Как прочитать чужую электронную почту?

1. Как правильно составить надежный пароль.
2. Как незаметно читать чужую почту (или анонимный серфинг).
3. Как проверить, просматривает ли кто-то вашу почту.
Скажу сразу, что в этом деле я новичок. Но несмотря на то, что знаю я пока очень мало, тем не менее, есть люди, которые знают еще меньше. Именно с такими людьми мне бы хотелось поделиться информации, которой обладаю на данном этапе. Выкладывать инфу решила и для того, чтобы расти в этом деле дальше. Потому что когда кому-то что-то объясняешь, то и сам еще лучше в предмете начинаешь шарить, ведь люди ждут от тебя большего, а мне это и нужно для развития. Часто бывает — принимаешься за что-то и потом бросаешь, но, думаю, вы мне не дадите забросить начатое 😉
P.S. Ниже будут описываться только самые простые методы…пока что.
Недавно ко мне в гости приходила подруга. Кстати, благодаря ей я и решила написать этот пост. Оказалось, что пока она гостила у меня, взломали ее страницу Вконтакте. Незадолго до этого ей кидали ссылки, где нужно было ввести пароль от вконтактского аккаунта (никогда бы не поверила, что еще хоть кто-то может на такое повестись!!!). Я ей стала объяснять, что так ни в коем случае делать нельзя, и между делом поинтересовалась, какой же у нее был пароль. Как оказалось, он у нее классического «блондинистого» вида:
456975
Ну что это за пароль???
Посоветовала ей придумать что-нибудь легко запоминающееся: чтоб и цифры, и буквы с разным регистром, и символы присутствовали, а она говорит:
— О, а можно я свой номер телефона напишу в конце?
Я себя стукнула рукой по лбу, думаю, во капец!
— ну ты еще напиши дату своего рождения!
а она:
— о, точно, впишу дату своего рождения!!!
тут я чуть от смеха на пол не села… умора такая =) Но это очень распространенный случай на самом-то деле.
1. Как правильно составить надежный пароль
Одно из самых главных правил — пароли от аськи, основной почты и т. д. должны быть разными и никак не связанными друг с другом! Потому что недоброжелатель легко получит доступ к вашей почте (где наверняка хранится много информации, которой вы бы не хотели делиться с посторонними), и будет ой как неприятно, если:
— он станет ее читать и будет в курсе всех ваших дел;
— перешлет какие-то письма в качестве доказательства (ну, это не мое дело, что там у вас в почте спрятано) кому-то;
— удалит ваш аккаунт;
— отправит от вашего имени письмо кому-нибудь etc.
Итак, вот несколько общеизвестных (но зачастую игнорируемых) простых рекомендаций:
— не используйте слова, которые можно найти в словаре;
— используйте знаки препинания, прописные и строчные буквы;
— используйте символы;
— не рекомендую писать слова наоборот;
— не рекомендую набирать его «вторым транслитом», потому что такие пароли тоже легко подбираются;
— составляйте пароль длиной не менее 12-14 символов (будет как раз достаточно 🙂
— меняйте пароли время от времени;
— не хотела упоминать прописные истины, но вы же не используете в качестве пароля имя домашнего животного и т. д., правда же? 😉
Это минимум советов – больше можете прочесть в инете!
2. Как незаметно читать чужую почту (или анонимный серфинг)
2.1. Способы угона паролей
Способов заполучения пароля очень много. Я думаю, среди вас уже не осталось тех, кто может повестись на якобы «системное сообщение» от админа, в котором требуется ввести ваши персональные данные (в т. ч. и пароль). Этому разводу очень много лет! Я просто перечислю несколько методов (НЕ всех), но не стану приводить реальные примеры (т. к. далеко не всё умею).
При желании лучше буду по отдельности выкладывать видео, потому что если уместить все с примерами в этом посте, то он выйдет просто громадным.
— Брутфорс (НЕ наш метод)
Брутфорс – это перебор паролей по словарю или подряд всех символов.
Так как пост у нас про почтовые сервера, то о брутфорсе в принципе нет смысла говорить (спасибо, в свое время мне это популярно разъяснили yaremka и free_kode). Поясню кратко: скорость подбора пароля брутфорсом зависит не столько от сложности пароля, сколько от того, насколько система авторизации позволяет это сделать. Большинство паролей допускают около 60 символов: анг. буквы маленькие/большие (это 46), 10 цифр (56), подчеркивание, плюс минус и т.п. — как минимум 60 символов если пароль длиной хотя бы 6 символов (этот минимум) — чтобы перебрать все комбинации — нужно 46656000000 попыток и т.д.
Да, и хочу предупредить, чтобы вы случайно не повелись на такие «услуги» как здесь, – (пр.) ibrute.ru. Ничего они вам не подберут — ни к почте, ни к социальным сетям. Вконтакте ввели , есть тру кодеры которые могут распозновать капчи, это уже высокий уровень.
— Фейк
Фейк – это страница или сайт, которая является точной копией какого-либо сайта. Т. е. это способ подделывать страницы авторизации, для того чтобы получить логин и пароль.
Готовые фейки вы можете найти в интернете при желании. Правда те, что я видела – довольно примитивные, поэтому лучше всего их делать самому. Много нового можно узнать на спецфорумах, но заметила такую штуку: в них часто (для набивания рейтинга, что ли?) люди иногда такую чушь пишут… Объясню на примере. Какой-то юзер создал тему «новый способ взлома ящика ХХХ» и пишет, как это нужно делать: вот такой код надо вставить туда, потом сделать это… И ты читаешь, вроде как все правильно, логично, но знающий профи сразу вычисляет подобных «умельцев». Так что желательно топик прочитывать до конца 😉
