Подмена ссылок в мессенджерах

W

Wh1t3_F0x

Original poster
Приветствую всех любопытных. Сегодня речь пойдёт о подмене ссылок. многие из вас умеют создавать раззные заражённые ссылки, но как их москировать? И так начнём.

Подмена ссылки – тип атаки, при которой жертве предлагается одна ссылка, а переходит она на совсем иную.

Зачем подменяют ссылку

Деанонимизация и сбор данных

Самый популярный способ деанонимизации через мессенджеры – именно отправка ссылки, открытие которой приведет к получению злоумышленником данных о жертве. Это не обязательно только лишь получение IP-адреса, по ссылке можно выяснить и наличие аккаунтов в социальных сетях, и какие сайты посещает жертва, и многое другое.

Даже если жертва применяет VPN и скрывает свой подлинный IP-адрес, существуют десятки способов деанонимизации пользователей VPN, например сопоставление соединений или отправка поддельного запроса VPN-провайдеру с просьбой выдать ваши данные.

Заражение
Заражение жертвы при простом открытии сайта не очень распространенная атака, так как требует от атакующего использования уязвимостей нулевого дня, иногда таких уязвимостей нужно несколько. Например, если вы злоумышленник и у вас есть две уязвимости для браузера Chrome и для Windows, какая гарантия, что у жертвы не окажется Safari и macOS?

Конечно, первоначально можно провести разведку, для которой использовать все ту же подмену ссылки, но это уже отдельная история. Так или иначе, уязвимости нулевого дня, способные привести к компрометации устройства жертвы при простом открытии сайта, есть у хакеров государственного уровня или компаний, продающих решения государствам, но маловероятно найдутся у скрипт-кидди или хакера средней руки.

Иногда злоумышленниками используются известные уязвимости, но в таком случае у жертвы не должны быть установлены обновления браузера или другие уязвимые компоненты, например Flash.

Несравнимо чаще злоумышленники стараются вынудить пользователя самостоятельно заразить себя. Например, скачать и открыть файл или установить себе необходимое расширение для браузера. Наверное, 99,9% злоумышленников действуют именно так, потому голова на плечах была, есть и будет лучшим антивирусом.

Кража данных
В этой атаке жертва направляется на поддельный сайт, внешне неотличимый от оригинала, где должна ввести свои данные. Обычно это копия популярного сайта: социальной сети, онлайн-банка, почтового сервиса, сайта знакомств. У высококлассных злоумышленников визуально не отличается даже домен.

Но какой бы эффективной ни была атака, каким бы качественным ни был домен для фишинга и каким бы могущественным ни был недоброжелатель, ему нужно, чтобы жертва открыла ссылку.

Как заставить жертву открыть эту ссылку? На помощь приходит социальная инженерия (навыки побуждения жертвы к каким-либо действиям) и подмена ссылок. Эта возможность есть в разных мессенджерах, даже в рекомендуемых нами Telegram и Jabber.


Как происходит подмена ссылки в мессенджере

Jabber
У Jabber масса клиентов, я покажу на примере Pidgin. Для осуществления данной атаки необходимо начать диалог с жертвой, затем нажать кнопку Insert и выбрать пункт Link,который предназначен для отправки пользователю ссылок.

nk1.jpg
Пункт Link имеет две строки:

  1. URL -сюда мы вставляем ссылку на наш сайт-ловушку (куда жертва попадет на самом деле)
  2. Description - здесь мы пишем адрес сайта-приманки (куда жертва будет ожидать попасть)
nk2.jpg

После добавления ссылки нажимаем кнопку Insert.

В итоге мы получили совершенно безобидную с виду ссылку, под маской которой скрывается адрес на наш сайт-ловушку, куда и попадет в итоге жертва.

Профессионалы при использовании подмены ссылки для деанонимизации или сбора информации обычно проводят эту атаку очень изящно: жертва сначала попадает на сайт-ловушку, где оставляет сведения о себе, а затем молниеносно перебрасывается на сайт-приманку, куда и планировала попасть. В итоге данные оказываются у злоумышленников, а жертва так и не узнает, когда и как это произошло.

Telegram
В Telegram работать немного сложнее, так как пользователю перед переходом будет показана полная ссылка, куда он должен попасть. Здесь особенно важно использовать максимально похожее доменное имя.

Обычно работа ведется следующим образом: берется известный сайт и регистрируется похожий домен. Например, мы будем имитировать сайт сервиса одноразовых записок Privnote и зарегистрируем фейк в другой доменной зоне, например privnote.co.

Сайт privnote.co настраиваем на переадресацию всех запросов на оригинальный сайт privnote.com без сбора какой-либо информации, кроме заданных нами ссылок – тех, которые и будут использоваться для атаки. Пусть нашей целью будет получение сведений о жертве, и для этого развернем на нашем сайте скрипты для сбора следующих данных:
отпечатки браузера
социальные сети, где авторизована жертва.
Мы вступаем в переписку с жертвой и договариваемся переслать ей ценные данные, для передачи пароля используем Privnote. При создании ссылки Privnote мы создаем реальную записку в сервисе и аналогичную ссылку на нашем сайте-ловушке.

