Penyalahgunaan yang terjadi pada sumber dari tulisan ini bukan menjadi tanggung jawab penulis, tujuan utama dari penulisan ini hanyalah sebagai pembelajaran baik dan pencegahan terhadap akibat dari teknik phising tingkat tinggi. Remember, don’t make your brain as GOD! Make your religion as your brain controller, so you can differentiate which good science for good purpose and whic good science for bad purpose.
Dalam tulisan ini, saya mencoba memberikan contoh sederhana algoritma phising pada linux (menggunakan shell scripting) dan saya hanya akan menjelaskan alur logikanya saja. Kemudian, kalian bisa kembangin sendiri dari alur logika tsb!
Sebagaimana kita tahu, command-command yang ada pada linux bisa juga kita buat sendiri untuk memudahkan keperluan tertentu. Misal: kita sebagai admin, ditugasi membuat 100 user pembelajaran di kelas linux, capek deeeh kalau kita harus bikin satu-satu tuh user!! Makanya kita pake bantuan shell scripting, misalnya dengan cuma ngetik “buatAccount” sudah jadi deh 100 user tersebut, dimana command “buatAccount” itu tadi kita telah buat sendiri yang isinya adalah script untuk membuat account dengan termasuk parameter-parameternya! Kalo bos kasih deadline 3 hari, sisanya bisa kita pake kencan deh sama pacar masing-masing, hehehehehe...karena menulis script-nya dan menjalankannya hanya butuh waktu tidak lebih dari 3 jam!
Maka dari itu, kita bisa manfaatkan pembuatan command tersebut untuk tujuan phising. Kita coba buat dulu script sederhananya seperti ini:
clear
loop=3
until [ $loop = 0 ]; do
read -p "Login: " usr
read -p "Password: " -s pwd
echo ""
echo "Access Denied"
echo -e "Login: $usr \nPassword: $pwd\n " >> filedata
echo ""
loop=`expr $loop - 1`
done;
sederhana kan? Berikut penjelasannya:
clear, command ini untuk membersihkan layar (kalau di cmd-nya windows sama kaya “cls”).
Kemudian ada variabel bertipe number dan diisi angka 3, ini untuk variabel bantu looping saja agar looping berhenti di looping yang ketiga kalinya.
Terus ada read –p “login...... apabila script dijalankan, baris ini akan menghasilkan tampilan “Login: “ pada layar dan meminta user untuk memasukkan user-nya dan menunggu user menekan ENTER untuk melanjutkan. Apabila user sudah menekan ENTER, username yang sudah diinputkan tadi otomatis akan tersimpan di variabel bernama ‘usr’.
Baris read –p “Pass....... gunanya sama dengan baris atasnya, bila baris atas menanyakan user untuk login, baris yang ini menanyakan password pada user dan menyimpannya ke variabel ‘pwd’.
Echo hanya untuk menampilkan pesan ke layar, apabila echo “”, maka menampilkan spasi baris. Access denied di sini hanya untuk mengecoh user bahwa username dan password yang diinputkan tidak cocok (padahal memang kita buat selalu tidak cocok) karena kita ingin mengumpulkan username dan password sebanyak-banyaknya dari inputan user agar kemudian kita bisa benar-benar yakin bahwa username dan password yang ingin kita curi tsb adalah valid! (apabila user cuma input sekali, maka kita cuma punya 1 data username dan password, apabila user benar-benar salah dalam menginputkan datanya maka kita tidak akan tahu kan??). misal kita punya data hasil curian sbb:
Jokosambudi jokopassword
Jokosambudi jokopassword
Jokosambudi jkopassword
Jokosambudi jokopassword
Data yang lebih dari satu seperti di atas, kita akan lebih mudah menyimpulkan bahwa username yang benar adalah jokosambudi dan passwordnya adalah jokopassword karena kita punya data pembanding yang lainnya. Dan kita pasti tahu bahwa joko melakukan kesalahan input pada input yang ke tiga kalinya! Di sinilah gunanya kita mengumpulkan lebih banyak data.
Pada baris berikutnya, echo –e “Login....... berguna untuk mencetak variabel-variabel dan langsung menulisnya ke file bernama “filedata” sehingga proses mencetak variabel ke layar tidak ditampilkan. File inilah yang berisi catatan-catatan username dan password yang telah diinputkan! Dan kita cuma perlu membuka file ini untuk melihat username dan password mereka!
Lalu bagaimana agar mereka mau menjalankan script yang kita buat ini? Tentu hal yang bodoh apabila kita menyuruh user tsb secara langsung bro...!
Kita akan memanfaatkan command lain yang sudah tersedia di linux dan sering dipakai! Misalnya command cp (untuk meng-copy file), cp itu sendiri sebenarnya adalah file yang berisi script seperti di atas tadi namun tujuannya untuk meng-copy file. Misal script phising yang telah kita buat di atas tadi kita beri nama cp, dan file cp yang asli kita replace dengan file cp buatan kita tadi maka jadilah sudah command cp palsu! Apabila user yang awam, mereka tidak akan curiga ketika akan meng-copy file diharuskan memasukkan username dan passowrd terlebih dahulu (padahal terkesan aneh lho...), terlebih lagi file tidak jadi ter-copy (pada script yang kita buat memang tidak kita masukkan perintah untuk copy) karena command cp yang asli telah kita ganti dengan script buatan kita sendiri.
Apabila ada waktu senggang, tinggal kita buka saja filedata. Maka kita bisa lihat siapa-siapa saja yang telah menjadi korban phising kali ini! Hehehehehe...
So be careful with your username and password, be careful if u asked for your username and password!
1 comment:
bingung..
Post a Comment