Злом облікового запису Інстаграм через уразливість протоколу SS7 стільникових мереж.

При розширенні зони покриття високошвидкісного інтернету на початку 2000-х років і планомірне зниження вартості тарифів зв'язку, людство отримало доступ до глобальної мережі по всьому світу. Стрімкий розвиток технологічної галузі сприяло зниженню витрат на виробництво сучасних портативних пристроїв (смартфонів, планшетів і ПК), що зробило їх загальнодоступними. Ці два чинники забезпечили кожному інтернет користувачеві можливість самостійно створювати інформаційний контент практично з нульовими фінансовими витратами, як в процесі виробництва, так і при його подальшої "розкрутки". Однак, на той момент, список інструментів, що сприяють популяризації контенту в мережі, був сильно обмежений.

Стійкий попит породив пропозицію, тому вже до кінця 2000-х з'явилося нове явище - соціальні мережі. Вони швидко проникли в різні верстви суспільства та стали невід'ємною частиною сучасної інформаційної інфраструктури. Саме соціальні мережі стали грати роль загальнодоступною майданчики, що сприяє вільному поширенню користувацького контенту. Їх структура дозволяла всього за кілька днів зробити популярним будь-якої людини, який зміг викликати інтерес у аудиторії, при інших рівних умовах, і без використання додаткових дорогих засобів просування, використовуваних раніше в засобах масової інформації.

Instagram не тільки одне з топових додатків, доступне для скачування в магазинах AppStore і Play Market, але також одна з найбільш популярних соціальних мереж і маркетингових платформ з глобальним призначеним для користувача охопленням. Власнику кожного зареєстрованого аккаунта надано кілька основних можливостей: публікації, комунікації та оцінки.

Доступні публікації:

1. Авторський фото, відео та аудіо контент
2. Каруселі, що поєднують кілька видів постів
3. Геотеги (відображають поточне місце розташування)
4. Хештеги, які об'єднують публікації в окремі групи
5. Онлайн відео трансляції з можливістю групового чату
6. Короткі історії, опубліковані користувачем протягом доби.

Варіанти комунікації:
Instagram, крім можливостей соціальних мереж, повноцінно підтримує набір базових функцій додатків - месенджерів (WhatsApp, Viber, Telegram, Snapchat, FB, Skype):

1. Миттєвий обмін текстовими повідомленнями
2. Відправлення та отримання файлів в різних форматах
3. Підтримка відеозв'язку між декількома користувачами
4. Створення опитувань, націлених на зворотний зв'язок з передплатниками

Можливості оцінки:

1. Передплатники і підписки
2. Залишені лайки під кожним постом
3. Опубліковані коментарі до фото, відео і каруселей
4. Кількість переходів в акаунт з моменту останньої публікації

Оціночні показники враховуються інтелектуальними алгоритмами Instagram, що сприяє популяризації, як кожного окремого поста, так і профілю в цілому.

Набір основних можливостей привертає абсолютно різні соціальні групи користувачів, починаючи з середньостатистичних споживачів контенту і, закінчуючи власниками великих бізнес акаунтів, зацікавлених у просуванні власного бізнесу. Крім цього, сьогодні складно уявити будь-яку медійну особистість без розкрученого Instagram аккаунта.

З найперших моментів появи соціальних мереж, питання захищеності даних стояв досить гостро. Відбувалася безперервна гонка між розробниками і фахівцями в області пошуку вразливостей, лідерство в якій могла здобувати кожна зі сторін в різний період часу. Щодня пропонувалися більш сучасні рішення, як по захисту, так і по злому акаунтів.

Не має сенсу описувати всі існуючі раніше методи злому Instagram, так як їх об'єднує одне - відсутність актуальності в даний момент. Якщо уразливості настільки популярних додатків стають надбанням громадськості, значить розробники вже успішно завершили роботу над їх усуненням. До того ж, пошук "дірок" - досить специфічне завдання, посильна тільки експертам в даному напрямку. Справжній інтерес викликають стабільні інструменти, доступні сьогодні для рядового користувача.

Один з таких інструментів - веб інтерфейс Інста - трекер ™. Структура програмного забезпечення дозволяє віддалено відновити пароль від зазначеного аккаунта, в обхід системи двофакторної аутентифікації Instagram. Для цього не потрібно отримувати доступ до смартфону або планшету, встановлювати і активізувати програмне забезпечення. Досить скористатися актуальною сьогодні вразливістю протоколу SS7 стільникових мереж.

Кожен користувач Instagram вказує номер стільникового телефону під час реєстрації профілю. Це необхідно, щоб, в разі втрати пароля, підтвердити власну особистість для ініціації процедури відновлення. Саме на цей номер буде відправлено сервісне SMS, що містить посилання відновлення. Перехід за посиланням приведе до наступного кроку, в якому буде запропоновано призначити новий пароль до аккаунту.

