Tutorial DNS Hijacking via Social Engineering

Nih ane kasih tutorial DNS Hijack yang lagi wow pada zamanya :v

Tutorial DNS Hijacking via Social Engineering Exposed
Author : Nabilaholic404
Team : Indonesian Cyber Army, HN-Community, IndoXploit Coders
Tested on : IDWebh*st, R*mahweb, Niagah*ster, R*seller.co.id, Resellerc*mp, dll .


Berawal dari domain saya www.madura-cyber.org yang tiba tiba di deface padahal menggunakan blogspot , saya sempat panik karena saya pikir akun blogger saya yang di hack, lalu saya coba login ke akun blog dan cek template, ternyata tidak ada perubahan . Saya login ke akun domain saya di IDW*bhost, sukses, dalam artian akun saya juga tidak di hack, tapi saya kaget karena nameserver domain saya tiba tiba berubah. :| . Saya sempat berpikir apa mungkin akun gmail saya yang di hack, tapi itu juga tidak masuk akal karena akun saya menggunakan verifikasi login dengan nomor hape. Oke fix, ini DNS Hijacking dengan membodohi CS registrar tempat saya membeli domain tersebut, yupp, CS IDW*bhost ! .

Setelah kejadian tersebut, saya tidak pernah komplain ke pihak IDW*bhost, karena saya juga agak "tertarik" untuk mencoba trik dns hijacking tersebut.
Pertama tama, yang perlu disiapkan adalah mengetahui pemilik dari domain tersebut.
Bisa di cek di whois.domaintools.com / who.is/whois .
Kalau privacy protected gimana ?
 Gampang ? itu bisa diakali . :D . Ketik saja di google dengan keyword "www.domain.com email" . Biasanya bakal nyangkut di akun twitter si pemilik domain, atau setidaknya kita dapat info tambahan. Explore terus.

Berawal dari eksperimen saya waktu itu dengan teman saya "Cyberfvcker" , saya mulai mencoba melakukan social engineering terhadap cs IDW*bhost saat itu kalau tidak salah nama nya Ari Muh*ram atau siapalah . Agak pinter cs yang satu ini sungkem pak Ari (-/\-) :v
saat itu saya diminta menyebutkan empat digit terakhir password akun IDW*bhost saya, saya cuma bilang "sebentar" lalu saya close tab yang berisi chat saya dengan cs idweb via live chat waktu itu.
But, its not over, beby.. :)
Saat itu target saya domain my.id . Dan saya tau kalau reseller.co.id adalah mitra IDW*bhost untuk domain .id :D .
Lalu saya ketik r*seller.co.id di addres bar, buka live chat .
Masukkan nama dan email sesuai dengan pemilik domain yang didapat di whois.

CS : Selamat sore, ada yang bisa dibantu ?
Saya : Hmm, ini mau nanya mas, apa untuk domain .id sedang ada gangguan ya kok saya ingin mengubah dns domain saya mengalami kegagalan.
CS : gagalnya seperti apa pak ?
Saya : seperti dns tidak dikenali begitu. 
CS : Nama domain nya apa pak ?
Saya : cyber-f***e.my.id .
CS : Baik saya bantu. Mau diarahkan kemana ns nya pak ? ( BINGOOOOOO !! )
Saya : ke ini pak, ns1.yuyudhn1337.org , ns2.yuyudhn1337.org .
CS : Baik sudah kami ubahkan. Butuh waktu maksimal 1x24jam agar ns nya resolved ke ns baru ya pak.
Saya : Iya pak. 
CS : ada yang perlu ditanyakan lagi ?
Saya : tidak, terimakasih.