Чтобы не попасться на фейк, при авторизации смотрите на адресную строку – там вы и увидите подделанный сайт. Но хакеры не были бы хакерами, если б не придумали способ, как это можно обойти.
— Трояны, клавиатурные шпионы
Сейчас мне бы хотелось напомнить вам о кейлоггерах. Это очень удобная прога, которая «записывает» любое ваше нажатие клавиш с клавиатуры, а также может фиксировать скриншоты всего, что происходит на вашем мониторе. Трояны также могут отправлять логи на указанный адрес, в общем, надо быть все время начеку.
Кстати, кто из вас использует Punto Switcher (особенно, если не вы одни пользуетесь компьютером) – будьте осторожны. В нем есть функция кейлогера, однако, она отключена по умолчанию. Просто будьте внимательны.
— Cамодостаточные, активные, пассивные XSS
(не пробовала, но знаю точно, что народ эту уязвимость использует).
Пассивная XSS — это когда вам удалось просто выполнить скрипт на сайте
не сохраняя его.
Активная XSS — это когда вам удалось сохранить где нибудь в страничке скрипт
и при каждом обновлении странички скрипт выполняеться. К примеру вставка скрипта в дневники, в доски объявлений в форум, в гостевые книги и т.д.
Самодостаточная XSS – тип атаки, который не требует наличия уязвимости на ресурсе
Для того, чтобы было понятнее – возьму небольшой пример из форума «Хакер».
Cookies -что такое? Служат для сохранения учётных данных сайта на компьютере юзера.
Если вы зарегестрировались на сайте под именем «Вася Попов», то сайт сохранил у вас на компьютере файл с cookies где закодированы ваши данные.
А теперь представим, что вы Вася Попов администратор сайта.
У вас есть доступ к изменению информации на сайте и прочей байде.
Я «Антон Котов» перехватываю cookies Васи Попова.
И и захожу на сайт…сайт меня определяет как Васю Попова и у меня администраторские права.
Таким вот не хитрым способом можем перехватывать права.
Чтобы перехватить cookies надо найти место на сайте, где можно выполнить
XSS-атаку. (прим. — т.е. это и есть сама суть XSS)
Дальше описывается принцип перехвата кукисов.
— Подделываем адрес отправителя (с) журнал «Хакер»
Многие SMTP-сервера можно использовать как Relay и спуфить адрес отправителя. Правда, трюк может не удаться, но если все же получится, то чтобы получить ответ на письмо, нужно вместо Reply-to использовать служебный заголовок Errors-To, указав адрес, на который будет отправлено письмо в случае ошибки. Если адреса, указанного в поле Reply-to не существует (он может быть из доверенного домена), то письмо будет отправлено на адрес, указанный с помощью Errors-To. Т. е. если адреса technical.suport@microsoft.com не существует, то письмо будет перенаправлено на moe_milo@mail.ru. Удобно это тем, что жертва может посмотреть заголовок Reply-Tо в клиенте, но ни один клиент не покажет заголовок Errors-To — если, конечно, не посмотреть все header’ы письма.
Конструировать заголовки можно с помощью Python (и дальше в журнале написан код).
Конечно же, знающие люди всегда заметят какую-нибудь уязвимость и грамотно ей воспользуются.
2.2.Анонимный серфинг
Я думаю, все довольно давно знают о прокси-серверах. Но пользуются немногие, потому что бесплатно найти живые прокси…кароч на это нужно потратить время. Я предпочитаю более простой способ, а именно xB Browser.
xB Browser (бывший Torpark)– это бесплатный анонимный браузер, основанный на движке FF, пересылающий пакеты через сеть анонимной передачи данных Tor (пакеты данных в сети Tor пересылаются по случайным маршрутам через несколько серверов). Еще один плюс: xB Browser очищает историю сёрфинга и удаляет cookies, когда вы закрываете браузер.
Кстати, вы же понимаете, что если вас серьезно захотят найти, то никакие цепочки из анонимных прокси вас не спасут. А это так, в безобидных и разведывательных целях )) Даже если у вас динамический IP, все равно провайдерский сервер ведёт логи, кому и в какое время был дан этот IP-адрес.
3. Как проверить, просматривает ли кто-то вашу почту
На сегодняшний момент я пока знаю только один способ. Опять же, мне кажется, не все им пользуются и не все о нем знают. Рассмотрим 3 популярных почтовых сервера: gmail.com, mail.ru, yandex.ru
Gmail: в нем есть очень полезная ссылка «Дополнительная информация» рядом со строкой «Последние действия в аккаунте», расположенной в нижней части страницы. Признаться, я как-то раньше этого не замечала. Там вы узнаете когда, с какого IP и через что (браузер, мобильное устройство и т. д.) к вам заходили. Ну и потом (если заметите подозрительный IP) по нему хоть узнаете, какой провайдер у вашего «друга». Еще советую в зоне gmail поменять в настройках http на https.
Mail.ru: здесь тоже есть много полезных фич, таких как:
— запрет сохранения логина;
— запрет параллельных сессиий;
— показывается информация о последнем входе в систему;
— сессия только с одного IP-адреса.
Yandex.ru
Удивилась, когда не нашла таких же настроек по безопасности, как у вышеупомянутых почтовых служб. Мне сказали, что вроде как можно написать к ним в саппорт и спросить ip, с которых заходили к вам на аккаунт.
upd.
Добавляю к пункту 3 инфу по пожеланию Anonymous. Могла написать раньше, но инфа была только в журнале Хакер, не так давно все висит на сайте

