کلاهبرداری ای از نوع سرقت اطلاعات شخصی
لینک کوتاه

چند روز پیش اینجا خوندم که یه سایت اقدام به فروش اینترنتی شارژ سیم کارت کرده بود و وقتی کاربرا اطلاعات بانکی خودشون رو وارد می کردند با پیغام عدم دسترسی مواجه می شدن و عملن هیچ اتفاقی نمی افتاد ، یعنی خیلی طبیعی به نظر میومد و کاربر وقتی اطلاعاتش رو وارد می کرد هیچ پولی از حسابش کم نمی شد و پیغامی هم که نشون داده می شد کاربر رو قانع می کرد که سایت بانک با مشکل مواجه شده است . از طرفی شباهت خیلی زیاد آدرس صفحه ی پرداخت به آدرس اصلی بانک همه ی مقدمات رو برای یه کلاهبرداری آماده کرده بود . کلاه برداری ای که خدا می دونه اطلاعات بانکی چند نفر رو به سرقت برده بود . من با توجه به این خبر قصد دارم توی این مطلبم روش کار اینگونه صفحات کلاهبرداری رو بنویسم تا با دقت بیشتری در اینترنت اطلاعات بانکی و یا شخصی خودتون رو وارد کنید . توجه کنید که تنها در وارد کردن اطلاعات بانکی نیست که باید دقت کرد ! بلکه با همین روش که در ادامه توضیح می دم می شه اطلاعات کاربری ، رمزهای عبور ، اطلاعات شخصی و … رو هم هدف قرار داد و به سرقت برد .

کلاهبردار برای ایجاد یه همچین سایتی فقط به چند تا چیز کوچیک نیاز داره ، حدود ۴-۵ مگابایت فضا توی اینترنت و یه مقدار کم دانش برنامه نویسی html و php ! البته اگه بخواد در ابعاد بالاتر مثل همین مورد بالا و سرقت اطلاعات بانکی ، دست به کلاهبرداری بزنه به یه دامنه ی مجزا هم نیاز داره ، در سطوح بالاتر که توضیح خواهم داد به سرور مجازی و آی پی اختصاصی هم نیاز داره که هزینه این کار خیلی زیاده .

کلاهبردار بعد از اینکه فضا و در صورت نیاز دامنه ی اختصاصی خودش رو فعال کرد به صفحه ی پرداخت بانک مراجعه و سورس کد صفحه رو دریافت می کنه . شما روی هر صفحه ی اینترنتی ، اگه کلیک راست کنید با گزینه ای به اسم view source و یا view page source روبرو می شید که با انتخابش به راحتی به سورس اون صفحه دسترسی خواهید داشت . همچنین اگه کل صفحه رو Save کنید علاوه بر سورس به تصاویر و کدهای css و js و… هم دسترسی خواهید داشت . در مرحله ی بعد کلاهبردار باید این کدهارو کمی ویرایش کنه . در اصل چون باید این صفحات رو روی هاست خودش نصب کنه ، باید لینک تصاویر و کدها رو طبق آدرس هاست خودش تغییر بده . این کار نیاز به داشتن یه مقدار کم دانش برنامه نویسی html داره ، معولن وبلاگ نویس ها و کسایی که توی کد قالب وبلاگشون می تونن تغییراتی بدن یه همچین کاری می تونن کنن و کار خیلی سختی نیست .

بعد از ساختن صفحه ی تقلبی ، کلاهبردار چند خط php باید بنویسه و صفحش رو به اون کد php لینک بده . اگه یادتون باشه قبلن اینجا درباره ی سرقت آی پی مطلبی نوشتم و چند خط کد php که می تونست آی پی رو توی یه فایل متنی ذخیره کنه براتون نوشتم . اگه همون کد رو یه تغییرات کوچیک بدیم ، می تونیم تبدیل به کدی کنیم که اطلاعات وارد شده توسط کاربر توی یه فرم اینترنتی رو ذخیره کنه . من آخر همین پست یه مثال زدم و اونجا روش کار رو توضیح دادم .

بعد از ساختن صفحه ی تقلبی و نوشتن کد php و اتصال اون کد php به action صفحمون ، که توی مثال پایین صفحه چگونگی این کار رو توضیح دادم ، کافیه کلاهبردار اونو توی اینترنت قرار بده و کاربرا رو به اون صفحه هدایت کنه . اگه مثل نمونه ی بالا کاربر یه آدرس اینترنتی بسیار شبیه به آدرس واقعی یک بانک رو ببینه ، قطعن شک نمی کنه و به راحتی اطلاعاتش رو در اختیار کلاهبردار قرار می ده !

در سطح بالاتر کلاهبردار با خرید یک سرور مجازی و آی پی اختصاصی می تونه بدون خرید دامنه ، کاربران رو به صفحه ی تقلبی هدایت کنه . یعنی وقتی کاربر آدرس واقعی رو وارد می کنه در اصل به صفحه ی تقلبی هدایت می شه و اصلن از این موضوع هم خبر نداره . البته این کار نیاز به دستکاری هایی توی سیستم هدف هم داره که کلاهبردارها با اجبار کردن هدف به دانلود یک فایل مخرب می تونن این دستکاری رو انجام بدن . قبل از اینکه درباره ی این روش بیشتر توضیح بدم باید یکی از مهمترین فایل های سیستمتون به نام hosts رو معرفی کنم .

فایل hosts چیه ؟

زبان کامپیوتر همونطور که می دونید با زبان ما آدما فرق داره و شما هر کاری که می کنید سیستم اون کار رو به زبان خودش پردازش می کنه و شما تصویری که می بینید تصویری از زبان خودتونه و خبری از پردازش های زبان سیستم روی صفحه ی مانیتورتون نیست ! آدرس های اینترنتی هم همینطور هست . در اصل آدرسی مثل www.jentelman.com برای کامپیوتر شما معنی ای نداره و سیستم این آدرس رو طبق زبان خودش می شناسه . وقتی شما این آدرس رو توی مرورگرتون وارد می کنید کامپیوتر آدرس رو با آی پی می شناسه و با توجه به آی پی ، سایت رو باز می کنه . به عنوان مثال ، آی پی سایت یاهو ۶۷٫۱۹۵٫۱۶۰٫۷۶ می باشد و کامپیوتر سایت یاهو رو با این آدرس می شناسه و چیزی به نام www.yahoo.com برای کامپیوتر معنایی نداره !

توی ویندوز شما فایلی با عنوان hosts توی شاخه ی Windows\System32\drivers\etc وجود داره . که می شه گفت فایل خیلی حیاتی ای هست ، شما وقتی آدرس یک سایت رو وارد می کنید مرورگر اول به این فایل مراجعه می کنه و اگه آی پی سایت مورد نظر اونجا ثبت شده بود اون رو باز می کنه و اگر هم نبود از اطلاعات دیگه ای که توی اینترنت موجوده این کار رو می کنه . حالا اگه شما آی پی سایت یاهو رو برای آدرس google.com توی این فایل وارد کنید ، در اصل وقتی به آدرس google.com بروید سایت یاهو برای شما باز می شه ، ولی مرورگر آدرس سایت google.com رو به شما نشون می ده ! البته این فایل توسط ویندوز حفاظت می شه ، ولی کلاهبردارها می تونن برنامه ای بنویسن که وقتی شما اونو باز می کنید ، بدون اینکه متوجه بشید این فایل رو براتون عوض کنه و آی پی مورد نظر خودشون رو جایگزین یه سایت دیگه کنه . ( توی مطلبای بعدیم درباره ی روش های ارسال یه فایل مخرب روی سیستم قربانی می نویسم که با دقت بیشتری فایل ها رو باز کنید )

حالا اگه کلاه بردار یه سرور مجازی با آی پی اختصاصی داشته باشه می تونه شما رو به یک پیج تقلبی هدایت کنه و شما هم اصلن متوجه این موضوع نمی شید و کلاهبردار می تونه به راحتی اطلاعاتتون رو سرقت کنه !

+ درباره ی این فایل بیشتر بدانید

اما یک مثال ساده

فرض کنید می خوایم یه صفحه ی تقلبی از جیمیل بسازیم و یوزرنیم و پسورد کسایی که از اون صفحه قصد ورود به جیمیل رو دارن به سرقت ببریم . البته هیچ وقت این پیج کار نخواهد کرد و کاربر رو به اکانت جیمیلش منتقل نمی کنه ! با توجه به اینکه سایت هایی مثل جیمیل و یاهو و … از ssl برای قسمت ورود کاربراشون استفاده می کنن شما هیچ وقت نمی تونید کاربر رو از اون صفحه به اینباکس و یا اکانتش انتقال بدید ، بلکه بعد از وارد کردن اطلاعات قصد داریم کاربر رو به صفحه ی اصلی جیمیل انتقال بدیم و در طی این انتقال یوزرنیم و پسوردی که توی صفحه ی تقلبی وارد کرده رو به سرقت ببریم . ( + درباره ی ssl بیشتر بدونید و یا از طریق اینجا ) برای این کار باید اول یک صفحه ی تقلبی از جیمیل بسازیم – که من این کار رو کردم و می تونید از انتهای صفحه اون رو دانلود کنید – سپس باید توی یک فایل جدا چند خط کد php بنویسیم :

<?php
header(‘Location:http://www.gmail.com’);
$fh = fopen(“Data.txt”, ‘a’);
fwrite($fh, “Username: ” . $_POST[“Email”] . “\r\n”);
fwrite($fh, “Password: ” . $_POST[“Passwd”] . “\r\n”);
fwrite($fh, “Ip: ” . $_SERVER[“REMOTE_ADDR”] . “\r\n”);
fwrite($fh, date(“Y-m-d h:i:s”) . “\r\n\r\n”);
fclose($fh);
?>

خط اول کد بالا که مشخص می کنه کدها به زبون php نوشته شده . توی خط دوم گفتیم که پس از سرقت اطلاعات ، سایت ، کاربر رو به چه صفحه ای منتقل کنه که ما در کد بالا گفتیم بعد از سرقت کاربر به صفحه ی اصلی جیمیل لینک داده بشه . توی خط سوم ما یک فایل متنی به نام Data.txt تعریف کردیم که قراره اطلاعات وارد شده توسط کاربران توی صفحه ی تقلبی داخل این فایل ذخیره بشه ! خط سوم تا ششم مشخص می کنه که اطلاعاتی از قبیل یوزرنیم ، پسورد ، آی پی و زمان و تاریخ مراجعه  کاربر ثبت و ذخیره بشه ( در اصل فقط دو خط اول برای کلاهبردارها مهمه و زمان و آی پی شاید چندان اهمیت خاصی نداشته باشه ! ) دو خط آخر هم که اطلاعات رو ذخیره و کار رو تموم می کنه !

یه نکته توی کد بالا اینه که عبارات Email و Passwd که داخل کروشه نوشته شده است ، در اصل مقادیری که داخل textbox هایی به همین اسم وارد شده باشن رو ذخیره می کنن . یعنی شما باید توی کدهای صفحه دنبال عبارت input بگردید و مقداری که در مقابل name قرار گرفته رو جایگزین کنید . مثلن اگر یک textbox اینجوری تعریف شده باشه : <input type=”text” id=”mail” name=”e-mail”> ، شما باید عبارت e-mail رو توی کروشه وارد کنید و بخواید که اطلاعات وارد شده در این textbox رو براتون ذخیره کنه . شما می توانید به تعداد textbox هایی که توی فرمتون هست طبق کد بالا دستور بنویسید و بخواید که اطلاعات رو براتون ذخیره کنه .

حالا باید به صفحه ی تقلبی بگیم که وقتی کاربر اطلاعات رو وارد کرد و روی دکمه ی ورود کلیک کرد ، صفحه به این کد مراجعه کنه و کد هم پس از دریافت و ذخیره ی اطلاعات کاربری ، اون رو به صفحه ی اصلی جیمیل منتقل کنه . برای این کار ، داخل کدهای صفحه ی تقلبیمون دنبال عبارت action و یا form action می گردیم و مقدار مقابل این عبارت رو به login.php تغییر می دیم . login.php در اصل نام اون فایلی که کدهای php مون رو توش نوشتیم هست .

