Аккаунты в соцсети «ВКонтакте» начали массово взламывать. Попасться может каждый
В социальной сети «ВКонтакте» зарегистрирован практически каждый житель России. Также в ней можно встретить и граждан многих других стран – Казахстана, Белоруссии, Украины и ряда других. Впрочем, все это совершенно не имеет никакого значения, поскольку все аккаунты в этой соцсети начали массово взламывать. В зоне риска оказались все пользователи, поскольку «письмо счастья» может прийти каждого человеку.
Все начинается с того, что злоумышленник создает в соцсети «ВКонтакте» страницу «Техническая поддержка VK» или что-то в таком роде. После этого он ставит на нее официальный логотип VK или что-то подобное, чтобы вызывать больше доверия. Затем, от лица сообщества, производится рассылка сообщений с достаточно убедительным текстом. В нем человека просят перейти по персональной ссылке для подтверждения данных, так как в противном случае его анкету обещают удалить.
После перехода по ссылке пользователь попадает на якобы официальную страницу «ВКонтакте», на которой необходимо авторизироваться, введя логин и пароль. После этого срабатывает переадресация на настоящий сайт, а все данные для входа в соцсеть попадают в руки злоумышленников. На такую мошенническую схему может попасться каждый человек, поскольку все выглядит крайне убедительно.
Чтобы не стать жертвой нового способа мошенничества (взлома) необходимо знать, что все сообщения от администрации соцсети «ВКонтакте», а также от службы поддержки, имеют зеленое имя, а на странице, с которой производится рассылка, имеется галочка верификации. Последняя означает, что сообщество действительно является официальным или же принадлежит тому, кто указан в названии. Также следует знать, что самая крупная в России социальная сеть иногда также просит ввести пароль от своей учетной записи, однако лишь в рамках официального сайта и в особых случаях.
До 22 декабря включительно у всех желающих есть возможность совершенно бесплатно получить спортивный браслет Xiaomi Mi Band 4, потратив на это всего 1 минуту своего личного времени.
Присоединяйтесь к нам в Twitter, Facebook, ВКонтакте, YouTube, Google+ и RSS чтобы быть в курсе последних новостей из мира технологий будущего.
Во «ВКонтакте» случился массовый взлом страниц
| Вконтакте |
В популярной российской социальной сети «Вконтакте» злоумышленники нашли уязвимость и взломали тысячи аккаунтов, которые публикуют заранее заготовленные сообщения.
Хакеры нашли в коде социальной сети «Вконтакте» особую уязвимость, которая позволила им публиковать сообщения от тысячи разных пользователей, сообщает Gamebomb.ru. Злоумышленники обнаружили способ запустить специальный скрипт, который со всех профилей и сообществ аккаунта публикует сообщения с одним и тем же смыслом: якобы соцсеть VK запустила рекламу в личных сообщениях.
Уязвимость запускается через специальную ссылку, сообщает Gamebomb.ru. Как только пользователь кликает по ней, во всех его сообществах и в его профиле появляется новая публикация. В ней автор жалуется на то, что в монетизация социальной сети дошла уже до того, что рекламу официально рассылают по личным сообщениям. В публикации прилагается ссылка на новость об этом, которая тоже запускает скрипт. Вариаций сообщений очень много. Написаны они в разных стилях, некоторые даже с ошибками, чтобы казались реальными.
Данная уязвимость предположительно была обнаружена хакерами из группы «Багосы». Они обещали раскрыть особенности бага после определенного количества собранных лайков. Сейчас сообщество заблокировано. В технической поддержке соцсети «Вконтакте» заявили, что уже знают о проблеме и решают ее. Специалисты также заверили, что хакеры через эту уязвимость не могли получить доступ к паролям и личным данным пользователей, поэтому не стоит переживать за безопасность своих страниц и сообществ.
Администрация социальной сети «Вконтакте» также напомнила, что честным пользователям платят вознаграждение за обнаруженные уязвимости. Сообщить о найденном баге можно через сервис HackeOne.
Массовый взлом ВКонтакте [XSS-червь] / OWASP corporate blog / Habr
В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя.
