> For the complete documentation index, see [llms.txt](https://book.konstantinsecurity.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://book.konstantinsecurity.com/readme/pentest/osint/instagram-fishing.md).

# Instagram fishing

<https://habr.com/ru/companies/cloud4y/articles/723550/>

Взлом Instagram\*‑аккаунта — популярный запрос в поисковиках. Поэтому есть смысл рассказать о том, как это обычно работает. Просто для того, чтобы вы знали, откуда может пойти атака.

![](/files/mknL0DMPW6MF2pwMQDXf)

Чтобы начать попытки заполучить доступ к аккаунту, вы должны знать ник человека, которого вы пытаетесь взломать. Так что небольшая разведка будет очень кстати. Только не увлекайтесь.

Существуют различные инструменты для разведки, в первую очередь, поиск пользователя в конкретной соцсети с целью узнать его ник. Я нашёл отличный инструмент под названием «**Slash**», который можно использовать для поиска любых учётных записей пользователя, если он везде регистрируется под одним ником.

### Ставим Slash

```
git clone https://github.com/theahmadov/slash
cd slash
pip install -r requirements.txt
python slash.py help
```

Я проверил Slash на себе, и посмотрите на эти результаты. Некоторые из учетных записей, перечисленных здесь, были созданы много лет назад.

![](/files/20LO9ej9FYstXoxpEin7)

Slash — это простой консольный инструмент. Но вы также можете использовать такие инструменты, как [WhatsMyName Web](https://whatsmyname.app/), который совершенно бесплатен.

Вот, посмотрите. Я проверил WhatsMyName на себе. Мой ник «earthtoyash».

![](/files/iDOT9FjdgXVZ39fql3EO)

Теперь, когда мы знаем больше о нашем пользователе, можно использовать эти знания. Например, через отправку фишинговых ссылок. Для этого создадим полезную нагрузку с помощью Zphisher.

### Ставим Zphisher с GitHub

Клонируем репозиторий:

```
git clone --depth=1 https://github.com/htr-tech/zphisher.git
```

Запускаем файл zphisher.sh:

```
cd zphisher && ./zphisher.sh
```

При первом запуске он установит зависимости и на этом всё. Система скажет, что Zphisher установлен. После установки вам нужно будет снова запустить [zphisher.sh](http://zphisher.sh/) в каталоге zphisher командой `./zphisher`, и тогда вы получите что-то вроде этого:

![](/files/7XIVpiOLS6H0Wc8cUhJW)

Как вы можете видеть, есть много вариантов и шаблонов, благодаря чему любой может заниматься фишингом. Мы сосредоточимся на нельзяграме. Итак, введите «2» и нажмите Enter.

![](/files/FBLn71cCjtZAtLp1n3l1)

Следующий шаг полностью зависит от вас, выберите любой из них.

Затем появится окно с выбором. Я выбрал третий вариант, так как он минималистичный и удобен для того, чтобы показать возможности инструмента.

![](/files/PZ3vUOcBTJyZ8RKJ7dQH)

Опять же, чтобы все было просто, я пропущу пользовательский порт, но если вы уже используете порт 8080, то можете изменить его на 8000. Если нет, оставляйте всё как есть. Также важно маскировать URL, ну просто в целях безопасности. Можно использовать что‑то вроде этого:

![](/files/vDX6cNRASk3vP2EsDmYY)

Всё, Zphisher создал фишинговую ссылку, которую можно отправить жертве. Как только она нажмёт на ссылку, вы начнёте получать информацию о ней. Например, IP‑адреса, имена пользователей, пароли и т. д. Ещё можно использовать обратный поиск IP, чтобы определить местоположение вашей цели и многое другое.

Итак, вот эти фишинговые ссылки.

![](/files/PtkaAwXYwXyx2oEvOqFL)

При нажатии открывается страница, похожая на официальную страницу входа в запрещённую соцсеть.

![](/files/IR6mOkEmyxAEGEf3x6Ts)

Вот она, нехорошая

После ввода учётных данных можно получить много информации на «хакерской» стороне терминала.

![](/files/bAkYMmABMuBTFpBxtPg3)

Вот так, господа и дамы, можно без особого труда взломать учетную запись в нельзяграме. Поэтому в очередной раз напоминаем: нельзя нажимать на ссылки, которым вы не доверяете.

Само собой разумеется, не используйте информацию из этой статьи с намерением причинить кому-либо вред. OSINT законен, но фишинг и кража личных данных даже в запрещённой соцсети является уголовным преступлением. И да, \* Организация Meta, а также её продукт Instagram, на которые мы ссылаемся в этой статье, признаны экстремистскими и запрещены на территории РФ.

Спасибо за внимание!

### Что ещё интересного есть в блоге Cloud4Y

→ [Информационная безопасность и глупость: необычные примеры](https://habr.com/ru/company/cloud4y/blog/696078/)

→ [NAS за шапку сухарей](https://habr.com/ru/company/cloud4y/blog/703540/)

→ [Взлом Hyundai Tucson, часть 1](https://habr.com/ru/company/cloud4y/blog/712264/), [часть 2](https://habr.com/ru/company/cloud4y/blog/713312/)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://book.konstantinsecurity.com/readme/pentest/osint/instagram-fishing.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.