Как войти в ВК или восстановить доступ, если включено подтверждение входа (двойная аутентификация)
При включении подтверждения входа (2FA) ВК предупреждал, что к странице должен быть привязан не только телефон, но и адрес электронной почты. Иначе восстановить доступ можно только через заявку с подтверждением личности (для этого необходимо наличие на странице настоящих имени, фамилии, фотографий с лицом) или через пятерых друзей. Обычным способом по СМС — нельзя.
На тот случай, когда знаешь пароль, но нет доступа к телефону, на который ВК отправляет код подтверждения, ты заранее должен был выписать на бумагу резервные коды подтверждения.
Если помнишь пароль, но нет доступа к телефону
Нужно войти в ВК, знаю логин и пароль. Требуется ввести код подтверждения входа, отправленный в СМС на привязанный номер телефона, но у меня нет доступа к этому телефону. Что делать?
Варианты решения проблемы:
- Воспользоваться ссылкой Подтвердить другим способом, которая есть при входе в ВК. Тогда ВК отправит код в СМС или сделает звонок, а при следующем нажатии — отправит код на привязанную электронную почту.
- Ввести код, отправленный в push-уведомлении на телефон, где установлено мобильное приложение ВК. Если там отключены уведомления, то нужно включить их и попробовать еще раз.
- Ввести резервный код с бумажки, куда ты должен был их выписать, когда включал подтверждение входа. ВК предлагал это сделать.
- Вспомнить, делал ли ты ранее какое-либо устройство доверенным (например, телефон с приложением ВК) или ставил галочку в браузере Запомнить браузер. На этом устройстве или в этом браузере ВК не будет запрашивать код для входа. Войдя на страницу, при необходимости можно отключить подтверждение входа в настройках (Управление VK ID → Безопасность и вход), получить резервные коды или поменять привязанный номер.
- Пойти к своему мобильному оператору с паспортом, восстановить сим-карту с привязанным номером и снова заказать код для входа.
- Восстановить доступ одним из способов, которые используются при включенном подтверждении входа:
- ВКонтакте: быстрое восстановление пароля недоступно. Почему? Что делать?
Если у тебя было настроено подтверждение не через СМС, а через приложение для генерации кодов (например, Google Authenticator), но сейчас оно потеряно, то из перечисленных вариантов восстановление сим-карты отпадает.
Для входа требуется ввести не только логин и пароль, но и код подтверждения
Если помнишь пароль и есть доступ к телефону, но ВК отправляет код в приложение (в личку)
ВК может отправлять код в приложение (в виде уведомления или в личные сообщения), если знает, что ты авторизован в мобильном приложении на телефоне. Но он, конечно, не знает, у тебя находится этот телефон или нет. Если с этим проблема, то нужно запрашивать подтверждение другим способом. Удобнее делать это через полную версию сайта ВКонтакте. Подробнее здесь:
Если помнишь пароль и есть доступ к телефону, но код не приходит
Если ВК точно сообщает, что отправил код в СМС, а не в личку, и СМС не приходит, нужно проверять все у себя по списку:
Если не помнишь пароль
Восстановить доступ по одному лишь СМС в данном случае нельзя. Ведь при двухфакторной аутентификации недопустимо, чтобы можно было войти на страницу, имея только один из двух факторов (доступ к телефону).
Все способы восстановления перечислены здесь:
Один из способов восстановления доступа при включенном подтверждении входа
Если не помнишь пароль, но есть доступ к странице
Если доступ к странице все еще есть, это дает возможность подготовить страницу для восстановления через пятерых друзей (добавить этих друзей, если не хватает) или для восстановления по заявке (указать реальное имя, фамилию, поставить четкое фото с лицом как главное).
Правда, если фото выложено непосредственно перед подачей заявки, ее могут отклонить с комментарием «Нет фотографий достаточной давности» — тогда придется ждать и снова подавать заявку.
Важные действия с аккаунтом — например, смена привязанного номера или отключение подтверждения входа — без знания пароля невозможны.
К странице привязана электронная почта, можно ли восстановить доступ по email?