В данный момент уязвимость устранена.
Сообщества и пользователи ВКонтакте вечером 14 февраля начали публиковать одну и ту же запись. В записи говорится о том, что в личных сообщениях в соцсети появилась реклама.
За сутки до взлома в сообществе «Багосы» было обсуждение уязвимости, тем не менее соц сеть оказалась не готова к атаке.
После начала атаки сообщество было заблокировано, но тут же появилось несколько клонов.
При получении вредоносного кода он тут же транслируется во все личные диалоги и сообщества атакуемого, увеличивая пандемию.
Используемый javascript код можно найти по ссылке.
Примечательно то, что в коде js-пейлоада содержится несколько сообщений, произвольно добавляющихся при распространении:
var t = ["Всё меньше причин оставаться ВК.. Ждем пока mail group окончательно загонят сайт в яму и переходим на telegram", "Дурову пора создавать новый вконтакте, этот уже испортили", "Прости, Паша, мы все прое*али", "Ну это уже ни в какие рамки", "ВКонтакте окончательно загнулись", "Мда, меилру продолжает губить все, к чему прикасается", "Это пи*дец, товарищи", "Раньше было лучше", "стало очень неудобно", "лучше бы делом занялись", "я просто в шоке", "без комментариев", "Как же достали со своими обновлениями", "Фуфло полное ,не трогайте сообщения!", "сначала музыка, теперь ЭТО", "С такими говновведениями, что тут бодяжат последнее время, со всякими дебильными ветоШными комментами, тупыми закладками, невидимыми репостами и т.д., все и так сбегут скоро"], d = ["Социальная сеть ВKонтакте зaпустила реклaму в личных сообщенияx пользоватeлей", "СМИ: ВКонтакте запустили pекламу в личных соoбщениях", "ВКонтакте запустили рекламу в сообщениях", "ВКонтакте появилась реклама в сообщениях", "ВКонтакте ввели рекламу в сообщениях", "ВКонтакте тестирует рекламу в личныx сообщениях", "ВКонтакте представили рекламу в личных сообщениях", "Реклaма в личных сoобщениях появилась ВКонтакте", "Пользователей BКонтакте взбесила реклама в личных сообщениях", "Пользователи ВКонтакте протестуют против рекламы в личных сообщениях", "Реклама в личных сообщениях вывела из себя пользователей ВКонтакте", "ВКонтакте: мы запускаем рекламу в личных сообщениях", "ВКонтакте: теперь рекламодатели могут размещать рекламу в сообщениях пользователей", "ВКонтакте прокомментировали жалобы пользoвателей на рекламy в сообщeниях", "Пользователи ВКонтакте в ярости из-за рекламы в личных сообщениях", "Пользователи бегут из социальной сети ВКонтакте из-за рекламы в личных сообщениях"],
Уязвимости такого класса и эффекта довольно редки, но тем не менее все еще встречаются. Стоимость такой уязвимости должна оцениваться исходя из ее импакта и того урона, который она может нанести пользователям. Некоторые ресерчеры могут быть не согласны с политикой выплаты вознаграждения и выбирают альтернативный путь — использование ее in the wild ради шутки и привлечения внимания к проблеме.
Что делать: выйдите из всех сессий социальной сети и смените пароль (необязательно, но желательно), а также проверьте номер телефона и email, привязанные к аккаунту.
«ВКонтакте» взломали
Во «ВКонтакте» произошел массовый взлом профилей и сообществ — во всех из них постится одна и та же запись с критикой несуществующего нововведения социальной сети. В записи говорится о том, что в личных сообщениях VK появилась реклама, а источником информации выступил распространитель фейковых новостей AKKet. Коллеги из TJ сообщают, что причина загадочного появления постов может заключаться в уязвимости в XSS-защите социальной сети. При переходе по ссылке, рекламная запись публикуется во все профили и сообщества, которыми управляет пользователь.
Пример появляющихся записей
Днем 14 февраля в популярном сообществе «БАГОСЫ», участники и администраторы которого занимаются поиском уязвимостей в «ВК», опубликовали несколько записей про новый баг: рассказать о нем пообещали после сбора нескольких сотен лайков на соответствующих публикациях.
