MAIL HACKING - как завладеть чужим аккаунтом
ХрымZ (hrimz@xyligan.ru)
Спецвыпуск Xakep, номер #025, стр. 025-070-1
Приветствую тебя! Пришла пора разложить по полочкам все, что касается относительно занятной темы - взлому электронного почтового ящика ака мыла. Способов существует уйма, но мы рассмотрим самые известные. Ведь ты парень смышленый - в случае чего, сам что-нибудь придумаешь :).
Если сейчас в Инете в любом поисковике ввести "взлом почтового ящика", то на тебя упадет куча ссылок на одну и ту же статью, лежащую на разных "хакерских" сайтах. Не любит народ у нас думать, ведь намного легче copy&paste`нуть чье-нибудь другое творение. Да и у других перцев в статьях чаще всего описывается только один способ взлома. Не спорю, это тоже полезно, но все-таки нужно подвести окончательные итоги по этому вопросу. Этот туториал и представляет собой эти самые итоги. Все описанные способы рабочие, но, прежде чем что-то ломать, подумай головой и выбери, что лучше всего заюзать конкретно в твоем случае. Я имею в виду то, что не надо присылать мне письма такого плана:
"Я хотел взломать мыло boss@fbi.gov, мне никак не удается заставить админа прислать пароль. Ваша статья полный аЦтой!" :). Ну все, хватит лирики, пора приниматься за дело.
НЛП
Самый известный и, наверное, самый старый способ заключается в перепрограммировании мозга админа или юзера. Я все рассмотрю на конкретном примере. Примерно полгода назад мне было очень нужно получить доступ к ящику одной дефчонки - french_lover@mail.ru. Не долго думая, я зарегил себе ящик mail_support@mail.ru (да, он оказался свободен!) и с него уже написал письмо такого вида:
From: mail_support@mail.ru
To: french_lover@mail.ru
Тема: Служба технической поддержки Mail.RU
Уважаемый пользователь french.lover!
От лица нашего интернет-холдинга Mail.RU мы просим извинения за причинение вам некоторых неудобств.
В связи со сменой нашего оборудования на более новое нам нужно перенести всю пользовательскую информацию на новые жесткие диски. Соответственно просим повторно прислать некоторую информацию о своем аккаунте. Это нужно для предотвращения всякого рода ошибок и неточностей. Просто пришлите по адресу mail_support@mail.ru письмо с таким форматом:
Login:
Password:
Password (еще раз):
Имя:
Фамилия:
Спасибо за помощь. Все эти временные неудобства только от того, что мы хотим увеличить качество и скорость работы с нашей почтовой системой.
С уважением, администраторы интернет-холдинга Mail.RU.
Хочешь - верь, хочешь - нет, но уже через три часа я читал почту французского любовника (точнее - любовницы). Для большей достоверности просто напиши какое-нибудь письмо в настоящую службу поддержки сервака, на котором весит ящик-жертва, чтобы узнать, какого формата они используют письма (имеется в виду обращение к пользователю, подпись и т.д.).
Это все было о проверке на лоханутость пользователя, теперь займемся админом. Тут для начала нужно надыбать как можно больше личной инфы жертвы. Такой, как ФИО, адрес etc. Все это можно найти через асю, на домашней странице ламера (если есть), или, например, введи в поисковике мыло - наверняка выпадут линки на всякие форумы, где он по неосторожности мог засветить свой private information. Далее заводи на каком-нибудь другом серваке левое мыло и через веб-интерфейс пиши кляузу, что, типа, какой-то хацкер поимел твое мыло и выдает себя за тебя. В качестве подтверждения свети частной инфой жертвы. Если раз 6-7 отписать письмо в службу поддержки, могут и прислать пароль. Например, финт проходил на апортовской почте.