DNS Hijacking through Social Engineering

DNS Hijacking through Social Engineering– Berawal dari domain saya www.madura-cyber.org yang tiba tiba di deface padahal menggunakan blogspot , saya sempat panik karena saya pikir akun blogger saya yang di hack, lalu saya coba login ke akun blog dan cek template, ternyata tidak ada perubahan . Saya login ke akun domain saya di IDW*bhost, sukses, dalam artian akun saya juga tidak di hack, tapi saya kaget karena nameserver domain saya tiba tiba berubah. 😐 . Saya sempat berpikir apa mungkin akun gmail saya yang di hack, tapi itu juga tidak masuk akal karena akun saya menggunakan verifikasi login dengan nomor hape. Oke fix, ini DNS Hijacking dengan membodohi CS registrar tempat saya membeli domain tersebut, yupp, CS IDW*bhost ! .

Setelah kejadian tersebut, saya tidak pernah komplain ke pihak IDW*bhost, karena saya juga agak “tertarik” untuk mencoba trik dns hijacking tersebut.
Pertama tama, yang perlu disiapkan adalah mengetahui pemilik dari domain tersebut.
Bisa di cek di whois.domaintools.com / who.is/whois .
Kalau privacy protected gimana ?
Gampang ? itu bisa diakali . πŸ˜€ . Ketik saja di google dengan keyword “www.domain.com email” . Biasanya bakal nyangkut di akun twitter si pemilik domain, atau setidaknya kita dapat info tambahan. Explore terus.