Когда включено подтверждение входа, почта используется для восстановления доступа вместе с привязанным телефоном. То есть нужно и то, и другое. В остальном почта в ВК используется только для уведомлений. Подробнее здесь:
При восстановлении доступа по заявке, если у поддержки ВК возникнут сомнения, наличие доступа к привязанному почтовому ящику, возможно, поможет подтвердить, что владелец страницы — именно ты. Не забудь упомянуть об этом в комментарии к своей заявке.
Смотри также
- ВКонтакте: быстрое восстановление пароля недоступно. Почему? Что делать?
- Что делать, если ВКонтакте не принимает фото на фоне заявки на восстановление?
- Заявка на восстановление страницы ВКонтакте отклонена. Что делать?
- ВКонтакте: доступ восстановить невозможно. Что делать?
- Как восстановить страницу ВКонтакте, если на ней нет фотографии
Взлом вк, двухфакторная аутентификация не спасет
Недавно я ужаснулся от того, как просто можно получить доступ к странице пользователя, зная только номер телефона, на который зарегистрирована страница жертвы. Стоимость взлома ~1000-1500 рублей, время взлома ~30 минут. Единственное условие — недобросовестный оператор мобильной связи?
Предупреждение. Все материалы и методы, изложенные ниже, представлены исключительно в ознакомительных и экспериментаторских целях. Напоминаем, что взлом персональных страниц пользователей и сбор данных незаконным путём преследуется законодательством РФ (в частности УК РФ). Будьте осторожны и экспериментируйте только со своими или тестовыми аккаунтами!
Приступим сразу к делу.
Если вы когда-нибудь оставляли свои паспортные данные в каких-нибудь крупных салонах сотовой связи и ваш мобильный оператор не очень добросовестный, то вы подвержены данному способу взлома. Скажем так, большинство сотрудников данных сетей не сильно беспокоятся о конфеденциальности данных покупателей и очень здорово торгуют этой информацией в даркнете. (Да что уж там, получить список транзакций по карте стоит всего лишь 2000 рублей. ). Вобщем, это оказалось очень просто — найти человека, который пробьет вам паспортные данные по номеру телефона пользователя. В моем случае в базе данных крупного салона связи оказались как мои данные, так и данные моей мамы и даже бабушки. Стоимость получения данной информации как раз укладывается в ценник ~500-1000 рублей. Возможно это выглядит достаточно муторно и проблемно, но по факту это занимает не более получаса и вряд ли вас кто-то будет после искать и найдет. Способы оплаты везде разные, кто-то принимает только биткоины, кто-то не стесняется указать свою карту в телеграме. К слову сказать, достаточно часто встречающееся явление, когда злоумышленник не боится указывать номер своей (или не своей?) карты, ибо, например, деньги с карты на карту уводят досточно беспроблемно и после предъявить обвинение держателю карты, куда были переведены деньги, практически невозможно. Лично у меня нет комментариев по данному поводу.
Итак, мы получили скан паспорта пользователя. Нет, фотошопить фотографию с лицом пользователя, где он держит его перед камерой, мы не будем. Мы пойдем к мобильным операторам, которые с радостью подставят жертву. Регистрируем фейковую страницу ВКонтакте на левый номер телефона, врубаем VPN и пишем в официальное сообщество оператора мобильной связи жертвы сообщение примерно следующего содержания:
«Добрый день. Нам требуется установить переадресацию всех звонков на новый номер телефона. Доступа к самому телефону не имею. Что от меня нужно для совершения данной операции?»
И что же дальше? У вас спросят номер телефона жертвы, новый номер телефона, куда требуется переадресовать все звонки и паспортные данные для «подтверждения вашей личности и владения номером телефона». Здорово, не правда ли? Достаточно просто купить новую симку на вокзале за 300 рублей, либо купить виртуальную симкарту где-нибудь в сети и не париться. Сообщаете всю информацию и все, дело в шляпе — переадресация включена и, что самое удивительное, — жертва не мгновенно оказывается уведомленной о подключении переадресации.
Сначала уведомление вообще не пришло, прошел час — пришло целых 2 раза:
Попробовал подключить услугу на другом номере телефона данного оператора — уведомление приходит спустя 2-3 минуты, что достаточно для совершения дальнейших действий по получению доступа к странице. К тому же, если проделывать это все в 4 часа утра, то вряд ли жертва проснется от смс оператора и успеет что либо сделать вовремя.
