Социальный фишинг (идентификация пользователей). Как работает?

Question

[jelezo]

Заинтересовало как работает идентификация пользователей соц сетей. Такой функционал предоставляет, например socfishing.ru

Сам попался на эту "удочку" когда заходил на юридический сайт, нигде не авторизовывался, ничего не заказывал, а через пару часов в ВК прилетает сообщение от их менеджера "Здравствуйте, вы заходили на наш сайт.. бла бла"

То есть, пользователь заходит на сайт->сервис определяет его аккаунт в соц. сетях.

Как это работает? Посмотрел api Вконтакте - ничего похожего не нашёл. По сути всё сводится к тому, как узнать id пользователя. Дальнейшую инфу вытянуть уже можно через api.

Comments

[Анатолий]

уже никак

Answer 1

[Andrzej Wielski]

На сайт вставляется скрытый виджет "Лайка" вконтакте, сгенерированный с помощью JS API.
Данный виджет постоянно находится под курсором, при нажатии JS API вызывает Event со всеми данными пользователя. Они отправляются пост запросом на сервер.
Чтобы скрыть факт кликджекинга от пользователя скрипт так же по координатам клика определяет объект, и вызывает его триггер клика.

Comments

[xmoonlight]

Предлагаю назвать это "Event in the middle (EiTM)" ©2016

[sanex3339]

Все так. Но я находил костыльный способ для хрома сделать так, что бы курсор не менялся на pointer, а принимал значение стиля cursor того эл-та, который находится под виджетом.

[LNK]

xmoonlight: поддерживаю :)

Answer 2

[Wernalur]

Насколько мне известно используется Clickjacking

Answer 3

[Александр Таратин]

Тут готовый код https://github.com/romkagolovadvayha/romkagolovadv...
Единственное, что я бы профиксил -
https://github.com/romkagolovadvayha/romkagolovadv...
лучше генерить разный LIKE_ID для каждого пользователя и сохранять куда-нибудь в localstorage

Answer 4

[D']

https://habrahabr.ru/post/234067/ там в коментариях было описание как это работает.

Answer 5

[khipster]

У ВК есть кнопка авторизации на сайте, кнопку делают скрытой и назначают обработчик онклик, далее происходит авторизация. Короче: ВК - полные олени, более того они даже не считают это уязвимостью.

Comments

[jelezo]

Так при клике на эту кнопку всплывает окошко, где нужно подтвердить авторизацию.

[khipster]

jelezo: Это уже детали, все можно убрать.

[Дмитрий]

khipster: там не авторизация, а лайк, который не требует доп окошек. Учите мат часть.

[khipster]

Дмитрий: а лайк по твоему может быть без авторизации? сам учи матчасть. сначала авторизация потом лайк.

[Дмитрий]

khipster: чувак, лайк сработает без всяких окошек, если ты уже авторизован. В этом и суть - 90% юзеров не разлогиниваются в вк. А авторизация нового приложения (не авторизация пользователя) потребует окна по любому. Это имелось ввиду.

[khipster]

Дмитрий: Терминологию сначала выучи! Авторизация происходит через сессию. Это и есть авторизация.

[khipster]

Дмитрий: А кнопка может как угодно называться и какое угодно действие делать. Суть одна - авторизация.

[Дмитрий Евграфович]

khipster: по ходу вам самим стоило бы подучить терминологию. Я могу написать приложение для соцсети вк и интегрировать его в свой сервис, тогда оно будет именно просить авторизацию. Выводить всплыващее окно с просьбой авторизовать это приложение и дать ему доступ. А могу поставить виджет лайка, он не будет просить авторизацию от слова "совсем", пользователь уже авторизован в вк и он просто поставит лайк в виджете, либо вступит в группу, либо совершит любое другое действие, если то будет доступно виджетом.

Answer 6

[CityCat4]

Для firefox есть такая замечательная штука - privacy suite, которая делает много чего в том числе и удаляет подобные кнопки со страниц

Comments

[riot26]

и ghostery

[CityCat4]

riot26: Кстати, оказалось, что privacy suite в новых версиях FF не работает. Поставил ее развитие - называется Blur. Интерфейс конечно страшненький с закосом под Win8.

Answer 7

[T_y_l_e_r]

За все время работы с сервисами соц фишинга, удалось понять механизм работы.
Основа всей системы лежит в кликджекинге и кнопки лайкинг.
Апи вконтакте позволяет выяснить id того кто нажал на лайк.
Основная сложность в определении залогин пользователь или нет, а так же в обходе банов яндеса.
К счатью серис которым мы сейчас пользуемся traffgui.ru позволяет избежать блокировок от яндекса.