Вот что нарыл в интернете, советую почитать кого достали взломы на Майл ру.
Вы знаете, что при некотором старании и прямых руках, практически любой желающий сможет получить доступ к нужному почтовому ящику? Нет!? Тогда читайте дальше.
Социальная инженерия
Социальная инженерия - пожалуй, самый простой способ получения чужого пароля, регистрации нужной программы и т.д. Принцип соц. инженерии состоит в правильном психологическом подходе к человеку, от которого вы собственно и собираетесь что-то получить. Самый примитивный способ такого подхода появился еще на заре Интернет. Пользователю посылали письмо якобы от администрации почтового сервиса с просьбой подтвердить свои персональные данные, и многие подтверждали. Даже сейчас в сети можно встретить примерно такие объявления:
цитата: |
"Я вот тут недавно обнаружил, что по адресу pass_recovery@mail.ru (адрес и сервер могут быть любыми) сидит робот, который отвечает за восстановление паролей к сервису mail.ru. Но что самое интересное, если послать ему специально составленное письмо, где указать реальный е-мail c паролем и второй который нужно взломать, то робот без проверки вышлет пароли сразу к двум ящикам ... " |
|
В настоящее время эти способы практически утратили свою актуальность. Пользователи уже не так наивны, как прежде, да и администрация почтовых сервисов предупреждает своих клиентов. Конечно, и сейчас на подобные уловки ведутся люди. Мир, как говорится, не без дураков.
Социальная инженерия может быть "полезна" в сочетании с другими способами взлома почтового ящика. Например, усыпив бдительность пользователя, можно заставить перейти его по «фейковой» ссылке. Здесь главное не повторяться, а предлагать что-то новое.
ЗАЩИТА
Никогда не посылайте свои логин-пароль, в ответ на письма, пришедшие от "администрации" какого-либо ресурса, где вы зарегистрированы (не зарегистрированы). А лучше вообще на них не отвечайте. Уж если сильно сомневаетесь, пошлите письмо администрации сервиса, а к письму приложите текст пришедшего вам письма (без пароля естественно), и только на тот e-mail, что указан на сервере. Помните главное правило - вводите ваши данные только в одном месте, на главной странице почтового сервера. Никогда не переходите по ссылкам в письме, если у вас нет 100% доверия к его отправителю и содержимому. Лучше нажмите на ссылке правой кнопкой мыши, и выберете пункт "Сохранить объект как..." (для браузера Internet Explorer), а затем офлайн просмотрите документ. Документы HTML, или попросту обычные Web странички, могут быть опасны при просмотре их онлайн (читайте следующий пункт).
Кража cookie и сессии пользователя
На мой взгляд, наиболее реальный, быстрый и незаметный способ получить несанкционированный доступ к почте.
Cookie (в переводе печенье) - это текстовые файлы, хранящиеся на вашем компьютере в специальном месте, и содержащие какую-либо служебную информацию. Что нам надо знать о Cookie. Многие веб сервисы при заходе пользователя на их ресурс, пихают ему "печеньку" с его персональными данными. К примеру, если вы в настройках на сервисе укажете выводить в таблице на странице 50 столбцов с данными, то эта информация запишется в Cookie, и при следующем заходе на этот сервис вам сразу покажут 50 столбцов. Но самое главное, прочитать данные из Cookie может только тот web сайт, который вам эту Cookie поставил. То есть Куки поставленные на yandex.ru, не могут быть прочитаны рамблером, или каким-нибудь superhack.com. Теперь переходим к главному. Когда мы на сайте проходим авторизацию, при входе на свой почтовый ящик сервер вешает нам Cookie, куда записывает номер сессии пользователя, или гораздо реже зашифрованный пароль (обычно алгоритмом md5), или еще реже (иногда встречается на небольших и древних сервисах) - ваш пароль, записанный в открытом виде. Просто бери и пользуйся! Зачем это надо? Просто в противном случае, при переходе с одной страницы на другую, нам пришлось бы каждый раз заново проходить авторизацию (вводить логин-пароль). А так сервер читает из Cookie нашу сессию и сравнивает с сессией назначенной авторизованному пользователю. Если все в порядке, вы читаете свою почту. Если с паролем к почте все ясно, то в чем его отличие от сессии.
Сессия - это просто набор из цифр и букв, случайно сгенерированных сервером (как бы временный пароль). Одна копия записана у вас в Куках, другая хранится на сервере. Причем сессия имеет "время жизни" (от нескольких минут, до нескольких часов), которое зависит от настроек сервиса. По истечении этого времени, копия сессии пользователя расположенная на сервере удаляется. И сессия, хранящаяся у пользователя окажется нерабочей (необходима новая авторизация).
Вот пример сессии на почтовом сервисе rambler.ru:
http://mail.rambler.ru/mail/index.cgi Теперь думаю, суть ясна. Получив свежие пользовательские Cookie с какого-нибудь lаmer@yаndеx.ru или lаmer@mаil.ru, мы сможем без проблем попасть на чужой ящик, даже если пользователь уже давно вышел из него (Не всегда. Об этом читайте в "защита").
Встает вопрос, как увести Куки пользователя.
Есть один способ. Пользователю посылается письмо в HTML формате, в которое вставляется специальный java-скрипт читающий содержание его Cookie и отсылающий эту информацию своему хозяину. Достаточно открыть такое письмо для просмотра в режиме Online, и вы можете потерять свой ящик навсегда.
ЗАЩИТА
Вы замечали на вашем ящике кнопку "Выход", "Exit" и т.д. А знаете, зачем она нужна? Она закрывает вашу сессию! Да-да, именно ту сессию, о которой писалось выше. Закрыв ящик, КАК ПОЛОЖЕНО, никто уже не сможет на него попасть без пароля! Кража Cookie и вашей сессии на сервере становится бесполезной.
По возможности, никогда не читайте письма "онлайн". Сохраните письма на компьютер, а уже затем, отключившись от сети, читайте. В этом случае никакой встроенный скрипт и прочая гадость вам не страшны. И осторожнее ходите по ссылкам в письмах. Текст ссылки, и ее истинное назначение могут быть абсолютно разными.
Практически любая почтовая служба позволяет задать маску IP адреса (адресов), с которых разрешено заходить в почтовый ящик. Не поленитесь, настройте эту опцию, если вы понимаете что такое IP, и с чем его едят. В этом случае, даже получив настоящий пароль от вашего ящика, взломщик не сможет в него попасть, и соответственно ничего прочитать и перенастроить. Диапазон ваших IP адресов можно узнать на сайте провайдера или в службе тех. Поддержки.
Протроянивание компьютера
Если у злоумышленника есть физический доступ к нужному компьютеру, то он 100% может получить не только пароль к вашей почте, но и следить за всеми действиями пользователя на нем (очень актуально для офисов, компьютерных клубов и интернет кафе). При отсутствии такого доступа можно послать шпиона прямо в аттаче к письму. Конечно, запускать неизвестный .EXE файл вряд ли кто станет. А что если использовать уже описанный ранее способ социальной инженерии? Злоумышленник сделает иконку у программы как у текстового документа или JPEG рисунка, переименует файл в Foto.jpg или в Info.txt и отправит получателю.
При этом данное вложение не должно быть неожиданным. К примеру, вы на сайте знакомств познакомились с девушкой. После нескольких дней переписки, вы вряд ли заподозрите странность в очередной фотке, полученной от нее. Да и что к тому же, при запуске программы мешает показать ей настоящее фото (склеенное с программой), запустить шпиона, а затем удалить его тело из запущенного файла. При грамотном подходе не спасет и антивирус. Шансы злоумышленника вырастут во много раз.
Вообще для социальной инженерии здесь огромный простор для творчества. Судя по популярности поисковых запросов, многие все еще верят в реальность существования генераторов Билайн, МТС или Мегафон. Я лично очень часто встречаю на не модерируемых ресурсах (форумах, гостевых…) объявления подобного рода: “Вышлю кряк к любой программе бесплатно!!!”, “Вышлю генератор денег на счете Билайн, Яндекс-деньги ...”.
Данный список можно продолжать до бесконечности. И самое интересное, что огромное число посетителей просит им выслать кряк к той или иной программе. Т.е. пошлите любую программу файл человеку, и он ее ЗАПУСТИТ САМ!
Господа, проявите немного здравого смысла! Кто будет вам сутками ломать программы, или искать кряки к ним за спасибо? Откуда такой альтруизм!? К тому же посылая кряк неизвестному адресату можно нарваться на подставное лицо от правообладателя и получить по полной.
Просто на человеческой алчности и доверчивости играют самые настоящие мошенники. Вам действительно вышлют кряк к программе или генератор денег на вашем счете, но я даю вам 99,999%, что кряк при запуске выведет сообщение о несоответствии версий программ (или что-то подобное), а генератор денег скажет (если скажет), что дыра в сервисе закрыта. Реальность же такова. Вам никто ничего не ломал! Вам просто выслали Троян, который теперь надолго поселится в вашей системе.
Часто вредоносные программы грузятся пользователем ПК с зараженных сайтов. Как правило, на таком сайте пользователю предлагают обновить FLASH плеер, установить недостающий кодек для просмотра "горячего" видео, или сообщают, что для работы с этим сайтом нужно поставить расширение для браузера, которое тут же любезно предлагают скачать.
А как вы думаете, к вам не компьютер попадают всякие Винлокеры и прочая гадость, требующая от вас отправить платное СМС? Вы сами себе их устанавливаете, не задумываясь о своих действиях.
ЗАЩИТА
Непонятно почему, но многие пользователи считают главным гарантом своей безопасности в сети - антивирус. Никакой антивирус с самой свежей базой не спасет вас от грамотно написанной и хорошо упакованной шпионской программы, которая ему незнакома.
Опытный взломщик имеет свои приватные "отмычки", не засвеченные в базах антивирусов.
В данном случае, вам намного полезнее фаервол. Если вы еще не знаете что это такое, узнайте как можно скорее. Конечно, опытный взломщик файрвол может обойти, но от главных проблем он вас спасет. Выходите в сеть только под учетной записью с ограниченными правами. Для работы в Интернет вам администраторские права не нужны, а вот многим шпионам для своей маскировки даже очень. Многие без них даже не запустятся. И ставьте свежие заплатки от MICROSOFT.
Не запускайте непонятные файлы, прикрепленные к письмам. Помните, что программу можно замаскировать под картинку, или даже текстовый документ. Никогда не используйте кряки, присланные вам незнакомыми людьми. А генераторы денег даже не пытайтесь искать, их в реальности не существует (работающих по своему назначению).
Никогда не качайте ничего с сайтов, если вы сами ничего не хотели скачать. Никогда не устанавливайте никаких расширений для браузера с сомнительных сайтов. При любой загрузке из Интернета браузер всегда задаст вопрос, и попросит подтвердить ваши действия. К сожалению, многие машинально жмут на все подряд, лишь бы закрыть непонятно откуда взявшееся окно.
Взлом почтового сервера
Не секрет, что в любых крупных проектах всегда существуют ошибки (багги). Вопрос только в том, насколько они опасны, и как оперативно администрация сервиса следит за безопасностью. Что уж говорить о почтовых сервисах средней руки, когда в свое время ошибки в безопасности были найдены даже на таких гигантах как mail.ru. Самые распространенные ошибки состоят в возможности инжектировать в исполняемые скрипты своего кода, приводящие к тому или иному действию. К примеру, с помощью найденной ошибки, хакер может изменить код HTML документа на сервере, встроив свой.
Помните способ: Кража cookie и сессии пользователя. В этом случае еще до просмотра почты, ваши данные уплывут налево. Другой способ называется SQL-injection или си-кью-эл инжекция. Его основа состоит в возможности подмены sql запросов к базе данных сервера. Таким образом, можно получать любые данные из серверной базы. Как вам, к примеру, полный список аккуантов крупнейшей почтовой службы Рунета с паролями к e-mail в придачу?
Если ошибок в интерфейсе не найдено, взломщик может попробовать взломать сервер изнутри. Узнав версию сервера и других имеющихся служб, хакер находит соответствующую отмычку (эксплоит). Но это в теории. На практике поломать известные почтовые службы ранга Yandex.ru Rambler.ru Mail.ru, вряд ли удастся, их программисты не зря едят свой хлеб. Другое дело, когда хакер работает с проектами попроще.
Допустим, что нужный злоумышленнику человек зарегистрирован на нескольких форумах. Ни для кого не секрет ошибки в одном из самых популярных форумов PhpBB (а есть и другие). Найти "дырявую" старую версию форума и слить базу пользователей иногда дело нескольких минут (как вы думали, пополняют спам-листы). Очень может быть, что пароли к почте и форуму совпадут.
