Нужно понимать, что на эту страницу фэйка пользователь попадает по ссылке вида:

http://ФИШИНГ-ДОМЕН/?Login=ЛОГИН-ПОЛЬЗОВАТЕЛЯ&Domain=ДОМЕН ПОЛЬЗОВАТЕЛЯ&id=mojnovstavitidnuonnenujen12433644800000023780&msg=chtotoochennujnoe17823612391283756

В данном случае используется тривиальная, но великолепная возможность языка PHP под определением «ассоциативный массив параметров, переданных скрипту через URL».

Если проще, то данная возможность позволяет передавать данные, внедряя их в строку ссылки. Поэтому нужно открыть эту страницу правильно. Вот так, например, на страницу попадает пользователь с логином «pochtauserar» по ссылке http://localhost/mdex.php?login=pochtauserar& (рис. 1.27):

Рис. 1.27. Интерфейс фэйка с именем пользователя, переданным через строку ссылки

Теперь интерфейс фишинг-движка встречает нас практически персонально, с указанием нашего логина электронной почты на странице.

Не будем заставлять его долго ждать и введем свои учетные данные, а вернее пароль: «superpassword».

Если проверить теперь файл aspushkin.txt, можно убедиться, что введенный пароль, а также имя нашей учетной записи успешно записаны в файл: «pochtauserar: superpassword».

Рис. 1.28. Учетные данные, сохраненные в текстовом файле на сервере

Помимо этого, мы помним, что введенные данные были отправлены на электронный адрес, заданный в файле фишинг-движка.

Фишинг-движок изнутри. Пример 2

Теперь рассмотрим более интересный экземпляр фэйка, с имитацией загрузки файла, который по статистике очень «нравится» пользователям.

Он состоит из следующих файлов (рис. 1.29):

Рис. 1.29. Файлы фишинг-движка

Имитация обращения к присланному в письме злоумышленником файлу выглядит следующим образом (рис. 1.30):

Рис. 1.30. Имитация обращения к файлу

В данном случае пользователь пытается открыть присланный файл schet.pdf.

При этом пробегает анимированная полоса загрузки, создающая иллюзию процесса, но что-то, видимо, пошло не так, и для продолжения требуется авторизация (рис. 1.31).

Рис. 1.31. Окно авторизации фэйка

В настройках данного фишинг-движка приблизительно то же самое, что и в предыдущем примере, кроме дополнительного программного файла, содержащего сценарий загрузки несуществующего файла, в данном случае это файл view.php. Фрагмент его содержимого приведен на рис. 1.32.

Рис 1.32. Фрагмент содержимого файла view.php

В файле login.php содержатся параметры, которые злоумышленник может изменять от случая к случаю (рис. 1.33).

Рис 1.33. Фрагмент содержимого файла view.php

В данном примере злоумышленник определяет страницу (параметр $fake), на которой находится главная страница фишинг-движка. В тегах <title>… </title> для поддержания легенды указывает имя файла, который очень хочет посмотреть пользователь, здесь он schet.pdf.

При подготовке ссылки на страницу с использованием такого фишинг-движка злоумышленник так же, как и в первом рассмотренном примере, посредством ассоциативного массива параметров передает данные о логине пользователя и якобы присланном ему файле:

http://localhost/view2.php?id=schet.pdf&login=pochtauser&server=gmail-files

Фишинг-движок изнутри. Пример 3

Рассмотрим другой пример фэйка.

Интересен он тем, что в нем добавлена функция проверки правильности введенного пароля пользователем.

Автоматическая проверка похищенного пароля

Происходит это посредством функции fsockopen, которая внедрена в файл index.php этого движка.

Интерфейс движка (см. рис. 134) также был бессовестно позаимствован у официального сервиса[22] с одной лишь только целью — ввести в заблуждение пользователя и не дать ему повода засомневаться, что вводимые им данные (пароль) могут отправиться куда-либо, кроме официального почтового сервера.

Рис. 1.34. Интерфейс фэйка

Функция проверки корректности вводимых жертвой данных была введена ленивыми хакерами, которые делают фонтаны рассылок — слепых фишинговых атак — и лишний раз не хотят расстраиваться, если пользователь во время того, как его пароль пытались спереть, «очепятался» при вводе своего логина или пароля.