Что такое фишинг или как взломать страницу в VK

Данный материал опубликован с целью обезопасить пользователя от возможных угроз из вне
В двух словах разберем что такое фишинг, это некая прослойка между клиентом и сервисом который хацкер хочет взломать, который получает данные клиента и отправляет его на настоящий сайт, либо куда угодно.

Ок, вроде понятно, как будем взламывать?

Создаем фейковую страничку авторизации VK
Любыми методами заставим ввести логин и пароль юзера
Запишем все данные и токен в базу данных

Да-да, это фейковая страница авторизации

Звучит просто, а на деле ещё легче. Потому что например в Kate Mobile нет специальной формы авторизации и не исключено что приложение может записывать все ваши пароли у себя в БД для дальнейшего использования хацкеров.

Создание фейк страницы

Здесь находятся все исходники фейковой страницы.

Скачать (Google Drive)

Что дальше? И как проходит авторизация?

После скачивания, это всё ставится к себе на сервер, вешается на какой-то домен (сайт) и заманиваются пользователи на это сайт, для авторизации. Тут конечно не хватает еще одного файла, db.sql. Делиться я им конечно же не буду. Тот кто шарит, тот сам его сможет создать и настроить. Это файл базы данных, куда всё будет записываться.

Но пользователь же не совсем долбаеб, верно? Верно, есть и более продвинутые юзеры, которые читают Рителлинг, поэтому вас наебать сложнее. Но пока всё еще можно, есть официальные приложения VK IPhone / VK IPad / VK Android и прочие. Им доверять такую авторизацию не через виджет можно (Чуть позже расскажу что это за штука). Но доверять можно только через само приложение которое было скачено в AppStore / GooglePlay. В ином случае, вас разводят. Сейчас покажу как.

https://api.vk.com/oauth/token?grant_type=password&client_id=[Наше значение]&scope=[Права доступа]&client_secret=[Наше значение]&username=[Логин который ввел пользователь]&password=[Пароль который ввёл пользователь]

И так, что всё это значит?

clenit_id - это id нашего приложения. Запишем в client_id значение 2274003.
scope - права доступа, необходимые приложению. Усложнять себе жизнь мы не будем, а просто запросим офлайн токен, записав в scope значение "offline". Этого будет достаточно, чтобы входить на страницу ВК по токену через apidog.ru. !Важно: такой токен "живет" до тех пор, пока пользователь не сменит пароль, либо завершит все сессии в настройках безопасности.
client_secret - секретный ключ Вашего приложения. Будет равен например hHbZxrka2uZ6jB1inYsH
username - логин пользователя ВКонтакте
password - пароль пользователя ВКонтакте

Секретные ключи приложений

Но у приложений есть же секретные ключи? Всё верно. Они есть.
Вот они:

Android:

client_id: 2274003

client_secret: hHbZxrka2uZ6jB1inYsH

IPhone:

client_id: 3140623

client_secret: VeWdmVclDCtn6ihuP1nt

IPad:

client_id: 3682744

client_secret: mY6CDUswIVdJLCD3j15n

Windows desktop:

client_id: 3697615

client_secret: AlVXZFMUqyrnABp8ncuU

Windows phone:

client_id: 3502557

client_secret: PEObAuQi6KloPM4T30DV

Вы можете проверить их через CURL запрос. Но там уж сами разбирайтесь. А еще убедиться в том, что это оф. паблики вы можете по ссылке vk.com/appCLIENT_ID
Например: vk.com/app3140623

Как себя защитить?

1. Сделайте двойную аутентификацию.
2. Проверяйте ваши подключенные приложения и удаляйте не нужные.
3. Внимательно смотрите как вы проходите авторизацию, один из самых безопасных способов это виджет вконтакте (Кнопочка "Войти через вконтакте" и там перекидывает на оф. сайт вк).

Если вы сделали пункт номер 1, то ваша страница от такой хуйни безопасна и остальное вовсе не обязательно. Удачки!

Спасибо за то, что вы с нами.
С любовью, Рителлинг