|
Как у вас могут украсть мыло, или сага о человеческой глупости.
Нет предела человеческой глупости
Non limitus homius
dibilus
Тут в форуме разговор зашел, про взлом е-mail, все хотят друг другу
напакостить, пароли узнать, типа приколоться.. Вот и решил написать статью
на эту тему.. Вернее, систематизировать существующие. Сейчас их в инете
просто навалом, причем все одинаковые. Дай-ка, думаю, соберу всё в
кучку... Да и вопросов про "взлом чужого мыла" поубавится...
Итак, метод 1-ый.
Самый распространённый способ.
Основывается на следующем. Все мы с вами люди, так? У нас у всех
одинаковые слабости, недостатки, все мы делаем чисто человеческие ошибки.
Вот на этом-то и основана наука славная социальная инженерия. Так, короче.
Хакер может написать жертве письмо примерно такого содержания: "Почтовая служба @mail.ru проводит чистку аккаунтов. Если Вы
не хотите, чтобы ваш аккаунт был удалён, ответьте на это письмо указав в
поле "Тема" Ваш логин и пароль в следующем формате: username;
password". Спросишь, почему именно в поле тема? Отвечаю. Конечно,
это совсем не обязательно. Просто жертва будет думать, что письмо для
автоматической обработки получит робот, а к роботу больше доверия. Вместо
чистки аккаунтов можно придумать что-нибудь другое: мол, с вашего ящика
идёт рассылка вирусов/спама, вышлите пароль, в противном случае ваш
аккаунт будет удалён... Короче, можно дохрена всего придумать.. Гм, чуть
не забыл! Письмо может быть написано с правдоподобного мыла, типа
admin@mail.ru, support@mail.ru, webmaster@mail.ru... Также, хакер можнет
воспользоваться каким-нибудь анонимайзером или послать письмо
telnet-клиентом, указав в заголовке "адрес ответа"(reply-to) своё мыло.
Таким образом, в поле "от кого" жертва видит, например admin@mail.ru, но
при ответе на письмо ответ уйдёт на указанный e-mail.
Метод 2-ой.
Злоумышленник может
зарегистрировать где-нить, на народе например, страничку с заголовком типа
"Ломаем чужое мыло" и отправить жертве ссылку якобы на хакерскую
страничку... На самой страничке может находится текст типа
"На mail.ru несколько МИЛЛИОНОВ пользователей. Есть процент,
который имеет слабую память и тупые мозги, чтоб запомнить свой пароль и
частенько эти перцы сталкиваются с проблемой забывания пароля Итак, даже
небольшой процент от более чем милионной толпы владельцев мыльниц - это
тоже своеобразная толпа, которая требует свои пароли. Существуют всякие
системы аля "Забыл пароль" в котором вас спрашивают ответ на секретный
вопрос, данные, которые Вы вводили при регистрации и т.п. Но самое
интересное, что этим занимается не человек, а машина, т.е. обычная
программулина !!!! А если есть программа - есть в ней дыра. Теперь
приступим к описанию конкретных действий.
Тут все просто. По адресу
pass_repair@mail.ru сидит mail-робот, который анализирует запросы на
восстановление пароля и в зависимости от этого либо уточняет ваши данные,
либо сразу шлет пароль. На сайте есть форма для заполнения с всевозможными
параметрами, которая потом шлется роботу со специальным Subject'ом. Фишка
в том, что если в сабжект впихнуть не один, а два запроса, то проверятся
будет последний ящик, а информация будет выслана для второго! Так шевелим
мозгами... Правильно! Высылаем два запроса: в одном сообщаем инфу о ящике
жертве, во втором инфу о своем (о своем то мы все знаем ;) )
Итак,
мы хотим обломать vasya_pupkin@mail.ru
Наш ящик hacker@mail.ru пароль
qwerty
Пишем письмо роботу на pass_repair@mail.ru
Subject:
login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Т.е.
первый раз вставляем в тему письма запрос о ящике-жертве -
vasya_pupkin@mail.ru : login=vasya_pupkin&pass=&answer=
А
потом, через точку с запятой второй запрос, с вашими данными, которые
робот проверит и убедится, что они
правильные!
login=hacker&pass=qwerty&answer=
Итого : тема
сообщения выглядит вот так
:
login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Все,
ждите пасс на ваше мыло!!!"
Заметил подвох? молодец! для
"невъехавших" объясню... хакеру достаточно создать свой ящик на почтовом
сервере с именем типа pass_repair@mail.ru. Теперь пароли целой стаей летят
к нему на мыло! Понял? Ну а дальше ему главное не зевать.. просто быстро
поменять секретный пароль/ответ, адрес пересылки(причем ~99%, что
там пасс такой же!)
Метод
3-ий.
Большинтсво людей не может удержать в голове туеву хучу
паролей, поэтому зачастую используют одинаковые. Хы-хы, мысли есть?
Надеюсь, что да, а для остальных объясняю. Хакер пишет жертве письмо с
предложением вступить в какое-нить общество, клуб, поучаствовать в
лотерее. В письме просит указать ник для вступления в ряды, взломщиков
чатов, например ;) и пароль для подтверждения его личности. Если жертва
достаточна глупа, а взломщик достаточно знает о её/его интересах и сможет
угадать, куда он хочет вступить, то вероятность того, что придёт ответ на
письмо ~90%. Вероятность того, что он будет совпадать с пассом от ящика
~50-70%. Шансы довольно неплохие.
Ну вот, основы метода соц. инженерии
я тебе, вроде, поведал. Думай!.. Мы все с вами потенциальные жертвы! Едем
дальше.
4-й Метод. Метод перебора.
Из
названия всё ясно и понятно.
Во-первых, хакер может попробовать
перебирать пассы вручную, стандартные. Типа qwerty, pass, gfhjklm, 123 и
т.д. Метод довольно тупой и шансы на удачу бесконечно стермятся к нулю. Ты
бы так стал делать? Вот и правильно и хакер бы тоже не стал!.. Взломщик
может использовать прогу для перебора паролей, брутус например. После
настройки, он ёё просто запускает и ложится спать ;) Но если юзверь не
вбил стандартный пасс - на это уйдёт уйма времени! А на диалапе лучше и не
пытаться... ;)
Далее.
Метод 5-й. Получения
пасса через службу восстановления забытого пароля.
Знаешь о
существовании таких штучек? Сделано для склеротиков, ну а используется..
сам понимаешь. ;)
Злоумышленник узнаёт о жертве как можно больше. Через
аську(в инфе), если есть время, а главное желание(и в том случае, если
жертва мужского пола), может под бабским ником с ним
переписываться... Одним словом, способов дох... эээ.. много короче!
;) После он идёт на страницу восстановления, вбивает всю полученную инфу и
ждёт, ждёт, ждёт... ;) Этот способ наиболее подходит для mail.ru, они там
ну очень заботятся о всяких маразматиках, которые не в силах удержать пасс
в голове!..
6-й метод. Не взлом как получение
пасса, а взлом как получение доступа к ящику.
Долгий и запарный.
Но более-менее эффективный.
Итак, после выбора жертвы, хакер начинает
рассылать спамные письма от его имени. Если на него кто-нить пожалуется,
есть вероятность, что его аккаунт удалат. Но возможно, хакер не захочет
ждать, пока кто-то накатит жалобу. В таком случае он может взять любой
анонимайзер или список проксей и от различных людей начать слать админу
жалобы. Вот, типа, этот нехороший человек заспамил мой ящик/рассылает
порнуху/призывы к насилию и т.п. В конце концов ящик грохнут. А ему
главное не пропустить этот момент. Как только удалят - взломщик
регистрируется под username'ом жертвы. Вся почта будет ссылаться туда же,
но читать её будет не хозяин, а хакер... ;)
Ещё
пара способов:
1. Жертве можно впарить бэкдора. После этого она
полностью в алчных до чужой собственности руках хакера.
2. Хакер может
написать письмо, на которое жертва не сможет не ответить. Маты там
какие-нить.. А как получит ответ, в заголовке смотрит ип, проверяет на
шары. Если есть, то тырит файлы, в которых почтовик хранит пароли, если
жертва проверяет через браузер, тырит нужные кукисы.
Помимо всего
прочего сломать ящик можно (как и провайдера или сайт) хорошо зная дырки -
через которые можно утащить пароли или что-то еще. Для этого хакеру надо
пытаться самому пролезть туда куда надо. Это, конечно, сложно, так что
социальная инженерия (борьба) очень даже отличный способ! Рекомендация
лучших соб@ководов..
Делаем выводы,
господа...
Не общайтесь с сомнительными поклонницами по аське!
;)
Прежде, чем отвечать на сомнительное письмо, загляните в заголовок,
не указан ли там в поле "Reply-To" адрес vasya@pupkin.ru, вместо
president@whitehouse.gov, с которого вам, якобы, пришло письмо.
Как посмотреть заголовок? Всё очень просто... Если ты
читаешь почту прямо на сервере, из браузера, например на @mail.ru, тогда
всё, что тебе нужно сделать, так это нажать на ссылочку "заголовок".
Загрузится страница, похожая на ту, в которой ты обычно читаешь почту,
только вместо письма будет указан его заголовок. В почтовом клиенте "The
Bat!", чтобы прочитать заголовок нужно нажать комбинацию клавиш
Ещё совет: не используйте везде
одинаковые пароли. Самый лучший пароль это пароль типа dg#Kn$ или Y#$hGJ.
