• XSS.stack #1 – первый литературный журнал от юзеров форума

Фишинг телеграм

Отслеживать

wonderloeass

CD-диск
Пользователь
Регистрация
16.07.2023
Сообщения
17
Реакции
1
Всем привет. Хочу самостоятельно создать копию сайта telegram. Чтобы это был фишинговый сайт. То есть человек, переходя по моей ссылке(социальная инженерия), будет заново входить в свой аккаунт, я при этом буду видеть, что он вводит и повторно заходить к нему на аккаунт другой сессией.

Какие статьи/полезные материалы/информацию можете посоветовать для самостоятельного изучения и написания данного кода.

Всем добра!
 
Хотелось бы, чтобы при заходе на сайт жертва вводила номер. Этот номер автоматически без моего взаимодействия вводился на оригинальном сайте. Далее жертва вводит вводи код, который пришел в ее сессии от телеграмма. Этот код автоматические вводится на оригинальном сайте. Те же махинации с паролем.

То есть по сути когда жертва вводит даннные на фишинг сайте телеграма, эти данные получаю я, которые автоматически вводятся на оригинальной сайте телеграм.

И я получаю ссесию с ее аккаунтом, которым могу пользоваться.


Как это можно реализовать? Точнее как этому научиться, чтобы не покупать готовые коды, а самостоятельно сделать.
 
wonderloeass сказал(а):
Хотелось бы, чтобы при заходе на сайт жертва вводила номер. Этот номер автоматически без моего взаимодействия вводился на оригинальном сайте. Далее жертва вводит вводи код, который пришел в ее сессии от телеграмма. Этот код автоматические вводится на оригинальном сайте. Те же махинации с паролем.

То есть по сути когда жертва вводит даннные на фишинг сайте телеграма, эти данные получаю я, которые автоматически вводятся на оригинальной сайте телеграм.

И я получаю ссесию с ее аккаунтом, которым могу пользоваться.


Как это можно реализовать? Точнее как этому научиться, чтобы не покупать готовые коды, а самостоятельно сделать.
не получится, твоя жертва входит первой в аккаунт и все коды которые ему приходят уже будут не действительны если вводить второй раз. По моему, нету способа прямого входа на тг акк, ведь там обязательна 2fa. Тут только, незнаю, сим свап или выкачка tdata.
 
hackeryaroslav сказал(а):
не получится, твоя жертва входит первой в аккаунт и все коды которые ему приходят уже будут не действительны если вводить второй раз. По моему, нету способа прямого входа на тг акк, ведь там обязательна 2fa. Тут только, незнаю, сим свап или выкачка tdata.
она вводит код на моем зеркале телеграм, получается в официальный телеграм она его не вводила же)
 
wonderloeass сказал(а):
она вводит код на моем зеркале телеграм, получается в официальный телеграм она его не вводила же)
ну это уже MITM) Если пользователь включил 2FA, даже зная логин и пароль, ты все равно должен получить второй фактор, который одноразовый)) В теории можно, но оч трудно
 
Пожалуйста, обратите внимание, что пользователь заблокирован
какие то сложности вы выдумываете, Ярослав;
представим, что это будет фиш, поднятый на фласке, с простой формой и так далее; существует такая библиотека как pyrogram(или же telethon), которая позволяет получить файл *.session откуда уже можно управлять аккаунтом или конвертировать в тдата; передаем просто коды в пирограм или телетон, коннект и формирование сессион происходит по номеру+код+2фа
 
wonderloeass сказал(а):
Всем привет. Хочу самостоятельно создать копию сайта telegram. Чтобы это был фишинговый сайт. То есть человек, переходя по моей ссылке(социальная инженерия), будет заново входить в свой аккаунт, я при этом буду видеть, что он вводит и повторно заходить к нему на аккаунт другой сессией.

Какие статьи/полезные материалы/информацию можете посоветовать для самостоятельного изучения и написания данного кода.

