COMMENT HACKER UN COMPTE FACEBOOK !!

COMMENT HACKER UN COMPTE FACEBOOK !!

Que la paix soit sur vous les hackers 😇, c’est Anass encore une fois, et bien aujourd’hui, je vais vous parler d’un sujet qui fait le buzz depuis très longtemps et c’est la raison pour laquelle (fort probablement) que certain d’entre vous veulent devenir hacker, oui oui, c’est le piratage de facebook !!!! wooow hold on, je plaisante, je faix que répéter ce que les novices disent dés que vous vous présentez comme un hackingeek (d’ailleurs c’est pas une bonne idée😕), la premiére question réflexe serais “comment hacker un compte facebook”!!!.

Ce qui est surprenant c’est qu’il y a 259 millions de recherches organiques sur le mot-clé “how to hack facebook“!! en 2018, pourtant ces gens n’ont rien à faire avec les serveurs de facebook, ils ont juste besoin d’un compte pour régler un compte 😝.

comment hacker un compte facebook

1-pourquoi je vous montre comment hacker un compte facebook ?

La majorité d’entre vous vont se poser cette question “mais ça c’est pas du hacking éthique, et ma réponse est OUI. C’est vrai que c’est pas du hacking éthique mais ça rentre dans le cadre du savoir que chaque hacker doit maitriser pour savoir comment se defendre, si tu ne connais pas les armes qu’utilise ton ennemi, cela va ouvrir la porte des surprises ce qui n’est pas en notre faveur, vous voyez que c’est un grand jeu d’attaque et de contre-attaque étant l’arme ultime : le savoir.

2- pirater facebook ! C’est possible ?

Et bien les amis, il faut corriger certaines notions avant de commencer, ce qu’on va discuter dans cette série d’articles c’est comment on peut détourner un compte facebook et pas facebookfacebook : c’est un empire que ce n’est pas n’importe qui peut le pénétrer, Alors ne rêver pas trop, on est que des geeks 🤩, mais ça ne veut pas dire que facebook est inhackable bien sûr que oui et voici la preuve, ça nous rappel la loi de “il n’y a pas de systéme sécuriser à 100%“.

Autre chose : il n’y a pas de méthodes miracles pour hacker un compte facebook, c’est juste une question de savoir (ni d’intelligence ou quoi que ce soit), surtout éloigner vous des sites qui prétendent pouvoir récupérer le mot de passe d’un compte juste en entrant le numéro de telephone ou l’adresse email, c’est du bullshit !!!, même chose pour les applications sur les smart phone.

Maintenant et après avoir nettoyé la tête des parasites qui s’oppose au mindset d’un vrai hacker, on va entamer notre sujet principal qui est comment hacker un compte facbook ? Et ben il y a plusieurs méthodes pour le faire et chaque méthode convient à une situation particulière : “il n’y a pas de technique qui marche tout le temps dans tous les cas”.

À l’heure ou j’écrit cet article j’en connaît 7 façons de le faire, ce que je vais faire dans cette séries de tutoriels, c’est de traiter dans chaque article une seul méthode en détail en commençant par les plus populaires d’ordre décroissant, so let’s start with : phishing.

 3-le phishing !! C’est quoi :

Autrement dit : l’hameconnage est une technique que les pirates ont developpé (je dis bien pirate) afin de récupérer des informations personnelles (mot de passe, numero de compte bancaire, ..etc),  La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance ( banque, administration), qui finit de lui soutirer des renseignement personneles.

Pour commencer le pirate va copier le site web que sa victime veulent se connecter avec, souvent la copie est presque parfaite au point que la victime va vite croire qu’elle est sur le site voulu, et là elle va saisir ses coordonnées que le pirate va les récupérer immédiatement, en outre pour rendre le travail plus pro, cependant il va rediriger sa victime vers le site officiel auquel elle a voulu se connecter faisant lui croire qu’un bug quelconque s’est arrivé et…. bingo mission accomplie, c’est le scenario le plus basqiue y’en a d’autre technique plus sofistiqué qu’on va pas les voir ici.

Il faut souligner que Les cibles les plus courantes sont les services bancaires en ligne, les fournisseurs d’accès à internet, les sites de ventes aux enchères tels qu’eBay, et le système de paiement Paypal vous voyez que le point commun de toutes ces cibles est l’Argent et c’est le motif principal des pirates.

4- mise en pratique :

Avant de commencer j’aimerais vous informer que je vais pas utiliser la méthode du framework setoolkit (ceux qui sont familiarisé avec Linux savent ce que c’est 😉), mais je vais crée un site web basique qui à l’entré demande les coordonnés du compte facebook pour autorisé l’accés, une fois les informations personnels entrer un script PHP va devoir se connecter à la base de donnée Mysql et les inserer dans une table speciale, puis je redirige l’utlisateur à un autre site rapidement.

N.B : vous pouvez héberger le fake site sur votre localhost (serveur local), mais vous devez effectuer un port forwarding pour autoriser la connexion entrante.

<1> création du site web </1> :

Allons maintenant, je vais me mettre dans la peau d’un pirate pour que je puisse résonner de la même manière 😈.

