Вот тут народ интерес поднял. Как можно например, взломать почту на яндексе или майл.ру.
Брутфорс не всегда поможет. А например, на яндексе есть напоминалка, но она через секретный вопрос и с защитой капчи и на количество обращений. Потом блокируют..
_________________ ...наука ещё не знает способов обращать зверей в людей...
Да.. у меня обычно секретный вопрос "любимое число".. ну у меня столько любимых чисел, что вспомнить спустя 5 лет - просто не реально.. Поддерживаю админовкий вопрос!!
____________
Но у меня есть еще рабочий бат именно на эти почты. Всё прекрасно работает. Но с этими паролями завязанна не только почта. Мне нужно как-то отколупать из бата на моём компе мои-же пароли? Кто нить в теме, как без лазанья по хаккерским сайтам выудить из собственного бата пароли?
JekaAngel Пост: #438328 От 22.Jan.2014 (17:11)
Да.. у меня обычно секретный вопрос "любимое число".. ну у меня столько любимых чисел, что вспомнить спустя 5 лет - просто не реально.. Поддерживаю админовкий вопрос!!
____________
Но у меня есть еще рабочий бат именно на эти почты. Всё прекрасно работает. Но с этими паролями завязанна не только почта. Мне нужно как-то отколупать из бата на моём компе мои-же пароли? Кто нить в теме, как без лазанья по хаккерским сайтам выудить из собственного бата пароли?
Брут и статейки на детском журнале Хакер на эту тему можете забыть, сегодня любой уважающий себя сайт принимает меры к ограничению возможности тупого перебора паролей при авторизации в т.ч. и в веб формах системы восстановления. Хотя был положительный получения пароля от почты путем аналитики данных о юзере на основе постов на десятке форумов, из аналитики стал понятен круг интересов и увлечений, далее последовательно по тематике искались форумы, опять копилась статистика для аналитики и как результат круг возможных ответов снизился до названия футбольной команды.
Опять же все зависит от инструмента, развитая ботсеть из нескольких десятков тысяч компов с подсаженным трояном, позволит брутить пароль там где число попыток ограничивается по адресу исходящего соединения.
Вопрос где взять такую ботсеть, это инструмент серьезных людей на коленке не сляпаешь, длительный и затратный проект.
Основная масса различных дыр в системе авторизации была в свое время связана с тоталитаризацией системы аккаунтов на популярных ресурсах, скажем ICQ аккаунт связан с рамблером, был еще один сайтик, так вот там была уязвимость к многопоточности при создании аккаунта, как ресурс он был мало кому интересен, а вот как база красивых номеров для аськи сработал, в результате я себе за пару вечеров набрутил штук 15 красивых девятизнаков, себе сделал, знакомым раздал.
Отколупать пароли из бата насколько я знаю не проблема, на самый крайний случай есть снифферы посмотреть что передается в сеансе при авторизации дело пяти минут.
ЗЫ
Предлагаемые тут и там темы вроде "ломану почту за 20 баксофф, доказательства предоставляю" - развод лохов, не вздумайте связываться.
взлом путём угадывания - это редкось, однако пару раз получалось, чисто исходя из сведений о человеке, даты рождениЙ, номеров телефонов и м.б. первой любви)) но проще украсть куки.. инкодить и знать наверняка), Хотя есть ещё проще способ узнать пароль пока подруга в душе... только если пароль сохранён!!! выодим, и заходим снова... если пароль сохранён то у вас будут звёздочки в поле ввода пароля, просто жмём правой мышкой прямо на эти звёздочк и выбираем "просмотр кода элемента"... у вас появиться частично код страницы.. и конкретно выделенная строка, в ней ищем слово PASSWORD редактируем на TEXT)))) и всё видно)
_________________ Трансформатор без ротора - деньги на ветер.
admin.skif.biz Наша доблестная полиция скорее всего схватила первого попавшегося (тебя), буквально по совпадению тарифа на симке. На том и успокоились.
Какие-то сетевые операции им просто тупо не по силам.
