Как создать фишинг сайта Гидра?

За последний год резко возросло количество желающих урвать прибыль с нелегальных операций в крупнейшем на территории СНГ чёрном супермаркете Гидра. Возможность украсть чужие деньги безнаказанно вполне предсказуемо приманила огромное количество мошенников.

Сеть даркнет, доступная через «луковичную» сеть Тор, давно зарекомендовала себя устойчивостью к разоблачению IP-адресов пользователей, что даёт мошенникам целый плацдарм для новых обманных схем.

Как создать фишинговую страницу Гидры

Спойлер: этот процесс почти ничем не отличается от создания обычного сайта, но он позволит сделать точную копию сайта Гидры. Приступим к разработке.

Первым делом мы создадим обычный сайт с учётом некоторых технических свойств даркнета. На протяжении всего процесса крайне важно сохранять анонимность. Самым удобным способом будет сделать портал из группы статичных html-файлов.

После создания «начинки», такой сайт можно будет запустить всего двумя незамысловатыми командами:

  $ cd /var/www/ghidra_fake

   $ python -m SimpleHTTPServer 80

Первая команда реализует переход в каталог с сайтом, полный путь к которому в Linux в данном примере /var/www/ghidra_fake. Следующей командой мы запускаем веб-сервер с корнем сайта в этом каталоге, который работает на TCP-порте 80.

Этим весьма лёгким способом можно активировать сразу несколько простых порталов, но есть маленькая загвоздка: каждый сайт будет работать только на собственном порту, то есть запустить все сайты на 80-м порту не получится.

Чтобы ликвидировать этот изъян, мы прибегнем к веб-серверу apache2 или denwer, в составе которого присутствует pache2 (для ПО windows), или nginx (для ПО Linux). Рассмотрим на примере nginx.

Предположительно, файлы самого сайта уже созданы и расположены в каталоге /var/www/ghidra_fake.

Ставим nginx командой

   $ sudo apt-get install nginx

После этого, переходим в файл /etc/nginx/nginx.conf и приводим такие параметры в соответствие:

   http {

   …

          # не предоставляем версию используемого софта

          server_tokens off;

          # отключаем ведение логов

          #access_log /var/log/nginx/access.log;

          #error_log /var/log/nginx/error.log;

          error_log /dev/null crit;

   …

Далее нужно будет сделать виртуальный хост. Простыми словами, это эмуляция одного сервера для одного сайта.

   server {

          listen 127.0.0.1:80 default_server;

          server_name localhost;

          root /var/www/ghidra_fake;

          index index.html index.htm;

          location / {

                  allow 127.0.0.1;

                  deny all;

          }

   }

В параметрах указано, что сайт работает на 80-м порту, а доступ к нему возможен только через локальный адрес, то есть без доступа во внешнюю сеть. Корень сайта находится в каталоге /var/www/ghidra_fake, а страница по умолчанию — это файл под названием index. Все подключения к сайту доступны только с локальной машины.

Проверяем, правильно ли организованы права доступа к сайту:

   $ sudo chown -R www-data:www-data /var/www/ghidra_fake

Далее, добавляем сайт в автозапуск:

   $ cd /etc/nginx/sites-enabled

   $ sudo ln -s ../sites-available/ghidra_fake .

И перезагружаем nginx:

   $ sudo service nginx restart

   $ sudo update-rc.d enable nginx

На этом создание сайта завершено. Чтобы увидеть его содержимое, в браузере перейдите на страницу 127.0.0.1 или localhost.

Далее нам нужно установить Тор и насторить трансляцию сайта в «луковичную» сеть.

$ sudo apt-get install tor

А вот здесь — вся соль сайтов для даркнета: настраиваем файл /etc/tor/torrc

   HiddenServiceDir /var/lib/tor/ghidra_fake # каталог создаётся автоматически

   HiddenServicePort 80 127.0.0.1:80

Первая строка говорит о том, что название даркнет-ресурса и ключ доступа будут лежать в каталоге /var/lib/tor/ghidra_fake, а вторая строка — что содержимое страницы можно брать с сайта, доступного по адресу 127.0.0.1 по порту 80.

И несколько последних штрихов. Сначала перезапускаем браузер Тор

   $ sudo /etc/init.d/tor restart

Если углубиться в содержимое папки /var/lib/tor/ghidra_fake, можно увидеть два файла — «hostname» и «private_key». В файле «hostname» находится доменное имя сайта, а файл «private_key» имеет вид стандартного приватного ключа RSA.

——BEGIN RSA PRIVATE KEY——

MIICXQIBAAKBgQCiwfOmTC3c02kaz/BGftIXLafz4z6sTbufBpM/usaQAFdbW072

xZ0ds2ZEVbQNOjewU9QihrtA2579potiyMETehkPytKzb/ghCIEQN/mbSsnBcJ9b

JJa0OzhUy+V9uuXrO0afpk7eCB/EPNdwugfKu/G9JaBirWrRMkkAozhKjwIDAQAB

AoGBAJlFVwMzWDlN6fvy+E4a3hQvzauSRBIVPevbUE3CwX0YpSuGSE2B+Zzfth4C

K4YNXiYyO2KsSKkiZrS/2X+CQJ4WEBrwedsqF2TF5C4MKF3SOhGPorO4TCtxkhnN

7tprZFIlT7/cP45XretG+i6ZuksZtv2Oje0r1oCwxv0F4V5BAkEA0rVve2Q0x5EG

nZrBPFgsdPm6ikutuMUBFbNxv71ILbh3f+qePpH6wZIjgQ7FJXGXarC1DcyaPT52

QQWWnhGCYQJBAMW97zxTD+9klPBisZ7ClFWh88VBCPVeyz5AS2oQdNtRaJeKyiiS

JhtNIq5yPabCZ/JecsdfCoMY/pdJeJNs0u8CQFyAgG+YHz+ZYGEiRkDaqLG1zHnY

HWznN8GyJHa7fwtrVzLV6iCn74C5SlLnDA+THZkd+G4Va4UNdedvuF6uayECQD9Q

aWFvVxLXqbiuYSDsPIKOsHbgM/YcvAban0r+qevvTQX4snH7Gah0Mj6Y5ZSXeqDo

DN3V2B/RyPK325uYpJECQQCs/Ko0Z2LIk+fDaHRsWI00DbflRK8jptnjArVTrabs

0Os5jX+UFum0kGRlNKQPV8suucP/5y6sdgwe33RFwpt

——END RSA PRIVATE KEY——

Передавать этот ключ нельзя никому, если вы не хотите потерять контроль над своим же сайтом. Также рекомендуем сделать копию ключа и сохранить её на защищённом носителе.

Файл с ключом и доменным именем автоматически генерируются после первого запуска сайта. Если файл «hostname» удалить, то при следующей перезагрузке Тора имя домена создастся вновь на основе имеющегося ключа. То есть, ничего не поменяется. А вот если вы решите удалить файл ключа, то при запуске будет создан новый ключ и новое имя домена на его основе.

После того, как вы выполните всю инструкцию, по сгенерированному доменному имени вашего сайта в Торе откроется уже известное содержимое.

А если с одного устройства вам нужно запустить сразу несколько сайтов. В файл /etc/tor/torrc дописываем другие сайты аналогичным образом:

   HiddenServiceDir /var/lib/tor/ghidra_fake2

   HiddenServicePort 80 127.0.0.1:81

   HiddenServiceDir /var/lib/tor/ghidra_fake3

   HiddenServicePort 80 127.0.0.1:82