Такой, чтобы его нельзя было подбрать банальным перебором. Для
генерирования случайных паролей могу посоветовать программку Password
Generator. Там всё предельно просто. Выбираешь длину пароля, символы,
которые хотите использовать в нём, коэффициент случайности символов(чем
больше, тем реальней слово, напр. gerosvaxa вместо mpwkmscxv), нажимаешь
пимпу "Generate" и выбираешь любой понравившийся из списка! А тем, у кого
туго с памятью, посоветую записывать пароли не на компе, а завести
блокнотик, чтобы никто их не спёр.
Из чего
состоит заголовок?
Рассмотрим такой пример:
Received: from mail.bieberdorf.edu (mail.bieberdorf.edu
[124.211.3.78]) by mailhost.immense-isp.com (8.8.5/8.7.2) with ESMTP id
LAA20869 for ; Tue, 18 Mar 1997 14:39:24 -0800 (PST)
Received: from
alpha.bieberdorf.edu (alpha.bieberdorf.edu [124.211.3.11]) by
mail.bieberdorf.edu (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800
(PST)
From: rth@bieberdorf.edu (R.T. Hood)
To:
tmh@immense-isp.com
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id:
X-Mailer: Loris
v2.32
Subject: Lunch today?
Проведем построчный анализ
этих заголовков и выясним, что конкретно каждый из них
означает:
Received: from
mail.bieberdorf.edu
Это письмо было получено с компьютера,
который назвался mail.bieberdorf.edu...
(mail.bieberdorf.edu [124.211.3.78])
...и который
действительно называется mail.bieberdorf.edu (т.е., он идентифицировал
себя верно) и его IP-адрес 124.211.3.78.
by mailhost.immense-isp.com (8.8.5/8.7.2)
Принимал
сообщение компьютер mailhost.immense-isp.com; на нем работала программа
sendmail версии 8.8.5/8.7.2 (если ты не знаешь, что эти номера означают -
не обращай на них внимания).
with ESMTP
id LAA20869
Принимающий компьютер присвоил сообщению
идентификационный номер LAA20869. (Эта информация будет использоваться
только на данном компьютере, если его администратору потребуется найти это
сообщение в протоколах; для всех остальных она обычно не имеет
значения.)
for
Сообщение адресовано
tmh@immense-isp.com. Отметим, что этот заголовок не связан со строчкой
"To:".
Tue, 18 Mar 1997 14:39:24 -0800
(PST)
Передача письма производилась во вторник, 18 марта 1997
года в 14:39:24 по тихоокеанскому поясному времени (PST - Pacific Standard
Time), отстающему от Гринвичского часового пояса на 8 часов, откуда и
взялось "-0800".
Received: from
alpha.bieberdorf.edu (alpha.bieberdorf.edu [124.211.3.11]) by
mail.bieberdorf.edu (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800
(PST)
Эта строка свидетельствует о передаче письма с
alpha.bieberdorf.edu (компьютер rth) на mail.bieberdorf.edu; эта передача
произошла в 14:36:17 тихоокеанского поясного времени. Посылающая машина
назвалась alpha.bieberdorf.edu, ее реальное имя также alpha.bieberdorf.edu
и ее IP-адрес 124.211.3.11. На бибердорфском почтовом сервере работает
программа sendmail версии 8.8.5 и она присвоила письму для своих
внутренних нужд идентификационный номер 004A21.
From: rth@bieberdorf.edu (R.T. Hood)
Письмо было
отправлено с адреса rth@bieberdorf.edu, назвавшего свое настояшее имя:
R.T. Hood.
To:
tmh@immense-isp.com
Письмо было адресовано
tmh@immense-isp.com.
Date: Tue, Mar 18
1997 14:36:14 PST
Сообщение было создано во вторник, 18 марта
1997 года в 14:36:14 по тихоокеанскому поясному
времени.
Message-Id:
Сообщению
был присвоен этот идентификационный номер (машиной mail.bieberdorf.edu).
Этот номер отличается от номеров SMTP и ESMTP ID в заголовках "Received:",
потому что он присваивается письму "на всю жизнь", в то время как
остальные номера ассоциируются с конкретной операцией передачи письма на
конкретной машине, таким образом, эти номера не имеют никакого смысла для
остальных машин. Иногда (как в этом примере) номер Message-Id содержит
адрес отправителя, но чаще он не несет в себе никакого видимого
смысла.
X-Mailer: Loris
v2.32
Сообщение было послано программой Loris версии
2.32.
Subject: Lunch
today?
Говорит само за себя.
Дата створення/оновлення: 25.05.2018