Спецвыпуск хакер, номер #001, стр. 001-052-1, Немного о Хотмейловском мыле

ЖУРНАЛ ХАКЕР

Немного о Хотмейловском мыле

Mishgan (mishgan@hotmailcom)

Спецвыпуск хакер, номер #001, стр. 001-052-1

Недавно была найдена очень серьезная дырка у известной почтовой компании Hotmail (www.hotmail.com), которая легко позволяет узнать логин и пароль юзера. Дырка заключается в посылке сообщения со вставленным javascript кодом.

Когда пользователь попытается прочитать письмо, код автоматически перезайдет на ту же страницу и отошлет логин и пароль пользователя на указанный в коде E-Mail .

Когда ты узнаешь логин и пароль юзера, то сможешь полностью управлять взломанным акаунтом:

— Посылать и читать почту.

— Проверять почту на других почтовых серверах, которые были занесены в настройках.

— Получить доступ к книге адресатов (Adress Book).

— Получать различные пароли от сайтов, которые жертва будет регистрировать на эту мыльницу.

— Менять пароль у этого акаунта.

Итак, как ты уже, наверно, догадался, для того чтобы завладеть чужим ящиком, надо всего лишь вставить java код в свое письмо, используя стандартные программы, такие как Netscape Mail, Ms Outlook Express или обычный Internet Mail.

Очень приятная

дырочка, так как:

1. Код запускается сразу после открытия письма.

2. Код не требует больших компьютерных ресурсов.

3. Зараженное письмо можно послать откуда душа пожелает: Интернет кафе, школа, институт и т. д.

4. Дырка будет работать с любым браузером, поддерживающим javascript, включая Microsoft Internet Explorer и Netscape Communicator.

Итак, что тебе для этого понадобится:

— Компьютер, подключенный к Интернет.

— Почтовый клиент.

— Текстовый редактор (Notepad).

Level 1:

Заходим на другую почтовую компанию www.geosities.com. Выбираем имя пользователя «ybwc» для примера. Регистрируемся в системе и получаем новый почтовый ящик ybwc@geocities.com.

Level 2:

Открываем текстовый редактор и пишем в нем javascript код. Сохраняем всю эту бодягу как message.htm. Строка 17 содержит твое имя пользователя (ybwc), смотри шаг 1. А вот и сам код:

Level 3:

Создаем новое письмо, пишем что угодно, типа: «Здравствуй, малыш. Поздравляю тебя с всемирным днем борьбы с хакерством. Вечно твоя тетя Хака.», вставляем файл message.htm в письмо и отсылаем на ящик жертвы, к примеру, lamer@hotmail.com.

Level 4:

Ждем, когда жертва прочтет это письмо, постоянно проверяя наш ящик на www.geosities.com. Если ты не облажался и все сделал верно, то получишь письмо, в котором будут: IP адрес жертвы, имя пользователя на Хотмайле и, конечно же, драгоценный парольчик... Game Over.

Ой, ой, ой, брателло, чуть не забыл о защите тебя самого. :)

Чтобы защитить себя от этой дырки, нужно перед заходом на HotMAIL всего лишь отключить в настройках своего браузера поддержку javascript, java, картинок, видео, цветов и текста. :)

P.S. Возможно, к выходу номера в печать Microsoft HotMAIL уже запатчит эту дырку...

»Go where you want today» - Blue Adept