После того, как в профилях и сообществах «ВКонтакте» начали появляться одинаковые записи, паблик «Багосы» заблокировали «в связи с возможным нарушением правил сайта», а под появлявшимися везде постами пользователи писали сообщения «Опять эти Багосы».
Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код. Проблему уже исправляют:
«Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется», — пресс-служба «ВКонтакте».
iGuides в Telegram — t.me/iguides_ru
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
Тред: как мошенники взламывают страницы «ВКонтакте»
На днях в Twitter появился тред о взломе страницы «ВКонтакте». В нём автор рассказал реальную историю, где подробно описал действия мошенников, возможные последствия и способы защиты.Жену взломали в вк. Ловите тред про новый уровень мошенничества, которое может лишить вас денег, данных и сна, даже если вам кажется, что вы не лох. Расскажу, как дяди работают, и что вам нужно сделать прямо сейчас, чтобы не попасться. @zombak Дмитрий, помогите распространить 👋🏻
— Пакт Созидания (@CreationPact) January 7, 2020
Акт 1 — классика. Начали писать друзья, уточнять, правда ли нам нужны деньги. Оказалось, взломали ВКонтакте жены. Жена сбросила и изменила пароль ВКонтакте, но тут сюрприз: при входе в аккаунт страница через 5-10 сек стабильно вылетает и разлогинивается.
— Пакт Созидания (@CreationPact) January 7, 2020
Очевидно, к странице мошенник подключает какого-то бота, который разрывает все сессии кроме мошеннической. Чтобы остановить рассылочную вакханалию, попросили друзей пожаловаться на спам. Спустя минут 20 страницу заблочили и мы выдохнули. Зря.
— Пакт Созидания (@CreationPact) January 7, 2020
Акт 2 — «Нежданчик». Вторая волна сообщений от друзей. Теперь с неизвестной страницы моим друзьям пишет человек, говорит, что нашёл паспорт моей жены (прикрепляет фото) и спрашивает, где она работает, чтобы якобы туда привезти найденный паспорт.
— Пакт Созидания (@CreationPact) January 7, 2020
Спустя какое-то время этот товарищ пишет мне уже мне в личку, нервно задавая вопрос, где работает жена, давая несколько путаных объяснений, зачем ему это. Конечно же ответа не получает. pic.twitter.com/TY1yA1EkAC
— Пакт Созидания (@CreationPact) January 7, 2020
Ага, значит теперь он пытается подать заявление на микрокредит, прислав фото паспорта и указав личные данные жены. Тут мы напряглись. Вероятность, что без подтверждения личности, что-то одобрят — конечно минимум, но не рассчитывать же на порядочность этих контор в самом деле.
— Пакт Созидания (@CreationPact) January 7, 2020
Проконсультировались. Позвонили в полицию, написали заявление о попытке мошенничества. Если вдруг займ всплывет, у нас будет основание для его оспаривания в суде. И разослали десяток писем по конторам займа, что на имя жены кредитов не давайте. Пора успокоиться? Неа.
— Пакт Созидания (@CreationPact) January 7, 2020
Акт 3 — «Доброта и слабоумие». В ходе всей суеты быстро звонил один знакомый. Уточнил, все ли у нас ок и после нескольких путаных слов положил трубку. Через время пишет мне. Говорит — попался и перевёл деньги. Сядь, если стоишь, щас напишу сколько…
— Пакт Созидания (@CreationPact) January 7, 2020
Двадцать четыре тысячи!!! Это как вообще? И позвонить додумался только после случившегося, понял, что пролетел, и написал мне. Повелся на классическую легенду о горящем сроке кредита. А после того как все раскрылось, продолжил общаться с этим мошенником.
— Пакт Созидания (@CreationPact) January 7, 2020
Мошенник его убеждал, что не ожидал, что кто-то отправит так много денег, говорит — отправь ещё 6 тыс, так как минимальная сумма снятия с его кошелька — 30 тыс — и я верну тебе деньги. Сильно?)) На эту уловку наш знакомый слава богу не повелся. И на том спасибо.
