Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

"Как украсть пароль"

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292

    "Как украсть пароль"

    Не то чтобы сильно популярная, но живучая тема, периодически всплывает с минимальными косметическими изменениями. Сегодня в таком виде:
    Взломать, т.е. получить пароль любого ящика на mail.ru и tut.by оказывается проще простого.
    Дело в том, что mail.ru видимо писал какой-то корявый программер и оставил одну существенную
    ошибку в своей “работе”, докопаться до которой было довольно таки сложно, но… всё приходит -
    нужно только время. Tut.by поддаётся нижеописанному способу кражи пароля с ящиков по той
    причине, что там сидят ещё более кривые программеры и вместо того, чтобы самим написать
    свою технологию работы почты они её просто приобрели у mail.ru.
    Теперь суть ошибки:
    На mail.ru (и на tut.by тоже) есть система восстановления пароля: именно при её разработке
    разработчики допустили серьезную ошибку:
    Когда заполняешь форму на странице восстановления пароля и нажимаешь “Отправить”,
    отправляется письмо к “mail-роботу”, который при правильном сочетании “Вопрос - Ответ”
    отправляет пользователю пароль. Как выяснилось - этот “робот” изначально писался для
    многофункциональной работы: например можно ему выслать пароль и имя ящика - и тогда
    он выдаст ответ на “секретный вопрос”, или отослать ответ на “секретный вопрос” и логин -
    тогда вам будет прислан пароль и т.д. Но это ещё полбеды. Оказывается если прислать “роботу”
    имя ящика (логин), пароль на него и ответ на “секретный вопрос”, а как неизвестное вписать
    какое-либо имя ящика (логин), находящегося на этом сервере, то робот пришлёт нам пароль
    на этот ящик!
    Теперь что и куда надо слать:
    Mail-программа, принимающая запросы пользователей о забытых паролях установлена на
    mail.pass_@mail.ru (у tut.by это - mail.pass_@tut.by). В теле письма начиная с 1-ой строчки
    нужно писать:
    < ? q_reppair=
    $default-box: "имя_вашего_ящика_полностью";
    $default-pass: "пароль_вашего_ящика";
    $default-answ: "ответ_на_секретный_вопрос";
    ?a_reppair=
    $unknown-box: "имя_ящика_пароль_которого_хотите_узнать";
    $unknown-pass: "#take{array["bd_massive $pass_?"]
    #unknown-pass}";
    $CI: mail-box: "сюда_ещё_раз_имя_ящика_жертвы";
    ?>

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ВодкуГлыть
    Регистрация
    08.05.2006
    Адрес
    Омск
    Сообщений
    399
    Вес репутации
    132
    Боян, я слышал, что уже давно пофиксили, если это вообще было правдой.
    Быстро, Качественно, Дёшево - вычеркните лишнее слово.
    http://www.pcmag.ru/images/pcm_it_specialist.png

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DoSTR
    Регистрация
    10.10.2006
    Адрес
    Казань
    Сообщений
    137
    Вес репутации
    65
    Цитата Сообщение от pig Посмотреть сообщение
    Сегодня в таком виде:
    Нет, тут есть элемент социальной инженерии.
    Все дело в том что mail.pass_@mail.ru - это реально существующий ящик-того горе хакера который и прислал Вам это письмо.
    Иными словами он Вам предлагает добровольно прислать ему "имя_вашего_ящика_полностью" и "пароль_вашего_ящика" Пинч отдыхает
    Вся проблема в том, что чайники не разберутся с этим, а те кто разбираются не попадутся на этот лохотрон.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    DoSTR +1
    и это касается не только почты,видел разводы относящиеся к игровым акаунтам различных онлайн игр,люди в целью наживы сами теряют своё
    Последний раз редактировалось Muzzle; 08.07.2007 в 18:15. Причина: отпечатка %)

  6. #5
    Geser
    Guest
    Ну, онлайн игры это вообще раздолье для социальной инженерии. А стоимость акаунтов там мозет и тысячами долларов измеряться. Это не почтовый ящик потерять.

  7. #6
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от DoSTR Посмотреть сообщение
    Иными словами он Вам предлагает добровольно прислать ему "имя_вашего_ящика_полностью" и "пароль_вашего_ящика"
    Весь вопрос в том, а зачем мне взламывать мой же почтовый ящик?
    ---
    С уважением,
    Borka.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    В тексте слов написано, что, поделившись своим, можно получить пароль от чужого.

  9. #8
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от pig Посмотреть сообщение
    В тексте слов написано, что, поделившись своим, можно получить пароль от чужого.
    М-да, мне бы и в голову не пришло бы такого...
    ---
    С уважением,
    Borka.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    281
    Попадался hoax который предлагал оригинальный алгоритма взлома майл ру чуть ли не самим сервером майл ру для чего предлагалось ввести взламоваемое мыло, свое мыло и пароль(якобы для авторизиции с сервером-только в этом случае спрашивается зачем это надо...!) после предлагалось нажать кнопку взломать атакуемый ящик
    Все остальное вполне банально ... пароль и логин уходили на мыло хозяину програмульки кроме отправки по SMTP програмулька ни чего и не умела... Чтото подобное и Олегу отправлял вроде для упрощенной регистрации мыла на майл ру
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  11. #10
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    1
    Вес репутации
    38
    Вы попробуйте отправить это письмо с описанием взлома в службу поддержки данного почтового сервера, как минимум ящик злоумышленика после этого перестанет существовать.

  12. #11
    Junior Member Репутация
    Регистрация
    27.04.2007
    Сообщений
    27
    Вес репутации
    39
    Кто будет ломать чужую почту со своего мыла, трудно на мейл.ру еще раз зарегистрироваться? Тут нужны уникальные совпадения: 1. Человек должен хотеть взломать чужое мыло 2. Он должен быть настолько глуп, чтоб вручить комуто свой пароль 3. К нему должно попасть это письмо 4. У него должна быть ценная информация на ящике. А учитывая, что мейл.ру читает фсб, то ничего ценного там быть не может.
    Последний раз редактировалось asd911; 27.07.2007 в 03:06.

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.04.2007
    Сообщений
    158
    Вес репутации
    54
    ну вот раскусили мою халяву, а я только разгулялся..

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    281
    Цитата Сообщение от asd911 Посмотреть сообщение
    Кто будет ломать чужую почту со своего мыла, трудно на мейл.ру еще раз зарегистрироваться? Тут нужны уникальные совпадения: 1. Человек должен хотеть взломать чужое мыло 2. Он должен быть настолько глуп, чтоб вручить комуто свой пароль 3. К нему должно попасть это письмо 4. У него должна быть ценная информация на ящике. А учитывая, что мейл.ру читает фсб, то ничего ценного там быть не может.
    Если реально то все эти пункты 1,2,3,4 бывают! А относительно ФСБ Вам лично докладывали Ни когда не возникало мыслей о том как это осуществить реально? читать всю почту майл ру а так же не стоит забывать что там еще и поддомены есть...
    Ну если знаете как это сделать напишите будет оч интересно узнать.... мож сам засяду вместе с ФСБ за чтение почты
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    366
    А учитывая, что мейл.ру читает фсб
    ага, а google решил поработить мир..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    52
    Jolly Rojer, само собой, никто ВСЮ почту, проходящую через мейл.ру не читает... А вот поставить фильтры, которые будут вытаскивать из трафика письма с набором определенных слов и словосочетаний, дело несложное... И для ФСБ полезное...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Так зачем для этого влезать на конкретный Mail.ru? Есть же точка M-9, через которую идёт трафик половины России.

  18. #17
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    51
    А относительно ФСБ Вам лично докладывали Ни когда не возникало мыслей о том как это осуществить реально? читать всю почту майл ру а так же не стоит забывать что там еще и поддомены есть...
    Вполне нормальная ситуация. Никто не читает, естественно. Фильтр. И усё. А вот особо отличившихся по разным критериям - проверяют... иногда..., но не всегда... нереально... То же самое можно сказать и про любую телефонию, в смысле стационарную, либо сотовую, IP-телефония - не в счет, хотя есть варианты с провайдерами. Это раз.
    Нужно будет - делается элементарно... И не забываем про ключевое слово "фильтр". Сначала отбор, потом еще и т.д., можно по-другому. Есть еще, еще и еще куча ньюансов... Всё зависит еще от самой системы, в которой мы живем, в смысле государственной системы...
    Тока ни нужна мну тут сувать законы а частой пириписки, личного права, Конституцию и т.д. и т.п.
    ...
    А если мну ща гтода зкажит - типа бредишь - атправлю в сад опыта припрать чютоГ.

    Ща вот наткнулся на форуме Огамы (ну игра такая он-лайн - я гамаю в неё, ну и не только я, наш форум представляет свои интересы в той игре уже почти два года...) на еще очередной шедевр, а еще лучше перл, ужасающий перл:
    не знал, что он IP-шник не скрывает... А вот насколько я понимаю, мой выбор (и кстати бесплатный) - toonel, скрывает и ещё как скрывает...
    ... мда... скрыть АЙпи. Ну, в принципе, вообще, скрыть можно только свой локалхост 127.... при желании, а вот находясь в сети скрывать... смысл? от кого? зачем? .....

    Че-то разашолЬсиа я апять...

    P.P.S. Для тех, кто не понял о чем я - спрашивайте.

    P.P.P.S. Тока заметил, все до конца сразу не прочитал... (ну просто бессмысленный бред мой разум смутил). ВОТ :::::::::::::::::::
    Jolly Rojer, само собой, никто ВСЮ почту, проходящую через мейл.ру не читает... А вот поставить фильтры, которые будут вытаскивать из трафика письма с набором определенных слов и словосочетаний, дело несложное... И для ФСБ полезное...
    Ай, МАЛАЦЦЦЦАААА!!!!!!!!!

    Добавлено через 4 минуты
    ed13 - Всё абсолютно правильно.
    Последний раз редактировалось orvman; 02.08.2007 в 04:59. Причина: Добавлено сообщение
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.06.2006
    Сообщений
    103
    Вес репутации
    46
    Я думаю, что уничтожители Системы в своей античеловечной переписке будут использовать злова-заменители, например вместо "сегодня купил ядерную боеголовку 4 мегатонн" напишут "купил 4 килограмма яблок".

    Ну или вообще будут использовать заграничную почту + шифровать письма PGP.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от tar Посмотреть сообщение
    например вместо "сегодня купил ядерную боеголовку 4 мегатонн" напишут "купил 4 килограмма яблок".
    Контекстно-лингвистическое (Во какое слово вспомнил!) шифрование настолько старо, на сколько и не поддаётся взлому.
    С этой позиции - все, кому нужно скрыть текст своего соообщения давно защищены.
    Перехват (и прочтение - допустим, спецслужбами) писем направлен на недопущение расширения "армии".

    По маил.ру:
    4 года существует ящик. который я обслуживаю. В течение всего этого времени - 4 спам-письма.
    Мрй ящик на майле - (2 года) 0 спам-писем.
    The worst foe lies within the self...

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.01.2006
    Адрес
    Russia
    Сообщений
    169
    Вес репутации
    74
    Цитата Сообщение от tar Посмотреть сообщение

    Ну или вообще будут использовать заграничную почту
    фбр значит пусщай читает им можно?

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 15:16
  2. Ответов: 0
    Последнее сообщение: 01.11.2009, 13:19
  3. Украден пароль в "вконтакте"
    От Агата в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 14.07.2009, 19:58
  4. Ответов: 1
    Последнее сообщение: 28.11.2008, 17:59

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01194 seconds with 16 queries