GuDanila.Ucoz.Ru Пятница, 22.11.2024, 05:03

Приветствую Вас Гость
RSS

Главная | Регистрация | Вход
Меню сайта
Счетчик
Поиск
Интернет
Заработок в сети
Новинка
Наш опрос
Оцените мой сайт
Всего ответов: 36
Счетчики

2

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
1.Троян
С трояном думаю всё понятно, нужно чтобы владелц мыла, имеющий афторизацию на сервере запустил у себя на компе некиую программу, которая передаст пасы на мыло к тебе. Существует много способов заставить жертву запустить трояна - заслать его по мылу\асе\закинуть на другом носители интформации, используя при этом соц инжинерию.
Однако важно чтобы троян не палился антивирём, а это можно обеспечить используя ПО для сжатия программ.
На сегодня не плохой троян - это пинч.

2.Секретный вопрос
Часто юзеры ставят реальные ответы на свой секретный вопрос, и забывают о секретности ответа. Можно вступить в контакт с владельцем мыла, и в процессе общения узнать ответ на секретный вопрос.

3.Брут
Так называемая грубая сила, предпологает использование перебора всех возможных комбинаций пароля, в надежде что однажды пароль совпадёт с реальным, и призойдёт афторизация. Пароль может генерироватся по алгоритму (в определённом диапазоне), случайным образом, либо братся из словаря (атака по словарю). Существует множество программ для брута мыла, которые без проблем можно найти в сети.
Общий алогоритм работы брутфорса выгледит так:
1. ПО на стороне взломщика посылает запрос на афторизацию с логином, и паролем от взламыевого мыла (пароль взят из словаря\случайным образом\по диапазону)
2. Сервер проверяет правильность логина, и пароля, если всё правильно сервер посылает хакеру запрос о том, что авторизаия удалась, и пароль считается подобраным, если же авторизация не удалась сервер шлёт соответствующий ответ взломщику,и процесс авторизации повторяется заново, но в качестве паса используется уже другая комбинация символов. И так до техпор пока не выпадет правельный пас, либо у взломщика не кончится тепрение.
4.Соц инжинерия
Если владелец почтового ящика плохо разбирается в компах, и темболее не знаком с методами хак атак можно попробовать послать владельцу письмо примерно такого содержания:
Извените за приченённые неудобства, наш сайт был взломан злоумышлинниками, и пароли наших пользователей были похищены, в связи с этим рекомендуем вам срочно сменить пароль, до того как вашим почтовым ящиком воспользуются злоумышлиники. Для смены пароля необходимо отправить письмо на support_bezopasnost@mail.ru в следующем формате:
Ваш логин:
Текущий пароль:
Новый пароль:
Подтверждение нового пароля:
С уважением администрация mail.ru
Возможно что не опытный пользователь ответит на подобное письмо, и в ответе сообщит свой пароль. Но более опытный пользователь может заподозрить неладное, и изменить свой пас на более сложный - чтобы затруднить перебор, а в качестве ответа на секретный вопрос написать что то типа - 923впв1ап@7@$#%&d1dfhf9gjcfj82564 Кстати именно так я советую поступать :) Словарь:
Мыло - E-Mail ящик
Грубая сила - метод взлома, при использовании которого не применяется хакерский интеллект :)
Социальная инженерия - способ получения секретных данных, при использовании которого хакер входит в доверие к жертве, и жертва сама открывает доступ к секретной информации. Наивно пологая что говорит пароль своему босу, службе поддержке, другу.
Снифер - программа, которая собирает (и обычно анализирует) весь сетевой трафик.
Троян - программа, при запуске которой она собирает пароли, конфиденциальную информацию хранящующуюся на компе, и передаёт эти данные злоумышленику
Брут - перебор всех возможных комбинаций пароля, в надежде что однажды выпадит верная комбинация, и пароль будит подобран.



5.Админы майл сервера
Админы - тоже люди, которые как и ты имеют свои особенности. Можно написать письмо в службу поддержки с просьбой отдать это мыло (типа ты забыл пас), либо купить его. Скорее всего за большие деньги тебе его продадут, но тут по принцпу - сначало деньги, потом товар. Меньше 500 баксов не советую и предлагать.
Админы обычно требуют точные данные о пользователе, которые нужно знать. Поэтому при регистрации не рекомендую указывать свои реальные данные. В системе напроминания паролей может быть даже спецальная форма для отправки модеру\админу сообщения о том, что юзер потерял пароль. Правда нужно знать многоинфы про юзера...

6.Куки жертвы\файлы с зашифроваными пасами
Если владелиц мыла использует web интерфейс, то скорее всего остаются куки, в любом случае если чел не вводит пас вручную каждый раз при авторизации он где-то сохраняется(в зашифрованном виде) ведь юзеру гиморно каждый раз вводить пас вручную, особенно если длинный пароль. Получив эти файлы их можно расшифровать уже на своём компе. Получить куки в некоторых случаях проще чем впаривать троя, достаточно жертве перейти по линку. А использование дырявого майл клиента может привисти к кретическим для жертвы последствиям (Секюритилаб.ру рулит :))

7.Айпишник жертвы
Зная IP адрес будующей жертвы, и то что жертва в онлайне, её можно взламать используя сплоиты, которые юзают различные уязвимости на ПК жертвы. Узнать айпишник можно при помощи пхп скрипта, к которому обратится юзер перейдя по линку.

8.Снифер
Если жертва выходит в сеть через твой комп, (т.е есть сеть, ты предоставляеш для этой сети подключение к инету, и владелиц мыла выходит в сеть через тебя), либо в основи сети лижит хаб, а не свич (разница в том, что хаб шлёт пакеты с одного компа на всю сеть, и каждый комп сам опеределяет для него эта инфа или нет, а свич передаёт пакеты только непосредственно получателю). Можно отснифить трафик (отснифить значит перехватить все пакеты, сделать это можно при помощи снифиров), и среди перехваченого хакера может оказатся и запрос юзера на афторизацию, содержащий пароль от мыла.

9.Взлом майл сервера
Если взломать сервер, то можно получить доступ, и управление над всеми мылами. Это способ для кул хакеров. Популярные сервера обычно очень надёжно защищаются.

10.Физические методы
Поймать владельца мыла, и заставить сказать пароль
Copyright GuDanila © 2024