[Tutorial]Cum am putea evita facebook checkpoint

[munkies]

Îmi cer scuze dac? nu am ales bine categoria, îns? sunt nou pe forum ?i nu am g?sit alt? categorie în care a? putea încadra acest post.

Ok, dac? a?i încercat vreodata s? sparge?i un cont de facebook (?i a?i reu?it s? afla?i parola sau m?car s? o schimba?i) sau a?i încercat s? v? conecta?i la contul vostru dintr-o loca?ie sau un device diferit, cel mai probabil a?i fost întâmpina?i de urmatorul mesaj:

Probabil au urmat organe genitale, cristo?i, dumnezei, sfin?i s.a.m.d. Adev?rul e c? o companie ca FB cu o capitalizare de 110 miliarde s-a gândit la riscul c? pu?ti de 16 vor reu?i s?-i prosteasc? utilizatorii cu tehnici primitive de phishing. Coinciden?a face c? de obicei persoanele care cad prad? tehnicilor de phishing sunt acelea?i care trimit poze în pu?a goal? prin fb messenger, c? deh, cine o s? le sparg? lor parola abc123.

L?sând gluma la o parte, Facebook Checkpoint este o m?sur? destul de eficient? pentru a descuraja amatorii. Dac? te încume?i s? te apuci s? recuno?ti pozele, vei observa cu stupoare c? în unele poze nici m?car nu apar persoane, ci logouri, iar în altele tagul apare pe persoane multiple. Dac? te apuci s? examinezi fiecare persoan? în parte î?i vei lua ?eap? când vei fi aflat cu stupoare c? exist? ?i o limit? de timp.

Din fericire, tot acest rahat poate fi evitat dac? reu?e?ti s? proste?ti facebookul c? te loghezi de pe un device deja utilizat.

În primul rând, s? analiz?m cum identific? facebook un device. Mul?i cred c? ar fi vorba de cookieuri, îns? asta este fals. Chiar daca î?i elimini cookieurile din browser, facebook nu î?i va trânti un roadblock data viitoare când te loghezi. Defapt totul se bazeaz? pe 2 parametrii: loca?ia ?i browserul.

1. Loca?ia

Facebook î?i determin? loca?ia bazându-se pe IP. Avantajul aici este c? cei mai mul?i dintre noi avem IP Dinamic (adic? se schimb? de fiecare dat? când î?i resetezi routerul), astfel c? Facebook va accepta orice IP care are o loca?ie apropiat? fa?? de cele utilizate anterior.

S? lu?m exemplu un atacator din Bucure?ti ?i o victim? din Caransebe?. Facebook nu va recunoa?te IP-ul din Bucure?ti, cel mai probabil generând un checkpoint, mai ales dac? atacatorul a schimbat parola. Îns? dac? atacatorul ar putea ob?ine un IP în Caransebe? (folosind un proxy, un VPN, un TOR exit node sau cel mai bine un bot) Facebook nu va observa nimic suspect.

De exemplu, acestea sunt IP-urile care ar putea fi asociate unui host din caransebe?:

79.116.144.0 - 79.116.144.255
79.116.146.0 - 79.116.146.255
79.116.148.0 - 79.116.149.255 
79.116.153.0 - 79.116.159.255 
79.116.168.0 - 79.116.168.255
79.116.172.0 - 79.116.173.255
81.196.88.0  - 81.196.91.255
86.35.22.0   - 86.35.22.255

În total 4352 de IP-uri. Un atacator suficient de motivat va putea s? sparg? m?car un host cu unul dintre aceste IP-uri ?i s?-l transforme în curv?, folosindu-l pe post de VPN. Lucrurile se simplific? dac? victima noastr? s-a conectat la facebook de pe mobil, IP-urile atribuite dispozitivelor mobile ne?inând cont de loca?ie.

2. Browserul

Pentru a ad?uga înc? un strat de securitate, Facebook compar? ?i browserul folosit. Aici nu sunt multe de zis, informa?iile sunt ob?inute din headerul HTTP, anume HTTP_USER_AGENT, un ?ir de caractere ce identific? fiecare browser în parte, cu tot cu versiune ?i sistem de operare.