Если вашу почту все же читают, то есть способ, как проучить недруга: отправьте себе письмо с трояном (напр. фотография какая-то, которая заинтересует того, кто почитывает вашу почту, и ему захочется ради любопытства посмотреть).
А вот вам реальный пример из жизни. Вчера к нам на работу приходил дядечка, переустанавливал мне винду. Пока он там копался, я села за комп одного своего сотрудника. И пока тестила сайт, между делом решила проверить, на сколько беспечны сами айтишники? И что же, захожу в Mozilla Firefox Инструменты — Настройки — Защита — Сохраненные пароли — Отобразить пароли
А там все пароли как на блюдечке – от gmail, Одноклассники и т. д. Это еще после бывшего сотрудника осталось. Конечно, я в этот же день написала ему, мол, вот такие у тебя пароли, нашла там-то. Поменяй и впредь такого не делай 😉 На что он ответил: «:-)и чего ото лазить, где не надо)». И что-то мне подсказывает, что нифига он не поменял…ну и ладно, мне до этого дела нет, я просто на практике лишний раз убедилась, что многие (даже айтишники!) крайне беспечны.
И еще пару советов напоследок:
— регулярно очищайте память кэш и файлы «cookie» в браузере, особенно на общедоступном компьютере (про пароли вообще молчу – держите их в голове).
— используйте firewall.
Поправьте меня, если я что-то написала неправильно. Или можете добавить еще какие-нибудь способы! Спасибо!

Просто о безопасности почты

У этого поста две цели. Первая: слегка приоткрыть завесу над правилами игры, которых придерживается крупная почтовая служба в вопросах безопасности. Мы хотим, чтобы меры, которые мы принимаем для защиты пользователей, стали понятней сообществу. Пост написан на основе опыта Почты Mail.Ru, но рекомендации универсальны и применимы к любому почтовому сервису.
Вторая цель — рассказать о том, как защитить ящик. Мы пройдемся по базовым моментам и напомним те пункты в «плане безопасности», о которых редко задумываются. Может быть, сведения из этой статьи пригодятся вам, а возможно — вашему беспечному другу, родителям или коллеге. Возможно, нам даже удастся сделать так, чтобы звонков «У меня, кажется, ящик взломали, ты же программист, сделай что-нибудь!!!11» стало чуть меньше.
В любом случае, если по прочтении кто-то сделает пару изменений в настройках своего ящика электронной почты — это и будет лучшим результатом, на который могут рассчитывать авторы. А если вы все это уже знаете, то мы можем только порадоваться.
Мы расскажем о том, как взламывают ящики, кому и зачем это может понадобиться, и опишем, как предотвратить взлом (а также что делать и куды бечь, если все плохое уже случилось).
Зачем взламывают электронную почту
Почему именно ваш почтовый ящик может представлять для кого-то ценность? Очень часто пользователи пренебрегают элементарными мерами предосторожности просто потому, что не могут ответить на этот вопрос. Разумеется, обычно конечная цель взлома — получить какую-либо финансовую прибыль. Но от кого взломщик может получить деньги? Существует несколько вариантов развития событий.

Учетные записи могут быть перепроданы оптом

Чаще всего скупкой почтовых ящиков в больших объемах занимаются спамеры. Взломанные ящики используют для массовых рассылок сообщений вроде «Элитные копии швейцарских часов». Большинство взломов совершается именно с этой целью.

Деньги можно извлечь из самого ящика…

Даже если основной целью взломщика является перепродажа ящика, сразу после получения доступа он все равно просматривает содержащуюся в ящике информацию на предмет чего-то более-менее ценного. Это могут быть, например, учетные записи соцсетей, хостингов, банков, электронных денег, игровые аккаунты. Если в ящике нет данных о самих паролях, атакующий может запросить восстановление пароля на ящик. Также атакующий обязательно проверит, не подходит ли ваш почтовый пароль к учетным записям на других ресурсах.

…или получить от владельца аккаунта

Вы можете стать жертвой шантажа — вам предложат выкупить доступ к ящику или к вашей учетной записи в соцсети. Предметом шантажа может быть также личная информация (переписка, фото, сканы документов), которая содержится в ящике. Иногда для сбора денег владельцев взломанных аккаунтов используются сервисы приема платных sms. К сожалению, не все sms-агрегаторы достаточно щепетильны в этом вопросе.

