Как сделать фишинг гидру?

Огромное число мошенников, желающих поживиться на торговцах и покупателях нелегальных товаров, атаковало в 2019 году крупнейшую в СНГ онлайн наркоплощадку Гидра. Охотников использовать чужие средства возможность оставаться при этом нераскрытими привлекает как мух варенье. Сеть TOR, она же дарквеб, известна своей устойчивостью к раскрытию реального IP-адреса и, соответственно, местоположения его обладателя. Это создает мошенникам благодатную почву для создания фишинговых сайтов, в частности, на официальную страницу гидры — http://hydraruzxpnew4af.onion/.

Но как они это делают? Как создаются фишинговые страницы и размещаются в даркнете?

Забегая вперед, скажем, что процесс создания сайта в даркнете отличается от создания обычного сайта очень слабо. Но обо всем по порядку.

Первоначально, создадим обычный сайт, учитывая некоторые особенности даркнета. Обязательно стоит позаботиться о сохранении анонимности. Наилучшим решением для этого будет создание сайта из группы статичных (неизменных) html-файлов. Создав наполнение, такой сайт можно запустить двумя простыми командами на интерпретаторе Python:

$ cd /var/www/ghidra_fake

$ python -m SimpleHTTPServer 80

Первая команда осуществляет переход в каталог с сайтом, абсолютный путь к которому в Linux в данном примере /var/www/ghidra_fake. Второй командой запускаем простой веб-сервер с корнем сайта в данном каталоге и работающем на TCP-порту 80.

Таким нехитрым способом можно запускать несколько простых сайтов, но у них есть одна небольшая проблема — каждый сайт будет работать только на своём порту, то есть все их нельзя запустить на стандартном 80-м порту.

Чтобы обойти данный вопрос, воспользуемся веб-сервером apache2 или denwer, в состав которого входит apache2 (для windows), или nginx (для Linux). Покажем на примере nginx.

Предполагается, что файлы самого сайта уже существуют и они расположены в каталоге /var/www/ghidra_fake.

Ставим nginx командой

$ sudo apt-get install nginx

После этого, идём в файл /etc/nginx/nginx.conf и приводим следующие параметры в соответствие:

http {

       # не предоставляем версию используемого софта

       server_tokens off;

       # отключаем ведение логов

       #access_log /var/log/nginx/access.log;

       #error_log /var/log/nginx/error.log;

       error_log /dev/null crit;

Следующим шагом необходимо создать виртуальный хост. Если описывать грубо, это эмуляция одного сервера для одного сайта.

server {

       listen 127.0.0.1:80 default_server;

       server_name localhost;

       root /var/www/ghidra_fake;

       index index.html index.htm;

       location / {

               allow 127.0.0.1;

               deny all;

       }

}

В этих параметрах указано, что сайт работает на 80 порту и доступен только по локальному адресу (не имеет доступа во внешнюю сеть). Корень сайта расположен в каталоге /var/www/ghidra_fake, а страницей по умолчанию является файл с именем index. К сайту разрешены входящие подключения только с локальной машины.

Убедимся, что права доступа к сайту организованы правильно:

$ sudo chown -R www-data:www-data /var/www/ghidra_fake

Далее, добавляем сайт в автозапуск:

$ cd /etc/nginx/sites-enabled

$ sudo ln -s ../sites-available/ghidra_fake .

И перезагружаем nginx:

$ sudo service nginx restart

$ sudo update-rc.d enable nginx

Сайт готов. Если в зайти в браузер и перейти на страницу 127.0.0.1 или localhost, должно отобразиться содержимое главной страницы созданного сайта.

Следущим шагом является установка TOR и настройка трансляции сайта в его сеть.

$ sudo apt-get install tor

И вот теперь вся «магия» сайтов для даркнета — настраиваем файл /etc/tor/torrc

HiddenServiceDir /var/lib/tor/ghidra_fake # каталог создаётся автоматически

HiddenServicePort 80 127.0.0.1:80

Первая строка указывает, что имя сайта для даркнета и ключ доступа будут лежать в каталоге /var/lib/tor/ghidra_fake, а вторая строка — что содержимое страницы брать с сайта, доступного по адресу 127.0.0.1 по порту 80.