Для интереса посмотрите фильм "Майор". Недавно вышел.
_________________ Человек создан для счастья, как птица для работы
_юра_ Пост: #438364 От 23.Jan.2014 (04:17)
обьясню на пальцах, взлом почты делается когда пользователь ящика открывает его своим "ключем". Ключ шурует по проводам и открывает ясчик. Основная задача для получения всех ключей - отследить от кого идет какой ключ и чего он там открывает.
Про это говорили в передаче какойто, типа есл вы не защитились то попандос.
Вы больше смотрите эти передачи, там наговорят.
Для перехвата сеанса авторизации и получения учетных данных необходим троян на машине с которой авторизуются и возможность дернуть куки используемые при этом сеансе и еще много всего. В общем технически крайне трудно реализовать даже при условии что человек полный кретин и пользуется вебинтерфейсом и не ставит антивирусник и фаерволл. Хотя конечно сидя на операторской циске и снифая трафиик может и реально отловить сеанс чистой авторизации по pop или smtp, но там такие объемы придется анализировать что вероятность взлома мизерная, надо что бы у оператора админ был казлом, имел дикую работоспособность по анализу террабайт траффика.
Не это фантастика.
брут типа работал, а на самом деле у него срабатывал первый десяток запросов а дальше таймауты шли, поскольку брутеры всегда написаны на коленке, они зачастую не готовы что то внятное выдать, так что софт запущен, типа что то брутит, на самом деле все полтораста потоков в таймауте 😀
вообще реально канает не брут как таковой, а грамотная база паролей и база логинов к ним (емэйлов) ставим кучу потоков и перебор по словарику из тысячи мэйлов какойнить проканает, поскольку авторизация идет во первых через какие нить левые прокси, а во вторых постоянно на новый адрес почты защита от брута не всегда работает
мой мейловский ящик - пробовали ломать - социальной инженерией( различные спам письма) ,
те присылалось письма сфишинговыми ссылками и скриптами, и пользователь типа сам должен был разрешить выполнить это содержимое , если делать это методично и на весь твой новый спам у тебя будет ругаться какие либо средства защиты а на сотый раз ты подумаешь что не письма к тебе приходят такие а браузер криво работает и разрешишь выполнение. вода камень точит .. Вы тут рассматириаете стратегии взлома - пришел -увидел -победил, в жизни далеко не так .. тебе провокации могут рассылать месяцами...
далее - если у злонамеренной стороны есть возможность контролировать твой траффик
(подключиться к твоему провайдеру)
то скорее всего есть такие же административные возможности свободно полазить и в твоем почтовоя ящике и без твоего пароля (yandex, mail думаю точно про гугл -не уверен) и ничего взламывать не надо - надо просто собрать и проанализировать.
по поводу брут-форса - когда то работал , сейчас не знаю.. но это самое последнее дело ввиду его безнадежности (думаю мало осталось пользователей с паролем 123 , а другой пароль он будет искать месяцами с учетом тайм аутов авторизации почтовых серверов и то если после 10 первых попыток не заблокируют)
mastak Пост: #438407 От 23.Jan.2014 (13:40)
мой мейловский ящик - пробовали ломать - социальной инженерией( различные спам письма) ,
дык это классика, социальная инженерия - первый и важнейший инструмент хакера, все остальное вторичка.
mastak Пост: #438407 От 23.Jan.2014 (13:40)
далее - если у злонамеренной стороны есть возможность контролировать твой траффик
(подключиться к твоему провайдеру)
Как вы себе это представляете?
mastak Пост: #438407 От 23.Jan.2014 (13:40)
но это самое последнее дело ввиду его безнадежности (думаю мало осталось пользователей с паролем 123 , а другой пароль он будет искать месяцами с учетом тайм аутов авторизации почтовых серверов и то если после 10 первых попыток не заблокируют)
Вот тут как раз все не так плохо, пользователи мутировали от 123 до Вася123, ничего сложного сделать словарик тысяч на 10 подобных комбинаций и вуаля, мы сужаем круг перебора от полумиллиарда до 10 тысяч, как результат время перебора падает во много порядков.
