T-Triger
Новичок
- Статус
- offline
- Регистрация
- 07.06.2017
- Сообщения
- 0
- Репутация
- 0
Копипаст с руниона, автор - некий "plng", спасибо ему огромное за такую статью.
Теперь о самом шантаже.
Начнем с 2 распространенных ошибок, которые делают начинающие шантажисты.
Как работать более эффективно:
Я выделяю 2 основных подхода:
Теперь о самом шантаже.
Начнем с 2 распространенных ошибок, которые делают начинающие шантажисты.
- Покупать аккаунты вк и просматривать их на предмет компрометирующей информации.
Почему это малоэффективно:
- Аккаунты вк чаще получают массово через распространения фейка. Человек, который обладает хоть каким-то интеллектом и деньгами не поведется на фейк. А если он даже на него и повелся, то наличие уведомления вк о посещении с другого устройства, намекнет ему, что стоит быстро сменить пароль. То-есть надо еще успеть все просмотреть или выкачать диалоги до того, как сменят пароль. Но основной посыл этого пункта: Покупая аккаунты вк, Вы получаете чаще всего малообеспеченный контингент.
- Сколько аккаунтов надо просмотреть до того, как Вам попадется хоть какая-то стоящая информация? И в итоге самым страшным компроматом окажется голая писька или сиська. Поэтому мы получаем большие временные затраты на поиск компромата сомнительного качества.
- Аккаунты вк чаще получают массово через распространения фейка. Человек, который обладает хоть каким-то интеллектом и деньгами не поведется на фейк. А если он даже на него и повелся, то наличие уведомления вк о посещении с другого устройства, намекнет ему, что стоит быстро сменить пароль. То-есть надо еще успеть все просмотреть или выкачать диалоги до того, как сменят пароль. Но основной посыл этого пункта: Покупая аккаунты вк, Вы получаете чаще всего малообеспеченный контингент.
- Мы не стали покупать аккаунты и даже определились с целевой аудиторий. Но решили привлекать это целевую аудиторию через вк или одноклассники. Для этого создали аккаунт малолетнего мальчика/трансвестита или просто шлюхи.
Почему так не стоит делать:
Аудитория заезжена и запугана. Поэтому создание аккаунтов, спам, отбор подходящей жертвы, ведение переписки, деанонимизация жертвы-это процессы, которые занимают слишком много времени.
Как работать более эффективно:
Я выделяю 2 основных подхода:
- Поиск компромата, исходя из конкретной жертвы. Жертва-это, конечно, лицо обеспеченное. Мы данный подход сейчас рассматривать не будем. Он требует хорошо развитых навыков поиска и анализа информации, а так же финансовых вложений. Поэтому будем считать его более сложным уровнем.
- Ищем места, где можно массово получить компромат, а потом определяем жертву. Именно об этом подходе я и напишу.
- Сначала определяемся с целевой аудиторией.
Чаще всего она основана на нестандартных сексуальных предпочтениях.
Какие категории в разные периоды работы я использовал:
- Геи
- Трансвеститы/Кроссдрессер
- Любители БДСМ
- Свингеры
- Начинающие колдуны и просто клиенты магов и гадалок
- Геи
- Ищем сайты, где сконцентрировано максимальное кол-во нашей ЦА. И нет, мы не будем регистрироваться на сайте и пытаться развести его пользователей на какую-то доп. информация или реальные личные данные.
Мы будем получать доступ к их аккаунтам с помощью брута.
Брут
Изначально, шантажировать лиц нетрадиционной сексуальной ориентации я начал без всяких вспомогательных средств. Но однажды в интернете мне попалась "база п*дарков"-это база пользователей в формате mail:pass, слитая с сайта гей знакомств, которого уже и в живых нет. Я решил попробовать воспользоваться этими авторизационными данными на актуальном сайте. И на мое удивление, некоторые из них давали доступ в профили. Конечно, вручную перебирать такую базу невозможно, а значит надо было автоматизировать процесс. Для этого нужна программа, которая за нас попробует авторизоваться с данными из базы и разделит аккаунты на валидные и невалидные. В валидные мы будем уже заходить сами и искать компрометирующую информацию. Такой способ получения доступа к данным профиля и является брутом(одной из его разновидностей). Процесс можно еще немного упростить, чекая в валидных аккаунтах кол-во сообщений/внутренний баланс и т.п.-для того, чтобы не тратить время на посещение пустых аккаунтов.
Что нам нужно для брута?
- Сама программа брут
- Базы
- Прокси
Сначала я скачал несколько исходников на делфи и попытался их переделать под необходимый сайт. К сожалению, стабильно работающего инструмента не вышло. Но есть и более простые пути.