حالا همونطور که قبلن اینجا توضیح دادم ، باید یک فایل txt به اسم Data بسازید و بعد از انتقال به هاست سطح دسترسیش رو به ۶۶۶ تغییر بدید . ( + سطح دسترسی چه جوری درست می شه ؟! ) حالا بعد از انتقال تمام این فایل ها به هاست ، کافیه صفحه ی index رو باز کنید . همه چیز عادیست و صفحه ای شبیه به جیمیل روبروی شماست . حالا نام کاربری و رمز عبوری رو وارد کنید و بعد از زدن Enter می بینید که مجددن صفحه ی جیمیل باز می شه و شاید در ظاهر اتفاق خاصی نیفتاده ! حالا وقتی که فایل Data.txt رو باز کنید می بینید که نام کاربری و پسورد و آی پی و زمان و تاریخ ثبت اطلاعات شما ذخیره شده و به راحتی قابل دسترسه !

البته این تنها یه نمونه ی آزمایشی بود و عملن کسی از یک صفحه ی دیگه وارد اکانتش نمی شه ! فقط جهت آشنایی شما با این روش سرقت این پست رو نوشتم . کلاهبرداری ذکر شده در اون خبر هم به همین شکل عمل می کرد و اطلاعاتی که شما داخل فرم بانک وارد می کردید رو ذخیره و در اختیار کلاهبردار قرار می داد .

+ دانلود فایل تستی

از این به بعد چند نکته رو حتمن دقت کنید :

  • همیشه در خریدهای اینترنتی از سایت های معتبر استفاده کنید و در هنگام پرداخت اینترنتی دقت کنید که این پرداخت توسط سایت اصلی بانک در حال انجام است . اگر شک داشتید آدرس اصلی بانک رو با آدرس درج شده در نوار آدرس تطابق بدید و مطمئن شوید .
  • برای ورود به اکانت های ایمیل ، سایت های اجتماعی ، وبلاگ و … همیشه از سایت اصلی خدمات دهنده وارد شوید و هیچ گاه از طریق صفحات شبیه به سایت اصلی این کار رو نکنید .
  • همیشه مراقب فایل hosts سیستمتون باشید و از دانلود و باز کردن برنامه های مشکوک بپرهیزید . اگر حس کردید فایل hosts تغییر کرده ، توسط notepad اون رو باز کنید و آی پی های داخلش رو بررسی کنید .
  • نکته ی آخر هم اینکه اینترنت محیط خیلی خوبی برای کلاهبردارها و سودجوهاست . همیشه در هنگام خرید اینترنتی و یا عضویت در برخی سایت های مشکوک احتیاط کنید و اطلاعات شخصیتون رو به راحتی توی فرم های اینترنتی وارد نکنید .
اگه خوشتون اومد این ها رو هم بخونید :
به دست آوردن آی پی به وسیله ی php
کپی کردن با کمک یک فایل اجرایی
یه کلاس خوب php برای ارسال ایمیل
انتقال بدون دردسر فایل بین دو سرور
از سایتتون بک آپ بگیرید
نوشته بعدی
نوشته قبلی
به اشتراک بگذارید
kiana گفت :
شنبه ۲۴ اردیبهشت ۱۳۹۰ و ساعت ۳:۰۴ ب.ظ

سلام
خب همه چی حله دیگه…من یاد گرفتم چه طوری کلاه برداری اینترنتی بکنم >:)

طراح سایت آقای اشکان صادقی شمائید …نه؟؟؟ 😉
البته من وبلاگشونو بیشتر دوست داشتم :-s

پاسخ یه این نظر

جواد در پاسخ گفت :
شنبه ۲۴ اردیبهشت ۱۳۹۰ و ساعت ۸:۲۶ ب.ظ

این مطلبی که نوشتم فقط جنبه ی احتیاط و آموزش داشت و عاقبت هر گونه سوء استفاده به عهده ی خودتون هست . فقط جهت اطلاعتون بگم که ماده ی ۱۲ قانون جرائم رایانه ای می گه :
هرکس به طور غیرمجاز داده‎های متعلق به دیگری را برباید، چنانچه عین داده‌ها در اختیار صاحب آن باشد، به جزای نقدی از یک تا بیست میلیون ریال و در غیر این صورت به حبس از نود و یک روز تا یک سال یا جزای نقدی از پنج تا بیست میلیون ریال یا هر دو مجازات محکوم خواهد شد.
در خصوص سوالتون هم باید بگم بله ، طراحش من هستم و وبلاگشون هم به تصمیم خودشون فعلن بسته شده .

