"Проверка пройдена"

[ivan_1 6]

Здравствуйте!

Подобные вопросы многократно подымались, но все таки точка не поставлена( можно ли ее поставить вообще?).

например вот ссылка www.hackzone.ru/forum/open/id/16014/mpage/1/

Как участник форума относятся к подобном услугам?

Насколько трудоемко взломать почту - если там хороший пароль, и хороший ответ на секретный вопрос?

[Celsus 60]

Здравствуйте!

Подобные вопросы многократно подымались, но все таки точка не поставлена( можно ли ее поставить вообще?).

например вот ссылка www.hackzone.ru/forum/open/id/16014/mpage/1/

Как участник форума относятся к подобном услугам?

Насколько трудоемко взломать почту - если там хороший пароль, и хороший ответ на секретный вопрос?

Очень похоже на вымогание денег с помощью социальной инженерии (не знаю, подходит ли к данному случаю определение "фишинг") - аванс возьмет, а работу не выполнит.

А выудить пароль можно в процессе общения с человеком, наверно, или применив фишинг - создав ситуацию, в которой человек введет пароль, который будет виден взломщику (на подставном сайте, например).

Либо применив эксплойты для атаки компьютера жертвы.

Можно ли взломать именно защитную систему mail.ru - это надо спрашивать у них

[Зайцев Олег 402]

Насколько трудоемко взломать почту - если там хороший пароль, и хороший ответ на секретный вопрос?

Если сервер почты не совержит явных уязвимостей, ПК пользователя хорошо защищен и пользователь грамотный, то трудоемкость стремится к бесконечности и взлом за короткое время нереален ... так как собственно методик "взлома" немного, основные:

1. методы социальной инженерии. Обычно пользователю засылаются письма якобы от администрации, если он не поддается, то они не работают ... другой путь - сбор информации о пользователе и угадывание его ответа на секретный вопрос (не работает в случае, если например на вопрос "Девичья фамилия вашей матери" дан ответ типа "Крокодил Гена по прозвищу Шварцнегер").

2. фишинг. Обычно сводится к засылке жертве писем с ссылками на фишинговый ресурс, если пользователь не поддастся или антифишинг сработает в средствах защиты - не сработает

3. межсайтовый скриптинг (обычно сценарий аналогичен фишингу) - пользователю любой ценой засылается некая хитрая ссылка ... если он по ней пойдет, то может пострадать (может комбинироваться с п.п. 2-4)

4. применение неких вирусов. Смешно, но до сих пор приличный процент пользователей получив файл с именем типа "запусти меня и получи миллион" запускает ... вместо непосредственной рассылки трояна может быть рассылка письма с ссылкой на этого трояна (и плюс работает п.п. 1), может применяться ссылка на сайт с неким эксплоитом, внедрение эксплоита в само тело письма, подсовывание юзеру заранее подготовленной заразной флешки (если юзер знаком атакующему). Т.е. идеалогия в том, чтобы в итоге запустить на ПК пользователя нечто зловредное, которое украдет пароли и передаст злодею. Не работает в случае, если пароль не сохраняется в браузере или почтовом клиенте - в такой ситуации троян должен внедряться на длительное время и логгировать действия пользователя

5. непосредственный взлом ПК пользователя (если злодей сможет его вычислить). Нередко может сработать, так как скажем пароль почты сложный, а сам ПК например не защищен. работает в случае, если пароль сохранен - в ином случае далее будет п.п. 4 или 6

6. кейлоггеры и снифферы на ПК-ловушке. Сценарий - известно, что пользователь смотрит почту с ПК X - на него заранее ставится логгер и готово. Такой метод нередко применяют "хакеры" в корпоративной среде или компьютерных классах школ и институтов, чтобы воровать пароли своих коллег и сокурсников. Примитивно, но эффективно

7. Взлом путем перебора паролей. Не работает, если пароль несмысловой и большой длинны

Все перечисленное не является трудозатратным и позволяет "хакнуть" почту или страничку в социальной сети у не слишком грамотного пользователя (таковых к сожалению много).

[Chest 0]

Слышал о том, что подобрать пароль, содержащий в себе более 14 символов практически нереально. Так ли это на самом деле ? Насчёт кейлоггеров и троянов: могут ли такие зловреды "выудить" пароль, который вводится в соответствующее поле с помощью мыши, например, пароль с помощью мыши копируется из какого-нибудь неприметного текстового файла на харддиске компьютера и вставляется с помощью той же мыши в поле ввода пароля какого-либо интернет-сервиса ?

[Ai-hei-mei 0]

Слышал о том, что подобрать пароль, содержащий в себе более 14 символов практически нереально. Так ли это на самом деле ? Насчёт кейлоггеров и троянов: могут ли такие зловреды "выудить" пароль, который вводится в соответствующее поле с помощью мыши, например, пароль с помощью мыши копируется из какого-нибудь неприметного текстового файла на харддиске компьютера и вставляется с помощью той же мыши в поле ввода пароля какого-либо интернет-сервиса ?

а разве кейлоггеры такое не перехватывают?

[ivan_1 6]

Если сервер почты не совержит явных уязвимостей, ПК пользователя хорошо защищен и пользователь грамотный, то трудоемкость стремится к бесконечности и взлом за короткое время нереален ... так как собственно методик "взлома" немного, основные:

1. методы социальной инженерии. Обычно пользователю засылаются письма якобы от администрации, если он не поддается, то они не работают ... другой путь - сбор информации о пользователе и угадывание его ответа на секретный вопрос (не работает в случае, если например на вопрос "Девичья фамилия вашей матери" дан ответ типа "Крокодил Гена по прозвищу Шварцнегер").

2. фишинг. Обычно сводится к засылке жертве писем с ссылками на фишинговый ресурс, если пользователь не поддастся или антифишинг сработает в средствах защиты - не сработает

3. межсайтовый скриптинг (обычно сценарий аналогичен фишингу) - пользователю любой ценой засылается некая хитрая ссылка ... если он по ней пойдет, то может пострадать (может комбинироваться с п.п. 2-4)

4. применение неких вирусов. Смешно, но до сих пор приличный процент пользователей получив файл с именем типа "запусти меня и получи миллион" запускает ... вместо непосредственной рассылки трояна может быть рассылка письма с ссылкой на этого трояна (и плюс работает п.п. 1), может применяться ссылка на сайт с неким эксплоитом, внедрение эксплоита в само тело письма, подсовывание юзеру заранее подготовленной заразной флешки (если юзер знаком атакующему). Т.е. идеалогия в том, чтобы в итоге запустить на ПК пользователя нечто зловредное, которое украдет пароли и передаст злодею. Не работает в случае, если пароль не сохраняется в браузере или почтовом клиенте - в такой ситуации троян должен внедряться на длительное время и логгировать действия пользователя

5. непосредственный взлом ПК пользователя (если злодей сможет его вычислить). Нередко может сработать, так как скажем пароль почты сложный, а сам ПК например не защищен. работает в случае, если пароль сохранен - в ином случае далее будет п.п. 4 или 6

6. кейлоггеры и снифферы на ПК-ловушке. Сценарий - известно, что пользователь смотрит почту с ПК X - на него заранее ставится логгер и готово. Такой метод нередко применяют "хакеры" в корпоративной среде или компьютерных классах школ и институтов, чтобы воровать пароли своих коллег и сокурсников. Примитивно, но эффективно

7. Взлом путем перебора паролей. Не работает, если пароль несмысловой и большой длинны

Все перечисленное не является трудозатратным и позволяет "хакнуть" почту или страничку в социальной сети у не слишком грамотного пользователя (таковых к сожалению много).

Спасибо Олегу Зайцеву за подробный ответ.