21.10.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Взлом почтовых ящиков Майл, Яндекс, Рамблер, как взломать и что делать.

У нас на сайте очень часто часто появляются запросы вида»Как сломать почтовый ящик на mail.xxx? «Как взломать Мой мир, помогите расскажите способы, или взломайте. Чтобы помочь и частично ответить на ваши вопросы как взломать Рамблер, взломать Яндекс или как взломать мыло, решено было написать данную статью и посвятить ее именно способам взлома электронной почты и аккаунтов в играх и т.д.
Она будет также полезна пользователям, решившим оценить свою почтовую систему.

В последнее время значительную популярность обрели почтовые системы на основе WWW-Интерфейса( www.hotmail.com, www.mail.com, www.netscape.net, www.yandex.ru www.rambler.ru в России — www.mail.ru).
Web-почту «местного значения» также предлагают провайдеры, работающие по схемам «Интернет-Кард»или «Интернет-в-кредит». Честно говоря,мне совершенно непонятны причины такого успеха.
Сторонники подобных систем обычно заявляют о простоте и удобстве пользования, при большей безопасности невозможности взломать электронные ящики на mail,Rambler,yandex,или Gmail,но взломать можно любую почту так как она придумана людьми))Ссылаясь на огромное кол-во вирусов и печальный пример MS Outlook и MS Outlook Express 5.Первые два аргумента, похоже, соответствуют действительности, а о безопасности поговорим чуть ниже.
В статье будет рассмотрен один из вариантов технического подхода к вскрытию почтового ящика, основанного на совместном использовании недоработок современных браузеров, принципиальных недостатках CGI и ошибках в политике безопасности почтовых служб.Именно он чаще всего применяется в атаках на Web-почту.
Для «конкретности», будет описан найденый автором метод «захвата» или «подслушивания» пользователя популярной в России системе mail.ru и способ защиты.

«Социальная инженерия» (сравнимый по эффективности) вид взлома рассматриваться не будет просто потому,что она детально рассмотрена в статьях других авторов.

Существуют, конечно и другие методы, возможно, лучшие, чем описанный ниже.
Может, их авторы тоже поделятся своими мыслями в отзывах или напишут статью…
несколько способов взлома мыла

Способ 1.
Социальная инженерия

Социальная инженерия — пожалуй самый простой способ получения чужого пароля,
регистрации нужной программы и т.д. Принцип соц. инженерии состоит в правильном психологическом подходе к человеку,от которого вы собственно и собираетесь что-то получить. Самый примитивный способ такого подхода появился еще на заре инета.
Пользователю посылали письмо якобы от администрации почтового сервиса с просьбой подтвердить свои персональные данные, и многие подтверждали. Даже сейчас в сети можно встретить примерно такие объявления:

«Я вот тут недавно обнаружил, что по адресу [email protected] (адрес и сервер могут быть любыми) сидит робот,который отвечает за восстановление паролей к сервису @MAIL.RU.Но что самое интересное,если послать ему специально составленное письмо,где указать реальный е-мail c паролем и второй который нужно взломать, то робот без проверки вышлет пароли сразу к двум ящикам…»
В настоящее время эти способы практически утратили свою актуальность.Пользователи уже не так наивны как прежде, да и администрация почтовых серверов предупреждает своих клиентов.Хотя и сейчас на них ведутся люди я сам не так давно встречал как пытались таким способом взломать mail и более того получили успешно несколько паролей от ящиков.Социальная инженерия может быть полезна в сочетании с другими
способами взлома почтового ящика. Например усыпив бдительность пользователя,
можно заставить перейти его по «ядовитой» ссылке. Здесь главное не повторяться,
а предлагать что-то новое.Быть изобретательным при попытке взлома ящика или взлома аккаунта и тогда удача будет на вашей стороне,как и парль от почты который Вы хотели получить.
Способ 2. Кража cookie и сессии пользователя

На мой взгляд наиболее реальный, быстрый и незаметный способ получить несанкционированный доступ к почте. Cookie (в переводе печенье) — это текстовые файлы хранящиеся на вашем компьютере в специальном месте,и содержащие какую-либо служебную информацию.Что нам надо знать о Cookie. Многие веб сервисы
при заходе пользователя на их ресурс, пихают ему «печеньку» с его персональными данными.К примеру если вы в настройках на сервисе укажете выводить в таблице на странице 50 столбцов с данными,то эта информация запишется в Cookie, и при следующем заходе на этот сервис вам сразу покажут 50 столбцов.Но самое главное, прочитать данные из Cookie может только тот web сайт, который вам эту Cookie поставил.То есть куки поставленные на yandex.ru, не могут быть прочитаны рамблером, или каким-нибудь superhack.com.Теперь переходим к главному. Когда мы на сайте проходим авторизацию,при входе на свой почтовый ящик сервер вешает нам Cookie, куда записывает номер сессии пользователя, или гораздо реже зашифрованный пароль
(обычно алгоритмом md5), или еще реже (иногда встречается на небольших и древних сервисах) — ваш пароль записанный в открытом виде. Просто бери и пользуйся!Зачем это надо?Просто в противном случае,при переходе с одной страницы на другую,нам пришлось бы каждый раз заново проходить авторизацию (вводить логин-пароль). А так сервер читает из Cookie нашу сессию и сравнивает с сессией назначенной авторизованному пользователю. Если все окей, вы читаете свою почту. Если с паролем к почте все ясно,то в чем его отличие от сессии.Сессия — это просто набор из цифр и букв случайно сгенерированных сервером (как бы временный пароль).Одна копия записана у вас в куках, другая хранится на сервере.Причем сессия имеет «время жизни» (от нескольких минут, до нескольких часов), которое зависит от настроек сервиса.По истечении этого времени, копия сессии пользователя расположенная на сервере удаляется.И сессия, записанная у пользователя окажется нерабочей (необходима новая авторизация).
Вот пример сессии на почтовом сервисе rambler.ru:
http://mail.rambler.ru/Session/3112538-ru3lUHY9oFag9n79p4…
Теперь думаю суть ясна. Получив свежие пользовательские Cookie с какого-нибудь lа[email protected]аndеx.ru или lа[email protected]аil.ru мы сможем без проблем попасть на чужой ящик, даже если пользователь уже давно вышел из него (Но не всегда.Об этом читайте в «защита»).Встает вопрос, как увести куки пользователя.Есть один способ.Пользователю посылается письмо в HTML формате, в которое вставляется специальный java-скрипт читающий содержание его Cookie и отсылающий эту информацию своему хозяину. Достаточно открыть такое письмо для просмотра в режиме online,и вы можете потерять свой ящик навсегда.мною описаны не все способы в этой статье в ближайшем будущем,Вас ждет еще несколько работающих и интересных способов,по взлому почты на Майл,Рамблер,а так же статьи о том как взломать Одноклассники,взлом в Контакте и взлому других социальных сетей,плюс ко всему обязательно напишу как взломать различные сайты знакомств.

С Уважением,Админ.