Захисна інтеграція соціальної мережі, покликана забезпечити додаткові заходи безпеки, в дійсності є найбільшою "дірою", оскільки відкриває можливість отримати доступ до абсолютно будь-якого аккаунту без згоди з боку власника. При цьому, розробники не в силах зробити істотного впливу на дане питання і будь-яким чином сприяти виправленню уразливості, так як вона знаходиться в зоні відповідальності мобільних операторів.

Веб додаток Інста - трекер ™ повністю підтримує функцію віддаленого перехоплення посилання відновлення, експлуатуючи вразливість SS7 протоколу стільникових мереж. Перехопивши SMS з кодом верифікації, користувачі Інста - трекер ™, отримують можливість відновлення пароля від цільового Instagram аккаунта і його подальшого адміністрування. Процес повністю автоматизований і не вимагає згоди з боку власника аккаунта, відбувається у фоновому режимі і не впливає на роботу цільового пристрою.

Прийнято вважати, що стільникові оператори (провайдери) - це інноватори в технологічній сфері з потужним суперсучасне обладнання, стійким до різного роду загрозам. Такий вигляд цілеспрямовано формує сучасна реклама, спрямована на постійне збільшення числа абонентів. Однак, в дійсності все виглядає трохи інакше. Стільникові мережі - складно взаємопов'язана система, що комбінує безліч дрібніших підсистем. І, як і в будь-який масштабної технологічної структурі, не обійшлося без наявності ряду критичних вразливостей.

Наприклад, технологія з'єднання сигналу між користувачами (протокол SS7) родом з 70-х років минулого століття. У той час її безпеку забезпечувалася захистом вузлів зв'язку від фізичного впливу з метою перехоплення сигналу. Сьогодні SS7 функціонує онлайн на базі IP мереж, що дозволяє підключитися до протоколу і отримати доступ до даних абонентів ззовні. Тобто, маючи спеціальне обладнання та інформаційну базу, можна віддалено отримувати, відправляти і перехоплювати повідомлення всередині мережі. При цьому дана уразливість виявлена ​​навіть у топових світових стільникових операторів, а середній показник успішно виконаних атак становить понад 95%.

Вказавши URL або login жертви, користувач Інста - трекер ™ активізує кастомний алгоритм виявлення номера телефону цільового аккаунта, на який в подальшому буде проводитися атака, націлена на перехоплення вхідного SMS, що містить посилання відновлення. Після успішного завершення операції, потрібно лише авторизуватися в емуляторі мобільного додатка Інстаграм для подальшого завантаження архіву призначених для користувача файлів.

Емулятор Інстаграм - віддалене онлайн додаток, створене розробниками Інста - трекер ™. Локалізовано на віртуальній Android машині, виконує роль тимчасового сховища для даних цільового облікового запису. Говорячи простими словами, аккаунт жертви після злому запускається в емуляторі Інстаграм, і там же формується архів призначених для користувача файлів.

Зміст наданого архіву:

1. Логін і пароль авторизації аккаунта
2. Переписка в Direct, прикріплені документи
3. Повний список залишених коментарів, лайків та хештегів
4. Опублікований за весь час контент, включаючи фото, відео та Stories

** Архів перевірений антивірусом на предмет шкідливих вкладень і є повністю безпечним для скачування.

Програмне забезпечення функціонує за рахунок наданого розробниками обладнання і не вимагає залучення значних потужностей на стороні користувача.

Системні вимоги:

• Стабільне інтернет підключення, що дозволяє завантажувати важкі файли (іноді більше 3 Гб.) Без розриву поточного з'єднання.
• Актуальна версія одного з сучасних браузерів (Google Chrome, Safari, Mozilla Firefox, Internet Explorer, Opera) і т.д.
• Додаток здатне відкрити архів з розширенням .zip. Для пристроїв на операційній системі Android (RAR), iOS (iZip), Windows (WinRAR). Пристрої на MacOS володіють вбудованим архіватором, що функціонує в Finder. Зверніть увагу, що дана добірка додатків носить тільки рекомендаційний характер.

Описані вище методи доводять свою ефективність в питанні злому Instagram вже протягом кількох років. Розробникам додатки дані уразливості добре відомі, але обмеження в повноваженнях перешкоджають їх усунення. Стільникові оператори не прагнуть виробляти апгрейд системи розподілу сигналу через високий поріг вартості обладнання. Тому, на поточному момент, будь-яке обговорення даної проблеми носить, швидше локальний характер, і піднімається тільки на спеціалізованих форумах і конференціях. Широкому колу споживачів дана проблема не відома.

Інста - трекер ™ експлуатує перераховані уразливості в інтересах клієнтів. Інтерфейс програмного забезпечення відображається через веб сайт (Www.instavzlom.net) і доступний в режимі онлайн. Тисячі клієнтів вже перевірили його ефективність, про що свідчать сотні позитивних відгуків і стабільно високий рівень задоволеності очікувань.

зламати Інстаграм Як відновити інстаграм Відгуки