Но конечно повторюсь это все при условии что система вообще допускает многократный ввод пароля каких сейчас не осталось. То есть перефразирую, существующими средствами сломать конкретный ящик, конкретного человека весьма затруднительно, при этом же наломать полсотни аккаунтов по базе емэйлов (например взяв спам базу адресов) и при наличии толкового словаря сможет любой двоечник.
Вот простой расклад,
пароль состоящий из имени пользователя с приставкой из трех цифр, количество слов в словаре (ну комбинаций, так скажем) составит
количество имен навскидку 20 штук (с учетом всяких там ласкательных ну 40)
итого 40 умножаем на число комбинаций для трех цифр а это у нас 999
всего то получится 39 960 слов.
сгенерить такой словарик дело 15 минут обычным скриптом на vbs да и батника хватит из 15 строк.
Далее скармливаем этот словарик какому нить брутеру, их полно ибо ценность не в проге обычно а в методике.
В итоге скажем пароль Василий74 прямым перебором будет составлять 9 в сороковой степени комбинаций (тут я приврал, примерно 40 в девятой), а со словарем 3 в четвертой степени, почувствуйте разницу.
Отсюда прямо вытекает правило, при создании пароля проследите что бы в нем не использовались словарные слова и правильное их написание, например Аннндрей значительно предпочтительнее использовать чем Андрей, если уж хочется именно существующее слово, есть еще такая тема как группировка словарных слов в диких комбинациях, например Царьсолилковер, запоминается на раз, брутить и ловить по словарю можно до седьмого пришествия.
Хм. А для восстановления пароля в Яндексах и прочих, например, практикуется ответ на вопрос "Какое ваше любимое блюдо". Или девичья фамилия матери..
Что существенно сокращает количество вариантов.
_________________ ...наука ещё не знает способов обращать зверей в людей...
Самый простой способ - подарить жертве USB-Device, который сканирует USB шину и отправляет через GSM дневные логи клавиатуры. Для жертвы сей девайс - является просто флэшекой. тут уйма
Zweistein Пост: #438437 От 23.Jan.2014 (17:13)
Ещё бывают "гении" пользующиеся безпроводной клавиатурой. Ну так те с тем же успехом могут пароли на входной двери снаружи написать.🤢
Анализатор блютык траффика способный отловить дату снаружи квартиры и декодировать стек синего зуба в студию!
Zweistein Пост: #438437 От 23.Jan.2014 (17:13)
Ещё бывают "гении" пользующиеся безпроводной клавиатурой. Ну так те с тем же успехом могут пароли на входной двери снаружи написать.🤢
Анализатор блютык траффика способный отловить дату снаружи квартиры и декодировать стек синего зуба в студию!
Месяца два назад, взломали мой ящик на www.rambler.ru... Пароль был шестизначный, буквенно цифровой... Каким образом??? Даже не представляю... Ящик удалось восстановить, щас у мну аж 12-ти значный буквенноцифровой пароль...
А там Санвалерыч, на самом рамблере есть страничка "Как правильно вбрать пароль". Там рекомендуют не менее 8 знаков. и ВАЖНО! чтоб пароль не содержал в себе слов из словаря, как в русском так и английском, так же с перепутанной раскладкой клавиатуры и Очень важно - не содержал фрагметов других своих регистрационных данных. К слову, некоторые сайты сами не разрешают пароли менее 8 знаков и легкие 12345678 например или ББББАААА. Прям так и пишут - "У вас слишком простой пароль. Придумайте потруднее"
ВОпрос есть. Просмотрел свою почту и увидел такое сообщение.
Этот аккаунт сейчас используется ещё в одном месте с этим IP-адресом (37.214.92.21).
Что это значит?
_________________ Не хватит никакого здоровья, чтобы приспособиться к этому глубоко больному обществу(Кришна Мурти)/Горшки не Боги обжигают (многовековая классика)
Admin |
Post: #438327 - Date: 22.01.14(16:59)