Itu adalah trik social engineering paling mudah. Yupp, tingkat kecerobohan CS beda beda. Dan mungkin di kasus diatas, cs nya ceroboh level 99 :D
Tanpa verifikasi.
Tapi yang perlu diingat, JANGAN PERNAH MENYURUH CS UNTUK MENGGANTI DNS . Ingat, jangan menyuruh, karena itu akan membuat dia curiga. Fungsi live chat itu hanya untuk menaggapi keluhan, bukan untuk membantu mengubahkan dns.
Jadi logikan nya, di live chat itu kalian hanya "mengeluh" , dan jika cs nya "peka" , maka dia yang akan menawarkan diri untuk mengganti dns domain target kalian.

Intinya, jika gagal di IDW*bhost. langsung lari ke r*seller.co.id . Itu untuk domain id, untuk domain tld ( com, net, org ), lari ke r*sellercamp.com .
Dengan trik chat yang sama, karena IDW*bhost, r*seller.co.id, r*sellercamp.com itu kerjasama. :D
Selalu cek whois.

Kali ini kita coba yang lebih expert. Ciyeee bahasanya :v
Jadi bakal ada sedikit gangguan .

Tapi harus modal dikit, yaitu domain lain yang dibeli di registrar yang sama dengan domain korban.
Jadi jika misal target kalian di IDW*bhost, maka kalian juga butuh akun domain di IDW*bhost.

Go !!

CS : selamat malam, ada yang bisa dibantu ?
Saya : iya malam. saya mau nanya apa saat ini idweb sedang ada gangguan ya kok saya mau ganti dns gagal.
CS : bisa disebutkan domainnya ?
Saya : jkt48f**s.com .
CS : saat ini di member area tidak ada masalah pak. anda bisa mengganti dns melalui tab nameserver di member area.
Saya : tapi saya kesulitan saat mengbah dns.
CS : maaf pak, tapi perubahan dns harus dilakukan sesuai prosedur, dan tidak lewat live chat. bapak tidak ingin kan ada orang yang tiba tiba mengaku sebagai pemilik domain bapak ? ( jegerrr... gawat nih :D )
Saya : tapi memang daritadi error pak. ini bukti nya. ( sambil ngasih screenshoot panel domain yang ada tulisannya jkt48f**s.com . Dan itu darimana, ? yupp, fungsi dari panel domain diawal tadi untuk diinspect element, kita ganti nama domain disana dengan nama domain korban. :D )
CS : Tapi tetap saja tidak bisa pak.
Saya : hmm.. terus apa gunanya live chat jika tidak bisa membantu samasekali. makin kesini kok IDW*bhost makin parah pelayanan nya. :)
CS : .... ( mau ngetik .. tapi gak selesai selesai :v )
CS : mau diarahkan kemana pak dns nya ? ( GOTCHAAAA ! )
Saya : ke ns1.yuyudhn1337.org , ns2.yuyudhn1337.org .
CS : sudah saya rubahkan , silahkan di cek kembali.
Saya : oh baik pak. iya sudah. (padahal gak ngecek ) . Kira2 kok saya tadi error kenapa ya ? (alibi, biar cs nya gak curiga)
CS : mungkin bapak tadi salah memasukkan ns seperti spasi di ns. itu menyebabkan error.
Saya : oohh.. maaf kalau begitu saya yang ceroboh. terimakasih penjelasannya.
CS : iya sama sama pak.

Thats simple man :D
Kecenderungan manusia adalah menghindari konflik :D . Dan itulah "bug" yang kita manfaatkan dalam social engineering . Saat saya bilang "makin kesini kok IDW*bhost makin parah pelayanannya " . Itu hanya bertujuan agar cs tadi merasa bersalah , dan terbukti, its work , man !! :D

Mari ke trik selanjutnya. Ini lebih expert .
Target nya inc*f.or.id .
Saat cek whois, hzzzzzz Digital R*gistra .
Dan digital r*gistra ini banyak banget afiliasi nya, yang pertama r*mahweb, niagah*ster, masterw*b, dan masih banyak lagi.
Kita tidak tau domain ini dibeli dimana, jadi kita harus chat satu satu. :'(

Oke, pertama, kita cari tahu dulu domain tersebut di dibeli dimana :D
Saat itu pertama saya chat di niagahoster.