DNS Hijacking through Social Engineering

Berawal dari eksperimen saya waktu itu dengan teman saya “Cyberfvcker” , saya mulai mencoba melakukan social engineering terhadap cs IDW*bhost saat itu kalau tidak salah nama nya Ari Muh*ram atau siapalah . Agak pinter cs yang satu ini sungkem pak Ari (-/-) :v
saat itu saya diminta menyebutkan empat digit terakhir password akun IDW*bhost saya, saya cuma bilang “sebentar” lalu saya close tab yang berisi chat saya dengan cs idweb via live chat waktu itu.
But, its not over, beby.. πŸ™‚
Saat itu target saya domain my.id . Dan saya tau kalau reseller.co.id adalah mitra IDW*bhost untuk domain .id πŸ˜€ .
Lalu saya ketik r*seller.co.id di addres bar, buka live chat .
Masukkan nama dan email sesuai dengan pemilik domain yang didapat di whois.
CS : Selamat sore, ada yang bisa dibantu ?
Saya : Hmm, ini mau nanya mas, apa untuk domain .id sedang ada gangguan ya kok saya ingin mengubah dns domain saya mengalami kegagalan.
CS : gagalnya seperti apa pak ?
Saya : seperti dns tidak dikenali begitu.
CS : Nama domain nya apa pak ?
Saya : cyber-f***e.my.id .
CS : Baik saya bantu. Mau diarahkan kemana ns nya pak ? ( BINGOOOOOO !! )
Saya : ke ini pak, ns1.yuyudhn1337.org , ns2.yuyudhn1337.org .
CS : Baik sudah kami ubahkan. Butuh waktu maksimal 1x24jam agar ns nya resolved ke ns baru ya pak.
Saya : Iya pak.
CS : ada yang perlu ditanyakan lagi ?
Saya : tidak, terimakasih.
Itu adalah trik social engineering paling mudah. Yupp, tingkat kecerobohan CS beda beda. Dan mungkin di kasus diatas, cs nya ceroboh level 99 πŸ˜€
Tanpa verifikasi.
Tapi yang perlu diingat, JANGAN PERNAH MENYURUH CS UNTUK MENGGANTI DNS . Ingat, jangan menyuruh, karena itu akan membuat dia curiga. Fungsi live chat itu hanya untuk menaggapi keluhan, bukan untuk membantu mengubahkan dns.
Jadi logikan nya, di live chat itu kalian hanya “mengeluh” , dan jika cs nya “peka” , maka dia yang akan menawarkan diri untuk mengganti dns domain target kalian.
Intinya, jika gagal di IDWebhost. langsung lari ke reseller.co.id . Itu untuk domain id, untuk domain tld ( com, net, org ), lari ke resellercamp.com .
Dengan trik chat yang sama, karena IDWebhost, reseller.co.id, resellercamp.com itu kerjasama. πŸ˜€
Selalu cek whois.
Kali ini kita coba yang lebih expert. Ciyeee bahasanya :v
Jadi bakal ada sedikit gangguan .
Tapi harus modal dikit, yaitu domain lain yang dibeli di registrar yang sama dengan domain korban.
Jadi jika misal target kalian di IDWebhost, maka kalian juga butuh akun domain di IDWebhost.
Go !!
CS : selamat malam, ada yang bisa dibantu ?
Saya : iya malam. saya mau nanya apa saat ini idweb sedang ada gangguan ya kok saya mau ganti dns gagal.
CS : bisa disebutkan domainnya ?
Saya : jkt48f**s.com .
CS : saat ini di member area tidak ada masalah pak. anda bisa mengganti dns melalui tab nameserver di member area.
Saya : tapi saya kesulitan saat mengbah dns.
CS : maaf pak, tapi perubahan dns harus dilakukan sesuai prosedur, dan tidak lewat live chat. bapak tidak ingin kan ada orang yang tiba tiba mengaku sebagai pemilik domain bapak ? ( jegerrr... gawat nih :D )
Saya : tapi memang daritadi error pak. ini bukti nya. ( sambil ngasih screenshoot panel domain yang ada tulisannya jkt48f**s.com . Dan itu darimana, ? yupp, fungsi dari panel domain diawal tadi untuk diinspect element, kita ganti nama domain disana dengan nama domain korban. :D )
cS : Tapi tetap saja tidak bisa pak.
Saya : hmm.. terus apa gunanya live chat jika tidak bisa membantu samasekali. makin kesini kok IDW*bhost makin parah pelayanan nya. :)
CS : .... ( mau ngetik .. tapi gak selesai selesai :v )
CS : mau diarahkan kemana pak dns nya ? ( GOTCHAAAA ! )
Saya : ke ns1.yuyudhn1337.org , ns2.yuyudhn1337.org .
CS : sudah saya rubahkan , silahkan di cek kembali.
Saya : oh baik pak. iya sudah. (padahal gak ngecek ) . Kira2 kok saya tadi error kenapa ya ? (alibi, biar cs nya gak curiga)
CS : mungkin bapak tadi salah memasukkan ns seperti spasi di ns. itu menyebabkan error.
Saya : oohh.. maaf kalau begitu saya yang ceroboh. terimakasih penjelasannya.
CS : iya sama sama pak.
Thats simple man πŸ˜€
Kecenderungan manusia adalah menghindari konflik πŸ˜€ . Dan itulah “bug” yang kita manfaatkan dalam social engineering . Saat saya bilang “makin kesini kok IDWebhost makin parah pelayanannya ” . Itu hanya bertujuan agar cs tadi merasa bersalah , dan terbukti, its work.
Mari ke trik selanjutnya. Ini lebih expert .
Target nya incef.or.id .
Saat cek whois, hzzzzzz Digital Registra .
Dan digital registra ini banyak banget afiliasi nya, yang pertama rumahweb, niagahoster, masterweb, dan masih banyak lagi.
Kita tidak tau domain ini dibeli dimana, jadi kita harus chat satu satu. :'(
Oke, pertama, kita cari tahu dulu domain tersebut di dibeli dimana πŸ˜€
Saat itu pertama saya chat di niagahoster.
CS : selamat siang, ada yang bisa dibantu ?
Saya : selamat siang pak, saya mau nanya apa benar kalau niagahoster sama digital registra itu kerja sama ya ?
CS : iya betul pak, kami berafiliasi dengan digital registra.
Saya : saya ingin menanyakan apa domain incef.or.id dibeli disini pak ? soalnya saya beli domainnya ke teman via ym. dan tidak diberi akses ke panel domainnya :D .
CS : sebentar pak saya cek. ..
CS : domain tersebut berada di rumahweb pak, silahkan contact rumahweb untuk info lebih lanjut .
Bingo !! πŸ˜€
Lanjut ke rumahweb .
Kali ini chat dengan nama berbeda dari nama yang tertera di whois pemilik domain πŸ˜€ . Lets see !
CS : selamat siang ada yang bisa dibantu ?
Saya : begini pak, tim kami kan beberapa bulan yang lalu membeli domain di rumahweb , tapi hanya satu orang yang memiliki akses ke panel domain. masalahnya saat ini server kamis edang di ddos oleh tim lain pak, dan kami ingin segera melakukan maintenance dan mengganti server nya.
CS : nama domainnya pak ?
Saya : incef.or.id
CS : betul pak domain tersebut dibeli di r*mahweb . apa kendala nya ?
Saya : masalahnya admin yang memiliki akses ke member area tersebut offline sudah sekitar seminggu pak. dan tidak bisa saat saya coba bbm.
CS : bapak ingin mengganti ns nya
Saya : iya pak. urgent.
CS : bapak bisa melakukan request pergantian dns via email ke [email protected]*mahweb.co.id melalui email d******@gmail.com . itu email yang terdaftar untuk domain tersebut pak .
( Sebenarnya disini kalian bisa langsung mengirim email seperti permintaan si cs, namun untuk me “real” kan situasi , mari kita mengeluh terlebih dahulu :v )
Saya : masalahnya itu email teman saya yang offline tadi pak.
CS : perubahan dns harus dilakukan sesuai prosedur pak, dan salahsatunya jika tidak bisa via member area harus melalui email.
Saya : tapi ini penting pak masalahnya , server yang sekarang akan segera down jika tdk segera di maintenance.
CS : bapak bisa menghubungi temannya untuk mengganti dns nya.
Saya : baik pak.saya coba telfon teman saya dulu.
lalu saya gunakan mailer untuk mengirim email request.
Gak perlu mailer khusus, saya cuma pake mailer yang sudah ada di shell b374k :p
to : [email protected]
from : Denny Makrifat <deennym***@gmail.com>
Subject : Pergantian DNS
isi :
Halo rumahweb . saya tadi ditelfon teman saya untuk mengubah dns domain saya inc*f.or.id ke nameserver berikut :
ns1.yuyudhn1337.org
ns2.yuyudhn1337.org

bisa tolong settingkan Β soalnya cuma saya yang punya akses ke domain tersebut, dan saat ini saya tidak online pc. lagi ada perlu diluar soalnya.
tolong fast respon ya soalnya saya tidak mau diganggu teman saya terus.
saya mau ofline lagi.
lalu send !
tolong fast respon ya soalnya saya tidak mau diganggu teman saya terus. saya mau ofline lagi.
kenapa ? soalnya saya tau kalau sistem perubahan dns via email itu sebenarnya kalau cs nya pinter, sistemnya sudah bagus πŸ˜€ . yaitu kita request, cs ngirim balesan dan kode tiket nya, kita disuruh reply kode tiket tersebut untuk konfirmasi . berhubung via mailer, jadi kita tidak pernah tau kode tiket nya karena bakal dikirim ke email yang asli πŸ˜€
maka nya saya beri imbuhan saya mau offline lagi seakan akan si pengirim tidak akan membuka email nya lagi πŸ˜€
jeda 5 menit, kembali chat rumahweb nya πŸ˜€
Saya : saya sya**** yang tadi mas .
CS : iya pak .
Saya : saya tadi sudah telfon teman saya, terus barusan di sms kata nya dia gak bisa soalnya lagi di jalan gitu. tapi dia sudah kirim email ke [email protected] .
CS : baik saya cek .
Saya : iya pak saya tunggu .
CS : ns nya sudah saya ubah ke ns yang baru pak . ada lagi yag bisa dibantu ?
Saya : tidak ada pak. terimakasih. sukses terus buat rumahweb .
CS : iya pak. sama sama .

Fyuuhhhhh … :p
saya cek via proxy, domain nya sudah mengarah ke ns baru πŸ˜€ .
Kira kira begitulah , tutorial DNS Hijacking via Social Engineering. Alur nya tetap .
Selesaikan via chat > gagal , via mailer > gagal , pelajari dari kesalahan pertama. tunggu kira kira setegah hari. kembali chat cs nya . karena biasanya sudah ganti cs. jadi dia tidak tau kalau sebelumnya kita sudah chat disitu. Begitu seterus nya .

Tingkat keberhasilan teknik ini kalau saya dulu adalah 90% . Inti nya, yakin kan cs kalau kita adalah pemilik domain tersebut, APAPUN CARANYA .
Beberapa chat diatas adalah contoh dari yang sudah pernah saya lakukan, meskipun ada beberapa trik lagi yang belum saya beberkan , karena masih sedikit yang tau, masih privat lah yaaa πŸ˜€ . Intinya saya kasih contoh biar kalian kembangkan , explore your brain bro πŸ™‚

Saran untuk pihak registrar :
  • Jangan pernah melayani perubahan dns via live chat, fungsi live chat hanya untuk menaggapi pertanyaan seputar produk.
  • Jika harus lewat live chat, pastikan untuk meminta password member area untuk verifikasi, jika tidak diberi, JANGAN pernah melayani pergantian dns , apapun alasannya .
  • Jika permintaan dilakukan via email, selalu mintalah verifikasi dengan menyuruh mereply kembali email verifikasi sebagai bukti kalau email tersebut dikirim lewat email asli, bukan MAILER. Jika pengirim belum melakukan verifikasi sesuai yang diminta, jangan pernah mengganti dns domain yang diminta πŸ˜€
Oke sekian coretan saya, semoga bermanfaat πŸ˜€
NB : sebelum saya publish tulisan saya disini, saya sudah contact ke beberapa pihak registrar indo tentang proof of concept dari social engineering dan beberapa sudah menanggapi πŸ˜€ .

search : cara deface dengan soceng, cara soceng domain, cara hack domain target, cara soceng idwebhost, cara dns hijacking

Shares

3 Comments

Leave a Reply