— Пакт Созидания (@CreationPact) January 7, 2020
В общем взлом сегодня — это не просто проверка друзей на лохов. Они читают переписки (что уже мерзко), чтобы пропитаться стилистикой; ищут в фотографиях документы и разный интим для шантажа. pic.twitter.com/NVTWmXfi6x
— Пакт Созидания (@CreationPact) January 7, 2020
В такую ситуацию может попасть каждый пользователь, кто не пользуется двухфакторной аутентификацией. Хотя даже это не гарантирует полную безопасность.
Ну а теперь о дырах, которые мы оставили, а вы щас прочитаете и не лоханётесь. 1) Главное правило кибер гигиены в 2020. Двухфактореая аутентификация — ВЕЗДЕ! Особенно на почте, куда привязаны все аккаунты. Запомнили? Активируйте, если ещё нет. Идём дальше
— Пакт Созидания (@CreationPact) January 7, 2020
2) Никакого интима и документов не отправляем ВКонтакте. Только чаты телеги (лучше секретные). И даже если вы думаете, что не отправляли никаких доков, то откройте чат со старостой группы из 2013 года и там наверняка будет ваш паспорт. Серьезно — идите все чистите.
— Пакт Созидания (@CreationPact) January 7, 2020
3) Ещё раз про интим. Если мошенник найдёт ваше обнаженное фото, возможно вы даже услышите его громкий крик ликования из другой точки мира. По рассказам знакомых, за такие фото вымогают по 300к. А если вы ещё и знамениты…
— Пакт Созидания (@CreationPact) January 7, 2020
4) Закройте список своих друзей вконтакте совсем, или оставьте только для друзей. Никогда не придавал этому пункту приватности значения, до момента пока товарищ мошенник не начал рассылать паспорт жены моим друзьям.
— Пакт Созидания (@CreationPact) January 7, 2020
5) Ещё о двухфакторной аутентификации. Помните, что эта монета может повернуться другой стороной. Во-первых, отключите показ уведомлений на телефоне на заблокированном экране. Если телефон украдут, воры запросят смс код и не вводя пароль, откроют все ваши соц.сети, почты, банки.
— Пакт Созидания (@CreationPact) January 7, 2020
Если телефон украли — сразу звоним оператору и блокируем sim-карту. А сейчас поставьте пин-код на вашу сим карту, чтобы вор не переставил ее в другой тел для 2факторной авторизации. хоть пин и можно обойти, это позволит вам выиграть время и защитит от неподготовленных воров.
— Пакт Созидания (@CreationPact) January 7, 2020
6) Если вас очень правдоподобно просят перевести деньги — позвони же ты, господи. Несмотря ни на какие уговоры. Ну на крайняк напиши в другом мессенджере. У меня на памяти были случаи, когда девушка отправила Деньги взломанной подруге, хотя они были в одном помещении!
— Пакт Созидания (@CreationPact) January 7, 2020
7) Не отправляйте деньги на карты с неизвестным именем или ещё хуже, на электронные кошельки. Это должно вызвать максимум подозрения.
— Пакт Созидания (@CreationPact) January 7, 2020
Читайте также 🧐
Массовый взлом сообществ «ВКонтакте», что случилось на самом деле. » KOTOFF.net
Новости
Сегодня, около 20:00 по МСК 14 февраля 2019 года во «ВКонтакте» более 3500 сообществ опубликовало ссылку на новость в «Liveinternet» где было сказано о запуске рекламы в личных сообщениях социальной сети. Это была не рекламная компания, а взлом «ВКонтакте».
Под удар попали даже официальные сообщества социальной сети, в том числе сообщество «Сбербанк», «Yota», «Код Дурова», «ДоДо» и множество других сообществ.
Но это еще не все, дело в том, что после перехода по ссылке, автоматически публиковал данную запись во всех сообществах, где вы указаны администратором.
После появления проблемы, новость с портала «Liveinternet» удалили, в том числе и посты. Разработчики «ВКонтакте» уже решают данную проблему.