CS : selamat siang, ada yang bisa dibantu ?
Saya : selamat siang pak, saya mau nanya apa benar kalau niagahoster sama digital registra itu kerja sama ya ?
CS : iya betul pak, kami berafiliasi dengan digital r*gistra.
Saya : saya ingin menanyakan apa domain inc*f.or.id dibeli disini pak ? soalnya saya beli domainnya ke teman via ym. dan tidak diberi akses ke panel domainnya :D .
CS : sebentar pak saya cek. ..
CS : domain tersebut berada di rumahweb pak, silahkan contact rumahweb untuk info lebih lanjut .

Bingo !! :D
Lanjut ke r*mahweb .
Kali ini chat dengan nama berbeda dari nama yang tertera di whois pemilik domain :D . Lets see !

CS : selamat siang ada yang bisa dibantu ?
Saya : begini pak, tim kami kan beberapa bulan yang lalu membeli domain di r*mahweb , tapi hanya satu orang yang memiliki akses ke panel domain. masalahnya saat ini server kami sedang di ddos oleh tim lain pak, dan kami ingin segera melakukan maintenance dan mengganti server nya. 
CS : nama domainnya pak ?
Saya : inc*f.or.id 
CS : betul pak domain tersebut dibeli di r*mahweb . apa kendala nya ?
Saya : masalahnya admin yang memiliki akses ke member area tersebut offline sudah sekitar seminggu pak. dan tidak bisa saat saya coba bbm.
CS : bapak ingin mengganti ns nya 
Saya : iya pak. urgent.
CS : bapak bisa melakukan request pergantian dns via email ke support@r*mahweb.co.id melalui email d******@gmail.com . itu email yang terdaftar untuk domain tersebut pak .

( Sebenarnya disini kalian bisa langsung mengirim email seperti permintaan si cs, namun untuk me "real" kan situasi , mari kita mengeluh terlebih dahulu :v )

Saya : masalahnya itu email teman saya yang offline tadi pak.
CS : perubahan dns harus dilakukan sesuai prosedur pak, dan salahsatunya jika tidak bisa via member area harus melalui email.
Saya : tapi ini penting pak masalahnya , server yang sekarang akan segera down jika tdk segera di maintenance.
CS : bapak bisa menghubungi temannya untuk mengganti dns nya.
Saya : baik pak.saya coba telfon teman saya dulu.

lalu saya gunakan mailer untuk mengirim email request.
Gak perlu meiler khusus, saya cuma pake mailer yang sudah ada di shell b374k :p

to : support@r*mahweb.co.id
from : Den*y M****fat <de******@gmail.com>
Subject : Pergantian DNS
isi :
Halo rumahweb . saya tadi ditelfon teman saya untuk mengubah dns domain saya inc*f.or.id ke nameserver berikut :
ns1.yuyudhn1337.org
ns2.yuyudhn1337.org

bisa tolong settingkan  soalnya cuma saya yang punya akses ke domain tersebut, dan saat ini saya tidak online pc. lagi ada perlu diluar soalnya.
tolong fast respon ya soalnya saya tidak mau diganggu teman saya terus.
saya mau ofline lagi.

lalu send !

"tolong fast respon ya soalnya saya tidak mau diganggu teman saya terus.
saya mau ofline lagi."
kenapa ? soalnya saya tau kalau sistem perubahan dns via email itu sebenarnya kalau cs nya pinter, sistemnya sudah bagus :D . yaitu kita request, cs ngirim balesan dan kode tiket nya, kita disuruh reply kode tiket tersebut untuk konfirmasi . berhubung via mailer, jadi kita tidak pernah tau kode tiket nya karena bakal dikirim ke email yang asli :D
maka nya saya beri imbuhan saya mau offline lagi seakan akan si pengirim tidak akan membuka email nya lagi :D