پاسخ یه این نظر

وروره گیس در پاسخ گفت :
یکشنبه ۲۵ اردیبهشت ۱۳۹۰ و ساعت ۱۲:۳۶ ق.ظ

عجب !

پاسخ یه این نظر

وروره گیس گفت :
یکشنبه ۲۵ اردیبهشت ۱۳۹۰ و ساعت ۱۲:۳۵ ق.ظ

مرسی . مفید بود
متشکرم
خب استاد می فرمودیه

پاسخ یه این نظر

kiana گفت :
دوشنبه ۲۶ اردیبهشت ۱۳۹۰ و ساعت ۱:۴۵ ق.ظ

بله…همه ی اینایی که گفتید رو میدونم…ظاهرا” شوخی بنده رو جدی گرفتید

در واقع اطلاعات مفید و البته مُجازی از این مطلب شما گرفتم که از این بابت ممنونم…

در مورد بسته شدن وبلاگ هم خب طبیعیه که تصمیم با خودشون باشه…
این رو هم میدونم…

به هر حال ممنون و موفق باشید…

پاسخ یه این نظر

جواد در پاسخ گفت :
دوشنبه ۲۶ اردیبهشت ۱۳۹۰ و ساعت ۷:۲۱ ب.ظ

نه من اون رو به خاطر کامنت شما ندادم ، فقط دیدم یادم رفته بود توی خود پست به این موضوع اشاره کنم و وقتی کامنتتون رو خوندم گفتم بهتره زیر کامنت شما این موضوع رو بنویسم .

پاسخ یه این نظر

علی گفت :
جمعه ۳۰ اردیبهشت ۱۳۹۰ و ساعت ۶:۵۷ ب.ظ

فکر کنم این صفحه هم تقلبی باشه می شه به من خبر بدید ممنون میشم
http://iranfun.yahoo-members.com

پاسخ یه این نظر

جواد در پاسخ گفت :
جمعه ۳۰ اردیبهشت ۱۳۹۰ و ساعت ۸:۵۶ ب.ظ

درسته ، این صفحه بعد از دریافت اطلاعات کاربری ، شما رو به یک گروه توی یاهو هدایت می کنه و به احتمال بسیار زیاد اطلاعات وارد شده توسط شما هم ذخیره می شه !
اگه از این صفحه برای ورود به سایت یاهو استفاده کرده اید پیشنهاد می کنم هر چه سریعتر پسورد خودتون رو تغیر بدید .

پاسخ یه این نظر

نظر بدهید
  • نام: ضروری
  • ایمیل: ضروری
  • وبسایت:
  • پارسی را پاس بدارید و نظراتتان را با خط زیبای پارسی بنویسید. اگر صفحه کلید پارسی ندارید از بهنویس استفاده کنید.
    اگر می خواهید تصویرتان به صورت آواتار در کنار نظرتان نمایش داده شود از گراواتار استفاده کنید.
    ایمیلتون رو توی کادر زیر وارد کنید و عضو خبرنامه ی جنتلمن بشید تا همیشه آخرین مطالب رو توی ایمیلتون بخونید :
    اگه نمی خواید از طریق ایمیل جنتلمن رو دنبال کنید راه های دیگه ای هم برای اشتراک هست !
    آرشیو ماهانه
    برچسب ها
    لینک های خوشمزه
  • برو بچه ها بلاگر
  • دوستای مجازی
    تبلیغ
  • مطالبی که می نویسم آزاد هستند و انعکاس آن از هر طریقی مشکلی ندارد!
    Jentelman.com . Made With In IRAN . 2010- 2017