Proviamo a vedere dove sono i cookie, entriamo in habbo e loggiamoci e al posto dell'indirizzo
scriviamo javascript:alert(document.cookie);
ci comparirà un alert in client sulla pagina, con una stringa simile
habboab=habboab:pixel; JSESSIONID=bac83em******hO9-oYks; __qca=1244925406-6570608-61533712; __utmz=137306025.1246192221.20.4.utmcsr=google|utm ccn=(organic)|utmcmd=organic|utmctr=habbo; __utmv=137306025.flash; __qcb=388559346; __utma=137306025.63725965191885610.1245341925.1247 645403.1248530783.24; __utmc=137306025; __utmb=137306025.2.10.1248530783
ho nascosto parte dei miei cookie con gli asterischi.
Ora possiamo sempre con la tecnica del social engineering invitare la vittima a fare la stessa cosa dal suo pc, e di incollare quest'ultima su msn oppure su Habbo, dato che ora si può copiare
Fatto ciò,attendiamo che la vittima si disconnetta (non sto a spiegare il perchè, sarebbe troppo lungo da scrivere, riassumendo vi dico che il server gestisce i cookie per un tempo limitato e solo 1 cookie per ogni account, se vedesse che stai provando ad entrare con gli stessi cookie, automaticamente ne attribuisce degli altri diversi. Inoltre vi ricordo di non effettuare mai il logout se sbagliate qualcosa, ma più semplicemente andate in "strumenti--> elimina cookie")
Entriamo col browser opera 10, andiamo su habbo ed effettuaiamo il login con un nostro personaggio. Ora andiamo in strumenti --> preferenze --> avanzate --> cookie --> modifica --> cerchiamo Habbo --> doppio click sulla riga che ci compare e troveremo la stessa stringa di quando facevamo l'alert, ora indiviuiamo JSESSIONID=[cookie];
e sostituiamo i nostri cookie [cookie] con quelli della vittima. Premiamo OK e aggiorniamo la pagina. Perfetto, siamo dentro col suo account
altri metodi per farsi dare i cookie è fare pagine personalizzate di habbo su un proprio sito, che lavorano identicamente come i fake login, solo che al posto di nome e password andiamo a chiedere solo i cookie. La vittima, ignara di cosa sia, ha più fiducia, perchè pensa che rilasciando quei dati non può essere scammata.
/////////////////////////////////////////////////////////////////////////////////////
FONTE:
http://www.sciax2.it/forum/guide-release-utility/tutto-scam-social-tool-129956.html