Faceboker – Brute force para facebook

Fala galerinha, tudo certo ? tava passando por umas comunidades que participo 🙄 e me deparei com uma ferramenta bem interessante que vai dar dor de cabeça para os usuários de facebook. Confira no post.

Introdução

Criada pelo hacker que atende pela code nome Zhacker, a ferramenta faceboker (não me perguntei o porque desse nome, rs 😆 ) foi desenvolvida em Perl e tem como objetivo realizar um brute force no form de autenticação do facebook.

Prova de conceito

A utilização do script é bem simples, basta você executa-lo, precedido pelo facebook ID da vítima e uma wordlist para executar o ataque de força bruta. Como exemplificado no comando a baixo:

perl Zhacker.pl 1000102015124 ˜/Desktop/wordlist.txt
Dicas do Guia do TI

Bom galera, vamos dar algumas dicas para facilitar a vida da galera que vai executar o script e não tem muito conhecimento sobre o que se trata.

  1. Para baixar o script, o Zhacker disponibilizou o link no mediafire para download
  2. Para executar o script em perl recomendamos que você de preferencia a distribuição Kali Linux. Com ele você terá acesso mais facilmente a execução do script e  a wordlist para ser utilizada(rockyou).
  3. Para descobrir o Facebook ID de um alvo, utilize o site http://findmyfbid.com, mais informações no site.
  4. Até a data deste post, ainda é possível a execução do script.
  5. Utilize com sabedoria, 😉
Referências: 
  • Se você quiser dar uma olhadinha no tutorial criado pelo cara, fica a vontade:

 

Bom galera é isso!! Espero que vocês tenham gostado dessa dica rápida e nos veremos no próximo post. Qual quer dúvida, deixa nos comentários blz? Essas e muitas outras dicas mais vocês encontram no Guia do TI. Faloooowwww 😀

Na dúvida \/

Ricardo Fajin

Ricardo Fajin em Stone - Pagamentos
É outro louco por segurança da informação, mas não nega as suas raízes, e adora desenvolver em qualquer linguagem de programação.Atua profissionalmente há mais de 3 anos na área, onde é focado em análise de vulnerabilidades e testes de invasão. Atua como Analista de segurança da informação na Stone - Pagamentos. Foi convidado a compor o time de escritores e agregar com conteúdos voltados para segurança da informação, engenharia reversa e programação.
Ricardo Fajin
Na dúvida \/

Últimos posts por Ricardo Fajin (exibir todos)

Ricardo Fajin

É outro louco por segurança da informação, mas não nega as suas raízes, e adora desenvolver em qualquer linguagem de programação. Atua profissionalmente há mais de 3 anos na área, onde é focado em análise de vulnerabilidades e testes de invasão. Atua como Analista de segurança da informação na Stone - Pagamentos. Foi convidado a compor o time de escritores e agregar com conteúdos voltados para segurança da informação, engenharia reversa e programação.

8 comentários em “Faceboker – Brute force para facebook

  • 29 de agosto de 2016 em 1:27 am
    Permalink

    Cara, a ferramenta pode até funcionar, mas vai depender de uma boa wordlist. Vai ser preciso estudar a vítima, coletar o máximo de informações possíveis para depois criar a wordlist. Corrija-me se eu estiver errado.

    Resposta
    • 29 de agosto de 2016 em 3:35 pm
      Permalink

      Obrigado pela contribuição Ewerton. Exatamente, você pode estudar o seu alvo, criar uma wordlist específica para o ataque e possivelmente, tornar seu ataque mais assertivo. Por outro lado, mesmo nos dias de hoje, ainda é possível encontrar usuários com senhas de baixa complexidade que possam ser encontradas em wordlists básicas. ^^

      Resposta
    • 30 de agosto de 2016 em 8:49 am
      Permalink

      Obrigado pela contribuição Ewerton. Exatamente, você pode estudar o seu alvo, criar uma wordlist específica para o ataque e possivelmente, tornar seu ataque mais assertivo. Por outro lado, mesmo nos dias de hoje, ainda é possível encontrar usuários com senhas de baixa complexidade que possam ser encontradas em wordlists básicas. ^^

      Resposta
  • 14 de setembro de 2016 em 6:10 am
    Permalink

    Bom, MESMO que o script fosse funcional, isso levaria muitos anos, não tem o menor sentido isso. Na melhor das hipóteses você poderia pegar um usuário leigo estudar aniversário dele, dos filhos, dos familiares, gostos, jogar numa wordlist e bagunçar usando um Crunch da vida. MAS ainda tem problemas técnicos que o script não tem solução. Analisei o código fonte e ele usa só um id para os cookies, além disso, não tem nenhuma troca de ip, é um script simplesmente básico que vai falhar passando de 100 ou 200 tentativas. O Facebook bloqueia, coloca captcha, bloqueio de ip, enfim … Veja bem, para um projeto desse porte, é um script que não vai funcionar.

    Resposta
  • 14 de setembro de 2016 em 6:13 am
    Permalink

    O melhor jeito sem sombra de dúvidas é aquela bela engenharia social. Ou se não tiverem uma boa labia simplesmente vai do lado do alvo, faz um fake wireless com teu notebook, cria um dns fake que rediciona o facebook pra uma página falsa e pronto, o cara vai conectar na tua rede eventualmente e vai entrar na tua página falsa sem nem o menos saber.

    Resposta
    • 22 de dezembro de 2016 em 5:13 pm
      Permalink

      Ora ora, Brunão da Fsociety por aqui kk

      Resposta
  • 22 de maio de 2017 em 8:24 am
    Permalink

    encontrei uma falha no script ele não localiza a senha se ela for teste@14566

    Resposta
  • 12 de agosto de 2017 em 11:44 am
    Permalink

    Se não for pra deixar logs faz um arp spoofing, é a melhor forma pra monitorar e interceptar dados entre usuários de uma mesma rede, só precisa do set de engenharia social e o ettercap, tudo que já tem pronto pra uso no kali, você não pega só email e password do facebook, vai depender da pagina que você clonar, rackear facebook é mas fácil, pois ha sempre uma possibilidade de 90% de quando uma pessoa esta usando internet, ela estar usando facebook, eu não gostava de facebook ate descobrir que é o melhor exploit já criado, as pessoas estão apodrecendo nas redes sociais, cada coisa que acontece, sente postam lá, lá temos fotos, emails, fakes, Um surto viral no facebook demoraria segundos pra atingir uma quantidade boa de boots, se for pra rede local, bota um keylogger no pc da vitima, e se ela estiver do outro lado do mundo, você vai ter que fazer backdoor

    Resposta

Deixe seu comentário