Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Три основные функции фишинг-движка

Движки выполняют три основные функции:

— имитация интерфейса по заданной ситуации, связанной с операциями пользователя (авторизация, получение файла, изменение настроек учетной записи и многое другое);

— копирование и обработка незаконно полученных учетных данных пользователя;

— возврат пользователя на соответствующую ситуации страницу официального сервиса.

Для того чтобы движок заработал, его нужно собрать. Он состоит из элементов (картинок, текста, ссылок и анимации), скопированных с официального интернет-ресурса, и программ-скриптов, написанных злоумышленником.

Собранный и готовый к работе движок злоумышленник размещает на сервере (виртуальном хостинге) и «прикручивает» к нему заранее подготовленное доменное имя.

Учитывая, что в состав движка, кроме статических данных и html-разметки, входят программы, написанные на языках программирования, для функционирования фэйка необходимы определенные минимальные требования системного окружения хостинга.

Разобрать детально механизм фишинг-сайта (фэйка) необходимо по нескольким серьезным причинам:

— во-первых, непонимание всего механизма приводит к заблуждению по поводу технической сложности фишинг-атак;

— во-вторых, непонимание технической стороны фишинг-сайта приводит к ошибочной квалификации преступных действий злоумышленников;

— в-третьих, не зная принципов создания фишинг-движков, многие продолжают верить в реальную действенность методов автоматической защиты от фишинг-атак.

Для подробного рассмотрения движков в локальной среде не потребуется заморский или абузоустойчивый хостинг[19].

Воспользуемся теми же доступными и легальными средствами, которыми пользуются злоумышленники для проверки интерфейса и отработки программ, входящих в состав движков. К таким средствам относятся программы, имитирующие работу полноценного веб-сервера.

Демонстрация механизма функционирования фишинг-движков на локальном сервере

Для демонстрации будем использовать AMPPS — набор решений, включающий в себя Apache, MySOL, MongoDB, PHP, Perl и Python для Windows, Linux и Mac[20].

Рис. 1.17. Окно программы AMPPS

Такой вот вид локального сервера можно лицезреть после его установки (рис. 1.18):

Рис. 1.18.Отображение localhost после установки AMPPS

В настройки платформы AMPPS углубляться не требуется, все, что необходимо, уже стоит так, как нужно (при инсталляции «по умолчанию»).

Для проверки работоспособности установленного сервера в директории создаем текстовый файл (рис. 1.19).

Рис. 1.19.Создание текстового файла в директории веб-сервера AMPPS

Вносим в созданный файл строчки (рис. 1.20).

Рис. 1.20.Код для проверки интерпретации PHP

Сохраняем файл под именем index.php и проверяем, как работает локальный веб-сервер, видим результат выполнения php-скрипта (рис. 1.21).

Рис 1.21.Результат исполнения PHP-скрипта

Результат означает, что сервер работает и PHP-скрипты интерпретируются, что и требуется для дальнейшей демонстрации.

Фишинг-движок изнутри. Пример 1

Рассмотрим первый готовый фэйк (фишинг-движок). В него входят два файла с расширением «.php»: index.php и login.php (рис. 1.22).

Рис. 1.22.Файлы фишинг-движка

В файле index.php располагается масса элементов, отвечающих за интерфейс фишинг-движка.

При интерпретации данного скрипта сервер предоставляет пользователю интерфейс почтового сервера и поля (или поле) для ввода данных. Этот файл также содержит инструкции, куда их направлять на обработку (рис. 1.23).

Рис. 1.23.Содержимое файла index.php фишинг-движка

В данном рассматриваемом случае у фишинг-движка интерфейс, который злоумышленники украли у официального почтового сервиса[21] (рис. 1.24).

Рис 1.24.Интерфейс фишинг-движка

Следующий файл login.php не менее важен, именно к нему осуществляется обращение из интерфейса, создаваемого файлом index.php, при нажатии кнопки (или других определяемых программой операциях) (рис. 1.25).

Рис 1.25.Интерфейс фишинг-движка

Для того чтобы не отпугнуть неподготовленного читателя массой непонятных строчек кода, пройдемся по основным строчкам программы и разберемся в псевдосложной внутренней начинке фишинг-движков.

Строчкой

$valid_file = "aspushkin.txt";

задается файл, в который программа будет записывать получаемые учетные данные.

Далее:

$email = «[email protected]»;

$location = "http://mail.google.com";