… или от другого заинтересованного лица

Взлом может быть заказным. Доступ может понадобиться вашему конкуренту или бывшему партнеру, сотруднику, ревнивому супругу. Сразу заметим, что взломы по заказу составляют очень маленькую долю от общего объема.
Из этого можно сделать простой вывод — любой почтовый ящик имеет ценность для взломщика.
Как взламывают почту
В интернете можно найти объявления о взломе почтовых ящиков по заказу. Цены варьируются от десятка до нескольких сотен долларов. В большинстве случаев жертвой становится сам заказчик, которого обманывают тем или иным способом или шантажируют обещанием рассказать жертве о попытке взлома. Если все-таки дело доходит до взлома, то обычно в бой идет социальная инженерия и, реже, подбор пароля и секретного вопроса.
Но обычно взломы делаются массово и с использованием ботнетов. У атакующего нет цели взломать конкретный ящик; у него есть задача взломать как можно больше ящиков — например, имеющих определенный простой пароль. Ситуаций по-настоящему серьезного взлома, когда против жертвы использовались бы, например, 0-day-уязвимости безопасности в каком-либо браузере, нам пока не встречалось.
Ниже собраны основные методы получения доступа к чужому ящику и способы защиты от них.

Проблема #1: троянская программа на компьютере


Практически любой троянец среди прочей информации уводит и пароли от электронной почты. По различным данным, до 30% компьютеров ежегодно подвергаются заражению. Использование Linux, MacOS X, любых других операционных систем или различных телефонных и планшетных платформ не гарантирует отсутствия вредоносных программ.

Решение: используйте антивирусное ПО

При этом помните, что сначала появляется вредоносная программа, потом ею кто-то заражается, и только спустя некоторое время она попадает в антивирусные базы. Таким образом, антивирус не гарантирует 100% защиты. Однако это не означает, что антивирусными программами не надо пользоваться. Достаточно не мешать антивирусу регулярно обновлять базу, и большинство угроз он не пропустит.

Проблема #2: подбор пароля


Речь идет не только о коротких паролях или паролях из одних цифр. В интернете можно найти базы популярных паролей, куда входят практически все пароли, состоящие из идущих подряд на клавиатуре (qwerty) или легко чередующихся символов (1q2w3e). То же можно сказать и о паролях, состоящих из даты рождения в любом формате, даже если она дополнена каким-либо символом или инициалами. Разумеется, наиболее распространенные словарные пароли тоже известны – их подбирают буквально по словарю. Набор русского словарного слова в латинской раскладке — тоже не гарантия неуязвимости. Такие пароли тоже легко подбираются по словарю. Не забывайте, что если вы зарегистрированы в соцсетях, то вашу дату рождения или телефон может узнать практически любой желающий. Номер автомашины и данные различных документов тоже достаточно легко «пробиваются», если речь идет о заказном взломе.

Решение: избегайте простых паролей

К выбору пароля необходимо отнестись со всей серьезностью, от него зависит степень защищенности вашего ящика. Выберите достаточно длинный пароль, состоящий из больших и маленьких букв, цифр и символов. Чем больше пароль похож на случайную последовательность, тем лучше. Но русские слова в английской раскладке — это не то, что надо.
Сейчас модно использовать вместо пароля ключевую фразу из нескольких слов. Это неплохая практика, но избегайте известных крылатых выражений. Ключевая фраза не должна быть на слуху, лучше, если она будет уникальной, а еще лучше — бессмысленной.
Рекомендуем регулярно менять пароли. Это эффективно, потому что если вы где-то уже использовали «почтовый» пароль на другом сайте (чего мы делать категорически не советуем), и у незащищенного сайта утекла база, ваш почтовый аккаунт оказывается под угрозой.
Кроме того, это затруднит подбор (брутфорс) пароля в том случае, если на ящик идет целенаправленная атака, и поможет защититься от случайных утечек пароля — например, когда пароль использовался с чужого зараженного компьютера.
Смену паролей логично проводить в связи с такими жизненными событиями как развод, увольнение, потеря телефона или записной книжки, поимка и устранение троянца.
Однако частая смена паролей может приводить к их ослаблению: пользователь либо начинает выбирать легкие пароли, либо записывает их в легкодоступном месте, либо делает следующий пароль похожим на предыдущий. Не поддавайтесь соблазну и не ленитесь при выдумывании пароля — пароль к почте должен оставаться сложным.
Почта Mail.Ru, со своей стороны, реализует защиту паролей в виде антибрутфорса — многофакторной системы, которая отсеивает попытки автоматического входа в ящик.

Проблема #3: подбор ответа на секретный вопрос


Использование ответов на секретный вопрос — не очень хорошая, с точки зрения безопасности, практика. Но часто это единственный способ восстановить доступ к ящику для пользователя, который заходит в почту очень редко и не указал о себе какой-либо реальной информации. Поэтому мы и другие бесплатные почтовые службы не отказываются от этого.

Если ваше любимое блюдо — пельмени, любимая книга — «Гарри Поттер», фамилию бабушки можно узнать из списка родственников в соцсети, а имя любимого котика подписано в верхнем посте под его фотографией, вы находитесь буквально в полушаге от того, чтобы совершить большую ошибку.

Решение: избегайте простых ответов

Все, что было сказано о паролях, касается и ответов на секретные вопросы.
Единственное отличие секретного вопроса заключается в том, что вместе с ответом, как правило, запрашивается (проверочный код, который надо распознать и ввести), и есть более строгое ограничение на число попыток ввода. Это несколько затрудняет брутфорс (подбор) машинными методами. В остальном ответ на секретный вопрос равнозначен паролю, и выбирать его стоит так же тщательно.

Проблема #4: социальная инженерия, фишинг

Социальная инженерия — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств, эксплуатирующая человеческий фактор. Одна из разновидностей социнженерии — фишинг. Типичный пример — заставить пользователя ввести пароль на чужом сайте, замаскированном под дизайн страницы авторизации, например:

Это не единственный вариант. Также достаточно часто мы сталкиваемся с социальной инженерией, направленной на то, чтобы «извлечь» из пользователя данные, необходимые для восстановления пароля или доступа к ящику. Например, паспортные данные пытаются запросить под видом получения выигрыша в лотерею. Ответ на секретный вопрос могут выпытать в обычной беседе в соцсетях («У тебя есть кот? Какой симпатяга! А как его зовут?»). Все объясняет классическая шутка с Баша:
Коннект: Слушай, мож мы родственники?
ALEXA: думаешь???
Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
ALEXA: *енко
Коннект: О, у тебя 8 новых писем )
ALEXA: в смысле???
Фишинг может быть направлен не только на получение доступа к учетной записи. Фишинговое письмо может сообщать о блокировке аккаунта и требовать отправки SMS на короткий номер, который, разумеется, окажется платным.

По утверждению самих фишеров, на атаки с помощью социальной инженерии клюет порядка 80% женщин и 60% мужчин.

Решение: не разговаривайте с незнакомцами

Будьте очень критичны к той информации, которую вам сообщают незнакомые люди, и еще более критичны к той информации, которую вы сообщаете им. Особенно если вас торопят.
Если нам стало известно, что ваш аккаунт взломали, он несанкционированно используется, и мы захотим вам об этом сообщить, мы не будем просить сотрудника какой-либо службы написать вам письмо. Мы сделаем примерно так:
Не переходите по ссылкам от незнакомцев, будьте внимательны к тому, от кого пришла ссылка и куда она вас привела. Не поленитесь посмотреть в адресную строку браузера, прежде чем вводить какие-либо данные. Неожиданные эффекты, такие как запрос логина/пароля при открытии письма от незнакомого отправителя, также должны насторожить.
Атаки проводятся не только на владельца ящика: сотрудники службы поддержки также постоянно находятся под прессингом. Атакующий пытается «восстановить» якобы утерянный доступ к чужому ящику. Иногда можно прочитать очень интересные и затейливые истории, достойные латиноамериканских сериалов, с описанием любовных многоугольников и детективных ситуаций, поясняющие, почему необходимо отдать автору пароль от чужого ящика.
У сотрудников поддержки есть строгие инструкции по восстановлению паролей, поэтому, если такая необходимость возникла, не старайтесь их разжалобить; лучше предоставьте как можно больше объективной информации, которая подтвердит, что именно вы являетесь владельцем ящика.

Проблема #5: взлом других сайтов

Это одна из самых серьезных проблем. Часто при регистрации на каком-либо форуме, торрент-трекеров или сайте пользователь указывает адрес электронной почты и пароль, идентичный паролю к почтовому ящику или мало отличающийся от него. Уровень защиты форумов и торрент-трекеров, как правило, невысок. Кроме того, многие из них строятся на одних и тех же популярных движках. При обнаружении какой-либо уязвимости безопасности в таком движке одновременно могут быть взломаны тысячи сайтов.

Решение: не используйте один пароль для нескольких аккаунтов

Это первое, что проверит злоумышленник. Например, при нашумевшем взломе LinkedIn пострадал ряд пользователей, использовавших тот же пароль на других сайтах. Поэтому для разных сайтов – разные пароли. Всегда. Если изобретать уникальный пароль для каждого сайта кажется вам невыполнимой миссией, придумайте отдельный хотя бы для почты — ведь она является «ключом» ко многим из ваших аккаунтов на различных сервисах.

Проблема #6: спорная ситуация вокруг аккаунта

Часто одним ящиком пользуются несколько человек. Иногда друзей просят проверить почту — например, если у самого пользователя в этот момент нет доступа к интернету.
Однако стоит помнить, что человек, который пользовался ящиком некоторое время, почти всегда может восстановить к нему доступ впоследствии. Если отношения испортятся, вокруг ящика может возникнуть спор.

Решение: не пользуйтесь чужим ящиком и никого не пускайте в свой!

По этой же причине избегайте покупать у кого-либо ящики с красивыми именами. Если возникает спор о принадлежности ящика, предпочтение отдается тому, кто его регистрировал. Именно поэтому почтовые сервисы просят регистрировать ящик на себя или на компанию, а не на родственников, не на сотрудников и не на персонажей комиксов.

Проблема #7: сниффинг

Сниффинг — это прослушивание сетевого трафика. Достаточно легко «сниффится» трафик, идущий по беспроводным сетям — как через Wi-Fi, так и через спутниковый канал. Когда вы подключаетесь к интернету по Wi-Fi, злоумышленник может через свой девайс прослушивать весь трафик, поскольку физически данные передаются посредством радиоволн.

Решение: используйте криптографию

Многие сервисы сейчас поддерживают протокол HTTPS, пользуйтесь этим. Например, авторизация и работа внутри Почты Mail.Ru всегда происходит по этому протоколу.
В почтовых программах обязательно включайте SSL/TLS при работе по протоколам SMTP, POP и IMAP. При этом в Почте Mail.Ru работа по протоколу IMAP возможна только по протоколу SSL/TLS. Обязательно реагируйте на все предупреждения о несоответствии сертификатов, особенно если пользуетесь беспроводной сетью или из незнакомого места — иначе вся криптография не имеет смысла.
Что делаем мы
Самым слабым звеном в безопасности любого массового сервиса, как правило, является пользователь. Но, разумеется, проблемы бывают и со стороны сервиса. Громкие взломы последних месяцев, когда в сеть попадали базы учетных записей крупнейших служб (вспомним тот же LinkedIn), об этом напоминают. Ни один сервис не избавлен от ошибок в программном обеспечении.

Меры, которые предпринимает почтовая служба или социальная сеть — это всегда баланс между функциональностью, комфортом и безопасностью. Можно запретить любые способы восстановления пароля: это будет безопасней, но тогда пользователь не сможет восстановить доступ к собственному ящику. Можно путем ограничений требовать очень стойких паролей — но в этом случае пользователи будут их забывать. Можно блокировать IP-адрес при первой попытке неудачного входа или восстановления пароля; это защитит от подбора паролей и секретных ответов, но абоненты провайдеров, применяющих динамические адреса или технологию NAT, не смогут войти в почту. Можно запретить все потенциально опасные HTML-теги в письмах при доступе через web-интерфейс, но это означает, что часть писем будет отображаться некорректно.
Поэтому мы используем компромиссные решения и комплексные алгоритмы, учитывающие совокупность факторов. Конечно же, мы не будем раскрывать детали реализации, поэтому и выдумали такую хитрую фразу. Все механизмы постоянно совершенствуются и это не отдельные изменения, а планомерный процесс. Например, опубликованная на Хабре статья, сравнивающая системы фильтрации HTML-тегов разных почтовых служб, на момент ее публикации уже была устаревшей — мы поменяли систему фильтрации буквально за день до выхода статьи и делали это уже неоднократно после ее выхода. Мы также проделали большую работу, чтобы HTTPS в Почте работал по умолчанию для всех пользователей.
Большое внимание мы уделяем и борьбе с автоматическим подбором паролей, реализуя и постоянно совершенствуя алгоритмы антибрутфорса.
У нас есть специальный департамент в службе поддержки, который ведет целенаправленную работу для обеспечения безопасности пользователей: ищет мошеннические и фишинговые сайты, сообщает о них хостинг-провайдерам и регистраторам доменов, информирует поисковые системы о поддельных ресурсах в результатах поиска и контекстной рекламе, борется с SMS-мошенниками, обменивается информацией с CERT-командами и антивирусными вендорами.
Разумеется, мы защищаем свою информационную систему не только снаружи, но и изнутри. Работа службы поддержки построена таким образом, что если кто-то из сотрудников захочет «помочь» восстановить доступ к чужому ящику, он ни при каких условиях не сможет этого сделать в одиночку. У нас нет «ядерного чемоданчика»: даже руководитель высокого ранга не сможет потерять ноутбук, с которого будут доступны персональные данные пользователя. Мы не держим пароли в открытом тексте, а храним их в виде соленых хэшей, из которых невозможно восстановить пароль.
Инструкция по применению на случай взлома: до и после
Подумайте о том, что вам, возможно, когда-нибудь понадобится восстановить ваш аккаунт, и потратьте немного времени на то, чтобы его обезопасить.
На данный момент самым эффективным является привязка мобильного телефона к ящику. Мы используем номера пользователей только для восстановления доступа к ящику и уведомления об изменении регистрационных данных, и не рассылаем на них рекламу ни в каком виде.
Чем быстрее вы узнаете о взломе — тем лучше. Мы отправим SMS в случае смены пароля или информации для его восстановления — это еще одна причина привязать телефон к почтовому ящику.
Если вы категорически не хотите вводить телефон, хотя бы убедитесь, что у вас в аккаунте есть актуальный секретный вопрос, и ответ на него действительно известен только вам.
Если вам стало известно о взломе — не паникуйте. Оцените возможные последствия. В первую очередь постарайтесь не допустить дальнейшего развития ситуации по негативному сценарию — такому, как взлом учетных записей, завязанных на этот ящик. При этом помните, что, пока взломщик сохраняет контроль над вашим ящиком, непродуманные действия могут причинить больше вреда, чем пользы. Например, при смене пароля в социальной сети уведомление об этом придет на взломанный ящик электронной почты, что может привести к взлому аккаунта в соцсети.
Ни в коем случае не поддавайтесь на шантаж, не шлите платных SMS (даже если написано, что они бесплатные), не переходите ни по каким ссылкам, не вступайте в переговоры со взломщиком. Любые переговоры не гарантируют восстановления доступа к ящику, и тем более не гарантируют того, что взлом не будет проведен повторно. А тот, кто заплатил один раз, может заплатить второй. Не становитесь дойной коровой для шантажиста!
Проверьте компьютер на вирусы, потому что пока он заражен вредоносной программой, нет никакого смысла восстанавливать доступ и менять пароль.

