tinder’е. Парочка гуляет, дурачится, фоткается. Возможно даже проводит ночь в месте. Куда ж нынче без эротического финала. По итогу чел просит телефон полистать фотки, и пока наивная пассия нежится в душе, на её мобилу скачивается коварный Пэйлоад.
Дальше ребятки, естественно, расходятся, чтоб никогда больше не пересечься на этой грешной земле. Только вот через полгода, мобилка внезапно оживает и на неё падает СМСка с кодом-безопасности для подтверждения покупки в каком-то интернет-магазине. 2-3 операции и на карточке пусто. Все покупки на левых дропов. Магазины само собой зарубежные и болт клали на наши банки и сказки про то, что кто-то мог перехватить уникальный код с вашего телефона.
Как же так вышло то *лять? Дело в том, что злоумышленник, помимо того, что заразил смарт, ещё и успел срисовать циферки с лицевой части карты, пока бедная девушка расплачивалась по раздельному счёту в кафешке. Выждав время, пока встреча сто процентов забудется. И возможно даже поменяв несколько раз ПМЖ. Хитрый прайдоха активизировался и, что называется, сорвал банк.
Гнида? Возможно. Зато при деньгах. 2-3 лохушки и можно красиво кутить целый месяц, а то и больше. Естественно, сам я не одобряю такой образ жизни. И вообще всех злоумышленников люто ненавижу и презираю. Мы тут всеми руками за семейные ценности. Вон видите, даже кольцо нацепил для пущей правдоподобности. Ладненько. Это всё лирики. Я к тому, что смартфоны сегодня является очень важной частью нашего бытия.
А их безопасность, к великому сожалению, оставляет желать лучшего. Поэтому вот вам совет, который точно поможет вам сберечь, как минимум большую часть своих капиталов. Во-первых, не держите все средства в одной кубышке. Т.е. если у вас есть реальные мани, не оставляете вы всю котлету на зарплатной мирке, привязанной к номеру.
Это очень рискованно и глупо. Лучше переложите большую часть средств на накопительный счёт, а лучше на два. Треть обналичьте и накупите валюты. Часть киньте в акции. Короче, диверсифицируйте кэш. И второй, совет, за которой в меня сто пудово полетят котяхи, но я всё же его озвучу, это не покупайте смартфоны на базе Android.
Либо не используйте их для проведения финансовых операций. Друзья, знающие люди не зря используют яблоки. Apple – синоним уверенности. На iOS без джейлбрейка никакую гадость вы не поставите. А все приложухи в AppStoreтщательно проверяются. Поэтому если уж хотите обезопасить себя на максимум, то айфон в этом деле, пожалуй, лучший помощник.
Да, понятно, что они сливают все данные разрабам за бугор, но зато купертиновцы вряд ли станут покушаться на вашу ЗПху в 30-40к честно заработанную в местной Пятёрке. А вот про ведрофон так сказать, к сожалению, не получится. Данная ОСь изначально открыта и подвержена различного рода атакам. Как внутренним, спровоцированным по вине пользователя, так и внешним.
Но, это опять же, сугубо моё мнение. И грамотных специалистов в среде инфосека. Вы же можете оставаться при своём и продолжать использовать Мийоай в надежде на лучшее. Как говорит один мой товарищ, жить нужно так, чтобы у тебя попросту было нечего красть. Если вы тоже придерживаетесь такой точки зрения, тогда и вопросы безопасности каких-то финансов заботить вас не должны.
Друзья, на этом у меня всё. Надеюсь, вам понравился материал, показанный нынче в ролике, и вы всерьёз задумаетесь о безопасности своих рабочих девайсов. Если впервые наткнулся на мой канал, то обязательно подпишись. Клацнешь на колокол и в твоей ленте будут регулярно появляться годнейшие ролики на тему этичных взломов, пентестингу и информационной безопаности.
С олдов по традиции жду царские лайки и советы по поводу того, на какую же темку было бы неплохо снять следующий ролик. Без ваших комментов, я, сами знаете, как без рук. Так что не стесняемся. Ну а с вами, как обычно, был Денчик. В заключении по традиции желаю всем удачи, успеха и самое главное отсутствия траблов с банками. Берегите себя и свои смарты, не позволяйте другим брать их в руки и помните.
Сегодня смартфон – чуть ли не основной инструмент в человеческой жизни. Во многих вопросах мобилка оказывается даже полезнее вас самих. Поэтому заботьтесь о её безопасности так, как ваша мама когда-то заботилась о коте. Если, конечно, у вас был кот. Ну а коль не было, то обязательно заведите. Ведь если вы будете так много смотреть ютуб и выпадать из оффлайна, старость придётся встречать в обнимку с мохнатым.
Так позаботьтесь об этом заранее. И коту счастье, и вам отрада. До новых встреч, братцы. Всем пока