Пару месяцев назад я рассказывал в блоге об эксперименте по взлому социалок. В личку пришло множество сообщений на тему «взломай мне» и так далее. Уважаемые пользователи, повторюсь снова: это был эксперимент, который уже закончился!
Но о некоторых пунктах я забыл упомянуть. По сути, я описал только один способ взлома при помощи социальной инженерии, опустив фишинг и брутфорс паролей. О них то я и хочу поговорить в данной статье.
Фишинг — «рыбалка» — это та же социальная инженерия, но немного в другой форме. Де факто, прямого контакта с жертвой нет. Простой пример фишинга в социальной сети Одноклассники. Если вовремя не отключить оповещения на E-mail, то социальная сеть Одноклассники забьет ваш ящик сообщениями по типу «пользователь такой-то оставил вам сообщение, предлагает дружить, выпить, погулять и т.д.» Многие знают, что существуют сервисы подмены E-mail. Воспользовавшись ими, можно отправить фейковое письмо с просьбой изменить пароль/ пройти по ссылке/ повеситься/ убиться об стену и т.д. Пользователь социальной сети в 95% случаев простой дурак. Поверьте, это так и есть. Если вы читая это, не ведетесь на подобного рода сообщения, значит вы те 5% пользователей, имеющих разум. Хотя регистрируясь в социалке и активно общаясь там, вы теряете его. По-прежнему отлично работают сообщения на E-mail вида «отправь код туда, получи оттуда». Проверено на соседях). Главная причина работоспособности фишинга — это тупость и любопытность жертвы. Даже зная, что там возможно вирус/спам, пользователь все равно полезет. Такова сущность человека, любопытного Homo Sapiens.
Есть еще один интересный способ выманивания пароля при помощи фишинга. Можно создать фейковый сайт с «сбором» паролей в базу и разослать письмо. К примеру: «Мы злобная компания Сунь-Вынь-Хунь предлагаем работу с зряплатой 1000 уе в час. Зарегистрируйтесь и получите возможность заработать.»
Я провел эксперимент. Опубликовал сообщение в социальной сети и предложил знакомым зарегистрироваться. В принципе, я этого и ожидал. У 5 зарегистрированных из 12 совпали пароли в социалке с паролем зарегистрированным на фейковом сайте. К чему я все это веду. Да к тому, что рядовой пользователь в повседневной жизни использует один и тот же пароль. А слова «скачай», «запусти» удивительным образом действуют на пользователей. Публикуете ссылку в группе в социальной сети на троян под видом программы «для взлома социалок, чтения чужих сообщений в социальной сети, для морального убийства мужа/жениха» и т.д. В любом случае кто-нибудь да скачает и запустит. А троян сам сделает свое дело.
Брутфорс — перебор паролей при помощи софта. Да и в принципе взломать часть паролей можно без проблем. Многие пользователи указывают в качестве пароля свой день рождения, а потом сами же указывают его в анкете. Это то же самое, что повесить на дверь замок, а рядом оставить лом. И быть уверенным, что тво. дверь не взломают. Для того, чтобы сбрутить пароль к какому-либо логину понадобится софт (Brutus AET2, IPDBrute), прокси и база с паролями. При скачивании софта в сети учитывайте, что нет таких брутов, которые за 5 минут взломают любой пароль. Можно брутить как E-mail жертвы, так и пару логин-пароль в социальной сети. Заметьте, что в сети есть сайты, распространяющие бесплатный софт без всякого рода троянов и прочей нечисти в них, к примеру, http://googlepack.ru/, а есть и нечистые на руку админы сайтов, о которых не хочется и говорить.
Статья написана в рамках цикла «Эксперимент по взлому социальных сетей».
не вижу смысла отдельный логин\пароль создавать\записывать\запоминать с сайтам, где проведу не более 2-5 минут))) потому, на такие случаи есть стандартный и простой пароль))