Suatu malam saya sedang berbicara dengan seorang teman tentang keamanan di internet , hanya untuk bersenang-senang kami memutuskan untuk membuat demo sedikit tentang cara hack userid dan password dari sebuah Banking application.This online adalah hasilnya . Apapun yang ditampilkan di bawah sini adalah untuk tujuan pendidikan saja . Kami percaya bahwa semua teknik yang digunakan dan ditampilkan di sini sangat sederhana bagi siapa saja dengan pengetahuan rata-rata jaringan komputer dan aplikasi webserver .
Informasi yang diberikan pada halaman ini tidak cukup untuk hack Bank yang nyata . Halaman ini adalah demo yang sangat sederhana dari seorang hacker jahat membodohi pengguna Banking online.
Alasan utama untuk menaruh informasi ini secara online adalah untuk memperingatkan pengguna untuk kejahatan internet , dan mudah-mudahan untuk membuat lebih banyak orang menyadari bahwa internet adalah lingkungan yang berbahaya! Dan tidak, kita tidak perlu menjadi seorang jenius untuk melakukan kejahatan dengan komputer !
Kami mulai dengan mengaktifkan direktori virtual bernama BankSite pada server Microsoft IIS . Direktori virtual ini merupakan Bank . Kami menambahkan entri BankServer dan HackServer ke system32/drivers/etc/hosts file, hal ini memberikan kejelasan dalam skrip nanti . BankServer merupakan webserver Bank hosting kami Aplikasi Online Banking . HackServer respresent webserver dari hacker jahat . Secara teknis tidak perlu untuk entri Hackserver ada . ( Dalam dunia nyata , server DNS akan digunakan sebagai pengganti dari file host . )
Kami menciptakan sebuah website yang sangat sederhana untuk mewakili Bank kami . bank.html adalah file HTML utama , top.html berisi Logo Bank , menu.html adalah untuk menu leftside , dan pcc.html berisi aplikasi login. pcc.html adalah satu-satunya file yang memainkan bagian dalam demo ini ; Ini membaca userid dan password dari pengguna yang memasuki aplikasi perbankan online-nya . File loggedin.asp adalah ( secure! ) aplikasi ASP yang ditulis oleh bank . Itu operasi tidak terlihat oleh hacker , sehingga isinya tidak ditampilkan di sini !
Kami menguji BankSite kami di Microsoft Internet Explorer yang berjalan pada Windows XP ( setelah menambahkan BankServer ke file host ) .
Memasukkan userid dan password, dan menekan tombol login memberi kita halaman ini . Di latar belakang , setelah menekan login, loggedin.asp aman dari bankserver dieksekusi , menunjukkan saldo rekening kami . Perhatikan bahwa proses ini memanggil aplikasi ASP tidak terlihat bagi pengguna . ( The userid / password hanya ditampilkan di sini untuk tujuan debugging . )
Ok , sejauh ini kami memiliki Trust Bank Aplikasi Online Banking bekerja ( TM ) . Langkah selanjutnya dilakukan oleh hacker jahat . Kejahatan hacker akan setup webserver disebut hackserver , dan untuk tujuan demo ini ia membuka sebuah direktori virtual yang disebut HackSite ( Sekali lagi kami memilih nama ini untuk kejelasan , seorang hacker jahat nyata akan menyebutnya TrustBankSite ) . The hacker jahat dibuat hanya tiga file pada HackServer nya .
File bank.html adalah salinan dari file yang sama pada nyata Trust Bank BankServer , modifikasi namun penting ! Poin file ini ke top.htm asli dan file menu.htm di bankserver nyata . Dengan cara ini , hacker tidak perlu host file-file pada server-nya , dan sebagai bonus tambahan halaman itu akan tampak persis seperti halaman web bank nyata, bahkan jika Trust Bank memutuskan untuk mengubah isinya . Penting dalam bank.html adalah bahwa kerangka login sekarang menunjuk ke file ( pcc - hack.html ) pada webserver dari hacker jahat . Sekali lagi , nama pcc - hack adalah untuk kejelasan , hacker sejati bisa menjaga nama pcc.html . Dalam pcc - hack.html Anda dapat melihat sama seperti dalam pcc.html aslinya , kecuali untuk referensi hackloggedin.asp pada hacker HackServer bukan loggedin.asp pada BankServer Trust Bank .
Mari kita lihat Hackloggedin.asp . Itu dua hal yang sangat sederhana . Yang pertama adalah tidak bersalah , itu pengalihan halaman web ke loggedin.asp pada BankServer nyata . Bagaimana baik dari hacker ini , karena pengguna sekarang benar-benar masuk ke Bank . Hal yang sangat sederhana kedua yang dilakukan adalah tidak begitu baik , itu menulis pengguna userid dan password untuk file pada HackServer .
Setelah pengguna menekan masuk di website ini (yang tampak persis seperti website nyata ) , pengguna secara efektif diarahkan ke situs nyata , dan dapat melakukan perbankan online-nya . The hacker jahat sekarang memiliki userid pengguna dan password, tanpa kecurigaan dari pengguna.
Yeah yeah yeah , ini semua sangat bagus tuan, tapi tak seorang pun akan mengetik HackServer bukan BankServer . Bagaimana hacker jahat mendapatkan pengguna di HackServer jahat ? Terima kasih telah bertanya , saya mengirimkan e -mail itu! Yang harus Anda lakukan adalah klik pada link dalam e -mail ...
Dengan kata lain, hacker jahat akan mengirim email ke jutaan orang , berpura-pura datang dari PCC Trust Bank . Dia akan menggunakan HTML untuk menyamarkan target sebenarnya dari link .
Moral dari cerita ini adalah sederhana ; ada banyak ' hacker jahat ' di dunia ini dan mereka akan menggunakan metode yang sederhana dan mudah untuk mencoba untuk menipu orang sebanyak mungkin. Untuk beberapa alasan yang tidak diketahui bagi saya , banyak orang tampaknya memiliki iman buta di internet . Tolong berhenti mengklik link dalam e - mail , Anda tidak menang apa-apa . Harap tidak percaya apa pun yang Anda baca di email atau di internet
Tidak ada komentar:
Posting Komentar