Comment voler de l'argent à Google, Instagram...

Comment voler de l'argent à Google, Instagram...
4.92 (98.46%) 13 votes

Aujourd’hui nous allons découvrir comment il est possible d’utiliser les services d’appel de sites comme Google, Microsoft, Instagram… afin de gagner de l’argent. Tout cela avec un numéro de téléphone surtaxé. Vous voyez où je veux en venir ? Non ? alors suivez le guide.

La double authentification (ou 2FA – 2 factors authentification) est une fonctionnalité permettant de renforcer l’accès à un services (ex : Twitter, Facebook, Google, etc.). Pour cela un code à usage unique, généré à chauqe nouvelle connection est envoyé à l’utilisateur : par SMS, via Google authentificator ou encore Authy…Mais aussi via appel vocal. Et c’est bien via ce dernier moyen (appel vocal) que toute la technique repose : n’importe qui peut créer un compte Google, Microsoft (Office 365), Instagram ou tout autres sites/services en ligne – ayant une 2FA vocal – et lié ce compte à un numéro de téléphone surtaxé, crée pour l’occasion. Il suffit alors de demander à être appelé durant votre connexion afin de recevoir votre code d’authentification. Fin de la méthode, tout est dit. Si cela est possible c’est simplement parce que ces services ne font pas de vérification. En effet, ils estiment ces numéros légitimes et les services vocaux appellent immédiatement.

Instagram

Instagram (IG) permet de lié un numéro à son compte, ce qui permet de retrouver rapidement vos contacts sur le service de Facebook. Une fois votre numéro entré, IG vous envoie un numéro à 6 chiffres. Si vous ne rentrez ce code dans les 3 minutes, vous aurez alors un appel automatique depuis la Californie.

La requête https://i.instagram.com/api/v1/accounts/robocall_user/ ne peut être lancée que toutes les 30 secondes, due a une simple limitation. Cependant, si vous changez votre numéro par un numéro surtaxé (via la régie eurocall24.com) à 0.06 GBP /minute (soit 0.0716267157 €) IG vous appel sans aucun problème.

A titre d’essai, voici ce que donne 60 appels automatique vers ce même numéro, espacé de 30 secondes chacun : 1,24152974 Euros en 17 minutes (soit 1.04 GBP). 8 Avec cette donnée, il est tout à fait plausible de se dire qu’une personne avec un compte peut générer 1€ /30 minutes => 48€ /jour => 1440€ /mois => 17.280€ /an avec UN COMPTE IG et UN NUMÉRO SURTAXE (vous comprenez maintenant pourquoi vous vous faites harceler sur votre mobile par des numéros inconnus ^^). Évidemment, il est tout à fait possible de multiplier ces chiffres X100, puisqu’il est assez simple de créer plusieurs centaines de comptes IG, tous liés au même numéro (surtaxé).

Google

Pour jouer avec le géant il faut être un peu plus malin. Google peut tout à fait vous appeler durant le processus d’authentification, mais si vous vous contentez de mettre un numéro surtaxé : celui-ci sera bloqué par le service après quelques essais infructueux, car aucune saisie du code 2FA ne sera faite.1-1 Heureusement eurocall24.com propose un service de redirection d’appel vers un serveur SIP (Session Initiation Protocol – Protocole utilisé pour la VoIP) tout en utilisant en client SIP (ex : Blink) afin de pouvoir écouter le message et saisir votre code d’authentification. 2-1 Donc, en liant un numéro surtaxé à ce “callcentre” (nom de la fonctionnalité de routage SIP sur eurocall24) et en utilisant ce numéro dans votre compte Google pour la 2FA, vous recevez l’appel via votre client Blink et pouvez entendre et entrer les 6 chiffres de votre 2FA afin de le confirmer.

Une fois l’identification validée, un maximum de 10 appels /heure peut être fait sur le service. Et chose surprenante, une fois votre numéro validé, plus besoin d’entrer votre code 2FA, ces 10 appels peuvent être faits que vous rentriez ou non votre code d’authentification. Afin d’automatiser ce processus, il est possible d’utiliser le plugin Selenium IDE pour Firefox afin de créer un script pour se logger (user + pass) et exporter dans le script python suivant :

# -*- coding: utf-8 -*-
from selenium import webdriver
from selenium.webdriver.common.by import By
from selenium.webdriver.common.keys import Keys
from selenium.webdriver.support.ui import Select
from selenium.common.exceptions import NoSuchElementException
from selenium.common.exceptions import NoAlertPresentException
from time import sleep
import unittest, re
import datetime

class Login(unittest.TestCase):
    def setUp(self):
        self.driver = webdriver.Firefox()
        self.driver.implicitly_wait(5)
        self.base_url = "http://gmail.com/"
        self.verificationErrors = []
        self.accept_next_alert = True

    def test_login(self):
        driver = self.driver
        driver.get("https://accounts.google.com/ServiceLogin?service=mail&continue=https://mail.google.com/mail/")
        driver.find_element_by_id("Email").clear()
        driver.find_element_by_id("Email").send_keys("[email protected]")
        sleep(1)
        driver.find_element_by_id("next").click()
        driver.find_element_by_id("PersistentCookie").click()
        driver.find_element_by_id("Passwd").clear()
        driver.find_element_by_id("Passwd").send_keys("*****redacted*****")
        sleep(1)
        driver.find_element_by_id("signIn").click()
        driver.find_element_by_id("trustDevice").click()

        try:
            self.assertNotEqual("Wrong code. Try again.", driver.find_element_by_id("errorMsg").text)
        except NoSuchElementException as e: 
            pass    

    def is_element_present(self, how, what):
        try: self.driver.find_element(by=how, value=what)
        except NoSuchElementException as e: return False
        return True

    def is_alert_present(self):
        try: self.driver.switch_to_alert()
        except NoAlertPresentException as e: return False
        return True

    def close_alert_and_get_its_text(self):
        try:
            alert = self.driver.switch_to_alert()
            alert_text = alert.text
            if self.accept_next_alert:
                alert.accept()
            else:
                alert.dismiss()
            return alert_text
        finally: self.accept_next_alert = True

    def tearDown(self):
        self.driver.quit()
        self.assertEqual([], self.verificationErrors)

if __name__ == "__main__":
    unittest.main()

Enfin, un second script python est mis en oeuvre pour exécuter le 1er script toutes les 6 minutes : 

# -*- coding: utf-8 -*-
import os
import datetime
from time import sleep

starttime = datetime.datetime.now()
print "starttime: " + str(starttime)
good = 0
bad = 0
goodarray = [] 
badarray = []
while True:

    time = datetime.datetime.now()
    ret = os.system("python login.py")
    if ret == 0:
        good = good + 1
        goodarray.append(time)
        print "[" + str(time) + "] Good one"
    else:
        bad = bad + 1
        badarray.append(time)
        print "[" + str(time) + "] Bad one"

    print "-----------------------"
    print "Good: " + str(good)
    for i in goodarray:
        print str(i)
    print "Bad: " + str(bad)
    for i in badarray:
        print str(i)

    print "Sleeping 6 minutes.."
    sleep(60*6)

Après 18 appels – dont 1 ayant servi à la création du script, vous voilà avec 1,05€ en banque. 10 Un appel dure approximativement 35 secondes, ce qui donne le calcul suivant : 12€ /jour => 360€ /mois => 4.320€ /an avec UN numéro surtaxé. Même chose que pour Instagram, il est très simple de générer plus de 100 comptes Google ce qui donne les chiffres suivants:  1.200€ /jour => 36.000€ /mois => 432.00€ /an. Dans le cas de 100 comptes, il vous faudra bien sur, de nouveaux numéro surtaxé.

Microsoft

Certains services, comme l’inscription à l’essai de Office 365 permettait d’être appelé afin de prouver que vous n’êtes pas un robot (anti-captcha). L’appel se faisait sans problème sur les numéros surtaxé et bloquait après 7 essais infructueux.

Pour contourner cette limitation, il est possible d’ajouter des zéros devant le numéro de téléphone cible afin de continuer à recevoir les appels. Ceci fonctionnant jusqu’à 18 zéros placé devant le numéro d’appels surtaxé – dans le cas de Office 365.

Préfixer une chaîne de caractères

Il à même été trouvé qu’en ajoutant l’indicatif de zone (ici 48 – Pologne) de manière aléatoire parmi ces zéros, l’appel était toujours effectué.

La formule suivante décrit le nombre total de variations de numéros possible pouvant être exploiter. Où “n” décrit la longueur de la chaîne pouvant être insérée devant le numéro surtaxé : formula1

  • Pour n = 1, il y a une option pour préfixer avec “0”
  • Pour n = 2, il y a une option pour préfixer avec “00” ou “48”
  • Pour n = 3, il y a une option pour préfixer avec “000”, “480” ou “048”
  • ….

Le nombre total de variations possible, avec un numéro seulement, s’éleve à 171+1, soit 172.