При создании сообщения жертве добавляем оригинальную ссылку, затем выделяем ее и нажимаем Форматирование > добавить ссылку.
_5Ylhk7OGF4.jpg


При редактировании добавляем ссылку на сайт-ловушку.

1619528702369.png

При открытии такой ссылки жертва сначала попадет на сайт-ловушку, где оставит все нужные нам данные. Затем в считанные доли секунды она будет переадресована на реальный сайт Privnote с реальной запиской и, вероятнее всего, даже не заподозрит ничего неладного.

Как защищаться от подмены ссылок
Единственной эффективной защитой от данной атаки остается ваша внимательность. Необходимо помнить о возможности подмены ссылки и проверять реальные адреса, на которые вы переходите.
 

Admin

Administrator
Сообщения
916
Реакции
753
Посетить сайт
Очень интересная и рабочая статья, я таким же способом вычислил кидалу который писал людям для регистрации на мазе (закрытый форум).
 
  • Like
Реакции: Wh1t3_F0x
G

Gig_Kik Master

Original poster
Полезная статья спасибо) Главное самим не попасть на такую удочку))
 
Название темы
Автор Заголовок Раздел Ответы Дата
DOMINUS Проверено «EDEM SIP» Подмена номера | Удобная SIP-телефония для анонимности Продажа софта 5
E Интересно Подмена Email СИ/Фишинг/Мошенничество 4
X Проверено Подмена номера телефона. Бесплатное подключение на XHO.RU Спам / Флуд / Ддос 3
G Подмена номера | Без тарифов | Без баланса | Любая страна Продажа софта 0
АнАлЬнАя ЧуПаКаБрА Подмена BTC кошельков в буфере Софт для работы с текстом/Другой софт 0
A Подмена изображения Уязвимости и взлом 5
АнАлЬнАя ЧуПаКаБрА Подмена адреса электронной почты Софт для работы с текстом/Другой софт 0
R Подмена email отправителя Софт для работы с текстом/Другой софт 3
P Подмена DNS WiFi/Wardriving/Bluejacking 4
Emilio_Gaviriya Статья Безопасность в сети: Как избежать угроз при использовании коротких ссылок. Уязвимости и взлом 0
Denik MIX Пак ссылок на базы anonfile.com Раздача email 0
B Программа для массового сокращения ссылок Продажа софта 0
prizrak11 Закрыто Размещу 10 Вечных ссылок на форумах США 600 рублей Корзина 1
W RedirectGo - Программа для создания коротких ссылок (редиректов) Продажа софта 3
АнАлЬнАя ЧуПаКаБрА INLINE Биржа ссылок Проекты Private Keeper 0
АнАлЬнАя ЧуПаКаБрА INLINE Биржа ссылок и статей Проекты Private Keeper 0
J Заработок на Сокращении ссылок до 1000Р в день. Способы заработка 0
АнАлЬнАя ЧуПаКаБрА INLINE Биржа ссылок и статей Проекты Private Keeper 0
P Размещение ссылок на 650 сайтах (ГЕО Украина) - аутрич, статьи, архив, белые и серые темы, политика Ищу работу. Предлагаю свои услуги. 13
B Сервисы сокращения ссылок t.me / telegra.ph (обходим баны) Анонимность и приватность 0
T Сократитель ссылок, который оплачивает переходы Способы заработка 0
АнАлЬнАя ЧуПаКаБрА INLINE Сокращение ссылок Проекты Private Keeper 0
АнАлЬнАя ЧуПаКаБрА INLINE Размещение вечных ссылок Проекты Private Keeper 2
АнАлЬнАя ЧуПаКаБрА 439 ссылок с уязвимостью Другое 0
X Обходим блокировку ссылок VK Способы заработка 3
D Несколько onion-ссылок для Dark Net (не моё). Полезные статьи 13
A Халявные скины CS:GO / DOTA 2 / PUBG, без депозита и ссылок в нике! Другое 2
АнАлЬнАя ЧуПаКаБрА INLINE Биржа ссылок [B&C] [P.K.] Проекты Private Keeper 4
N Знает ли кто-нибудь сайты для выпрямления ссылок с файлообменников, таких как turbobit например Вопросы и интересы 2
E Программа предназначена для "разворачивания" ссылок Полезные статьи 0
S Роскомнадзор определил порядок удаления ссылок на «зеркала» пиратских сайтов Новости в сети 0
АнАлЬнАя ЧуПаКаБрА Массовое сокращение ссылок Софт для работы с текстом/Другой софт 1
Support81 Мошенники в мессенджерах подделывают голоса руководителей для авторизации перевода средств Новости в сети 0
Emilio_Gaviriya Статья Новая Эра приватности в мессенджерах: Отслеживание и защита. Анонимность и приватность 0
NickelBlack Конференция в мессенджерах. Свободное общение и флейм 1

Название темы