Универсальные системы для брута:
Private keeper
Около 200 рублей за месяц
UBC
Около 200 рублей за месяц
Есть free версия
Есть кряк private версии
Есть еще одна иностранная программа с аналогичной сутью, но не помню, как она называется.
Никакого описания к ним не даю-функционал большой, в сети куча уроков. Практически любой кто чуть умнее обезьяны сможет создать несложный брут. Те у кого есть знания и опыт могут создавать и сложные проекты(но таким, конечно, никакой приват кипер не понадобится).
Но главное преимущество систем для брута в том, что есть куча школьников/студентов, которые готовы создать под них, нужный Вам, проект за 300-500 руб.(Когда полноценное написание брута стоит 3000-5000).
Мне для работы попадались в основном простые сайты с пох*истичными админами, которые за длительный период брута, никаких противодействующих мер не принимали. Поэтому с этим этапом я справился без привлечения школьников.
Базы
Конечно, в идеале нужны базы пользователей с тематических сайтов. В нашем случае это: знакомства, порно сайты, интим досуг. Можно и не опираться на тему и использовать базы "общего характера"(извращенцы есть везде),но тогда на поиск нужных аккаунтов будет уходить больше времени.
Где эти базы брать: Проще всего брать с раздач или покупать на игровых форумах/форумах для "хакеров". Основная аудитория там школьники, которые брутят стим и никак не рассматривают базы на наличие извращенцев. За неделю я собрал огромную базы(и тематическую и обычную) при минимальных затратах. Одну хорошую тематическую базу взял даже с руниона.
Прокси
В большинстве случаев подойдут даже best-proxies(Не реклама. Просто они практически самые дешевые)
По итогу данного этапа мы совмещаем брут, базы и прокси, как следствие получаем доступ к аккаунтам на интересующем нас сайте. У меня брут 24/7 работал на дедике.
- Сама программа брут
- Сбор компромата
Вручную посещаем аккаунты и скриншотим их. Конечно, хорошо, если там есть интересные фото и видео, но очень часто хватает и просто скриншотов диалогов. Для большей прибыли стоит просматривать все диалоги с большим кол-во сообщений-это создает возможность шантажа не только владельца аккаунта, но и тех с кем он переписывается(1 хороший аккаунт-это, как минимум 10 предполагаемых объектов). Всегда фиксируем номера телефонов и имейлы, которые фигурируют в диалогах.
- Деанон
У нас собрано большое кол-во компромата. Осталось только найти в стандартных социальных сетях того, на кого этот компромат собран. Можно, конечно, сначала посмотреть есть ли владелец аккаунта в соц. сетях, а потом только фиксировать компромат. Но успех поиска очень часто зависит от полноты информации, поэтому я сначала все смотрю и фиксирую, а потом только ищу.
Какие есть варианты поиска:
Если у нас есть фото лица, то попытаемся воспользоваться findface. Все знают, как пользоваться. От себя добавлю: Если с первого раза не нашло, то можно попробовать обрезать фото непосредственно до лица и увеличить контрастность изображения. Качество поиска несколько увеличивается от данных действий. Это проверенное явление. Иногда системе удавалось даже распозновать мужские лица в косметике и парике.
Если у нас есть имейл/телефон, то так же стандартные методы:
- Анализ поисковой выдачи
- Восстановление пароля на facebook(Узнаем имя фамилию-находим страницу facebook. Если профиль пустой, то, либо по имени, фамилии, городу-ищем страницу вк. Либо восстанавливаем страницу вк-вводим фамилию, которую узнали-находим профиль по имени, фамилии и аватару. Либо берем фото с фейсбука(если оно там вдруг есть) и используем findface).
- Если почта mail, то пробуем искать ее в "моем мире" и дальше манипуляции аналогичные с фейсбук.
- Восстановление пароля в одноклассниках. Узнаем имя, первую букву и кол-во символов фамилии. В некоторых случаях фамилию подобрать легко, а значит находим профиль в одноклассниках
- avinfobot Можно найти полезную информацию по номеру телефона.
- ponomeru.gg Поиск вк по номеру телефона.
Но с учетом того, что наш объект-это человек, который скрывает информацию, они не всегда эффективны. Поэтому, на случай, когда компромат интересный, а объект мы все еще сдеанонить не можем, опишу более "сложные" методы поиска информации:
- Анализ поисковой выдачи
- Поиск информации на других профилях объекта. Мы думаем на каких еще сайтах наш объект мог быть зарегистрирован. Что-то можно найти загуглив логин/имейл, но я просто выделил для себя основные. Это стандартные знакомства(всякие loveplanet) и сайты типа drive.ru. В чем смысл этого действия: Общаясь на специфических сайтах человек может не давать контактные данные совсем или давать левые(номер симкарты, купленной в переходе). А нам же нужны реальные данные. И вот вероятность того, что на данных сайтах будут реальные данные велика. С помощью аккаунтов на drive.ru неоднократно пробивал владельца по номерам машины, а у кого-то там прямо в профиле написаны настоящие имя и дата рождения. По этой информации практически гарантировано можно найти профиль в вк.
