Полезные знания Ломаем мыло с помощью СИ

  • Автор темы Kill
  • Дата начала

Kill

Профессионал
Ветеран пробива
Регистрация
3/10/15
Сообщения
3.026
Репутация
8.480
Реакции
20.243
RUB
0
Сделок через гаранта
1
Прием 1
Надо пригласить человека в любой чат (IRC etc, ICQ) и вынудить его сообщить вам
ответ на тайный вопрос, который он использовал во время регистрации mail аккаунта, в надежде
после восстановить "Забытый не вами пароль" с помощью службы восстановления паролей на сервере.
С данным приемом можно дополнительно ознакомиться в статьях о социальной инженерии.
Прием 2
Направляем уведомление нашей жертве от администратора, где сообщаем, что кто-то желает взломать его ящик. Затем сообщаем, как мы это узнали, предположим: "он превысил количество ввода неправильных паролей", скажем 20 и продолжает это делать постоянно в течение недели.
Лучше излагать все научными терминами (читай умными словами) в надежде что
человек не усомнится, что это послание от администратора.
Потом сообщаем ему, что нужно заменить пароль на 000yo000, как будто, это
специальный пароль, с помощью которого взломщика обязаны вычислить, в момент когда тот его подберет.
Для большей правдоподобности подкрепите это все телефонами и адресами службы поддержки внизу сообщения.
Прием 3
Данный прием - мой любимый.
Составляем послание жертве. Набиваем в туда разной лабуды, типа сайты знакомств, адреса и фотографии с порно сайтов,
адреса магазинов. Сообщаешь, что подобная рассылка будет приходить
каждый день, а предпочтительнее по несколько раз в сутки. Сообщаешь также, что юзверь, вследствие принятия подобной рассылки подписывается еще и на 20 рассылок такого рода.
В общем, следует написать такого, чтобы у жертвы глаза на лоб вылезли.
Хорошо вдобавок прикрепить к сообщению чего-нибудь на 500 кило, предпочтительнее порно фотографии.
Работает на 100%. Человек понимает, что с подобными темпами его mail будет вечно
заполнен разной ерундой так пространства для нормальных писем сроду не будет.
Да и кому захочется вычишать свой mail по десять раз в сутки:-)
Далее сообщаем, с целью подтверждения подписки на данную рассылку, нужно проследовать по этой ссылке.
Далее сообщаем, с намерением отказаться от рассылки, надо проследовать по этой ссылке.
Конечно, в результате такого сообщения он проследует по ссылке "отписаться", именно это нам и нужно.
Даем ссылку на созданный предварительно сайт. Сайт может быть одностраничным.
Для простоты берем основную страницу mail.ru и затачиваем ее под вновь созданную форму.
На странице должно отразиться нижеследующее:
С целью подтверждения, что отписаться от этой рассылки хотите точно вы, а не кто либо иной за вас, вам нужно ввести пароль. Лучше сделать таким образом, чтобы логин был установлен автоматически
(value="hacked").
Желательно попросить дополнительно ввести пароль для подтверждения, чтобы этот лопух нечаянно не ошибся при вводе. В таком случае один из введенных паролей будет наверняка правильным. Однако не перестарайся, а то может учуять что-то неладное.
Вследствие прохождения по ссылке "Отписаться", сработает субмит и в итоге
формы придут к тебе на e-mail.
Прием 4
Данный прием я еще не применял на практике, но, думаю, на определенного вида контингенте он даст результат.
Следуем на mail и регистрируем себе ящик типа [email protected].
Создаем письмо для жертвы в стиле html, делаем оформление под стиль почтового
сервиса. Хорошо взять исходник со страницы регистрации, как уже упоминалось раньше, и
переделать его.
В нашем письме сообщаем, что сервер пресыщен "мертвыми аккаунтами" из-за которых скорость его работы заметно снизилась. В связи с чем мы решили постирать "не рабочие аккаунты", с этой целью
проводится верификация владельцев. И если он (жертва) желает и далее
пользоваться данным ящиком, то ему нужно в течение 7 дней подтвердить свое намерение, введя пароль от
своего мыла. Те юзвери, которые не подтвердят, что его ящик действующий,
потеряют его вместе со всей накопленной там информацией без права восстановления утраченного.
Форма обязана совпадать по дизайну с дизайном почтовой службы.
Логин должен устанавливаться в автоматическом режиме.
Пароль необходимо направлять на адрес [email protected]
Заканчивая письмо для большей правдоподобности нужно уточнить, что данное письмо написала Администрация@mail.ru и все верно.
Рамки использования подобных способов
Хочу сразу сказать, что приведенные ранее способы применимы далеко не для всех
владельцев мейл аккаунтов. Скажу даже больше, поведутся на них только некоторые (меньшинство).
Потому что для этого нужно иметь лишь голову и два уха. Подобной "роскошью" обладают не все.
Обычно у людей есть чуть-чуть больше У некоторых индивидуумов в районе головы
встречаются даже жидкие извилины, называемые в народе мозгами.
Поэтому думай, кому пишешь, при этом делай это основательно и с умом, чтобы
не возникло подозрений.
Сейчас о том, как этому противостоять.
Если вам пришло послание такого содержания и вы уже (смотри, до получения письма)
ознакомились с моей статьей, то делаем так:
вводим пароль и отправляем его
ЭЭЭЭээ. Подумаете вы. Понимаю Ваше недоумение, но не спешите...
1. Конечно можно сразу удалить подобное письмо и забыть, а нам это нужно?
2. Верно не нужно. Предлагаю посмотреть, что это за кекс желает вас насадить.
Предположим, вас пытаются водить за нос описанным ранее третьим способом.
Что можно сделать:
- Проходим по ссылке "Отписаться от рассылки", именно это от нас и требуют. Попадаем на форму, с помощью которой от нас
желают получить пароль в интересах "проверки" наших истинных намерений отписаться.
Обращаем внимание на адрес страницы - понимаем, что уже липа. Ну да ладно.
Проходим далее, открываем сорс и видим, куда отправляются итоги заполнения формы.
Вот он и попался. Теперь заходим вновь на свой mail и пишем ему сообщение по только что узнанному
адресу, излагаем все что мы по этому поводу думаем.
3.Можно сделать забавнее.
Взять и ввести в форму запроса паролей разной фигни, вроде "Ну че олух, пароль захотел? Ну-ну...
Хрен тебе!"
Отличная будет хохма.
 
Назад
Сверху Снизу