Pour commencer je crée mon site sur une plateforme gratuite (pour rendre le travail plus convaincant vaut mieux acheter un nom de domaine et un hébergement), les plateformes gratuites y en a beaucoup mais la plus performante que je connais c’est awardspace et bien ce que je vais faire maintenant c‘est de m’inscrire chez eux et choisir l’ordre FREE, comme le montre l’image suivante :

creation site web gratuitement

 

Puis je n’ai qu’a rentrer une adresse email et un mot de passe pour crée un compte gratuit.

Après avoir rempli le formulaire vous vous trouverez sur le cpanel, c’est le tableau de bord de votre site, depuis là, vous pouvez contrôler la totalité de votre site web, vous pouvez faire une balade pour s’habituer un peu à cette riche interface mais elle est trés intuitive.

cpanel

Le tout premier pas étant de choisir un nom de domaine pour mon site, je clique sur “Domain manager” pour être redirigé vers une nouvelle page sur laquel je choisis crée un “subdomain gratuit” puis je rentre le nom du site :

domain_name

 

N.: le nom de domaine comme il est gratuit va être comme ça : readonly.atwebpages.com alors que le payant va être : readonly.com c’est pour ça que je vous ai dit que le payant est plus convaincant.

Maintenant, je vais revenir à mon tableau de bord, pour entamer la phase de création du contenu de mon site, sachez qu’il y’a  deux façons de le faire, la première consiste à utiliser un système de création automatique tel que wordpress ou joomla (c’est plus rapide, plus facile et faite surtout pour les gens qui ont une techniquophobie 😜) et la deuxième consiste à envoyer les fichiers de notre site via “file manager”, c’est cette dernière méthode que je vais utiliser, car mon fake site web est un site fait maison que je n’ai qu’a le mettre sur le serveur.

Donc sur mon cPanel je clique sur file manager, puis je me déplace vers le dossier readonly :

file_transfert

Vous voyez qu’en dessus de l’image y a une icône Upload, c’est ce qui va me permettre d’envoyer les fichiers qui se trouvent sur mon disque dur au serveur de l’hébergeur :

envoie

figure 5.

N.: pour ce qui est “dossier” il faut créer le dossier manuellement en utilisant la barre en dessus, aussi vous voyez sur l’image en dessus qu’il y a deux fichiers principaux : index.php, c’est lui le responsable de mon interface, vous pouvez en créer un selon vos besoins ou tout simplement copier un autre site web (copier le code source😎), ou télécharger un template préparé, en revanche le fichier db_connect.php je mettrais le lien de partage dans l’étape suivante.

C’est bon mon site (plutôt mon interface) est prêt, il ne reste que les coulisse : la base de données.

<2> création de la page index.php </2> :

Notez que le morceau le plus important du fichier index.php est la partie du formulaire, ce dernier est responsable d’envoyer les informations qu’entre la victime, je vous passe le script pour aller droit à l’essentiel  :

<form action="db_connect.php" method="POST">
<input type="text" name="email" placeholder="Email Address" id='email' required/>
<input type="Password" name="password" placeholder="Password" id="password" required/>
<div class="submit">
<input type="submit" value="Login" >
</div>
<span class="forget-pass">
<a href="#">Forgot Password?</a>
</span>
</form>

<3> création de la base de données </3> :

D‘abord c’est quoi une base de données ? Et bien, une base de données est un outil qui stocke vos données de manière organisée et vous permet de les retrouver facilement par la suite.

Donc je vais créer une base de données dans laquel les coordonnés de mes victimes seront enregistrer, pour le faire, je me rends sur le dashborad et je clique surdatabase manager” puis je crée une nouvelle DB (data base) :

db_creation

Vous verrez toutes les informations de la DB crée en dessous, ces informations sont très importantes, car elles vont me permettre de connecter le fichier db_connect.php avec la DB afin d’enregistrer les entrées fournies par la victime.(étape <5>)

<4> création d’une table au sein de la DB </4> :

Certe, j’ai créé ma DB, mais je ne peux pas l’utiliser comme elle est, je vais devoir créer au sein d’elle une table qui reçoit les informations qu’elle devrait enregistrer (la base de données peut être composée de plusieurs tables) , et pour créer une table, je dois demander l’aide de monsieur phpMyadmin 😄.

Question : mais c’est quoi ce phpmyadmin ??

Réponse : pour accéder et manipuler la base de données il y a plusieurs méthode notamment la console, mais PhpMyadmin est un outil graphique simple et facile à utiliser pour effectuer des changement rapide sur les bases de données.

phpMyadmin

En cliquant sur PhpMyadmin Un autre onglet s’ouvre, je cree immediatement ma base de données en se servant du formulaire, je nomme ma table et je précise de combien de colonne doit être faite, j’en ai besoin que de trois colonnes (id,email,password):

creation de table

Ensuite je configure un peu ma table comme suit :

table_config

1 : le champ id sert à numéroté mes entrées pour des raisons d’organisation, vous pouvez en débarrasser, c’est un INT c’est-à-dire un numéro, remarquez que j’ai coché la case A.I ( auto-incrémentation ), à chaque fois qu’une nouvelle entrée s’ajoute il va automatiquement ajouter 1 au dernier id ajouté.

