Немного терминологии:
Фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.
Хостинг — услуга по предоставлению ресурсов для размещения информации на сервере, постоянно находящемся в сети (обычноИнтернет).
Доменное имя — символьное имя сайта
Буду показывать на примере взлома вк путем фишинга, ну и чуточки СИ)
Весь процесс делится на три этапа:
1) Создание поддельного сайта.
2) Создание аккаунта.
3) Развод самой жертвы.
Этап первый: Создание поддельного сайта.
Для этого нам понадобится:
1)хостинг
2)доменное имя
3) 100-300 рублей
4) файлы нашего поддельного сайта
1.Хостинг
Для хостинга лучше всего выбирать мало известные компании т.к. система слежения и защиты у данных менее развита. Размер данного хостинга можно выбирать не большой т.к. сам сайт который будет на нем лежать весит достаточно мало.
2.Доменное имя
Важно знать что домены третьего и более уровня хоть и бесплатные, но в большинстве случаев для фишинга не подходят, так как ссылка данного сайта имеет строение fish.sites.ru (где fish-домен третьего уровня, sites-домен второго уровня и ru-первого уровня) и любая соц. сеть или тот же gmail палит эту лавочку и при переходе по ссылке сразу же предупреждает о переходе на не безопасный сайт. Поэтому мы регистрируем домен второго уровня. Операция по регистрации не сложная, мало чем отличается от регистрации самого обычного email, за единственным исключением вместо почты мы прописываем имя сайта которым мы будем пользоваться.
По поводу создания имени домена. Как правило создаем длинные имена для своего сайта, к тому же регистрация доменного имени ограничивается 255 символами. А доменную зону выбираю .XYZ в конечном варианте я имею: sdkkjfgnsdjlfgnbsdlffbvfflbvazldfbvslfhbvsthnb.xyz ну или вроде того. Сделано для того, чтобы снять хоть какие-то подозрения от того, что это фишинговый сайт. Грубо говоря выглядит как какой нить системный переход по ссылке.
3.Файлы
Тут есть множество путей.
· Существует куча различных CMS по созданию одностраничных сайтов.
· Заказать готовый сайт под ваши нужды.
· Написать самому.
· Мощный инструмент в плане создании копий сайтов продает пользователь TaganRock (И опять же не реклама, просто сам давно хочу приобрести)
Главное в этом чтобы информацию которую введет жертва в поля сохранялась в файле логов на данном хостинге, а после перенаправляла жертву обратно на сайт.
Итак, на данном этапе мы имеем готовый фиш. сайт который записывает всю информацию что заполняет жертва и перенаправляет его обратно к исходному сайту.
Этап второй: Создание аккаунта.
Объясню на примере взлома вк, а уже перестроить данный метод для взлома почты будет не так уж и сложно.
Итак, регистрируем пользователя в вк. Даем ему какое-нибудь нейтральное имя. Например, Василий Иванов. Далее ставим на аватарку картинку из службы поддержки. После чего заходим в «мои группы» и создаем публичную страницу под названием «Агент Поддержки» или «Уведомление». Присваиваем аватар к группе, если это «уведомление» или что-то подобное, то на автарку ставим значок граммофона ну и для «агента поддержки» соответственно. Сразу хотелось бы отметить. Подобные имена в вк уже не такая и редкость так как тема с вк уже не мало кем юзается, поэтому создавайте что-нибудь индивидуальное дабы вас и вашу публичную страницу не заблокировали.
Этап третий: Развод жертвы.
Сокращаем ссылку. Различных сервисов по сокращению ссылок куча кучная. Для вк я предпочитаю
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
после сокращения наша ссылка имеет вид Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, согласитесь ссылка стала выглядеть более гуманно) Далее набираем текст в котором жертва не останется равнодушной. Например: .
Ваша персональная ссылка:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
(ссылка это как раз та которую мы создали на первом этапе) Данный текст мы размещаем на публичной странице.
Фишка в чем, когда мы вписываем id жертвы и заключаем это дело в «собачки» то данное сообщение что мы написали отображается у жертвы не в сообщениях, а в ответах. А отправлено оно получается от группы, которую мы создали, от «уведомлений» или от «агента поддержки ВК» ну или там что вы придумаете. Таким образом даже если у жертвы закрыты лс. Она всеравно увидит это сообщение. И если оно написано грамотно, то в достаточно большом проценте случаев жертва перейдет по ссылке. Далее дело техники, жертва видит поля для ввода логина и пароля вводит их туда и нажимает кнопочку «подтвердить». Сайт сохраняет логин и пароль. И жертву перекидывает обратно в сообщения. После этого проверяем правильно ли введены данные. Далее просто удаляем из публичной группы запись, и она автоматически пропадает из уведомлений.