И перейдем к техническим моментам:Если мы ищем информацию для сбрученного профиля, то все просто. У нас уже есть имейл и пароль, который с большой вероятностью подойдет(Вероятности того, что с этими данными мы могли бы просто сразу авторизоваться в вк нет. Поэтому все сложные манипуляции и проделываются). Если же мы пытаемся сдеанонить объект из диалогов и у нас есть только имейл, то ситуация гораздо сложнее.
В таких ситуациях подходящим инструментом являются сайты типа snusbase.com. Они расшифровали большую часть паролей пользователей из паблик дампов и по получившейся базе реализовали поиск в разных вариантах. Вводим имейл и смотрим есть ли там какие-либо пароли, пробуем.Если объект имеет не слишком распространенный логин/пароль, то есть вероятность выйти и на его другие почты.
- Данный метод можно использовать и просто для досбора информации к конкретному объекту. Я же просто ждал, когда накопятся почты от пустых аккаунтов+те, чьих хозяев не смог сдеанонить. Суть метода: получение доступа к почте через брут. В среднем из 100 скопившихся я получал доступ к 30.
Писать брут для этого не нужно, есть и платные и бесплатные готовые рабочие варианты. Если кому-то нужно, то могу дать ссылку на бесплатный брут почтовых сервисов. Прокси нужны и желательно менее заезженные, чем бест прокси.
Теперь для брута мы должны правильно подготовить нашу базу: из имеющейся у нас информации составить возможные варианты паролей.
Например, было qwerty@jkhjkj ru:zxcvbn1955, а стало qwerty@jkhjkj ru:1955Zxcvbn.
Такой подход может показаться странным, но на практике он эффективен. Инструменты для преобразования базы можно использовать разные(а можно ничего и не использовать), но я пользовался(ссылки на софт могу дать)-лудомания, mails builder от starjley(для преобразования только паролей хватает бесплатной версии). Для лудомании правила преобразования надо писать, а в мэйл билдере есть уже готовые варианты, которые можно комбинировать. Я с практикой для себя выделил самые эффективные варианты переделки пароля, но их расписывать не буду.
Сразу к вконтакте/фейсбуку/одноклассникам таким методом доступ можно получить лишь в совсем единичных случаях и при ручном переборе. Почта gmail так же пролетает
- Небольшой итог по пункту: После сбора информации данными методами, Вы практически в 100% случаев сможете составить "предложение" для шантажа. Даже, если Вы не вышли напрямую на аккаунт объекта в соц. сетях, то можно найти аккаунты(или просто контактные данные) его друзей, родственников, работодателя. Этим вы определяете аудиторию для рассылки компромата, а с объектом уже можно связаться через сайт/почту/телефон.
Чем сложнее было найти информацию, тем больше вероятность хорошей прибыли по итогу. Основной упор именно на тех, кого не удалось бы развести с более простым подходом к процессу.
Но, конечно, и сами методы сбора информации универсальны и их можно применять далеко за рамками мелкого шантажа.
- Диалог с объектом
Тут все просто: Пишем свои требования максимально конкретно, без ошибок и агрессии. В письме обязательно должны быть зафиксированы контакты, по которым будет выполнена рассылка компромата. Если у нас есть вк/фейсбук объекта, то пишем сразу там, предварительно сохранив всех друзей. Если соц. сети нет, то связываемся любым другим методом, так же приложив все контакты окружения. Я работал массовой рассылкой без дополнительного общения с объектом. Думаю, что при индивидуальном подходе прибыль можно было бы умножить на 2.
- Итог: Сейчас мне эта схема кажется очень сложной и повторно реализовывать ее в таком виде я бы не стал. Но заработать так можно и гораздо больше, чем прикидываясь, шлюхой-трансвеститом в вк.
Была еще вариация с созданием сайта знакомств. Преимущество в том, что мы получаем уникальные контакты, а значит есть вероятность без лишнего геморроя получить доступ сразу к почте. Но по многим причинам данный метод менее эффективен-лень расписывать почему.
Текст, конечно, является определенным деаноном себя-но основная часть схемы проведена относительно давно и с соблюдением должных мер безопасности.
- Данный метод можно использовать и просто для досбора информации к конкретному объекту. Я же просто ждал, когда накопятся почты от пустых аккаунтов+те, чьих хозяев не смог сдеанонить. Суть метода: получение доступа к почте через брут. В среднем из 100 скопившихся я получал доступ к 30.