Попробуйте восстановить доступ к ящику

Если к ящику был привязан номер телефона, то, скорее всего, это не составит труда. Обычно взломщики не рискуют удалять привязанные телефоны, т.к. сообщение об этом приходит владельцу ящика. Кстати, в Почте Mail.Ru номер телефона невозможно удалить мгновенно без ввода подтверждающего кода из SMS.
Восстановить доступ можно также по секретному вопросу или на дополнительный ящик электронной почты, если они указаны.

Обратитесь в службу поддержки

Если телефон вы все-таки так и не привязали, а ответ на секретный вопрос внезапно улетучился из вашей памяти, обратитесь в службу поддержки. При обращении в службу поддержки обычно требуется заполнить анкету, которая должна подтвердить принадлежность ящика. Имейте в виду, что любая служба поддержки находится под постоянным прессингом атак социальной инженерии, поэтому вам придется доказывать, что именно вы являетесь владельцем ящика. Но вы почти наверняка восстановите доступ в течение нескольких минут, если сообщите как можно больше сведений, которые никто другой знать не может.

После бала

Как только вам удалось восстановить пароль и получить доступ к аккаунту, первым делом поменяйте регистрационную информацию, в первую очередь пароль, который пришел вам от службы поддержки. Измените секретный вопрос и ответ на него. И, наконец, привяжите телефон, если не был привязан.
И в заключение
Адрес службы поддержки Mail.Ru, конечно же, не mailru-suppr1@hogmail.com, а support@corp.mail.ru. Вряд ли мы вам с него напишем первыми, но обязательно ответим, если на него напишете вы по любым проблемам с ящиком, в том числе если необходимо восстановить к нему доступ. Хотя в таком случае лучше заполнить форму восстановления http://e.mail.ru/cgi-bin/passremind – в ней сразу запрашивается вся необходимая информация.

Если у вас есть предложения по усилению безопасности нашего сервиса в целом, отправьте об этом репорт на адрес security@corp.mail.ru — или напишите в комментариях к этому посту. Кстати, нам нужны специалисты по безопасности и антиспаму – присылайте свои резюме на hr@corp.mail.ru.
Если вы нашли фишинговый сайт, маскирующийся под любой из сервисов, присылайте нам сообщение по адресу antiphishing@corp.mail.ru, и мы постараемся принять меры.

Как я заказал взлом своего e-mail пяти разным хакерам, и что из этого вышло

Как работают хакеры и как у них получается регулярно взламывать почтовые ящики известных личностей? Этим вопросом наверняка задаются все, кто читает новости про успешные хакерские атаки. Примерно две недели назад корреспондент AIN.UA решил разобраться, как же работают пресловутые взломщики и узнать про их методы работы. Для этого он с помощью различных форумов и досок объявлений нашел пятерых разных хакеров и попросил за вознаграждение взломать свой же e-mail. Вот что из этого вышло.
Найти людей, которые называют себя хакерами не составило особого труда — по запросу «взлом почты на заказ» Google выдает сотни ссылок на тематические сайты и форумы. Чтобы исполнители не заподозрили подвоха, я под вымышленным именем зарегистрировал почтовый ящик на Mail.ru. Для пущей надежности, вся переписка велась из-под немецкого прокси-сервера — в отличие от того же Gmail, Mail.ru показывает адресату IP-адрес отправителя. В итоге мы договорились о «сотрудничестве» с пятью ресурсами — email-vzlom, trainilang, mail-hack, reset и hack.premium.
Сайты, к которым я обращался за «помощью» по большей части находились в рунете и обещали помочь в решении моего щекотливого вопроса в течение нескольких дней. Хакеры хвастались, что практически гарантированно взломают аккаунт на любом из популярных почтовых сервисов или в социальных сетях. Все заявки отправлялись через форму заказа на сайте, после чего нужно было ждать ответа. Выглядело это примерно следующим образом.
После того, как заявки были отправлены, я стал ждать результата. В течение нескольких дней мне написали владельцы практически всех сайтов, где я разместил заказы. Первой неожиданностью стала цена вопроса — сумма «по факту» существенно отличалась от той, которая была указана на сайте. Мою голову оценивали в среднем в 50 000 рублей и после того, как я, не торгуясь, согласился с названной суммой и рассказал исполнителям все, что знаю про своего «врага», заказы были приняты в обработку.
Gmail не показывает количество неверных попыток ввести пароль, но я уверен, что взломщики сперва перебрали все популярные варианты паролей. «Несмотря на большое количество мануалов на тему «как выбрать надежный пароль», наиболее популярными все также остаются «123456», «password» и подобные им. Не стоит забывать, что взломать такую комбинацию с помощью брутфорса, то есть подбором пароля методом перебора, не составит большого труда»,- рассказывает про подобный метод взлома старший антивирусный эксперт Kaspersky Lab Сергей Ложкин.
Потерпев неудачу с подбором пароля, наши «подрядчики» перешли к фишингу. Впрочем, эти методы взлома тоже не стали для меня неожиданностью.
Фишинг — это популярный способ получения информации от беспечных пользователей. Хакеры присылают письма, которые по внешнему виду похожи очень похожи на настоящие ресурсы и просят пользователя якобы заново ввести логин и пароль к своей учетной записи. Вот как выглядит пример такого письма:
Чтобы не стать жертвой подобного рода атак, в Kaspersky Lab рекомендуют не переходить на ссылки, полученные в подобных сообщениях, а при первом же подозрении, что вас взломали, нужно немедленно поменять пароли доступа ко всем используемым сервисам. Вот как выглядит страница, которая отправляет ваши пароли злоумышленникам. Обратите внимание на адрес сайта.
Еще один пример фишинговых писем — это маскировка «зловредов» под отправленные документы. Правда никаких документов на самом деле в письме нет, а вместо документов в письмо вложена GIF-картинка со ссылкой на сайт для выманивания паролей.
К сожалению, за потенциальную награду в $700 долларов хакеры даже не удосужились изменить названия типичных «фишинговых» писем. Поэтому мне постоянно приходили счета и документы от неизвестных российских партнеров. Однажды, мне даже позвонили с российского номера и спросили получал ли я отправленные документы. Но я тогда проходил таможенный контроль в Борисполе и времени чтобы расспросить про «документы» в подробностях не было. Впрочем, ссылка, приложенная к письму, вела все на тот же поддельный сайт.
Честно говоря, большая часть попыток взлома были достаточно однотипны. Один из «хакеров» решил отличиться оригинальностью и прислал мне «заказ на журналисткое расследование, стоимостью $10 000». Подробности расследования содержались в xls-файле, правда, снова со словом «Россия». К чести взломщиков стоит отметить, ни один из них не попытался соврать, что почта взломана и получить частичную или полную предоплату за свою работу.
Беглый анализ файла показал, что мне в этот раз попытались вручить вирус. При попытке просмотреть файл, Excel выдал предупреждение, что тот содержит макросы и его содержимое может быть опасно для компьютера. Скорее всего, внутри содержался клавиатурный шпион или троянец.
После обмена письмами, уговоров открыть файл и сетований на срочность заказа, наш собеседник растворился в вечности и на какое-то время наступило затишье. Что интересно, один из хакеров каким-то образом узнал, что я, помимо него, обратился к другим исполнителям и отказался работать со мной, мотивировав это тем, что для гарантии взлома «жертву» должен вести один человек.
С тех пор прошло несколько дней, и на момент написания этого материала мне все еще продолжают приходить письма с подозрительными ссылками и файлами. Но теперь я точно знаю, что мой пароль можно взломать исключительно по моей же вине и неосмотрительности, а в противном случае почтовый ящик останется со мной навсегда.
Блиц-опрос экспертов и людей, знакомых с методикой взломов показал, что защищенный сервис можно взломать только с помощью методов социальной инжерении. Для этого хакеры вынуждают жертву самостоятельно ввести пароль на фишинговом сайте или подбирают пароль или секретный вопрос, исходя из сведений из интернета. В моем случае, я использовал пароль более чем из 20 знаков, который включает в себя буквы, цифры и спецсимволы и является случайным набором символов без какой-либо связи с моей жизнью. Я также использую авторизацию через SMS-подтверждение, а мои пароли на Gmail и Facebook уникальны и не используются на других менее защищенных ресурсах. Для одноразовой регистрации на форумах и сайтах я использую простой, легко запоминающийся пароль, взлом которого ничего не даст хакеру.
Напоследок, мы напомним еще несколько простых советов от Kaspersky Lab, которые помогут избежать взлома:
Защищайте свои аккаунты только сложными паролями, и не используйте при этом один и тот же пароль для разных сервисов.
Используйте надежное защитное ПО, которое поможет вам обеспечить комплексную защиту к вашим устройствам, в том числе мобильным, и тем самым сможет уберечь ваши аккаунты от взлома.
Избегайте использования для передачи данных незащищенных Wi-Fi сетей и обязательно включайте VPN на своих мобильных устройствах.
Не переходите по подозрительным ссылкам, даже если они пришли в сообщениях от ваших знакомых. Согласитесь, лучше дважды перепроверить, чем попасться на удочку мошенникам.
Обязательно используйте двухфакторную аутентификацию на всех ресурсах, если она доступна. Идентификация пользователя в этом случае потребует запроса данных двух разных типов, что повышает эффективность защиты аккаунта от несанкционированного проникновения вдвое.
Конечно же, кроме описанных в статье способов взлома, существуют более серьезные методы и более серьезные организации, которые не рекламируют свои услуги на досках объявлений. Но эти способы гораздо более затратны и требуют серьезной подготовки.
источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *