Membuat halaman Frienster Palsu

Akhirnya datang juga untuk melakukan hal yang kejam, sadis, mematikan, de el el. Waduh..emang apa sih yang mau dibahas? Masalah pembunuhan? Bukan! Perkosaan? Bukan juga! Jadi apa dong? Tentu saja mencuri alamat email dan password para pengguna Friendster. Wah asyik nih kayanya, kalau begitu, langsung saja yuk kita bahas Friendster Hacking ini yang cukup panjang serta agak susah dimengerti jika kita tidak serius membacanya, untuk itu, amatilah dengan baik OK.

Tapi sebelum kita mulai, aku mau ngucapin terima kasih dulu buat TH0R (jangan marah yah THOR & jangan Hack halaman situs aku he..he..he..) yang memberi informasi yang keren banget.

Membahas mengenai redirection dengan menggunakan HTML Embed dan Flash yang dikatakan sebagai salah satu metode Cross Site Scripting, ternyata tidak bisa terpisah jauh dengan teknik pembuatan halaman login palsu. Bagaimana tidak? Kita sekarang sudah mengerti (jika tidak mengerti, kasian deh loh he..3x) bagaimana kita ter-redirect ke halaman login palsu, tapi bagaimana seorang Hacker tak bertanggung jawab menyiapkan login halaman palsu dan mendapatkan Username dan Password kita yah?

Pertama-tama tentu kita harus mengetahui script apa sih yang Friendster gunakan untuk login page tersebut? Dalam kasus ini kita akan coba melihat pada bagian login ulang (jika salah memasukkan Username atau Password), sehingga akan terlihat seperti ada sebuah error dari pihak Friendster, apabila seorang korban terkena script redirect ini. Biasanya jika ada error pada bagian pada bagian login pertama, Friendster akan memberi kita sebuah page yang terdapat pada http://www.friendster.com/login.php dengan sedikit informasi tambahan berbagai error sejenis lainnya.

Oleh karena itu, mari kita buka http://www.friendster.com/login.php dengan menggunakan browser kesayangan masing-masing, kemudian menampilkan source code halaman tersebut. Bagi mereka yang belum mengerti bagaimana melakukan itu dengan menggunakan Mozilla Firefox, kita tinggal melakukan klik kanan dan pilih View Page Source. Yang kemudian secara otomatis, akan membuka sebuah halaman baru yang berisikan source code HTML pada halaman Friendster tersebut. Contoh code tersebut sebagai berikut:

Jika tidak salah seperti itulah script tersebut, yang harus kita lakukan pertama-tama adalah copy script tersebut ke dalam Notepad dan melihat secara khusus pada bagian terpenting yang aku berikan warna hitam di antara sekian banyak script tersebut (semoga tidak susah melihatnya mengingat script asli halaman tersebut sangat panjang dan rumit). Pada bagian itu kita harus sedikit modifikasi. Namun modifikasi apa yang harus kita lakukan? Tambahkan PHP Script untuk logger tersebut!
Seperti apa sih PHP Script logger? Nah! Sabar, tarik napas dalam-dalam (mau apa yah sampe tarik napas dalam-dalam he..3x), bentuknya kira-kira seperti ini:

Yang jadi pertanyaan sekarang, ngerti ga kalian? Ha..ha..ha.., tenang, aku mengerti, tidak semua orang mengenal yang namanya bahasa programing PHP. Jadi aku akan menjelaskan Step by Step cara menggunakannya.

Tentu lakukan copy-paste script tersebut ke dalam Notepad. Setelah itu lakukanlah Save As lalu beri nama login.php. Pilih Save As Type menjadi All Files yang pasti kita sudah mengerti.

Setelah melakukan proses tersebut, kita akan mendapatkan file login.php. Tapi apa sih yang script ini lakukan? Ya tentu saja dia akan mengirimkan email dan password yang telah dimasukkan oleh para korban kita, yang kemudian akan dicatat dalam fansblogs.txt di dalam folder hosting yang sama. Selain itu, script ini juga akan membuat korban kembali kepada inbox account mereka di Friendster.com seperti pada saat mereka melakukan login seperti biasanya.

Jadi setelah ini apa yang kita lakukan? Ya tentu saja membuat file fansblogs.txt yang kosong dan tidak ada isi apapun di dalam file tersebut, kemudian mempersiapkan kedua file login.php dan fansblogs.txt ini untuk kemudian digabungkan dengan halaman palsunya.

Kembali kepada halaman palsu. Bukalah kembali halaman di mana kita menyimpan source code yang telah kita copy-paste dari halaman http://www.friendster.com/login.php dan temukan line yang sudah aku tulis di atas yang berwarna hitam untuk dijadikan sebuah file fansblogspages.html source code tersebut yaitu:

Yang harus kita lakukan pada bagian ini adalah mengubah action="/login.php menjadi action="http://www.website-kita.com/login.php" yang mana website-kita.com adalah Website kita menyimpan file login.php, fansblogs.txt dan halaman palsu kita nantinya.

Jika kita tidak mempunyai account Web Hosting untuk menyimpan file tersebut, kita bisa mengguanan jasa dari Situs Ripway.com untuk menyimpan file yang akan kita gunakan atau tempat Web Hosting yang lainnya yang menurut kalian lebih bagus dari pada Ripway.com. Tetapi harus kita ingat, jika ingin membuat account Web Hosting yang Gratis, maka gunakanlah Ripway.com yang menurut aku sangat mudah untuk melakukan Registrasinya dibandingkan dengan tempat-tempat Web Hosting lainnya.

Baik, kita kembali pada topik utama kita. Setelah mengubah script action tadi, yang harus kita lakukan berikutnya adalah mencari segala jenis file yang memiliki ekstensi *.jpg, *.gif, *.php, dan *.html yang kemudian kita harus mengubahnya sedikit. Kebanyakan yang akan kita temukan adalah link gambar tersebut tidak akan tampil di halaman login palsu kita karena HTML tidak akan melakukan pemanggilan gambar pada http://www.website-kita.com dibandingkan milik Friendster, dan hal ini bisa saja menimbulkan kecurigaan.
Oleh karena itu, ubahlah semua file dengan format HTML menjadi seperti atau hanya menambahkan http://www.friendster.com di depan link langsung palsu kita, segala gambar diambil dari Website aslinya oleh halaman login palsu kita ini.

Setelah script halaman palsu tersebut telah siap, kita hanya perlu melakukan save as HTML.

Sekarang kita telah memiliki tiga file penting, yaitu fansblogspages.html, fansblogs.txt, dan login.php. Tentu kita sedikit senang karena sedikit lagi kita akan berhasil membuat pages login, dan sekarang adalah waktu bagi kita untuk meng-upload tiga file tersebut ke dalam Website kitam, sehingga kita akan memiliki tiga buah link:

Tahapan yang paling dari ini tentu adalah kembali kepada pembuatan Flash, namun kali ini kita akan menggunakan script sebagai berikut:



Kemudian melakukan Embed file SWF tersebut ke dalam Testimonial menggunakan HTML, yang nantinya akan dikirimkan kepada korban kita. Sekali korban membuka Testimonial tersebut, ia akan ter-redirect ke http://www.website-kita.com/fansblogspages.html ya kan? (Kejam sekali dikau he..he..he..). Nah, di sinilah teknik sosial engineering atau seni penipuan Internet dilakukan. Jika tidak percaya? Kalian bisa melihat halaman palsu yang aku buat yang beralamatkan di http://www.friendster-news.co.cc. Jika kalian berminat untuk menjadi korban silahkan saja login dengan alamat tersebut he..he..he.. Bercanda