Всем добра!
github.com

GitHub - kgretzky/evilginx2: Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication

Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication - kgretzky/evilginx2
github.com github.com

Introduction | Evilginx

Evilginx is a man-in-the-middle reverse-proxy attack framework used for phishing account credentials along with session cookies, which in allow bypassing of mutli-factor authentication.
help.evilginx.com
 
germans сказал(а):
какие то сложности вы выдумываете, Ярослав;
представим, что это будет фиш, поднятый на фласке, с простой формой и так далее; существует такая библиотека как pyrogram(или же telethon), которая позволяет получить файл *.session откуда уже можно управлять аккаунтом или конвертировать в тдата; передаем просто коды в пирограм или телетон, коннект и формирование сессион происходит по номеру+код+2фа
тоже пойдет. Всегда нравилось имя Ярослав, может и в жизни сменить?:D С таким ником, кстати, отлично в даркбойс залетать, правильно Alpano ? Вот что происходит, когда регаетесь с корешами после веселого дня на форуме)
 
wonderloeass сказал(а):
Меня не понимают😭
Ты не сможешь сделать так: я при этом буду видеть, что он вводит и повторно заходить к нему на аккаунт другой сессией.
Но можешь сделать такую схему:

Жертва заходит на твой фейк, вводит номер телефона.
Твой бот используя библиотеку "pyrogram", берёт номер жертвы и создает новую авторизацию.
Из-за того, что твой бот отправил запрос на авторизацию, жертве приходит код, она вводит его в фейк.
Твой бот получает код от жертвы и вводит его уже в настоящую авторизацию.

То есть, просто стать посредником в авторизации. По итогу у тебя будет сессия жертвы
 
hackeryaroslav сказал(а):
тоже пойдет. Всегда нравилось имя Ярослав, может и в жизни сменить?:D С таким ником, кстати, отлично в даркбойс залетать, правильно Alpano ? Вот что происходит, когда регаетесь с корешами после веселого дня на форуме)
Залетай, наш сладенький кружок анонимусов открыт для любого😂
 
Quanter сказал(а):
Ты не сможешь сделать так: я при этом буду видеть, что он вводит и повторно заходить к нему на аккаунт другой сессией.
Но можешь сделать такую схему:

Жертва заходит на твой фейк, вводит номер телефона.
Твой бот используя библиотеку "pyrogram", берёт номер жертвы и создает новую авторизацию.
Из-за того, что твой бот отправил запрос на авторизацию, жертве приходит код, она вводит его в фейк.
Твой бот получает код от жертвы и вводит его уже в настоящую авторизацию.

То есть, просто стать посредником в авторизации. По итогу у тебя будет сессия жертвы
я так и хочу сделать. только не знаю как это реализовать
 
Можно подключить к API телеграма оригинальную страницу вэб-версии с гита, добавив туда модификацию для копирования session токена в отдельный txt файл, например, а потом подставлять его в фаерфоксе на оригинальной вэбверсии ТГ. Схема рабочая. Проверка, что твоя страница работает после модификации и разсещения - появление QR кода для аутентификации. Если он появился на странице - товсе работает
 
Пожалуйста, обратите внимание, что пользователь заблокирован
wonderloeass сказал(а):
Хотелось бы, чтобы при заходе на сайт жертва вводила номер. Этот номер автоматически без моего взаимодействия вводился на оригинальном сайте. Далее жертва вводит вводи код, который пришел в ее сессии от телеграмма. Этот код автоматические вводится на оригинальном сайте. Те же махинации с паролем.

То есть по сути когда жертва вводит даннные на фишинг сайте телеграма, эти данные получаю я, которые автоматически вводятся на оригинальной сайте телеграм.

И я получаю ссесию с ее аккаунтом, которым могу пользоваться.


Как это можно реализовать? Точнее как этому научиться, чтобы не покупать готовые коды, а самостоятельно сделать.
I have this ready , just contact me for a video demo, and a live test after escrow
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх