利用iframe URI钓鱼

在社会工程学攻击中我们最经常看到的手法就是“钓鱼攻击”。本篇文章以盗取facebook登陆帐号的钓鱼为例,来示例如何钓鱼功能的基本步骤。过程很简单,主要包括两个步骤,制作钓鱼页面,与钓鱼URI,其他网站的钓鱼页面也可以采取相似的方法,刚接触钓鱼的可以看看。方法参考 hacking email or facebook password using iframe URI phishing
 
一、制作钓鱼页面
以盗取facebook登陆帐号的钓鱼为例,一共包含三个文件,index.html,login.php,password.txt
第一步:制作index.html登陆页面
首先,打开 https://www.facebook.com页面,查看源码,将源码copy到index.html文件中
然后,编辑index.html文件,找到

将action的值改为

(login.php是用来盗取登陆帐号密码的)

将index.html放到web目录下(我的放置在/Library/WebServer/Documents/facebook目录下)

利用iframe URI钓鱼盗取帐号密码 - 碳基体 - 碳基体
第二步:制作盗取facebook帐户和密码的脚本login.php

第三步:创建接收POST数据的password.txt文件

第四步:测试

登陆https://static-js.b0.upaiyun.com/wp-content/uploads/auto_save_image/2013/04/134355K2K.jpg
输入电子邮件与密码,点击登陆
查看password.txt文件

利用iframe URI钓鱼(以盗取facebook登陆帐号的钓鱼为例) - 碳基体 - 碳基体
看,email与pass字段就是facebook的登陆帐号与密码。
 

二、制作钓鱼URI

一般钓鱼会采用iframe用钓鱼页面遮盖原始页面的方式来进行钓鱼,接下来的操作就是生成一个有这个功能的Data: URI,并将这个URI进行短地址转换
第一步:生成攻击代码
src就是你存放钓鱼网页的地址

第二步:将攻击代码转换为data: URI

登陆http://dopiaza.org/tools/datauri/index.php,将上面代码粘贴进去,
利用iframe URI钓鱼盗取帐号密码 - 碳基体 - 碳基体
对应的data: URI

将上面的data: URI中的data:text/plain改成data:text/html

访问修改后的Data URI,我们可以看到
利用iframe URI钓鱼盗取帐号密码 - 碳基体 - 碳基体
点击facebook图标,或下面的url链接(浏览facebook.com),将跳转到我们在第一步中创建的facebook的假登陆页面 https://static-js.b0.upaiyun.com/wp-content/uploads/auto_save_image/2013/04/134355K2K.jpg。
第三步:生成data: URI对应的短地址
很显然,这个URI太长了,会引起怀疑,在真实环境下,我们可以先进行短网址转换,例如http://tinyurl.com/就提供这个服务
利用iframe URI钓鱼盗取帐号密码 - 碳基体 - 碳基体
最后,引诱受害者点击这个会连接到钓鱼网页的URI就可以盗取帐号密码了。
参考链接:http://www.hackingarticles.in/hack-email-or-facebook-password-using-iframe-uri-phishing/
http://danqingdani.blog.163.com/blog/static/186094195201332723950108/
本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。