Вопрос теоретический, для общего развития. Постоянно вижу в интернете рекламу типа "взломаем любую страницу VK за 5 минут". Это реально работает или лохотрон?
Интересует именно техническая сторона: насколько VK защищен, какие уязвимости были раньше и есть ли они сейчас. Не собираюсь ничего ломать, просто хочу понять как защитить свой аккаунт.
Коротко: все сервисы "взлом VK" это скам на 100%. Без исключений.
Теперь подробнее. VK использует серверную авторизацию. Пароль хранится в виде соленого хеша, API работает через OAuth 2.0, двухфакторка через SMS или приложение-аутентификатор. Прямой брутфорс невозможен, потому что сервер банит после нескольких неудачных попыток и требует капчу.
Реальные способы "взлома" (все основаны на социальной инженерии, а не на взломе самого VK):
Фишинг. Жертве присылают ссылку на поддельную страницу входа VK. Визуально один в один. Человек вводит логин и пароль, данные уходят злоумышленнику. Это самый массовый вектор атаки.
Кейлоггеры и RAT. Если на устройстве жертвы стоит вредонос, он перехватывает все нажатия клавиш. Но для этого нужно сначала заразить устройство.
Перехват SMS (SIM-swapping). Злоумышленник переоформляет SIM-карту жертвы на себя через сообщника в салоне связи. Получает SMS с кодом двухфакторки. Это реальная угроза, но требует конкретных связей.
Утекшие базы данных. Если жертва использует один и тот же пароль на VK и на каком нибудь форуме, который утек, пароль пробуют на VK. Работает чаще чем хотелось бы.
Как защититься:
"Теоретический вопрос, для общего развития" ага, конечно))
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации. До 2 лет лишения свободы. Если с причинением ущерба, до 4 лет. Это я тоже так, теоретически, для общего развития сообщаю.
Я реально спрашивал для защиты своего аккаунта, но да, справедливое замечание
Добавлю к ответу выше. Все эти сайты "взлом вк за 500 рублей" работают по одной схеме: ты платишь деньги, тебе показывают фейковый прогресс-бар "подбор пароля... 67%...", потом просят доплатить "за расшифровку". Доплачиваешь, тебе показывают рандомный набор символов и пишут "пароль найден". Пароль конечно же не настоящий.
Вариант похуже: тебя просят ввести СВОЙ логин и пароль от VK якобы "для верификации". И вот тут уже ломают тебя самого.
Видел на форумах десятки историй людей которые хотели взломать бывшую/бывшего и в итоге потеряли свои деньги и свой же аккаунт.
Работаю в инфобезе 8 лет. Могу сказать одно: VK как платформа защищен хорошо. Их баг-баунти программа работает, серьезные уязвимости закрывают быстро. Последний крупный инцидент был лет 5 назад, и тот через стороннее приложение.
Слабое звено всегда человек. 95% всех "взломов" аккаунтов в соцсетях происходят потому что пользователь сам отдал пароль. Фишинг, одинаковые пароли, установка левого софта.
Если уж совсем параноишь, заведи отдельный номер телефона только для важных аккаунтов. Не светить его нигде. SIM-swap тогда будет на порядок сложнее провернуть.
а мне взломали вк в прошлом году, двухфакторка не стояла, пароль был 123456 (да я знаю). рассылали спам друзьям с просьбой занять денег. три человека перевели... было стыдно потом
Спасибо за развернутый ответ. Про SIM-swapping не знал, пойду переключу двухфакторку на приложение