Осталось немного: перезапускаем TOR

$ sudo /etc/init.d/tor restart

Если взглянуть на содержимое папки /var/lib/tor/ghidra_fake, можно увидеть два файла — «hostname» и «private_key«. Файл «hostname» содержит доменное имя сайта, наподобие «ghidraf5k2dgvd63s5z.onion«. А файл «private_key» имеет вид стандартного приватного ключа RSA

——BEGIN RSA PRIVATE KEY——

MIICXQIBAAKBgQCiwfOmTC3c02kaz/BGftIXLafz4z6sTbufBpM/usaQAFdbW072

xZ0ds2ZEVbQNOjewU9QihrtA2579potiyMETehkPytKzb/ghCIEQN/mbSsnBcJ9b

JJa0OzhUy+V9uuXrO0afpk7eCB/EPNdwugfKu/G9JaBirWrRMkkAozhKjwIDAQAB

AoGBAJlFVwMzWDlN6fvy+E4a3hQvzauSRBIVPevbUE3CwX0YpSuGSE2B+Zzfth4C

K4YNXiYyO2KsSKkiZrS/2X+CQJ4WEBrwedsqF2TF5C4MKF3SOhGPorO4TCtxkhnN

7tprZFIlT7/cP45XretG+i6ZuksZtv2Oje0r1oCwxv0F4V5BAkEA0rVve2Q0x5EG

nZrBPFgsdPm6ikutuMUBFbNxv71ILbh3f+qePpH6wZIjgQ7FJXGXarC1DcyaPT52

QQWWnhGCYQJBAMW97zxTD+9klPBisZ7ClFWh88VBCPVeyz5AS2oQdNtRaJeKyiiS

JhtNIq5yPabCZ/JecsdfCoMY/pdJeJNs0u8CQFyAgG+YHz+ZYGEiRkDaqLG1zHnY

HWznN8GyJHa7fwtrVzLV6iCn74C5SlLnDA+THZkd+G4Va4UNdedvuF6uayECQD9Q

aWFvVxLXqbiuYSDsPIKOsHbgM/YcvAban0r+qevvTQX4snH7Gah0Mj6Y5ZSXeqDo

DN3V2B/RyPK325uYpJECQQCs/Ko0Z2LIk+fDaHRsWI00DbflRK8jptnjArVTrabs

0Os5jX+UFum0kGRlNKQPV8suucP/5y6sdgwe33RFwpt

——END RSA PRIVATE KEY——

Само собой, этот ключ ни в коем случае нельзя передавать кому бы то ни было, во избежание утери контроля над именем сайта. Рекомендуется сделать копию ключа на безопасный носитель.

Файл ключа и доменного имени автоматически генерируются при первом запуске сайта. Если удалить файл «hostname«, то при последующем перезапуске TOR имя домена будет создано вновь на основе имеющегося ключа и ничего не изменится. Если удалить файл ключа, то при перезапуске будет создан новый ключ и на его основе новое имя домена.

После всех вышеописанных действий, если перейти в ТОР-браузере по сгенерированному доменному имени, откроется уже известное содержимое созданного сайта.

Если же на одном компьютере необходимо запустить несколько сайтов, в файл /etc/tor/torrc дописывам другие сайты аналогичным образом:

HiddenServiceDir /var/lib/tor/ghidra_fake2

HiddenServicePort 80 127.0.0.1:81

HiddenServiceDir /var/lib/tor/ghidra_fake3

HiddenServicePort 80 127.0.0.1:82

Как видите, никаких серьезных трудностей в создании сайта для дарквеба нет. Всё ограничено лишь фантазией и материальными возможностями. Часто мошенники помимо размещения сайта в даркнете стараются «раскрутить» свои фишинговые страницы в обычных поисковиках типа яндекс, гугл, рамблер. Для этого производится стандартная SEO-оптимизация, включаются ключевые фразы типа «гидра онион«, «гидра сайт«, «ссылка на гидру«, «тор гидра«, «гидра официальный сайт тор«, «ссылка на гидру через телефон«, «ссылка на сайт гидра в тор браузере«, «гидра сайт зеркало«, «гидра сайт моментальных покупок» и тому подобные. Дополнительно к этим ключевым словам, могут быть добавлены и такие косвенные фразы: «заработок в интернете мошенничество«, «виды мошенничества фишинг«, «интернет мошенничество фишинг«, «ссылка на гидру через телефон«, «сколько предприятий ежедневно подвергаются фишинг атакам«. Спустя определенное время после оптимизации, поисковики индексируют такой сайт и в зависимости от общего количества обращений к нему постепенно поднимают в топ рейтинга.