Phishing Gmail

Paso 1: Accedemos al sitio web de Gmail:

https://accounts.google.com/ServiceLogin?hl=es&continue=http://www.google.hn/

Paso 2: Damos clic derecho en la pgina de gmail (imagen anterior) para ver el cdigo HTML, que es el que vamos a copiar para poder crear la pgina ficticia.

Cdigo HTML

Paso 3: Creamos un nuevo proyecto el cual contendr la informacin correspondiente al sitio web de Gmail, para esto utilizamos el IDE de NetBeans, pegamos el cdigo HTML de la pgina de Gmail.

Paso 4: Utilizamos el servidor apache WAMP Server para probar nuestra pgina Gmail ficticio. Dado que la pgina del sitio de Gmail est protegida utilizando el protocolo HTTPS que hace un llamado interno al protocolo SSL (Secure Socket Layer, capa de conexin segura), las imgenes de decoracin de la pgina no se pueden ser cargadas desde la pgina phishing que hemos creado; por tanto, descargamos dichas imgenes directamente desde la pgina de Gmail. Estas imgenes estn alojadas en el directorio gmail/img desde donde se encuentra este documento.

Se muestra que no se cargan las imgenes.

Aqu tenemos descargadas las imgenes en la carpeta img.

Paso 5: Modificamos el cdigo HTML de la pgina, de modo que cargue las imgenes que estn en la carpeta img. Vemos claramente en el cdigo seleccionado que hemos cambiado la ruta donde se encuentran las imgenes, la siguiente lnea de cdigo es la instruccin original donde se hace el llamado interno al protocolo SSL.

Paso 6: Una vez hecho lo anterior probamos cargando nuevamente la pgina Gmail ficticia.

Paso 7: Listo ya tenemos la apariencia de la pgina de Gmail falseada, ahora procedemos a modificar el cdigo HTML que engloba la parte de inicio de sesin.

Paso 8: Luego en la parte del cdigo del formulario de inicio de sesin cambiamos el direccionamiento establecido por google, al direccionamiento donde queremos capturar el usuario y la contrasea, en este caso nos redireccionar al archivo guardarDatos.php, los datos capturados sern enviados por el mtodo post.

Paso 9: El cdigo dentro del archivo guardarDatos.php nos permite guardar los datos (usuario y contrasea capturados) que fueron enviados por el mtodo POST, se verifica que las casillas (cajas de texto) correspondientes, el usuario y a la contrasea no estn vacas, si esto es cierto, se abre al archivo donde queremos guardar los datos, escribimos el usuario y la contrasea y luego nos redireccionar a la verdadera pgina de Gmail para un inicio de sesin: https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&c ontinue=https://mail.google.com/mail/?tab%3Dwm&scc=1&ltmpl=default&ltmplcac he=2 De lo contrario estaremos cargando la misma pgina ficticia de Gmail.

Paso 10: Listo, ya podemos obtener las cuentas de usuario y contraseas de nuestros amigos, siempre y cuando no sean ingenieros en sistemas. Ejemplo Ingresando los datos (usuario y contrasea) en la pgina Gmail ficticia.

Datos (usuario y contrasea) capturados y almacenados en un archivo (en este caso el archivo se llama datos.txt).

El sitio web oficial de inicio de sesin de Gmail

Nota: tambin podemos modificar la pgina de inicio de nuestro navegador favorito, por ejemplo si tenemos como pgina de inicio www.google.hn es posible cambiarla a http://localhost/gmail/ para que aparezca nuestra pgina de Gmail falseada y as

poder hacer ms realista este proyecto.