Вообщем плохо, если лично у вас такой оператор:
Хорошо, если такой:
Итак, теперь идем ВКонтакте и начинаем взламывать:
Начинаем восстанавливать пароль:
На данном этапе наша жертва получает смс о том, что кто-то пытается сменить пароль на странице:
Но только вот, что с того? Что вот лично вы успетеете сделать за 2 минуты? Смс мы не перехватим, т.к. переадресация работает только на звонки. Но нам это и не интересно. Нажимаем «Выслать код повторно» и видим следующее окно:
Поняли, что мы дальше сделаем? Ага, пусть робот сделает звонок и оператор переадресует его на на наш номер телефона и сообщит нам код для смены пароля. Итак, звоним:
Робот звонит на наш левый номер телефона, сообщает код и после мы просто берем и меняем пароль:
Все, доступ к странице получен. Скорее всего паникующая жертва скоро сменит пароль и тогда данное действие можно будет повторить снова и у хакера есть всего лишь 2-3 минуты в запасе. Но нет никаких проблем запустить скрипт дампа страницы, который сохранит всю историю переписок, все фотографии и все, что только душе угодно за пару секунд.
Как отключить двухфакторную аутентификацию в ВК и нужно ли это?
Как отключить двухфакторную аутентификацию в ВК? Войдите на сайт VK.com, перейдите в раздел «Настройки», а там «Безопасность». В разделе «Подтверждение входа» кликните на кнопку «Отключить подтверждение входа». Далее введите пароль аккаунта и подтвердите данные, после чего 2-факторня идентификация будет выключена. Ниже подробно рассмотрим инструкцию, как отключить опцию, рассмотрим способы обхода защиты и необходимость ее установки.
Как отключить двухфакторную аутентификацию
По желанию любой пользователь может отключить / отменить двухфакторную аутентификацию в ВК. Для этого сделайте следующие шаги:
- Войдите на сайт Vk.com.
- Кликните на стрелку возле своего аватара.
- Жмите на пункт «Настройки».
- Перейдите в раздел «Безопасность».
- Найдите секцию «Подтверждение входа» и кликните на «Отключить подтверждение входа».
- Введите пароль от учетной записи в специальное поле.
- Жмите на кнопку «Подтвердить».
Этих действий достаточно, чтобы отключить функцию подтверждения входа в ВК. После этого сразу или через какое-то время можно снова включить защиту и выполнить настройку с нуля.
Можно ли обойти двухфакторную идентификацию
Многие принимают решение снять двухфакторную аутентификацию в ВК из-за сомнений в надежности опции. Здесь не все однозначно. Крепость любой цепочки зависит от наличия слабых звеньев. Для их поиска нужно понимать, как работает защита. Сначала человек входит на сайт, вводит логин и пароль. По другому каналу он получает ключ / код для окончательной авторизации.
Казалось бы, обход двухфакторной аутентификации ВКонтакте не возможен, но это не так. После успешного входа удаленный сервис помнит пользователя и отличает его. Для этого он использует специальный токен, который хранится в куки. Так как пароль и код СМС перехватить трудно, оптимальным вариантом является получение токена, которые передается уже после авторизации. После перехвата злоумышленник может сохранить данные в куки и получить доступ к сервисам пользователя. При этом вводить пароли и коды не нужно. Если же пользователь решит отключить защиту, ситуация еще больше упрощается.
Рассматривая, как обойти двухфакторную аутентификацию ВК, можно выделить еще ряд вариантов.
Фишинговая атака
Один из способов взлома — фишинговая атака, которую нельзя отключить. Суть в том, что злоумышленник заманивает нужного человека к себе на сайт-копию и получает данные для входа и код из СМС. Если сведения правильные, настоящий ресурс направляет токен, который используется для нелегальной авторизации.
Для успешной фишинговой атаки необходимо, чтобы доменное имя было очень похожим, использовалось подключение HTTPS, а сам ресурс должен полностью копировать оригинал. Для реализации замысла можно использовать программу evilginx2, которая автоматизирует технические моменты и играет роль прозрачного proxy для получения токена.
Через подставное лицо
Вопрос, как убрать двухфакторную аутентификацию в ВК, может возникнуть из-за несовершенства системы защиты баз данных. Каждый из нас оставлял информацию о себе в каких-то крупных салонах связи. При этом их представитель может оказаться не очень добросовестным и заниматься продажей сведений.
Алгоритм действий такой:
- Получение паспортных данных нужного человека. Для этого можно использовать Интернет, а оплата может осуществляться самыми разными способами.
- Обращение к мобильном оператору и получение номера телефона.
- Регистрация фейковой страницы в ВК на полученный номер.
- Включение ВПН и обращение к оператору мобильной связи с просьбой установить переадресацию всех звонков на новый телефонный номер.
- Указание оператору телефона «жертвы» и паспортных данных. Уже на этом этапе становится ясно, возможно ли обойти двухфакторную аутентификацию в ВК. С этим нет проблем, а расходы минимальны. Рассмотрим, что делать дальше.
- Переход к восстановлению пароля. Жертве приходит сообщение о наличии такой попытки.
- Нажатие кнопки «Выслать код повторно».
- Ожидание звонка, так как сообщение не приходит, после чего происходит переадресация на нужный телефон.
- Получение кода для смены пароля и, соответственно, его изменение.
Таким способом можно не просто выключить функцию подтверждения входа в ВК, но и обойти ее. При этом доступ к странице получен и можно копировать нужную информацию, пока владелец не сориентируется и не изменит пароль.
Modlishka
Рассматривая, можно ли обойти двухфакторную аутентификацию в ВК, многие вспоминают метод Modlishka. Его суть в том, что система генерирует свой сертификат, с помощью которого шифруется соединение от жертвы о сервера. После этого ПК / ноутбук выступает в качестве обратного прокси. Иными словами, весь трафик идет на оригинальный сайт на сервере злоумышленника. При этом хакер получает учетные данные и захватывает авторизованные сведения жертвы.
По запросу
Существуют органы, которые не задумываются, как убрать подтверждение входа в ВК, отключить защиту и обойти двухфакторную аутентификацию. Они напрямую обращаются к представителям социальной сети с требованием передать необходимые сведения. При этом основанием запроса является решение суда. Следовательно, такая защита не спасает от правоохранительных органов и больше действует от обычных мошенников.
Как еще отключить двухфакторную аутентификацию
Нельзя исключать и более простой метод, когда злоумышленник просто заглядывает в мобильный телефон пользователя и перехватывает СМС или создает алгоритм случайных числе при создании паролей.
Стоит ли отключить подтверждение входа
Несмотря на риск взлома, не стоит отказываться от дополнительной защиты. Если отключить двухфакторную аутентификацию, безопасность и вовсе сводится к «нулю», поэтому взломать систему сможет любой «школьник», знающий ваш логин и пароль. Наличие 2-факторной защиты все-таки обеспечивает высокую степень сохранности персональных данных. Это обусловлено наличием двух «замков» в виде пароля и входа, постоянным изменением ключей и возможности самостоятельного выбора отправки СМС.
Зная, как удалить подтверждение входа в ВК, вы в любой момент можете отключить двухфакторную аутентификацию и снова вернуть прежний алгоритм для входа. Но лучше не отказываться от такой защиты, ведь она защищает в большинстве случаев, и лишь небольшой процент остается на риск взлома профессионалом.
В комментариях расскажите, приходилось ли вам сталкиваться с такой проблемой, и готовы ли вы отключить двухфакторную аутентификацию в ВК.
FUCK 2FA! Обходим двухфакторную аутентификацию с помощью Modlishka
Теневые форумы изобилуют предложениями о взломе аккаунтов. В большинстве случаев атаки устраивают при помощи фишинга с подделкой страницы авторизации. Однако такой метод неэффективен, если пользователю приходит SMS с проверочным кодом. Я покажу, как пробить двухфакторную аутентификацию, на примере взлома аккаунта Google редактора «Хакера».
Экскурс в 2FA
Во времена, когда сайты работали по HTTP и о защите толком никто и не думал, перехватить трафик с учетными данными было совсем несложно. Потом трафик стали шифровать, и хакерам пришлось придумывать более изощренные способы подмены и перенаправления маршрутов. Казалось бы, двухфакторная аутентификация окончательно решила проблему, но все дело в деталях ее реализации.
Метод 2FA (Two-Factor authentication) был придуман как дополнительный способ подтверждения владельца аккаунта. Он основан на нескольких способах аутентификации:
- пользователь что-то знает (например, может ответить, какая была девичья фамилия его матери или кличка первого домашнего питомца);
- пользователь обладает уникальными чертами, которые можно оцифровать и сравнить (биометрическая аутентификация);
- пользователь имеет девайс с уникальным идентификатором (например, номер мобильного, флешку с ключевым файлом).
Первый метод еще встречается при восстановлении паролей по контрольным вопросам. Для регулярного использования он не годится, так как ответы не меняются и могут быть легко скомпрометированы. Второй способ чаще применяется для защиты данных на мобильных гаджетах и для авторизации клиентских приложений на серверах.
Самый популярный метод 2FA — третий. Это SMS с проверочными кодами, генерируемыми по технологии OTP. Код приходит каждый раз разный, поэтому угадать его практически невозможно.
Однако чем сложнее преодолеть защиту техническими методами, тем легче бывает это сделать социальной инженерией. Все настолько уверены в надежности 2FA, что используют ее для самых ответственных операций — от авторизации в Google (а это сразу доступ к почте, диску, контактам и всей хранимой в облаке истории) до систем клиент-банк.
При этом возможность обхода такой системы уже показывал австралийский исследователь Шабхэм Шах (Shubham Shah). Правда, его метод был довольно сложен в практической реализации. В нем использовалась авторизация по звонку, а не SMS, а предварительно нужно было узнать номер телефона жертвы и часть учетных данных. PoC был не особо убедительным, но наметил вектор атаки.
Modlishka
В начале 2019 года польский исследователь Пётр Душиньский (Piotr Duszyński) выложил в открытом доступе реверс-прокси Modlishka. По его словам, этот инструмент может обойти двухфакторную аутентификацию, что мы сейчас и проверим.
Если сравнить его с тем же SEToolkit (он встроен практически во все популярные дистрибутивы для пентеста), то разница вот в чем: SET клонирует и размещает на локальном сервере страницу авторизации. Там все основано на работе скриптов, которые перехватывают вводимые учетные данные жертвы. Можно, конечно, настроить редирект на оригинальный сайт, но трафик от жертвы до твоего сервера будет незашифрованным. По сути, такого рода программы выступают в роли web-серверов с поддельным (фишинговым) сайтом.
Modlishka действует иначе. Генерируется свой сертификат, которым шифруется соединение от жертвы до нашего сервера (чтобы не палиться). Затем эта машина выступает в роли обратного прокси.
Другими словами, весь трафик идет на оригинальный сайт с инстанцией на нашем сервере. У хакера остаются учетные данные, и захватывается авторизованная сессия жертвы. Классическая MITM-атака, которую предваряет фишинг (нужно как-то заставить жертву установить поддельный сертификат и направить ее на фейковый сайт).
WARNING
Статья написана в образовательных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный изложенными здесь материалами.
Поднимаем стенд
Давай поднимем сервер с Modlishka внутри локальной машины. Я сделаю это на примере Kali Linux, но принципиальной разницы для других дистрибутивов не будет — разве что слегка изменится путь к исходникам Go.
Вначале ставим Go — на этом языке написан реверс-прокси, и без Go он не скомпилируется.
$ apt-get install golang Следом указываем путь к директории исходников:
$ export GOPATH='/root/go' Проверить все можно командой
$ go env В выводе должен быть указан GOPATH.
Затем клонируем ветку с инструментом.
$ go get -u github.com/drk1wi/Modlishka $ cd /root/go/src/github.com/drk1wi/Modlishka/ $ openssl genrsa -out secret.key 2048 $ openssl req -x509 -new -nodes -key secret.key -sha256 -days 1024 -out cert.pem Теперь необходимо перенести содержимое ключа и сертификата в файл plugin/autocert.go и заменить значение двух переменных:
- const CA_CERT — значение сертификата (файл pem);
- const CA_CERT_KEY — значение ключа (файл key).
Теперь собираем все это дело:
$ make Занимает компиляция от трех до десяти минут в зависимости от количества вычислительных ресурсов.
Сам запускаемый файл находится в директории dist/ под названием proxy . Для проверки можно запустить с ключом -h — вывод справки.
$ ./dist/proxy -h 
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее