Phishing ala Jogyno…alebo čo sa ti v živote môže hodiť

Prečo sa phishing volá fišing?
Ľudia sú ako rybky plávajúce v mori núl a jednotiek nazývanými internet. Internet, už nieje len zdroj informácií, ako to bolo možno ešte pred desiatimi rokmi, je to miesto pre podvodníkov, zlodejov a záškodníkov, ktorí majú jediný cieľ, narobiť čo najviac neplechy. A práve takýmto človekom sa môžeš stať po prečítaní tohoto článku.

Prvá vec, ktorú si musíš uvedomiť je, že všetky rady v tomto článku sú nelegálne, môžu byť trestné stíhané a všetku zodpovednosť nesieš za ňu ty, alebo človek, ktorí platí internet, na ktorom si zrovna pripojený (napr sused).

Takže prvé pravidlo: Snaž sa čo najviac zahladiť stopy po svojom „útoku“. Síce pravdepodobnosť, že sa niekomu bude chcieť dávať na vás trestné oznámenie za niečo, čo sám nevie čo to vlastne je, je mizíva. Ešte mizivejšia je pravdepodobnosť, že vás dotyčný policajt pochopí, a že začne aj konať. Toto všetko platí pri maličkých „akciách“. Pokiaľ chcete hneď teraz začať robiť podvodnú stránku Slovenskej sporiteľne, tak vám odporúčam: „nerobte to“ ! Ako sa hovorí „vždy príde na psa mráz“ a verte mi, raz skôr či neskôr príde aj na vás, a ide len o to, zistiť kedy je najlepší čas prestať. Takže prídeme k veci. K niečomu konkrétnemu. Niektoré tieto veci určite nájdete na internete, niektoré možno nie.

Úplní základ fišingu spočíva vtom, že musíme nalákať človeka presne tam, kam chceme. Správny výber človeka nám umožní vykonať úspešný „útok“. Nesprávnym výberom človeka je útočenie o to zložitejšie (nikdy však nemožné). Takže konkrétnejšie: (čísla sú orientačné)
1. človek, ktorý sa nerozumie informačným technológiam (99% žien).
2. človek, ktorý si nevie stiahnuť hru z internetu (40% internetovej populácie, ktorá vie aspoň zapnúť počítač).
3. všetci do 15 rokov a všetci, ktorí sa zdržiavajú na pokeci, chatíku a niečom podobnom;

Ďalšou otázkou je, aký druh záškodníctva chceme dosiahnuť. Sú rôzne typy, ktoré si nižšie popíšeme.
1. sledovanie obete bez jej vedomia (neškodné)
2. nalákanie obete a bezcitné ukradnutie účtu (100%-tné nasrdenie)
3. vyhrážanie, vysmievanie, zneužitie získaných informácií (nebudem sa tým zaoberať, každý vie ako so získanými informáciami narobí)

tu začínajú podstatné veci…návod nejdem konkretizovať do podrobna, je určený najmä skúsenejším

Najdôležitejšia časť je, mať vlastnú webstránku. Na to nám postačí nejaký free webhosting, kde si môžme vytvoriť doménu tretieho rádu. Dávame si záležať na zvučnosti názvu domény. Ja osobne používam poskytovateľa endora.cz, kde sú na výber domény s koncovkou 4fan.cz alebo jecool.net, ktoré super znejú. Ďalej je možné na stránke dot.tk vytvoriť odkaz druhého rádu s koncovkou „.tk“ pre svoju doménu, čo dáva ešte väčšiu autentickosť. Ak je potrebné zadávať konkrétne meno, priezvisko, adresu, je viac než dôležité si ju vymyslieť, pri free hostingoch to nikoho netrápi. Pri platených hostingoch je to horšie, kde evidujú napríklad bankový účet platiaceho.

Po vytvorení zvučného názvu domény, je potrebné ju naplniť obsahom. Všetky známe weby v tejto dobe používajú šifrované spojenie „https:“ medzi používateľom a serverom. Toto sa vám žiaľ nepodarí dosiahnuť. Vyššie vymenované „obete“ si to však nevšimnú (lebo nevedia, že také niečo existuje). Obsah, ktorým naplníte web záleží len na vás. Základom je samozrejme stiahnutie designu stránky a jeho následné upravenie podľa svojich predstáv. Pokiaľ nieste programátor a neviete si stránku upraviť sám, na internete určite nájdete už vytvorené podvodné stránky napríklad facebook-u, ktoré vyzerajú presne ako facebook, ale namiesto toho vám zašlú heslo na váš mail. Viď predchádzajúci projekt, ktorý bol zrušený hlavne, kvôli zneužívaniu nemenovanými „seba nazývanými hackermi“. (tí čo to nevedia, proste som mal z toho zlý pocit a skôr či neskôr budeš mať aj ty)

Po dokončení webu so zvučným menom a funkčným designom, môžme začať so skúšaním. Či človek po kliknutí naozaj zadá email a heslo záleží na vás. Správne podanie textu o tom rozhodne pri 50% prípadov. Pokiaľ si chcete urobiť len malú srandu zo známeho, tak nieje nič jednoduchšie ako poslať odkaz zo svojho pravého účtu na facebooku. Myslím, že to zoberie s humorom a pár nadávkami. Ak vás váš známi prekukne, tak nieje nič jednoduchšie ako napísať „to som ja nebol, to bol zas nejaký vírus na facebooku“ alebo niečo vtom zmysle. Obeť to pochopí a nemá dôvod vám neveriť.

Podľa mňa najlepší a najmenej zistiteľný je útok „ukradni a sleduj“. Pri tomto útoku si ideme do kuchyne spraviť Pop-corn, prihlásime sa pod menom obete a už len sledujeme ako si chatuje s ostatnými priateľmi na facebooku. Takzvaný „Live prenos z okolia“. Niekedy sa okrem volovin, ktoré si píšu pätnástky medzi sebou dozviete, kto sa chce s kým rozísť a danú osobu vopred varovať poprípade napísať anonymnú správu na fb.

Ďalším spomenutým útokom je „ukradni, zmeň heslo a na*er ho“. Toto by naštvalo asi každého. Idem sa prihlásiť na facebook a heslo nejde. Aby bol tento útok 100-percentne úspešný je potrebné spraviť niekoľko zásahov do účtu. Po prihlásení na účet je najskôr potrebné zmeniť email obete. V prípade, že to nespravíte, obeti príde email, ktorý jej umožní po vami prevedenej zmene hesla resetovať heslo a tak získať účet naspäť. Po tejto zmene nemá šancu sa dostať k účtu naspäť. Nemilé prekvapenie nastane, keď zistíte, že spolu s účtom ste prišli aj o všetky svoje facebook stránky (ak nejaké máte). Ak zrovna nechcete obeti zmeniť heslo, hodí sa do nastavení účtu nevedomky pridať otázku na resetovanie hesla, ktorá vám zabezpečí neskoršiu možnosť získania účtu do svojich rúk. So získaním účtu je aj riziko uverejnenia fotiek s albumov alebo správ. V nastaveniach účtu je dokonca možné stiahnuť celý svoj facebook účet ako jeden súbor, čo môže byť veľmi nebezpečné.

Možností ako dostať „obeť“ na stránku, ktorú chcete je veľa. Ja vám popíšem ešte jednu z nich.
Prídete ku kamarátke opraviť pc. Pri opravovaní pc jej však v počítači upravíte súbor HOSTS, ktorý zabezpečí to, že po zadaní do prehliadača facebook.com ju presmeruje na vami zvolenú podvodnú adresu. Takže síce v adresovom riadku prehliadača bude URL „facebook.com“ v skutočnosti sa bude nachádzať na vami podvrhnutej stránke.

Poslednou možnosťou je využitie odchytávania dát priamo pri komunikácií napríklad pri nešifrovanom spojení. Toto je jedno z najnebezpečnejších a myslím veľmi zaujímavých útokov, kde musíte aspoň trochu vedieť čo robíte. Preto vždy používajte „https:“ pripojenie. Dokonca aj pri obyčajnom googlení by ste niekedy nechceli vedieť čo všetko o vás druhý môžu zistiť. O tomto útoku možno niekedy aj vydám podrobnejší návod.

Dúfam, že som vám týmto článkom aspoň trochu priblížil na čo je phishing zameraný, kedy si dávať pozor a na koho si dávať pozor. Na túto tému sa dá písať nespočetné množstvo článkov. Všetko záleží len na kreatívnosti a prefíkanosti autora, ktorý podobné veci vytvára.

Have fun ! ;)

Kategória: Návody
Tagy: , ,

3 Responses to Phishing ala Jogyno…alebo čo sa ti v živote môže hodiť

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.