Suffixer une chaîne de caractères

Il à été trouvé que ceci fonctionnait aussi en suffixant un maximum de 4 chiffres au hasard (1111 dans cet exemple) :

Le nombre total de combinaisons que cela donne avec 4 chiffres aléatoirement choisis est décrit avec cette formule, où “i” décrit le nombre de chiffres en fin de chaîne : formula-2-2

  • Pour i = 0, il n’y à qu’une possibilités (pas de chiffre suffixé)
  • Pour i = 1, il y a 10 possibilités (0-9)
  • Pour i = 2, il y a 100 possibilités (00-99)
  • Pour i = 3, il y a 1000 possibilité (000-999)
  • Pour i = 4, il y a 10000 possibilité (0000-9999)

Puisqu’il est possible de préfixer et suffixer un numéro surtaxé, voici le nombre total d’appel pouvant être effectué par Microsoft à un numéro surtaxé :

(172*11111) * 7 = 13.377.644 appels /numéro surtaxé

Chaque appels dure environ 23 secondes, ramenons-le à 20 secondes pour faciliter le calcul. En sachant que le numéro surtaxé utilisé à un génère 0.15€ /minute :

(13.377.644/3)*0,15 = 668.882 Euros /numéro surtaxé

Appel simultanés

En plus de tout ce que nous venons de voir, certains services (comme Microsoft) permettent d’appeler le même numéro simultanément. Eurocall24 limite le nombre d’appels simultanés depuis une source à 10 appels simultanés. Le résultat d’un test fait avec 2 x 10 appels simultanés en moins d’une minute : 1€ de généré.

En automatisant ce processus, il est tout à fait possible de générer un certain volume de gains, avec plusieurs numéros premium. Cet article est basé sur le travail de Arne Swinnen, chercheur en sécurité (Belgique).

Aller plus loin

Maintenant que vous avez une idée plus précise de ce qu’il est possible de faire avec un numéro surtaxé, il serait intéressant de prendre le temps de tester ensemble différentes idées : RDV sur le forum dédié pour échanger 😉

Commentaires

  1. Photo du profil de loadingz
    loadingz
    Pareil pour moi j’ai tester plusieurs numéro aucun ne fonctionne (même en appelant moi même)
    bon je n’ai tester que sur eurocall24 mais avec 3 méthode sur 4 , faut peut être validé le compte avant
  2. Photo du profil de athome
    athome
    Bonjour je me suis inscrit à Eurocall24 mais le téléphone mobile Fr que j’ai sélectionné ne fonctionne pas, j’ai fait les test proposé même problème, merci pour votre astuces et la dernière mise à jour 🙂
  3. Matt
    Vu que le gars a dénoncé ces problèmes, celà fonctionne t’il encore ?
    1. Photo du profil de Jeff
      Jeff Auteur du sujet
      Hello Matt, cela ne fonctionne plus sur les services évoqués. Mais n’oublie pas, le but de Ghost n’est pas de vous donner des méthodes toutes faites mais bien de vous informer et de vous donner des idées/possibilités. Je te laisse passer sur le topic dédié à cette article dans le forum afin d’explorer de nouvelles idées basés sur cette méthode 😉
  4. Photo du profil de telmor
    telmor
    Salut Jeff, super article !
    T’aurais pas une régie similaire, mais qui paye par paypal ?
    Merci d’avance 😉
  5. Photo du profil de theofabry
    theofabry
    Bonjour, concrètement on risque quoi en utilisant ce système de manière massive ?
  6. Photo du profil de Paz
    Paz
    Je crois bien que je vais tester tout ça ^^ Si j’ai bien compris Eurocall24 permet d’obtenir un numéro surtaxé ?
    1. Photo du profil de Jeff
      Jeff Auteur du sujet
      Hello, oui tout à fait mais ce n’est q’un prestataire parmi tant d’autres. Fais une recherche sur « premium number phone », tu en trouvera de nombreux autres. Libre à toi de fonctionner avec cette régie 😉
      1. Photo du profil de Paz
        Paz
        Le truc c’est que dans l’heure on peux déjà faire un test !!! ^^ Un compte insta fraîchement créé, un numero surtaxé et on look les gains qui monte ^^ Après pour une utilisation avec plusieurs compte existe t-il un moyen de créé des compte IG automatiquement via un bot ou autre ?
  7. Photo du profil de Ghost35
    Ghost35
    Et bien… Ca à l’air ultra rémunérateur ce système !! Moi même je reçois une tonne d’appels anonymes !!

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *