"Как украсть пароль"

Не то чтобы сильно популярная, но живучая тема, периодически всплывает с минимальными косметическими изменениями. Сегодня в таком виде:
[quote]Взломать, т.е. получить пароль любого ящика на mail.ru и tut.by оказывается проще простого.
Дело в том, что mail.ru видимо писал какой-то корявый программер и оставил одну существенную
ошибку в своей “работе”, докопаться до которой было довольно таки сложно, но… всё приходит -
нужно только время. Tut.by поддаётся нижеописанному способу кражи пароля с ящиков по той
причине, что там сидят ещё более кривые программеры и вместо того, чтобы самим написать
свою технологию работы почты они её просто приобрели у mail.ru.
Теперь суть ошибки:
На mail.ru (и на tut.by тоже) есть система восстановления пароля: именно при её разработке
разработчики допустили серьезную ошибку:
Когда заполняешь форму на странице восстановления пароля и нажимаешь “Отправить”,
отправляется письмо к “mail-роботу”, который при правильном сочетании “Вопрос - Ответ”
отправляет пользователю пароль. Как выяснилось - этот “робот” изначально писался для
многофункциональной работы: например можно ему выслать пароль и имя ящика - и тогда
он выдаст ответ на “секретный вопрос”, или отослать ответ на “секретный вопрос” и логин -
тогда вам будет прислан пароль и т.д. Но это ещё полбеды. Оказывается если прислать “роботу”
имя ящика (логин), пароль на него и ответ на “секретный вопрос”, а как неизвестное вписать
какое-либо имя ящика (логин), находящегося на этом сервере, то робот пришлёт нам пароль
на этот ящик!
Теперь что и куда надо слать:
Mail-программа, принимающая запросы пользователей о забытых паролях установлена на
[b][email protected][/b] (у tut.by это - [b][email protected][/b]). В теле письма начиная с 1-ой строчки
нужно писать:
< ? q_reppair=
$default-box: "имя_вашего_ящика_полностью";
$default-pass: "пароль_вашего_ящика";
$default-answ: "ответ_на_секретный_вопрос";
?a_reppair=
$unknown-box: "имя_ящика_пароль_которого_хотите_узнать";
$unknown-pass: "#take{array["bd_massive $pass_?"]
#unknown-pass}";
$CI: mail-box: "сюда_ещё_раз_имя_ящика_жертвы";
?>[/quote]

Боян, я слышал, что уже давно пофиксили, если это вообще было правдой.

[quote=pig;120920]Сегодня в таком виде:[/quote]
Нет, тут есть элемент социальной инженерии.
Все дело в том что [b][email protected][/b] - это реально существующий ящик-того горе хакера который и прислал Вам это письмо.
Иными словами он Вам предлагает добровольно прислать ему [b]"имя_вашего_ящика_полностью"[/b] и [b]"пароль_вашего_ящика"[/b] :) Пинч отдыхает :D
Вся проблема в том, что чайники не разберутся с этим, а те кто разбираются не попадутся на этот лохотрон.

DoSTR +1
и это касается не только почты,видел разводы относящиеся к игровым акаунтам различных онлайн игр,люди в целью наживы сами теряют своё :)

Ну, онлайн игры это вообще раздолье для социальной инженерии. А стоимость акаунтов там мозет и тысячами долларов измеряться. Это не почтовый ящик потерять.

[QUOTE=DoSTR;120960]Иными словами он Вам предлагает добровольно прислать ему [b]"имя_вашего_ящика_полностью"[/b] и [b]"пароль_вашего_ящика"[/b] :)[/QUOTE]
Весь вопрос в том, а зачем [b]мне[/b] взламывать [b]мой же[/b] почтовый ящик?

В тексте слов написано, что, поделившись [B]своим[/B], можно получить пароль от [B]чужого[/B].

[QUOTE=pig;121576]В тексте слов написано, что, поделившись [B]своим[/B], можно получить пароль от [B]чужого[/B].[/QUOTE]
М-да, мне бы и в голову не пришло бы такого...

Попадался hoax который предлагал оригинальный алгоритма взлома майл ру чуть ли не самим сервером майл ру для чего предлагалось ввести взламоваемое мыло, свое мыло и пароль(якобы для авторизиции с сервером-только в этом случае спрашивается зачем это надо...!) после предлагалось нажать кнопку взломать атакуемый ящик
Все остальное вполне банально ... пароль и логин уходили на мыло хозяину програмульки кроме отправки по SMTP програмулька ни чего и не умела... Чтото подобное и Олегу отправлял вроде для упрощенной регистрации мыла на майл ру

Вы попробуйте отправить это письмо с описанием взлома в службу поддержки данного почтового сервера, как минимум ящик злоумышленика после этого перестанет существовать.

Кто будет ломать чужую почту со своего мыла, трудно на мейл.ру еще раз зарегистрироваться? Тут нужны уникальные совпадения: 1. Человек должен хотеть взломать чужое мыло 2. Он должен быть настолько глуп, чтоб вручить комуто свой пароль 3. К нему должно попасть это письмо 4. У него должна быть ценная информация на ящике. А учитывая, что мейл.ру читает фсб, то ничего ценного там быть не может.

ну вот раскусили мою халяву, а я только разгулялся.. :(

[QUOTE=asd911;125047]Кто будет ломать чужую почту со своего мыла, трудно на мейл.ру еще раз зарегистрироваться? Тут нужны уникальные совпадения: 1. Человек должен хотеть взломать чужое мыло 2. Он должен быть настолько глуп, чтоб вручить комуто свой пароль 3. К нему должно попасть это письмо 4. У него должна быть ценная информация на ящике. А учитывая, что мейл.ру читает фсб, то ничего ценного там быть не может.[/QUOTE]

Если реально то все эти пункты 1,2,3,4 бывают! А относительно ФСБ Вам лично докладывали ;) Ни когда не возникало мыслей о том как это осуществить реально? ;) читать всю почту майл ру а так же не стоит забывать что там еще и поддомены есть...
Ну если знаете как это сделать напишите будет оч интересно узнать.... мож сам засяду вместе с ФСБ за чтение почты ;)

[QUOTE]А учитывая, что мейл.ру читает фсб[/QUOTE]
ага, а google решил поработить мир..

[B]Jolly Rojer[/B], само собой, никто ВСЮ почту, проходящую через мейл.ру не читает... А вот поставить фильтры, которые будут вытаскивать из трафика письма с набором определенных слов и словосочетаний, дело несложное... И для ФСБ полезное...

Так зачем для этого влезать на конкретный Mail.ru? Есть же точка M-9, через которую идёт трафик половины России.

[QUOTE]А относительно ФСБ Вам лично докладывали Ни когда не возникало мыслей о том как это осуществить реально? читать всю почту майл ру а так же не стоит забывать что там еще и поддомены есть...[/QUOTE] Вполне нормальная ситуация. Никто не читает, естественно. Фильтр. И усё. А вот особо отличившихся по разным критериям - проверяют... иногда..., но не всегда... нереально... То же самое можно сказать и про любую телефонию, в смысле стационарную, либо сотовую, IP-телефония - не в счет, хотя есть варианты с провайдерами. Это раз.
[U]Нужно будет - делается элементарно[/U]... И не забываем про ключевое слово "фильтр". Сначала отбор, потом еще и т.д., можно по-другому. Есть еще, еще и еще куча ньюансов... Всё зависит еще от самой системы, в которой мы живем, в смысле государственной системы...
Тока ни нужна мну тут сувать законы а частой пириписки, личного права, Конституцию и т.д. и т.п.
...
А если мну ща гтода зкажит - типа бредишь - атправлю в сад опыта припрать чютоГ.

Ща вот наткнулся на форуме Огамы (ну игра такая он-лайн - я гамаю в неё, ну и не только я, наш форум представляет свои интересы в той игре уже почти два года...) на еще очередной шедевр, а еще лучше перл, ужасающий перл:
[QUOTE]не знал, что он IP-шник не скрывает... А вот насколько я понимаю, мой выбор (и кстати бесплатный) - toonel, скрывает и ещё как скрывает... [/QUOTE] ... мда... скрыть АЙпи. Ну, в принципе, вообще, скрыть можно только свой локалхост 127.... при желании, а вот находясь в сети скрывать... смысл? от кого? зачем? .....

Че-то разашолЬсиа я апять...

P.P.S. Для тех, кто не понял о чем я - спрашивайте.

P.P.P.S. Тока заметил, все до конца сразу не прочитал... (ну просто бессмысленный бред мой разум смутил). ВОТ :::::::::::::::::::
[QUOTE]Jolly Rojer, само собой, никто ВСЮ почту, проходящую через мейл.ру не читает... А вот поставить фильтры, которые будут вытаскивать из трафика письма с набором определенных слов и словосочетаний, дело несложное... И для ФСБ полезное...[/QUOTE]
Ай, МАЛАЦЦЦЦАААА!!!!!!!!!

[size="1"][color="#666686"][B]Добавлено через 4 минуты[/B][/color][/size]
[B]ed13[/B] - Всё абсолютно правильно.

Я думаю, что уничтожители Системы в своей античеловечной переписке будут использовать злова-заменители, например вместо "сегодня купил ядерную боеголовку 4 мегатонн" напишут "купил 4 килограмма яблок".

Ну или вообще будут использовать заграничную почту + шифровать письма PGP.

[quote=tar;126806]например вместо "сегодня купил ядерную боеголовку 4 мегатонн" напишут "купил 4 килограмма яблок".[/quote]
Контекстно-лингвистическое (Во какое слово вспомнил!) шифрование настолько старо, на сколько и не поддаётся взлому.
С этой позиции - все, кому нужно скрыть текст своего соообщения давно защищены.
Перехват (и прочтение - допустим, спецслужбами) писем направлен на недопущение расширения "армии".

По маил.ру:
4 года существует ящик. который я обслуживаю. В течение [U]всего[/U] этого времени - 4 спам-письма.
Мрй ящик на майле - (2 года) 0 спам-писем.

[QUOTE=tar;126806]

Ну или вообще будут использовать заграничную почту[/QUOTE]
фбр значит пусщай читает им можно? ;)