По последним данным, инициатором выступил паблик «БАГОСИ», социальная сеть была подвергнута XSS-уязвимости, а сам код был залит на GitHab и доступен для каждого.
Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.
Vzlomsn™ ✓ Взломать страницу Вконтакте. Программа iPhone, Android
Вконтакте — одна из самых динамично развивающихся социальных сетей в интернете. География пользователей уже не первый год расширяется далеко за пределы России и стран СНГ. Миллионы людей используют данное приложение в совершенно разных целях по всему миру. Построение бизнес модели, поиск старых и новых знакомых, обмен файлами и сообщениями, общение в различных интернет сообществах – лишь небольшой список целевых запросов пользователей. Каждая страница vk.com содержит в себе гигабайты конфиденциальной информации разной степени важности.
Разумеется у каждого пользователя ВКонтакте рано или поздно появляется мысль о том, что доступ к странице другого пользователя может дать ему определенное преимущество. Однако стоит заметить, что взлом вконтакте – процедура далеко не простая, и без наличия профессиональных навыков программирования осуществить ее у Вас не получится, а методы предложенные в интернете на различных форумах в лучшем случае приведут к опустошению Вашего кошелька, поскольку каждый желающий Вам «помочь» будет требовать 100% предоплату.
При постоянном развитии интернет технологий, позволяющих отслеживать конфиденциальную информацию пользователей мобильных устройств, появляются новые инструменты, способные произвести онлайн взлом популярных приложений. VZLOMSN – это один из примеров успешно реализованных проектов, построенных по принципу поиска уязвимостей, созданных самими пользователями ВКонтакте. Программное обеспечение основано на комплексе методов, способных осуществить взлом сценария аутентификации страницы. Данная процедура не требует от Вас оплаты до наличия положительного результата, а так же какого-либо участия в процессе. Услуга онлайн взлома ВКонтакте включает в себя предоставление доступа ко всем пользовательским данным: логин, пароль, переписка, личная информация, список друзей, сообществ, то есть все то, что пользователь хранит на своей странице. Данный алгоритм реализован путем объединения принципов сериализации данных с их последующим дешифрованием.
На протяжении процесса взаимодействия с сервисом Vzlomsn, Вам будут гарантированно предоставлены следующие условия:
- Конфиденциальность — Вся доступная информация (данные клиента, состояние его счета и количество совершенных операций) является строго конфиденциальной. Система индивидуального Клиентского доступа построена по современным стандартам и исключают возможность утечки данных о наших пользователях.
- Надежность — Все обязательства перед клиентом выполняются в полном объеме. Вам не требуется производить оплату и пополнять баланс прежде чем аккаунт будет взломан. За длительное время мы накопили достаточный опыт, способный обеспечить стабильную работу ресурса.
- Безопасность — Механизм двухэтапного шифрования данных обеспечит полную анонимность посетителей ресурса.
- Поддержка — Служба поддержки готова ответить на все интересующие Вас вопросы.
Программное обеспечение основанное на комплексе методов позволяет быстро подобрать логин и пароль к аккаунту онлайн. Данная процедура осуществляется достаточно быстро и лично от вас не требует никакого вмешательства. Если у вас есть какие-либо дополнительные вопросы по нашей работе, вы всегда можете обратиться в нашу службу поддержки. Есть несколько важный пунктов в нашей работе, которые нужно учитывать:
- Процесс взлома может занимать различное количество времени, так как на скорость проводимой операции влияют такие факторы, как количество символов установленного пароля, число шагов аутентификации и периоды активности профиля в сети.
- Для каждой из социальных сетей соответствуют уникальные алгоритмы взлома, которые постоянно проходят адаптацию под актуальную версию защиты приложения. Поэтому возможны некоторые сбои в работе программного обеспечения.
- В результате Вы получите полный доступ к профилю другого пользователя до того времени, пока пароль не будет изменен. После изменения пароля доступ будет утрачен, однако Вы всегда можете повторить процедуру заново.
Остались вопросы? Мы с удовольствием на них ответим: Если Вы хотите оставить отзыв или внести какое – либо предложение, Вы можете сделать это в разделе Отзывы Пользователей или обратиться в службу поддержки.