"Что мертво умереть не может" или фишинг ВКонтакте

[Morty]

Приветствую, обитатели форума! Сегодня речь пойдет о фишинге Вконтакте. Прежде всего хочу сказать, что в статье упоминаются некоторые сервисы, не сочтите за рекламу. Статья написана для ознакомления и я никого на описанные в статье действия не побуждаю.

Как вы знаете фишинг ВК был очень популярен, но после обновления ВКонтакте политики безопасности стал исчерпывать себя. Так ли это на самом деле? Ведь ничто не стоит на месте и с новой политикой безопасности пришли и новые методы фишинга.
В данной статье я расскажу немного о "проблемах" фиш-сайта ВК и их решениях на примере давно слитого в паблик, сайта. (Исходники можно скачать тут: Я.Диск

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

)

Что же первое бросается в глаза при открытии такого сайта?

• Подозрительный внешний вид: сайт выглядит как старая мобильная версия ВК, не работает переключение языков, старые шрифты и пиксельное лого сразу наводят на мысль, что мы попали именно на зловредный сайт.
• Отсутствие десктопной версии сайта: да, я понимаю, что 80% трафика ВК приходится на мобильные устройства, но все же, готовым надо быть ко всему, особенно, если вы занимаетесь индивидуальным взломом.
• Подобные сайты сразу отмечаются браузерами как "мошеннические": дело в том, что браузер прежде всего смотрит на SSL сертификат или его отсутствие, ну и т.к. фишеры в основной своей массе разворачивают фиш сайты на бесплатных хостингах, то и получение хотя бы DV SSL сертификата там отсутствует. сайты помечаются как "мошеннические", а потом и аккаунт на хостинге уходит в бан.
• Полное отсутствие проверки валидности данных: все что мне доводилось видеть в таких скриптах это в основном форму с полями "логин", "пароль", кнопку и запись этого добра в блокнот. Никаких проверок на валид, пустые поля или BadRequest...о работе с 2FA аккаунтами даже не говорю. Максимум - запрос в API ВК на получение токена.
• Рассылка сообщений, содержащих ссылку на фишинговый сайт: при рассылке сообщений текст был примерно такой: "О боженьки, ты выиграл в конкурсе репостов, пройди по ссылке
  Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
  и получи 100500$". Ну согласитесь звучит глупо. Но да, на такое ведутся до сих пор...такого наивного народа осталось очень мало и в основном это дети.
• Сокращение ссылок: чтобы ВК пропускал ссылки на фиш сайты приходилось делать редирект + сокращение, в итоге ссылка получалась типа
  Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
  , что только портило внешний вид сообщения.

Сейчас хочу остановиться на некоторых пунктах подробнее, а именно на сокращении ссылок и получении SSL сертификата.
Сокращение ссылок
Как делал я, когда только-только учился фишингу: создавал сайт на uCoz, в редакторе HTML страничек добавлял скрипт, который редиректил на фиш сайт. Затем загонял URL сайта в vk.cc и получалась готовая ссылка, которую ВК пропускал. Как избежать этой галиматьи? Да очень просто. Есть два пути:

1. Мы не будем сокращать ссылки с vk.cc, а немного схитрим с uCoz. (Если вы используете сайт-прокладку по типу сайта с голосованием, то это вообще шикарно)
2. Получить SSL сертификат для своего домена.

Спойлер: Махинации с uCoz

Создадим любой сайт с названием, подходящим под вашу тематику сайта-прокладки

Перейдем во вкладку Модули и создадим страничку сайта

Обзовем ее как-нибудь, я назову "test", если у вас есть сайт-прокладка типа голосовалки, вы можете назвать страницу "golos-za-ivana-pupkina"

Теперь перейдем на наш сайт, затем на вкладку "test", которую только что создали и скопируем куда-нибудь URL

Перейдем в раздел Дизайн => Редактор => Страницы сайта...и между
[SRC]
<head>
[/SRC]
и
[SRC]
<meta charset="utf-8" />
[/SRC]
вставим следующие строки:
[SRC]
<script type="text/javascript">
location.replace("http://сайт, куда нужен редирект");
</script>
[/SRC]

В итоге переходя по ссылке

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

нас перекинет на нужный нам сайт. Теперь нет необходимости сокращать через vk.cc подобного рода ссылки. ВК их без проблем пропустит, а мы при рассылки лишим себя вопросов от получателя "Ой, какая-то ссылка подозрительная...это точно не обман?".

Получение SSL сертификата
Как я уже говорил SSL сертификат нужен, чтобы браузеры и антивирусы не помечали наш фишинговый сайт как "мошеннический". Помимо этого ссылки на сайт c SSL пропускает ВК, а это значит, что манипуляции, описанные выше будут не нужны, мы сможем просто скидывать ссылку в исходном ее виде.

Спойлер: Получаем SSL сертификат

На данный момент существуют множество хостингов, работающих с центрами сертификации. Самое простое решение вопроса с SSL - это разворачивать свои сайты, как раз на таких хостингах. В их панели управления уже есть вкладка с управлением SSL, там можно заказать новый сертификат, установить свой или управлять существующими сертификатами.

Так же, чтобы снизить вероятность блокировки сайта с пометкой как мошеннический можно прописать в файл .htaccess запрет на индексацию ботами поисковых механизмов.

Спойлер: Что прописать в .htaccess

[SRC]
SetEnvIfNoCase User-Agent "^Googlebot" search_bot
SetEnvIfNoCase User-Agent "^Yandex" search_bot
SetEnvIfNoCase User-Agent "^Yahoo" search_bot
SetEnvIfNoCase User-Agent "^Aport" search_bot
SetEnvIfNoCase User-Agent "^msnbot" search_bot
SetEnvIfNoCase User-Agent "^spider" search_bot
SetEnvIfNoCase User-Agent "^Robot" search_bot
SetEnvIfNoCase User-Agent "^php" search_bot
SetEnvIfNoCase User-Agent "^Mail" search_bot
SetEnvIfNoCase User-Agent "^bot" search_bot
SetEnvIfNoCase User-Agent "^igdeSpyder" search_bot
SetEnvIfNoCase User-Agent "^Snapbot" search_bot
SetEnvIfNoCase User-Agent "^WordPress" search_bot
SetEnvIfNoCase User-Agent "^BlogPulseLive" search_bot
SetEnvIfNoCase User-Agent "^Parser" search_bot
[/SRC]

Ну вот пока и всё. Информации о ВК у меня еще много, так что если кто-то хочет подискутировать о фишинге ВК, задать вопрос или вообще все, что угодно прошу в ЛС форума. Всегда открыт для новых идей. Надеюсь эта информация была для вас полезна!