Перейти к содержанию

Recommended Posts

ivan_1

Здравствуйте!

Подобные вопросы многократно подымались, но все таки точка не поставлена( можно ли ее поставить вообще?).

например вот ссылка www.hackzone.ru/forum/open/id/16014/mpage/1/

Как участник форума относятся к подобном услугам?

Насколько трудоемко взломать почту - если там хороший пароль, и хороший ответ на секретный вопрос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Здравствуйте!

Подобные вопросы многократно подымались, но все таки точка не поставлена( можно ли ее поставить вообще?).

например вот ссылка www.hackzone.ru/forum/open/id/16014/mpage/1/

Как участник форума относятся к подобном услугам?

Насколько трудоемко взломать почту - если там хороший пароль, и хороший ответ на секретный вопрос?

Очень похоже на вымогание денег с помощью социальной инженерии (не знаю, подходит ли к данному случаю определение "фишинг") - аванс возьмет, а работу не выполнит.

А выудить пароль можно в процессе общения с человеком, наверно, или применив фишинг - создав ситуацию, в которой человек введет пароль, который будет виден взломщику (на подставном сайте, например).

Либо применив эксплойты для атаки компьютера жертвы.

Можно ли взломать именно защитную систему mail.ru - это надо спрашивать у них

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Насколько трудоемко взломать почту - если там хороший пароль, и хороший ответ на секретный вопрос?

Если сервер почты не совержит явных уязвимостей, ПК пользователя хорошо защищен и пользователь грамотный, то трудоемкость стремится к бесконечности и взлом за короткое время нереален ... так как собственно методик "взлома" немного, основные:

1. методы социальной инженерии. Обычно пользователю засылаются письма якобы от администрации, если он не поддается, то они не работают ... другой путь - сбор информации о пользователе и угадывание его ответа на секретный вопрос (не работает в случае, если например на вопрос "Девичья фамилия вашей матери" дан ответ типа "Крокодил Гена по прозвищу Шварцнегер").

2. фишинг. Обычно сводится к засылке жертве писем с ссылками на фишинговый ресурс, если пользователь не поддастся или антифишинг сработает в средствах защиты - не сработает

3. межсайтовый скриптинг (обычно сценарий аналогичен фишингу) - пользователю любой ценой засылается некая хитрая ссылка ... если он по ней пойдет, то может пострадать (может комбинироваться с п.п. 2-4)

4. применение неких вирусов. Смешно, но до сих пор приличный процент пользователей получив файл с именем типа "запусти меня и получи миллион" запускает ... вместо непосредственной рассылки трояна может быть рассылка письма с ссылкой на этого трояна (и плюс работает п.п. 1), может применяться ссылка на сайт с неким эксплоитом, внедрение эксплоита в само тело письма, подсовывание юзеру заранее подготовленной заразной флешки (если юзер знаком атакующему). Т.е. идеалогия в том, чтобы в итоге запустить на ПК пользователя нечто зловредное, которое украдет пароли и передаст злодею. Не работает в случае, если пароль не сохраняется в браузере или почтовом клиенте - в такой ситуации троян должен внедряться на длительное время и логгировать действия пользователя

5. непосредственный взлом ПК пользователя (если злодей сможет его вычислить). Нередко может сработать, так как скажем пароль почты сложный, а сам ПК например не защищен. работает в случае, если пароль сохранен - в ином случае далее будет п.п. 4 или 6

6. кейлоггеры и снифферы на ПК-ловушке. Сценарий - известно, что пользователь смотрит почту с ПК X - на него заранее ставится логгер и готово. Такой метод нередко применяют "хакеры" в корпоративной среде или компьютерных классах школ и институтов, чтобы воровать пароли своих коллег и сокурсников. Примитивно, но эффективно

7. Взлом путем перебора паролей. Не работает, если пароль несмысловой и большой длинны

Все перечисленное не является трудозатратным и позволяет "хакнуть" почту или страничку в социальной сети у не слишком грамотного пользователя (таковых к сожалению много).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chest

Слышал о том, что подобрать пароль, содержащий в себе более 14 символов практически нереально. Так ли это на самом деле ? Насчёт кейлоггеров и троянов: могут ли такие зловреды "выудить" пароль, который вводится в соответствующее поле с помощью мыши, например, пароль с помощью мыши копируется из какого-нибудь неприметного текстового файла на харддиске компьютера и вставляется с помощью той же мыши в поле ввода пароля какого-либо интернет-сервиса ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ai-hei-mei
Слышал о том, что подобрать пароль, содержащий в себе более 14 символов практически нереально. Так ли это на самом деле ? Насчёт кейлоггеров и троянов: могут ли такие зловреды "выудить" пароль, который вводится в соответствующее поле с помощью мыши, например, пароль с помощью мыши копируется из какого-нибудь неприметного текстового файла на харддиске компьютера и вставляется с помощью той же мыши в поле ввода пароля какого-либо интернет-сервиса ?

а разве кейлоггеры такое не перехватывают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ivan_1
Если сервер почты не совержит явных уязвимостей, ПК пользователя хорошо защищен и пользователь грамотный, то трудоемкость стремится к бесконечности и взлом за короткое время нереален ... так как собственно методик "взлома" немного, основные:

1. методы социальной инженерии. Обычно пользователю засылаются письма якобы от администрации, если он не поддается, то они не работают ... другой путь - сбор информации о пользователе и угадывание его ответа на секретный вопрос (не работает в случае, если например на вопрос "Девичья фамилия вашей матери" дан ответ типа "Крокодил Гена по прозвищу Шварцнегер").

2. фишинг. Обычно сводится к засылке жертве писем с ссылками на фишинговый ресурс, если пользователь не поддастся или антифишинг сработает в средствах защиты - не сработает

3. межсайтовый скриптинг (обычно сценарий аналогичен фишингу) - пользователю любой ценой засылается некая хитрая ссылка ... если он по ней пойдет, то может пострадать (может комбинироваться с п.п. 2-4)

4. применение неких вирусов. Смешно, но до сих пор приличный процент пользователей получив файл с именем типа "запусти меня и получи миллион" запускает ... вместо непосредственной рассылки трояна может быть рассылка письма с ссылкой на этого трояна (и плюс работает п.п. 1), может применяться ссылка на сайт с неким эксплоитом, внедрение эксплоита в само тело письма, подсовывание юзеру заранее подготовленной заразной флешки (если юзер знаком атакующему). Т.е. идеалогия в том, чтобы в итоге запустить на ПК пользователя нечто зловредное, которое украдет пароли и передаст злодею. Не работает в случае, если пароль не сохраняется в браузере или почтовом клиенте - в такой ситуации троян должен внедряться на длительное время и логгировать действия пользователя

5. непосредственный взлом ПК пользователя (если злодей сможет его вычислить). Нередко может сработать, так как скажем пароль почты сложный, а сам ПК например не защищен. работает в случае, если пароль сохранен - в ином случае далее будет п.п. 4 или 6

6. кейлоггеры и снифферы на ПК-ловушке. Сценарий - известно, что пользователь смотрит почту с ПК X - на него заранее ставится логгер и готово. Такой метод нередко применяют "хакеры" в корпоративной среде или компьютерных классах школ и институтов, чтобы воровать пароли своих коллег и сокурсников. Примитивно, но эффективно

7. Взлом путем перебора паролей. Не работает, если пароль несмысловой и большой длинны

Все перечисленное не является трудозатратным и позволяет "хакнуть" почту или страничку в социальной сети у не слишком грамотного пользователя (таковых к сожалению много).

Спасибо Олегу Зайцеву за подробный ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×