De exemplu:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.65 Safari/537.36

identific? browserul Google Chrome, versiunea 29.0.1546.65 pe un sistem de operare Mac OS X 10.8.5.

Aici este mult mai simplu s? proste?ti facebookul, existând numeroase pluginuri pentru firefox care î?i permit s? bagi ce vrei tu. Modificând acest ?ir de caractere po?i face facebookul s? cread? chiar c? ai intrat de pe aplica?ia de facebook de pe android sau iOS.

R?mâne totu?i întrebarea cum afl?m loca?ia ?i browserul victimei?

R?spunsul este la fel de simplu, când cre?m pagina de phishing stoc?m în fi?ierul nostru, pe lâng? user ?i parol? ?i urm?toarele informa?ii:

$_SERVER['REMOTE_ADDR'];

?i

$_SERVER['HTTP_USER_AGENT'];

Sper c? a fost util acest tutorial, a?tept orice p?reri, critici sau sugestii

[chrisbuuren]

Deci, mai concret ce trebuie sa facem?

Eu am verificat de asemenea si am observat ca un browser nu tine cont de adresa IP,adica din ce zona este.

Am fost intr-o zi in 3 zone diferite de pe langa Bucuresti ,folosind retele diferite de internet (Romtelecom,RDS-RCS, si o retea wireless care nu stiu ce provider foloseste din Bucuresti) si nu mi-a cerut niciodata Checkpointul acela de securitate, de aceea tind sa cred ca doar browserul conteaza

[munkies]

Ai spus ca ai fost in 3 zone diferite din Bucuresti, dupa cum am spus, FB tine cont de oras/regiune, probabil au o anumita raza predefinita din care daca iesi se declanseaza alarma. Daca ai iesit din tara, e aproape sigur ca ti-l baga. De asemenea, daca te loghezi de pe acelasi calculator dintr-un browser diferit, nu va comenta. Cea mai mare sansa ti-l bage, adica e aproape sigur, daca resetezi parola dintr-o locatie + browser diferit.

Concret, iti construiesti o pagina de phishing care fura userul, parola, ip-ul si http_user_agent. Apoi te bagi pe tor, alegi un exit node cat mai aproape de locatia din care este ip-ul victimei si, folosind un spoofer faci sa para ca folosesti acelasi browser (pur si simplu dai copy la sirul de caractere furat de la victima si paste in spoofer).

De exemplu ai obtinut urmatoarele date

user: victima@facebook.com

pass: parola123

ip: 109.96.3.6

http_user_agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.62 Safari/537.36

Intrii pe infosniper.net bagi ip-ul acolo aflii ca e din Pitesti. Cauti un tor exit node cat mai aproape de Pitesti si il selectezi. Dai copy la user agent si paste in spoofer. Inainte sa intrii pe facebook, intrii pe whatsmyuseragent.com si infosniper.com sa te asiguri ca totul merge perfect. Dupa ce ai rezolvat asta, intri pe fb si voila, ai intrat in cont.

[Sim Master]

Nu stiu daca si la acel checkpoint, dar la codul de securitate pe care il primesti pe telefon se aplica si cookie-ul. Daca ma reloghez in modul normal al browserului, nu imi zice nimic, dar daca intru din incognito, imi cere codul.

[chrisbuuren]

Nu zone din Bucuresti, doar unul din Bucuresti ,unul din Calarasi si unul la 70 km distanta de Calarasi..

[CristianRoflmao]

Da si daca adaugi mai multi prieteni tot asa patesti..

Metoda mea cum sa scapi de checkpoint la faza cu pozele..

faci alt cont si adaugi prieteni aia care iti apar in checkpoint.. si te uiti in pozele lor pana vezi poza sau daca i cunosti poti usor sa selectezi persoana din checkpoint..

[Guest thePR0]

Nu stiu ce sa zic, eu folosesc proxy din aceeasi tara/stat, si Firefox. Nu am avut niciodata probleme.

[EAdrian]

A testat cineva? headerele nu se pup? cu cookieurile ?