Социальный фишинг (идентификация пользователей). Как работает?
Заинтересовало как работает идентификация пользователей соц сетей. Такой функционал предоставляет, например socfishing.ru
Сам попался на эту "удочку" когда заходил на юридический сайт, нигде не авторизовывался, ничего не заказывал, а через пару часов в ВК прилетает сообщение от их менеджера "Здравствуйте, вы заходили на наш сайт.. бла бла"
То есть, пользователь заходит на сайт->сервис определяет его аккаунт в соц. сетях.
Как это работает? Посмотрел api Вконтакте - ничего похожего не нашёл. По сути всё сводится к тому, как узнать id пользователя. Дальнейшую инфу вытянуть уже можно через api.
На сайт вставляется скрытый виджет "Лайка" вконтакте, сгенерированный с помощью JS API.
Данный виджет постоянно находится под курсором, при нажатии JS API вызывает Event со всеми данными пользователя. Они отправляются пост запросом на сервер.
Чтобы скрыть факт кликджекинга от пользователя скрипт так же по координатам клика определяет объект, и вызывает его триггер клика.
Все так. Но я находил костыльный способ для хрома сделать так, что бы курсор не менялся на pointer, а принимал значение стиля cursor того эл-та, который находится под виджетом.
У ВК есть кнопка авторизации на сайте, кнопку делают скрытой и назначают обработчик онклик, далее происходит авторизация. Короче: ВК - полные олени, более того они даже не считают это уязвимостью.
khipster: чувак, лайк сработает без всяких окошек, если ты уже авторизован. В этом и суть - 90% юзеров не разлогиниваются в вк. А авторизация нового приложения (не авторизация пользователя) потребует окна по любому. Это имелось ввиду.
khipster: по ходу вам самим стоило бы подучить терминологию. Я могу написать приложение для соцсети вк и интегрировать его в свой сервис, тогда оно будет именно просить авторизацию. Выводить всплыващее окно с просьбой авторизовать это приложение и дать ему доступ. А могу поставить виджет лайка, он не будет просить авторизацию от слова "совсем", пользователь уже авторизован в вк и он просто поставит лайк в виджете, либо вступит в группу, либо совершит любое другое действие, если то будет доступно виджетом.
riot26: Кстати, оказалось, что privacy suite в новых версиях FF не работает. Поставил ее развитие - называется Blur. Интерфейс конечно страшненький с закосом под Win8.
За все время работы с сервисами соц фишинга, удалось понять механизм работы.
Основа всей системы лежит в кликджекинге и кнопки лайкинг. Апи вконтакте позволяет выяснить id того кто нажал на лайк.
Основная сложность в определении залогин пользователь или нет, а так же в обходе банов яндеса.
К счатью серис которым мы сейчас пользуемся traffgui.ru позволяет избежать блокировок от яндекса.
Средний