ЗАЩИТА
От взлома почтового сервера вас не защитит ничто. Просто выбирайте для своего почтового ящика лишь крупные почтовые службы. Они своевременно обновляют свой серверный софт и следят за безопасностью почтовой системы. Не стоит использовать один пароль на все случаи жизни. Сейчас многие пользуются почтой через Web интерфейс. Да не спорю - это "красиво и удобно". Но! Забирать почту по протоколам POP3 или IMAP с помощью того же The Bat - быстрее, и главное безопаснее.
Программы для взлома почты
Единственными представителями программ подобного рода являются т.н. брутфорсеры паролей. Такая программа простым перебором или по словарю пытается авторизоваться на почтовом сервере.
Принцип их работы предельно прост. Если пароль не подходит, программа пробует новый пароль, и так до тех пор, пока верный пароль не будет найден. Тем не менее, реальность далека от идеала. Скорость перебора целиком зависит от ширины вашего канала. При Dial-up даже не стоит пробовать. При выделенном канале вас ожидает огромный Интернет трафик. Если пароль сложный, и не менее 6-ти символов, цена в случае удачи окажется слишком высокой.
И еще один самый главный момент. Сейчас практически везде используются системы, делающие «брутфорс» паролей невозможным в принципе. После нескольких неудачных попыток авторизации, вас просто пошлют лесом. Такие программы имеет смысл использовать лишь в тех случаях, когда подбираемый пароль вам хотя бы частично известен, или вы примерно знаете его длину и содержание.
Тем не менее, судя по некоторым форумам и поисковым запросам, большое количество людей верят в программы для взлома почты. Поверьте моему опыту - создание таких программ в принципе невозможно (Трояны, сниферы не в счет).
Чисто теоретически допустим некий хакер нашел уязвимость на майл.ру, приводящую к несанкционированному доступу к чужой почте. Затем написал программу, где реализовал данную возможность. Пока хакер писал программу, пока о ней кто-то узнал, дыру закроют и программа превратится в пустышку. Даже если представить на секунду возможность существования таких программ, то они никогда не попадут в публичный доступ. Такая программа принесет создателю большие деньги только при условии, что о ней никто не знает. В противном случае ему грозит тюремный срок и мгновенная заплатка администрацией сервера обнаруженной уязвимости.
Не стоит так же забывать, что хакеры при взломе работают через анонимные приватные прокси-сервера, не ведущие логов. А вы полезете ломать майл.ру со своего компьютера? Даже если теоретически есть рабочая программа, то на следующий день ждите к себе домой наряд милиции.
Тем не менее, то здесь, то там предлагают "Универсальные взломщики почты", некоторые еще и платные. Имейте в виду, что это или развод на деньги (красивая пустышка), или Троян.
ЗАЩИТА
Устанавливайте нормальные пароли. Используйте для просмотра почты почтовые программы. Стоит попробовать, потом вас на Web интерфейс калачом не заманишь. Не ищите программ для взлома почты, их просто нет! А если и есть, то предназначены они для взлома почтового ящика своего владельца! Если вы еще верите в чудо, просто попросите автора подобной программы взломать ваш тестовый ящик, специально созданный для проверки. Взамен я вам обещаю бурную и неоднозначную реакцию ее автора.
Заключение. В данной статье дается лишь пища для размышления над тем, как сделать свою работу в Интернет более безопасной. Статья не претендует на полноту и 100% точность. Тема защиты персональной информации от доступа третьих лиц очень обширна. Если вы хотите обезопасить свой компьютер и данные от доступа извне, всегда осознавайте последствия своих действий в сети.
цитата: |
Данная статья написана исключительно в ознакомительных целях. Ее назначение - защита ваших данных и паролей от злоумышленника. Защитить себя в сети можно, только понимая принципы работы взломщиков. В крайнем случае, все описанные действия проводите только для тестирования безопасности своего e-mail, сайта, компьютера. За неправомерное использование изложенной информации, автор ответственности не несет. По поводу взлома чего-либо, автора просьба не беспокоить. |
|
Источник:
http://pc.net.kg/viewtopic.php?t=1562