jeda 5 menit, kembali chat rumahweb nya :D

Saya : saya sya**** yang tadi mas .
CS : iya pak .
Saya : saya tadi sudah telfon teman saya, terus barusan di sms kata nya dia gak bisa soalnya lagi di jalan gitu. tapi dia sudah kirim email ke support@r*mahweb.co.id .
CS : baik saya cek .
Saya : iya pak saya tunggu .
CS : ns nya sudah saya ubah ke ns yang baru pak . ada lagi yag bisa dibantu ?
Saya : tidak ada pak. terimakasih. sukses terus buat rumahweb .
CS : iya pak. sama sama .

Fyuuhhhhh ... :p
saya cek via proxy, domain nya sudah mengarah ke ns baru :D .

Kira kira begitulah , tutorial DNS Hijacking via Social Engineering :D .
Alur nya tetap .
Selesaikan via chat > gagal , via mailer > gagal , pelajari dari kesalahan pertama. tunggu kira kira setegah hari. kembali chat cs nya . karena biasanya sudah ganti cs. jadi dia tidak tau kalau sebelumnya kita sudah chat disitu.
Begitu seterus nya .
Tingkat keberhasilan teknik ini kalau saya dulu adalah 100% :D
Inti nya, yakin kan cs kalau kita adalah pemilik domain tersebut, APAPUN CARANYA .
beberapa chat diatas adalah contoh dari yang sudah pernah saya lakukan, meskipun ada beberapa trik lagi yang belum saya beberkan , karena masih sedikit yang tau, masih privat lah yaaa :D . Intinya saya kasih contoh biar kalian kembangkan , explore your brain bro :)

Tapi tetap, kadang saya kok tdk suka kalau ada yang nyeletuk " main kok dns hijack , anak sd juga bisa '
coba balik tanya " yaudah dong situ kan sudah lulus sd, redeface bisa ? "
saya yakin dia langsung diam :)
Cobalah untuk menghargai ilmu , karena saat kata kata tidak disetarakan dengan skill, itu hanya akan membuat malu diri sendiri .
Teknik hacking itu tidak hanya SQLi, LFI, CSRF dll. DNS Hijacking juga termasuk .
Dan untuk mengelabuhi cs registrar itu juga ada tingkatannya, butuh skill. Tidak semata mata kita bilang "tolong ganti dns domain ini ke ns bla bla bla.. " . Gak sesimpel itu kok . maka nya kadang saya kok ngakak kalo liat log chat seseorang yang mengaku sebagai saya lalu chat ke IDW*bhost, meminta pergantian dns . no skill, terlihat seperti tanpa rencana :D . Bahkan ada transkripsi chat dari rumahweb ada yang merequest pergantian dns domain madura-cyber.org . what the hell -_- . Itu domain gak di cek whois dulu ya ? apa kenal nya cuma sama rumahweb doang :v

Saran untuk pihak registrar :
1. Jangan pernah melayani perubahan dns via live chat, fungsi live chat hanya untuk menaggapi pertanyaan seputar produk.
2. Jika harus lewat live chat, pastikan untuk meminta password member area untuk verifikasi, jika tidak diberi, JANGAN pernah melayani pergantian dns , apapun alasannya .
3. Jika permintaan dilakukan via email, selalu mintalah verifikasi dengan menyuruh mereply kembali email verifikasi sebagai bukti kalau email tersebut dikirim lewat email asli, bukan MAILER. Jika pengirim belum melakukan verifikasi sesuai yang diminta, jangan pernah mengganti dns domain yang diminta :D

Oke sekian coretan saya, semoga bermanfaat :D

NB : sebelum saya publish tulisan saya disini, saya sudah contact ke beberapa pihak registrar indo tentang proof of concept dari social engineering dan beberapa sudah menanggapi :D .
Bukan maksud cari nama sih :) saya cuma pengen pihak penyedia domain di Indonesia lebih baik, dan lebih "pintar" .

8 comments: