Задать вопрос

Социальный фишинг (идентификация пользователей). Как работает?

Заинтересовало как работает идентификация пользователей соц сетей. Такой функционал предоставляет, например socfishing.ru

Сам попался на эту "удочку" когда заходил на юридический сайт, нигде не авторизовывался, ничего не заказывал, а через пару часов в ВК прилетает сообщение от их менеджера "Здравствуйте, вы заходили на наш сайт.. бла бла"

То есть, пользователь заходит на сайт->сервис определяет его аккаунт в соц. сетях.

Как это работает? Посмотрел api Вконтакте - ничего похожего не нашёл. По сути всё сводится к тому, как узнать id пользователя. Дальнейшую инфу вытянуть уже можно через api.
  • Вопрос задан
  • 5797 просмотров
Подписаться 8 Оценить 1 комментарий
Решения вопроса 1
wielski
@wielski
✔ Совет: Вам помогли? Отметьте ответы решением.
На сайт вставляется скрытый виджет "Лайка" вконтакте, сгенерированный с помощью JS API.
Данный виджет постоянно находится под курсором, при нажатии JS API вызывает Event со всеми данными пользователя. Они отправляются пост запросом на сервер.
Чтобы скрыть факт кликджекинга от пользователя скрипт так же по координатам клика определяет объект, и вызывает его триггер клика.
Ответ написан
Пригласить эксперта
Ответы на вопрос 6
Wernalur
@Wernalur
Насколько мне известно используется Clickjacking
Ответ написан
Комментировать
Taraflex
@Taraflex
Ищу работу. Контакты в профиле.
Тут готовый код https://github.com/romkagolovadvayha/romkagolovadv...
Единственное, что я бы профиксил -
https://github.com/romkagolovadvayha/romkagolovadv...
лучше генерить разный LIKE_ID для каждого пользователя и сохранять куда-нибудь в localstorage
Ответ написан
Комментировать
Denormalization
@Denormalization
https://habrahabr.ru/post/234067/ там в коментариях было описание как это работает.
Ответ написан
Комментировать
khipster
@khipster
У ВК есть кнопка авторизации на сайте, кнопку делают скрытой и назначают обработчик онклик, далее происходит авторизация. Короче: ВК - полные олени, более того они даже не считают это уязвимостью.
Ответ написан
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Для firefox есть такая замечательная штука - privacy suite, которая делает много чего в том числе и удаляет подобные кнопки со страниц
Ответ написан
T_y_l_e_r
@T_y_l_e_r
За все время работы с сервисами соц фишинга, удалось понять механизм работы.
Основа всей системы лежит в кликджекинге и кнопки лайкинг.
Апи вконтакте позволяет выяснить id того кто нажал на лайк.
Основная сложность в определении залогин пользователь или нет, а так же в обходе банов яндеса.
К счатью серис которым мы сейчас пользуемся traffgui.ru позволяет избежать блокировок от яндекса.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы