Анти взлом в vk.com

Всем привет!
Просмотрев одно видео на youtube, я реально задумался о том, чтобы написать данный пост.
В данном посте речь пойдёт о том, как защитить свой аккаунт в VK от взлома.
Сейчас я распишу несколько способов, как вас можно легко взломать средствами ВКонтакте, и на что стоит обратить внимание, Переходя по присланной ссылке, а также покажу ссылки, по которым переходить не желательно.

Первый способ.

Первый и наверное самый простой метод взлома не опытных людей — это VK.API.
Что-это? Цитирую из документации VK:

API (application programming interface) — это посредник между разработчиком приложений и какой-либо средой, с которой это приложение должно взаимодействовать. API упрощает создание кода, поскольку предоставляет набор готовых классов, функций или структур для работы с имеющимися данными.

Вообще-то API предназначен для взаимодействия с Вконтакте, но злоумышленники могут использовать его не по назначению.
Для того чтобы взломать пользователя, необходимо получить его user_id и access_token. Access_token — это специальный ключ, с помощью которого VK_API и взаимодействует со страницей пользователя. А user_id — это уже идентификатор пользователя в vk. К слову у Павла Дурова, например, user_id равен единице.
То есть user_id проще говоря — это порядковый номер аккаунта в сети.
Для получения нужных данных, злоумышленнику нужно отослать запрос к API в виде веб ссылки, в которой он передаст необходимые параметры.
Как именно он получит token? Очень просто!
Эта самая веб ссылка отсылается пользователю Вконтакте. Затем пользователь переходит по этой ссылке. Далее, пользователь соглашается со всем, что там написано и злоумышленник получает, собственно, token.
Сейчас я покажу вам ссылку, по которой переходить не желательно, если вы в первый раз сталкиваетесь с ней.
Сама ссылка выглядит так:
https://oauth.VK.com/authorize?client_id=5506036&response_type=token&scope=audio,offline&display=popup&redirect_uri=https://oauth.vk.com/blank.html&v=5.69
К слову в client_id и redirect_uri может быть написано все что угодно.
А теперь описание.
https://oauth.vk.com — обращение к протоколу авторизации VK.
autherize? — обращение к скрипту авторизации на сервере.
client_id=5506036 — id приложения, зарегистрированного в VK.
Для того чтобы взаимодействовать с VK API, нужно зарегистрировать в VK специальное приложение. Приложение — это специальная запись в базе данных, которой присваивается определенный идентификатор. Это как раз и есть client_id.
&response_type=token& — тип ответа а именно, получение ключа доступа.
Типов ответа в VK всего 2. Это code и token.
Token — это авторизация пасредством клиента а code, посредствам стороннего сервера.
scope=audio,offline& — Это права доступа приложения. В данном случае, используются права доступа к audio записям, а также право, позволяющее токену жить вечно.
display
Указывает тип отображения страницы авторизации. Поддерживаются следующие варианты:

  • page — форма авторизации в отдельном окне;
  • popup — всплывающее окно;
  • mobile — авторизация для мобильных устройств (без использования Javascript)

redirect_uri=https://oauth.vk.com/blank.html& — это url адрес, на который, собственно и пойдёт наш токен.
v=5.69 — версия API.
Примечания к описанию:
в данном случае, токен появится в адресной строке пользователя, перешедшего по этой ссылке.
blank,html — это страничка, на которой будет написано, что данные из адресной строки нежелательно передавать кому-то, или аккаунт будет потерян.
Далее пользователь получает ответ в адресной строке:
https://oauth.vk.com/blank.html#access_token=2084xxxx&expires_in=0&user_id=291920xxx
И снова описание.
https://oauth.vk.com — это уже нам знакомое обращение к протоколу.
blank.html# — страничка, на которой написано о безопасности.
access_token& — соответственно, access_token.
expires_in=0& — этот параметр отвечает за время, сколько будет работать token в секундах. В данном случае, он равен нулю. Это значит, что token будет жить постоянно. Ровно до того времени, пока вы несмените пароль от аккаунта.
user_id=291920xxx — это id пользователя Вконтакте.
Я специально в access_token и user_id не указывал данные полностью, потому что именно эти данные и нужны для взлома.
Забыл упомянуть: вот эти знаки&# — это расделение параметров в url.

Как происходит взлом и чем злоумышленник может навредить:

Пользователь соглашается дать доступ приложению, и в его адресной строке появляются выше описанные данные. Пользователь копирует их по просьбе злоумышленника, и оный получает данные.

Чем может навредить:

Да в общем-то много чем.
Имея access_token и id, можно посылать запросы от имени самого пользователя. То есть фактически получается, что это не злоумышленник посылает запросы, а вы. По-этому VK не сможет вовремя заметить взлом и ликвидировать его, т.к они будут видеть, что запросы идут от вашей страницы.

Кому подходит выше описанный метод?

Скорее всего программистам или людям, которые так или иначе с этим связаны. Ведь для того, чтобы отправлять запросы в vk_API, нужно во-первых понимать для чего они нужны, во-вторых, нужно знать, как формировать их. Ну а в третих, для того, чтобы не посылать запросы через браузер (Ибо это не даст полного результата.), нужно будет писать PHP или Java Script, который сможет автоматизировать отправку запросов, или инициализацию их в интерфейсе.

Второй способ

Второй способ в общем-то похож на первый, только теперь, злоумышленник сделал зашифрованную ссылку, в которой невидно вышеописанных параметров. Эта ссылка может выглядеть примерно так:
https://nah.uy/jkvtodxs1
Перейдя по этой ссылке, вы увидите окошко авторизации.
Сразу скажу, что выше описанный сокращятель ссылок действительно есть, так что тапочками прошу не кидаться! 😁
Если такая ссылка есть, вы можете по ней спокойно пройти, но 300 раз подумайте, прежде чем нажать разрешить!

Третий способ.

Теперь, мы разсматриваем вариант, когда злоумышленник направил token на свой скрипт с помощью redirect_uri.
Если ранее данные направлялись в адресную строку, теперь они идут в скрипт злоумышленника, после нажатия кнопки «Разрешить».

Четвертый способ.

Четвертый способ достаточно распространён во Вконтакте.
Как правило, это различные программы для ПК, iOS или Android.
Возьмём например программку для получения голосов бесплатно.
Сразу оговорюсь.
Бесплатные голоса можно получить только через настройки, платежи и переводы, там жмёте кнопку «Пополнить баланс» и выбираете специальные предложения.
Ну так вот. Вы вводите логин и пароль от страницы, данные отправляются на сервер разработчика/взломщика и вуаля! Ваша страница утеряна.
Данный способ самый опасный, так-как теперь, злоумышленник получает и телефон (Логин) и пароль.
Вот и все способы взлома. Возможно я что-то написал не так, или у вас есть ещё способы.
Если да, напишите в комментариях!
Удачного вам дня и безопасной работы в Вконтакте!

Добавить комментарий