Il principe dei Social Network ha una “falla”; e potremmo dire un baco attaccabile dal punto di vista informatico per tutti coloro (soprattutto “smanettoni”) che vogliono provare a forzare la creatura di Mark Zuckerberg.
Una premessa è assolutamente doverosa e necessaria: questa procedura è descritta in questo articolo per scopo puramente Informativo/didattico; l’utilizzo di credenziali non appartenenti a se stessi, a tutti gli effetti, è un reato.
Fatto chiarezza su questo primo punto, parliamo di come poter “scovare” le password degli utenti: attraverso un fakelogin.
Come dice la parola stessa, il fakelogin, è un accesso falso, fasullo che si crea per “carpire” le informazioni a qualcun altro in modo del tutto inconsapevole.
La procedura che descriveremo è
– funzionante fin da subito;
– estremamente completa nella descrizione;
– facile da mettere in pratica da tutti
Iniziamo a dire che il sistema di fakelogin, lo possiamo caricare su qualsiasi versione di Windows: da XP a Vista nonché su Windows7.
Per prima cosa, vediamo di cosa abbiamo bisogno per mettere su un fakelogin per Facebook nel migliore dei modi:
Si possono utilizzare diversi programmi e diversi sistemi per realizzare questo login “fasullo”; quello che forse risulta essere di più facile utilizzo è Super Phisher 1.0, scaricabile da http://hackingncrackingtools.blogspot.com/2009/10/super-phisher.html.
Dopo il download, estraete il file zip sul vostro pc. Il file, esente da virus, consente in maniera del tutto anonima e in modo semplice, di realizzare una falsa pagina dell’indirizzo web di cui si vuole creare il fakelogin.
Una volta lanciato il programma, vi appariranno quattro campi da compilare: l’indirizzo della pagina web dove logarsi, (dove si inserità www.facebook.com), il nome del file di log (potete chiamarlo pluto.txt), il nome del file con estensione .php presente sulla pagina (index.php) e, infine, il sito dove reindirizzare le richieste ovvero dove volete che il visitatore vada a finire dopo aver inserito le credenziali (per il nostro caso specifico, inseriamo nuovamente www.facebook.com).
Compilati i campi richiesti, cliccate su “Build Phisher” e in automatico, nella stessa directory dove avete salvato il programma, si creeranno due file nella cartella output: index.html e login.php che dovrete andare a caricare su una pagina web a vostra disposizione.
Difatti, per poter creare un fakelogin sulla rete e gestirlo al meglio, è anche necessario avere uno spazio dove reindirizzare i vostri “ignari” visitatori; per questo, potete scegliere uno spazio Internet su un servizio di hosting gratuito (noi abbiamo provato www.altervista.org) che nel giro di pochi minuti vi fa compilare il form di iscrizione e invia le credenziali all’indirizzo mail indicato.
Una volta generato l’hosting, caricherete i file generati dal programma e il gioco è fatto.
A questo punto, chiunque entrerà nel vostro sito internet, indirizzato da una mail o da una comunicazione che gli invierete, si troverà di fronte la stessa pagina che Facebook presenta ai suoi iscritti; la differenza è che inserendo le credenziali nello spazio riservato a username e password, i dati verranno registrati nel file pluto.txt e rimarranno sullo spazio web creato in precedenza sul vostro sito in hosting gratuito.
In definitiva, è proprio il caso di dirlo: non accettare mail dagli sconosciuti!