2 : le champ ou les email seront stockés, je lui ai attribué le type TEXT.

3 : le champ des mots de passe même chose que 2.

C’est fait, ma base de données est prête à recevoir les coordonnées du formulaire qui est au sein de la page index.php.

Question : est-ce que les informations du formulaire vont être directement enregistrer dans la table sans que je fasse rien ??

Réponse : non, c’est pour ca que je vous ai dit qu’un deuxième fichier intermédiaire doit être créé, c’est lui qui va jouer le rôle de messager entre index.php et la base de données, c’est celui que je vous ai présenté y a un peu de temps.

<5> création du fichier db-connect </5> :

Donc j’ai créé un petit fichier PHP que vous le trouvez ici.

Normalement, vous pouvez comprendre ce que j’ai fait facilement si vous avez étudié PHP, mais comme même je vais expliquer brièvement : tout au début, je me connecte à ma base de données, je passe à la commande le nom de l’hôte, le nom de la base de données que j’ai créé, le login, puis le mot de passe, puis j’indique les champs dans lesquels je veux insérer mes données (email et password) sachant que le “id s’incrémente automatiquement (c’est la raison pour laquel je ne l’ai pas mentionné), et dernièrement, j’exécute le transfert des coordonnées depuis le formulaire qui est au sein de index.php et l’utilisateur est redirigé immédiatement vers un autre site web.

N.: veuillez adapter le script selon les variables (db_name,user,login,table_name) de votre cas, puis uploader le dans le même répertoire ou se trouve index.php (figure 5).

ATTENTION : ce script est un script PHP de base que vous pouvez améliorer, par contre vous pouvez ajouter des mesures de sécurité au cas où vous tombez sur une victime assez maligne et qui a un background sur le bidouillage web, vous pouvez aussi imposer que l’utilisateur entre un email pas un numéro de téléphone ou autre chose en ajoutant des regex, bref il y a beaucoup de chose à améliorer.

Ouf, finally tout est en place, notre phishing website est prêt à recevoir ses premières victimes !!.

5 – c’est bon : ton facebook est le mien :

Je n’ai pas encore enlevé mon black-hat😈, je suis toujours le méchant pirate, donc ce que je vais faire dans cette étape, c’est avant tous de cibler ma victime, parce qu’il faut mettre à l’esprit que les pirates sont à la base des hackers (ils ont les mêmes compétences.) sauf que les pirates soient malintentionnés, mais ils respectent bien la méthodologie du hacking qui recommande de bien cibler le but avant de tirer.

J’ai oublié ce que j’allais dire !! aaah oui donc je vais cibler ma victime, supposons que c’est un collègue que je connais peu, mais ce peu peut être très utile, disons que ce collègue aime lire, car je le vois tout le temps avec un bouquin dans la main, donc je crée un site qui a le look d’une libraire en ligne (et c’est ce que j’ai fait là 😜😜) avec un nom de domaine captivant et j’essaye de lui envoyer le lien ou le forcer à le visiter (c’est l’attaque dns spoofing qu’on verra dans un autre article), ou tout simplement l’envouer un SMS…… est le reste du jeux repose sur la curiosité de la victime et son engagement envers ses passions et c’est là que la phase de la collecte d’informations joue un rôle primordial dans le succès de l’attaque.

Disons que ma victime a bien reçu mon lien et tombe dans le piège en l’ouvrant, mon ami le bouquineur 😂 va être honoré par cette page :

Et s’il rentre ses informations et clique Login, il va être rediriger vers http://gen.lib.rus.ec/librarygenisis rapidement, et voilà ce que je vois si je refresh ma page de phpMyadmin 😈😈😈:

hack_done

Nous y voila, le travail est terminé en plus je me sens mal alaise avec ce black hat 😑, je me suis mis dans la peau d’un pirate juste pour l’ambiance et pour changer de routine..

6 – comment se sécurisé ?? :

Le SAVOIR !! …..C‘est la réponse : il faut savoir que cette attaque existe et qu’elle est très répondu voyant sa facilité et son pouvoir.

Vous pouvez détecter ce genre de phishing pages en un clin d’œil car :
1 – le certificat SSL est absent, donc il n’y a pas de cryptage des données (sauf si l’hébergement est payant).

ssl_certificat

2 – vous pouvez consulter le code source d’une page suspecté, dans notre cas le code du formulaire est très suspicieux

3 – évitez les sites présenter par des sources non-fiables.

4 – dans certains cas les navigateurs peuvent détecter que le site est une phishing-page.

J’espère que cet article a été utile pour vous, dans la suite, on va aborder d’autre méthodes peu utliser, mais qu’ils sont très efficace, notamment les attaque sur le même réseau (LAN), allez, je vous laisse PEACE 😘.

IMPORTANT : n’essayez pas de consulter la page que j’ai utiliser pour démontrer l’attaque, la voici http://readonly.atwebpages.com/ elle n’est plus disponible 😂😂😂.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

dix-neuf + dix-sept =