НАСАДКА НА ОНЛАЙН-МАГАЗИН - технология перехвата кред

aDm

Спецвыпуск Xakep, номер #029, стр. 029-076-2

Есть другой способ, имхо, более хитрый. Опять же делается fake-магазин с таким же дизигном как у real, опять же крадется весь каталог и выкладывается на хост с доменом с похожим названием. Только теперь в окно браузера загружаются странички сразу обоих магазинов: и real и fake, при этом real-магазин находится во фрейме с размером 0, и его не видно, а fake-магазин занимает все оставшееся место, то есть все окно. При этом все действия, которые юзер производит в видимой ему части (на страничках fake-магазина), при помощи явовских скриптов дублируются в невидимом для него нулевом фрейме (на страничках real-магазина). Выглядит все это так: юзер случайно находит онлайн-магазин (естественно, не подозревая, что это fake’овый, насадочный магаз), шастает по его каталогу, выбирает себе барахло и отправляет форму с инфой. На протяжении всего этого времени у него в нулевом фрейме тусуются соответсвующие странички реального магазина, о котором он и не подозревает. Когда он заходит на основную страничку фейкового магазина, ему автоматически в невидимую область загружается основная страничка реального магазина. Когда он в фейковом магазине кликает ссылочку "Каталог" и попадает в раздел каталога, точно также, но автоматически, нажимается ссылка "Каталог" и загружается страница каталога в невидимой области. По сути получается, что у админов реального магазина складывается картина, как будто юзер ходил по их сайту, лазил в их каталог, заполнял и постил их форму. Как такая хитрая штука кодится – разберемся ниже.

КОДИНГ НАСАДКИ

Давай в чисто образовательных целях создадим небольшую модель насадки на онлайн-магазин :). Для начала надо создать главную страничку фейкового сайта, состоящую из двух фреймов – в одном будет реальный магаз, в другом фейковый. Для этого пишем такую index.html:

------ index.html ------

<html><head><title>::: Лучший онлайн-магазин :::</title></head>

<frameset cols="50%,50%">

<frame src=real.html name=real>

<frame src=fake.html name=fake>

</frameset>

------ index.html ------

Пока что - для наглядности – не будем загонять левый фрейм в ноль, пускай оба фрейма занимают по 50% от всего окна браузера, так нам будет понятнее, что происходит. Потом я покажу, как фрейм загоняют в ноль.

Теперь давай посмотрим, какие действия юзера с фейковой паги надо эмулировать на реальной. Первое – это клик на ссылку. Надо чтоб при клике на ссылку в правом фрейме и при переходе в раздел, скажем, "Каталог", реальный магазин в левом фрейме тоже переходил в раздел "Каталог". Создадим два хтмл-файла:

------ fake.html ------

<html><head><title>::: Лучший онлайн-магазин :::</title>