Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Ajuda - Invasão/Investigação de Facebook particular

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Ajuda - Invasão/Investigação de Facebook particular

    Olá pessoal, tenho formação em informática, e estou passando por um problema... trabalho como servidor público no estado do Paraná.

    Meu município está cada dia mais envolvido em incompetência, corrupção e interesses pessoais, principalmente dos conhecidos comissionados (aqueles que o prefeito coloca por indicação em setores importantes ganhando horrores por não fazer nada), ofertando privilégios para terceiros, sendo que neste último momento afetou grande parte da minha categoria, envolvendo sindicato, escândalos, enfim...

    Objetivo: Poder investigar de forma furtiva seus facebook's, no caso as conversas dos comissionados e seus assessores, apesar do próprio facebook avisar sobre logins sem permissão por e-mail, isso não seria problema.

    Métodos que não seria possível:
    - Phishing: Essas pessoas não são leigas, impossível cogitar que caiam em links suspeitos.
    - Engenharia Social: Eu não tenho contato ou intimidade com eles para tamanha persuasão.
    - Implantar software maliciosos: Também não conseguiria acesso as suas estações de trabalho.

    Obs: Se for um facilitador, eu os possuo adicionado no meu perfil.

    Bom é minha primeira postagem, já procurei muito e achei pouco, alguns fóruns raríssimos na Deep Web somente por convites externos, até que cheguei neste, não quero nada de mão beijada, claro que ficaria agradecido se houvesse um programa dessa miraculosidade, mas apesar de não poder executar isto sozinho, eu sei ler e estudar, e se alguém puder me guiar isso me basta

    Desde já peço desculpas se postei na categoria errada, e peço que me indique o correto.
    Similar Threads

  • Font Size
    #2
    Então,

    Geralmente a obtenção de informações é feita utilizando softwares espiões (keylogger ou trojan) o que varia é o nível de sofisticação deles. Pode ser desde um comum que circula pela internet até um criado (programado do zero) especificamente para o alvo com funções específicas desejadas.

    Quanto a instalação desse tipo de malware, existem vários métodos, entre eles, se destacam:

    - Envio de email utilizando um remetente confiável (engenharia social).
    - Através de link.
    - Criando um script que infecta pendrives quando plugados no computado previamente infectado e propaga o malware.
    - Explorando vulnerabilidades na rede interna (exploits)

    Para realmente monitorar e obter informações, uma das etapas do processo deverá ser a instalação de softwares espiões. Em um processo desse tipo, inicialmente busca-se o máximo de informações possível sobre os alvos (o que inclui pesquisas na internet, ligações utilizando de engenharia social, inclusive para pessoas e setores que estão em volta do alvo) e a partir daí, vai subindo os níveis de acesso utilizado as informações encontradas para obter novas informações, contas de acesso, etc.

    A eficiência desse tipo de processo depende do nível de sofisticação empregado pelo atacante, mesmo pessoas experientes são vulneráveis à engenharia social, desde que seja convincente. Um processo bem elaborado envolve inclusive pesquisa dos familiares, amigos e colegas de trabalho dos alvos, bem como consultas em sistemas como os do SUS, Receita Federal, SPC e Serasa, etc.

    Esses procedimentos são utilizados por empresas de Pen Test quando contratados por empresas para testar a segurança de seus sistemas. Eu particularmente acredito que uma boa equipe de Pen Test consegue informações confidenciais de qualquer pessoa/empresa.

    Para se obter um bom resultado nesse tipo de coisa, dá muito trabalho e exige conhecimentos avançados de Pen Test e domínio das técnicas utilizadas. A não ser que saia espalhando trojans e keyloggers a torto e à direita e tenha sorte.

    Vale lembrar que a utilização dessas técnicas sem prévia autorização das pessoas envolvidas é CRIME, independente do motivo e o GH não incentiva nem se responsabiliza por atos ilícitos.


    Minha sugestão é que você utilize o serviço de disque denuncia 181 caso note alguma irregularidade nos setores públicos ao invés de tentar fazer justiça com as próprias mãos, tais ataques deixam rastros, principalmente quando quem está operando não sabe bem o que está fazendo.

    Comment


    • Font Size
      #3
      Resposta:

      Métodos que não seria possível:
      - Phishing: Essas pessoas não são leigas, impossível cogitar que caiam em links suspeitos.
      - Engenharia Social: Eu não tenho contato ou intimidade com eles para tamanha persuasão.
      - Implantar software maliciosos: Também não conseguiria acesso as suas estações de trabalho.
      Certamente eu utilizaria phishing com engenharia social, você conhece o suficiente dessas pessoas para utilizar um página para captura de senhas e logins. Aqui no fórum tem o exemplo de páginas de phishing para Facebook, só uma dica a hospedagem pode utilizar a hostinger.

      Mas deixando claro que todos os dados que você conseguir utilizando essas técnicas não será válidos, e você pode estar interferindo em uma investigação.

      Outra técnica que você pode explorar é uma recuperação de senha do facebook, certamente funciona, mas não será um ataque silencioso. O alvo terá que recuperar a senha quando entrar novamente.
      "Diante de uma larga frente de batalha, procure o ponto mais fraco e, alí, ataque com a sua maior força."
      Sun Tzu

      sigpic

      Comment


      • Font Size
        #4
        Postado Originalmente por C0d3r_Burn Ver Post
        Então,

        Geralmente a obtenção de informações é feita utilizando softwares espiões (keylogger ou trojan) o que varia é o nível de sofisticação deles. Pode ser desde um comum que circula pela internet até um criado (programado do zero) especificamente para o alvo com funções específicas desejadas.

        Quanto a instalação desse tipo de malware, existem vários métodos, entre eles, se destacam:

        - Envio de email utilizando um remetente confiável (engenharia social).
        - Através de link.
        - Criando um script que infecta pendrives quando plugados no computado previamente infectado e propaga o malware.
        - Explorando vulnerabilidades na rede interna (exploits)
        Entendo, não tentaria nada sem prévios testes, e principalmente algo de contato com câmeras de segurança a espreita, analisando sobre suas opções:
        - Envio de e-mail: talvez alguém confiável eu consiga, mas há uma pequena possibilidade de eles mesmo acessarem, e-mail hoje em dia anda tão banalizado, quem acessa hoje praticamente é para criação de cadastros, ou comunicação entre setores, no caso setores que não competem aos companheiros comissionados.
        - Link seria por phishing?
        - Plugar no computador é complicado, digamos que eu não posso ter contato, seria muito na vista, mesmo arrumando a melhor desculpa para um terceiro plugar no PC deles.
        - Este é interessante, posso furtivamente acessar algum ponto de rede, mas trata-se de umas dezenas de PC's no lugar, como descobrir qual é o ip/host deles?

        Postado Originalmente por H3SS H4Ck3R Ver Post
        Certamente eu utilizaria phishing com engenharia social, você conhece o suficiente dessas pessoas para utilizar um página para captura de senhas e logins. Aqui no fórum tem o exemplo de páginas de phishing para Facebook, só uma dica a hospedagem pode utilizar a hostinger.

        Mas deixando claro que todos os dados que você conseguir utilizando essas técnicas não será válidos, e você pode estar interferindo em uma investigação.

        Outra técnica que você pode explorar é uma recuperação de senha do facebook, certamente funciona, mas não será um ataque silencioso. O alvo terá que recuperar a senha quando entrar novamente.
        Bom o phishing, você se refere a um link ou página fake? É um tanto complicado fazê-los clicar em links suspeitos, pelo menos nunca fui persuadido de tal forma, analisando pela própria url do e-mail, ou remetente, mas digo sem saber como é o grau atualmente.

        Esta por recuperação de senha tem possibilidade, tendo em vista que preciso acessar uma única vez, mas para recuperar, preciso acessar o e-mail da vítima correto? Porque nisso envolve outro empecilho.

        Comment


        • Font Size
          #5
          Resposta:

          O Phishing que me refiro é sim uma página fake, bom dependendo da sua engenharia social poderá dar certo. Vou te dar um exemplo que já citei aqui em outro post, quando tenho o número do telefone do alvo.
          - Faço diversas tentativas com Ips de diversos lugares, claro que não vou acertar a senha, o facebook noticia o alvo que houve uma tentativa de login na conta. - Você pode testar em seu perfil, ele notifica normalmente depois de 20 tentativas.
          - Envio um SMS algum tempo depois solicitando a mudança de senha, camuflo meu link e envio.

          Quanto a recuperação de senha o que você vai precisar é de um documento com foto, data de nasc, e nome completo. Não precisa acesso ao e-mail, você poderá trocar o e-mail do alvo por qualquer outro.
          "Diante de uma larga frente de batalha, procure o ponto mais fraco e, alí, ataque com a sua maior força."
          Sun Tzu

          sigpic

          Comment


          • Font Size
            #6
            Postado Originalmente por H3SS H4Ck3R Ver Post
            O Phishing que me refiro é sim uma página fake, bom dependendo da sua engenharia social poderá dar certo. Vou te dar um exemplo que já citei aqui em outro post, quando tenho o número do telefone do alvo.
            - Faço diversas tentativas com Ips de diversos lugares, claro que não vou acertar a senha, o facebook noticia o alvo que houve uma tentativa de login na conta. - Você pode testar em seu perfil, ele notifica normalmente depois de 20 tentativas.
            - Envio um SMS algum tempo depois solicitando a mudança de senha, camuflo meu link e envio.

            Quanto a recuperação de senha o que você vai precisar é de um documento com foto, data de nasc, e nome completo. Não precisa acesso ao e-mail, você poderá trocar o e-mail do alvo por qualquer outro.
            Bom o telefone vou investigar quem possa me fornecer, sobre fazer tentativas de diversos lugares, no caso 20 tentativas/lugares, você utiliza algum software para replicar várias tentativas? Se esse método tiver um nome, posso investigar e procurar o software, também tenho que investigar como camuflar o link.

            Sobre a recuperação, documento com foto, você diz estes tradicionais brasileiros CNH, Identidade etc? Se sim complicou, mas eu fiz um "Esqueceu a conta?" pra analisar, primeiramente você busca a pessoa por e-mail ou nome, encontrada, você continua a recuperação por e-mail (ocultada por asteriscos), ou clica em "Não tem mais acesso?", neste caso ele auxilia a recuperar a conta do seu e-mail, ou você efetua a recuperação de senha por outro método?

            Adendo: Se o CPF for útil, eu consigo, além do nome completo, foto, data nasc.

            Comment


            • Font Size
              #7
              Me identifiquei com o autor do post, mas no meu caso eu tenho o acesso a rede de wi-fi, qual a melhor maneira de agir com essa vantagem em mãos para chegar no PC e no celular

              Comment

              X
              Working...
              X