+7 (499) 322-30-47  Москва

+7 (812) 385-59-71  Санкт-Петербург

8 (800) 222-34-18  Остальные регионы

Звонок бесплатный!

Взлом аккаунтов почты и социальных сетей

Текст

Утром 14 августа группировка «Анонимный интернационал» завладела твиттером премьер-министра России Дмитрия Медведева. Это далеко не первый и наверняка не последний случай, когда посторонние получают доступ к аккаунту известного человека в социальной сети. Хотя такое происходит довольно часто, немногие знают, как именно злоумышленники добиваются своего. Look At Me разобрался, какими методами взлома хакеры пользуются чаще всего.

Как обезопасить себя
в интернете

Для хакеров взлом аккаунтов — одно из самых увлекательных занятий, которое даёт им огромный простор для творчества. Многие занимаются этим, чтобы испытать свои навыки, другие ищут материальную выгоду. Причём далеко не всегда приходится что-то взламывать. Сколько бы ни появлялось статей о том, как важно подбирать надёжный пароль, культура интернет-безопасности в целом остаётся низкой. Пользователи интернета выбирают одни и те же незамысловатые кодовые слова для разных сайтов, переходят по подозрительным ссылкам из спама и принципиально отказываются от менеджеров паролей. Обычно злоумышленники пользуются следующими методами:

Фишинг. Пользователя заманивают на сайт, который выдаёт себя за настоящий, и предлагают ввести пароль, который «утекает» к злоумышленникам;

Зловредное программное обеспечение (malware). Такое ПО размещают на взломанных сайтах или засылают на недостаточно защищённые системы;

Социальная инженерия. Иногда пароль удаётся подсмотреть, а особо доверчивые пользователи могут сообщить его злоумышленнику сами: на этом выстроен целый пласт системы интернет-мошенничества;

Подбор пароля. Обладая информацией о пользователе, которую легко найти в социальных сетях, можно попробовать угадать пароль. Также можно автоматом перебрать огромное количество вариантов, воспользовавшись ассоциативной базой данных или техникой словарной атаки, когда несловесные комбинации исключаются, а словесные модифицируются так, как любит большинство — заменяя буквы на похожие цифры.

Владимир Иванов

заместитель руководителя департамента эксплуатации компании «Яндекс»

«Чаще всего взломщикам не нужно подбирать пароль — они действуют другими методами. У крупных сайтов почти всегда работает эффективная защита от перебора, которую можно обойти, лишь имея очень крупную сеть ботов (подконтрольных компьютеров) и растягивая атаку на многие месяцы, но никак не вручную.

Фишинг нередко организован весьма утончённо. Введённый пароль не только «утекает» к злоумышленникам, но и используется для аутентификации на настоящем сайте — например, с помощью JavaScript. Таким образом, с точки зрения пользователя ничего страшного не происходит: он вводит пароль и оказывается в своей привычной ленте друзей или в почтовом ящике.

Зловредное ПО оказывается на компьютере пользователя разными способами. Если злоумышленники не занимаются целевой атакой на конкретного человека, а стремятся заразить наибольшее число компьютеров (а это более распространённая тактика среди «традиционных» компьютерных преступников), то они предпочитают получить доступ к популярным сайтам и внедрить в них зловредный код. Посещение такого сайта с компьютера, где не установлены последние обновления безопасности, антивирус или браузер, который умеет предупреждать о заражённых сайтах, может привести к его заражению и попаданию под полный контроль атакующих.

Самыми привлекательными для злоумышленников часто становятся не сами популярные сайты, а различные инструменты на них. Например, это могут быть рекламные сети, подключаемые библиотеки JavaScript, различные API (интерфейсы программирования приложений) социальных сетей и тому подобное. Злоумышленники могут даже не взламывать такие сайты, а использовать их возможности по загрузке пользовательского контента: например, рекламная сеть может позволить загрузить flash-ролик. Тогда, если им удаётся обойти проверки на безопасность, их зловредный контент будет показан в ходе обычной работы сайта. Такое недавно произошло с рекламной сетью Yahoo!: через неё раздавали Magnitude Exploit Kit. А в России многие помнят инцидент с сайтом одной из компаний крупной банковской группы, на котором тоже был обнаружен зловредный код.

Всё чаще злоумышленники начинают использовать ненастоящие страницы-заглушки в контролируемых сетях Wi-Fi

Когда речь идёт о направленных атаках — таких, где жертва является публичным лицом или имеет доступ к важной информации, — может использоваться механизм, называемый watering hole. Жертву заманивают на знакомый ему сайт, но иными методами. Допустим, он может подключиться к публичной сети Wi-Fi, которую контролирует злоумышленник. В ней пользователя автоматически направляют на фишинговый сайт, похожий на привычную соцсеть, или просто сайт со зловредным кодом, который, например, может быть размещён на приветственной странице входа в сеть Wi-Fi. Всё чаще злоумышленники начинают использовать ненастоящие страницы-заглушки в контролируемых сетях Wi-Fi: российские пользователи уже привыкли видеть надпись «Сайт заблокирован по требованию властей» и не подозревают, что вместе с его показом устанавливается вредоносное ПО.

Неопытные пользователи довольно часто используют один и тот же пароль на нескольких сайтах или в нескольких программах. В этом случае, взломав одну базу данных с паролями или украв пароль от одного сайта, атакующий получает доступ и к другому, возможно, более ценному ресурсу. Помимо самого взлома аккаунта, возможны ситуации, когда пароль не скомпрометирован, но злоумышленники всё равно имеют возможность действовать от лица пользователя. Наверняка многие сталкивались с возможностью «войти на сайт», используя Facebook, Twitter или «ВКонтакте». Нажимая на такую кнопку, пользователь оказывается на странице социальной сети, где у него спрашивают, доверяет ли он этому стороннему сайту. Иногда среди действий, которые просит разрешить сторонний сайт, оказывается и публикация новых сообщений от имени пользователя. В результате злоумышленникам необязательно взламывать, например, твиттер, чтобы публиковать твиты.

Иногда хакеры пользуются ошибками или недоработками на сайтах. Так, некоторое время назад была опубликована уязвимость в Twitter: защита от перебора не была включена в API Firehorse — метода, используемого партнёрами Twitter для получения больших объёмов твитов. Я не уверен, закрыта ли уязвимость в настоящий момент, но эта история иллюстрирует возможность ошибок разработчиков, всё-таки позволяющих атакующим эффективно перебирать пароли. Я считаю, что здесь можно говорить не о неэффективном алгоритме, который удалось обойти хитрым злоумышленникам, а об ошибке администрирования, из-за которой алгоритм просто не работал.

В современном мире логин от социальной сети может быть важнее почтового. Почтовые системы накопили большой опыт борьбы со злоумышленниками, а пользователи проводят в интерфейсе социальной сети больше времени, чем в почте. Поэтому всё зависит от ситуации: если злоумышленник атакует платформу, завязанную на электронную почту для восстановления пароля, взлом почтового ящика может показаться предпочтительным (маловероятно, что он будет делать это напрямую — перебор паролей в настоящее время эффективен только для небольших сайтов). Однако социальная сеть может быть ценной сама по себе, а атака на электронную почту может оказаться дороже атаки на социальную сеть, телефон или компьютер пользователя. Само собой, разумный атакующий выберет наиболее доступную цель.

Если вы не глава правительства государства, важно, чтобы ваш пароль был достаточно сложным, для того чтобы злоумышленники выбрали себе другую цель. Но если вы владеете важной информацией или просто известная личность, всегда лучше, чтобы среди людей, защищающих вас, были не только меткие стрелки, но и опытный специалист в области информационной безопасности».

Как взломать страницу ВКонтакте

Страница пользователя в социальной сети ВКонтакте хранит массу информации о нем, начиная со скрытых от взглядов других пользователей фотографий, и заканчивая личной перепиской. Чтобы эти данные не попали к злоумышленникам или просто заинтересованным личностям, необходимо выполнять ряд базовых действий, которые позволят избежать взлома страницы. Существует не так много методик взломать чужую страницу ВКонтакте, зная которые, можно предусмотреть стратегии защиты конфиденциальных данных.

Важно: данная статья не является инструкцией по взлому чужой страницы. Информация, приведенная в ней, опубликована с целью ознакомления читателей с возможными способами взлома страницы ВКонтакте.

Что понимается под взломом страницы ВКонтакте

Чтобы попасть на свою личную страницу в социальной сети ВКонтакте, пользователь должен ввести логин и пароль. После этого он оказывается в зоне управления аккаунтом, которая доступна только ему. Но важно понимать, что если ввести эти же логин и пароль на другом компьютере, то и там удастся попасть на страницу управления аккаунтом пользователя.

Исходя из этого, можно сделать вывод, что взлом страницы ВКонтакте подразумевает получение злоумышленниками логина и пароля пользователя, информацию которого они хотят увидеть.

Как взломать чужую страницу ВКонтакте

Существует несколько способов взлома страницы в социальной сети. Как было отмечено, задача любого взлома – это получение логина и пароля пользователя, и завладеть подобными данными можно одним из трех распространенных методов, рассмотренных ниже.

Подбор пароля от страницы ВКонтакте

Пожалуй, самый простой способ, который доступен каждому желающему взломать чужую страницу ВКонтакте. Его суть заключается в том, что зная логин от аккаунта в социальной сети, необходимо подобрать пароль.

Возникает вопрос «А как узнать логин?». Все очень просто. В социальной сети ВКонтакте в качестве логина пользователя может выступать e-mail или номер мобильного телефона. Поскольку у пользователей чаще всего возникает желание взломать страницу знакомого человека, узнать его номер телефона или почту не составляет труда.

Это интересно:  Основы уголовного права согласно законодательству РФ

Обратите внимание: Многие пользователи пишут свой номер телефона и почту непосредственно на странице ВКонтакте, заполняя профиль. В большинстве случаев номер телефона, указанный на странице, совпадает с тем, который является логином от страницы. Именно поэтому, при желании максимально обезопасить свой аккаунт, размещать номер мобильного телефона на странице нецелесообразно.

Узнав логин (телефон или почту) от аккаунта, злоумышленнику остается сложная часть работы – подобрать пароль. Это делается при помощи перебора, который может быть как ручным, так и автоматическим:

  • Ручной перебор предполагает, что у желающего взломать страницу есть определеное понимание того, какой пароль может быть использован. Довольно часто пользователи не заботятся о безопасности своего аккаунта в социальной сети, устанавливая не самый сложный пароль, который может, в том числе, содержать их личную информацию, например: фамилию, дату рождения, имя любимого человека и так далее. Большую часть этих сведений злоумышленники могут узнать со страницы пользователя. При желании, если пароль не особо сложный, подобрать его не составит большого труда;
  • Автоматический перебор предполагает, что для подбора пароля будет использоваться специализированный софт. Существует масса программа, которые содержат в себе базу наиболее часто используемых паролей. С помощью таких программ можно подобрать пароль к аккаунту ВКонтакте, но процесс этот займет немало времени.

Важно: Чтобы обезопасить свою страницу ВКонтакте от взлома, пользуйтесь генераторами паролей, которые позволяют создать уникальные сочетания букв, цифр и знаков препинания для максимальной защиты аккаунта.

Кража логина и пароля фишинговым сайтом

У любого популярного сайта, который хранит данные пользователей, в сети найдутся десятки фишинговых двойников. Фишинговый сайт представляет собой копию главной страницы сайта, которому он подражает. Злоумышленники используют подобные сайты следующим образом:

  1. Пользователь заходит на их сайт, который, чаще всего, имеет похожий доменный адрес на реальный ресурс. Например, в случае с ВКонтакте, фишинговыми могут быть сайты с адресами vkk.ru, vcontakte.ru, vvk.com и так далее;
  2. Далее пользователь, предполагая, что он находится на странице ВКонтакте, вводит в графы для логина и пароля свои данные;
  3. Эти данные направляются напрямую к злоумышленникам, которые позже могут их использовать в личных целях.

Главная сложность для мошенников, которые хотят взломать страницу ВКонтакте при помощи фишингового сайта, является «заманивание» пользователя на этот сайт. Чаще всего с этой задачей справляется вирус, расположенный на компьютере пользователя. Он прописывает изменения в файле hosts в Windows, и при желании перейти на реальный сайт ВКонтакте, пользователя переадресовывает на фишинговый.

Еще один способ завлечь пользователя на фишинговый сайт – это разместить в сети зазывающий баннер или гиперссылку, нажав на которые пользователь попадет на такой сайт и может по невнимательности ввести свои логин и пароль.

Чтобы избежать взлома страницы ВКонтакте через фишинговые сайты, нужно установить на компьютер хороший антивирус, а также не переходить по сомнительным ссылкам и всегда внимательно смотреть на адрес сайта в строке браузера при вводе данных от аккаунта ВКонтакте.

Взлом страницы ВКонтакте при помощи «трояна»

Практически каждому пользователю интернета хотя бы раз приходилось слышать о вирусах класса «троян». Это отдельное семейство вредоносных программ, главной задачей которых является кража данных с компьютера пользователя.

Трояны действуют на компьютере незаметно для пользователя. Они могут установиться с одной из программ, загруженных из интернета, после чего работать в фоновом режиме постоянно. Трояны передают на сервера злоумышленников информацию о вводимых пользователем данных на той или иной странице в интернете. В том числе, они могут похитить логин и пароль от страницы ВКонтакте.

Чтобы не попасть под действия трояна, нужно установить на компьютер хороший антивирус и регулярно проводить проверку системы на наличие заражения.

Как определить, что вашу страницу ВКонтакте взломали

Разработчики социальной сети ВКонтакте заботятся о пользователях и сохранности их данных, поэтому постоянно внедряют новые способы защиты страницы. В частности, если в ваш аккаунт произведен вход с устройства, с которого ранее в него при действующем логине и пароле не входили, на одно из устройств, где авторизация уже пройдена, придет соответствующее оповещение.

Например: у вас на планшете установлено приложение ВКонтакте, в котором вы авторизованы. Когда злоумышленник со своего компьютера войдет в ваш аккаунт, на планшет придет соответствующее оповещение о входе.

Что делать, если вашу страницу ВКонтакте взломали

Поскольку страница ВКонтакте привязана к вашему номеру телефона, сменить пароль на ней злоумышленник возможности не имеет – для этого требуется вводить код-подтверждение, который высылается в СМС-сообщении. Поэтому, если у вас появились подозрения, что вашу страницу ВКонтакте взломали, срочно измените пароль от нее. Рекомендуем использовать сложные пароли, содержащие в себе более 15 знаков, чтобы максимально обезопасить свой аккаунт от взлома путем перебора.

Четыре способа взломать аккаунт в соцсетях и как от этого защититься

Ведущий аналитик «СёрчИнформ»

Злоумышленники взломали учетные записи исследователя в сервисах Hotmail, OneDrive и LinkedIn и разместили его персональные данные и рабочие документы на портале Pastebin.

Если уж специалисты в области безопасности не застрахованы от взлома аккаунтов, то обычные пользователи еще более уязвимы перед злоумышленниками. Потому нужно знать, как себя защитить. Попробуем разобраться в вопросе вместе с ведущим аналитиком «СёрчИнформ» Алексеем Парфентьевым.

Как вас атакуют

Итак, обо всем по порядку. Есть несколько самых распространенных вариантов атак:

1. Атаки на уровне ПО

Внедрение вредоносного ПО в систему пользователя или использование уязвимостей существующего ПО. Это до сих пор наиболее массовый и действенный способ взлома. Распространение антивирусов, встроенных фаерволов, принудительное включение UAC, автообновления, повышение общей безопасности ОС несколько улучшают ситуацию, но не могут на 100% защитить пользователей от их же необдуманных действий.

Пользователи все равно регулярно скачивают «крякнутое» ПО с «лечением» в комплекте. А в итоге получают вредоносный код, внедряющийся в соединение (уровень трафика) или в процесс (через известные уязвимости) и ворующий данные личных аккаунтов.

Ежедневно рассылаются миллионы электронных сообщений со ссылками на вредоносное ПО. Существующие антиспам решения довольно эффективны, но ни одно из них не обеспечивает полную защиту.

2. Атаки на уровне трафика

Cуществует два вида таких атак – в виде сниффера незащищенного трафика и в виде атак на защищенный трафик (man in the middle, MITM).

1. Этот способ взлома эффективнее первого, но сложнее в технической реализации, потому не стал таким массовым. В первую очередь из-за ограниченности территориальной – атака должна осуществляться непосредственно на входящее и исходящее соединение, а для этого нужно физически иметь к ним доступ.

Суть сниффера очень проста: весь проходящий через него трафик сканируется на наличие незашифрованных учетных данных, найденные учетки сохраняются и впоследствии используются злоумышленниками.

Этот вид атаки в большинстве случаев никак не заметен для пользователя. Однако он по-прежнему результативен, ведь многие популярные сервисы до сих пор передают пользовательские данные, сообщения и файлы в открытом виде. К примеру, ВКонтакте относительно недавно стала защищать свой траффик – до этого многие годы передача информации шла полностью в открытом виде – все сообщения, файлы, лайки и пароли были доступны любому желающему. Естественно, речь про те случаи, когда у злоумышленника есть физический доступ к передающей или принимающей инфраструктуре.

2. Второй способ заключается в том, что защищенное соединение происходит, но не между сертификатом пользователя и сертификатом сервера, а между злоумышленником и сервером (отсюда и название MITM — атака человек посередине). После внедрения «нужного» сертификата скомпроментированный трафик доступен хакеру в расшифрованном виде, что позволяет выделять и сохранять из него учетные данные.

Кстати, оба эти способа используются и на уровне ПО: когда вредоносное ПО подменяет сертификат либо локально работает программный сниффер.

3. Атаки на уровне пользователя

Приемы социальной инженерии, иначе говоря – умышленный обман пользователя с целью получения учетных данных. Жертва вводится в заблуждение при общении по интернет-каналам или телефону, после чего сама передает злоумышленнику все необходимое. Несмотря на большие трудозатраты такая атака очень эффективна для получения учетной записи конкретного пользователя.

4. Атака на уровне сервера (поставщика услуг)

Крайне редкий тип атаки. Теоретически она возможна, но на практике – огромная редкость. Здесь стоит развенчать популярный миф про «соцсеть взломали»: в такой ситуации взломали не соцсеть, а устройства конкретного пользователя. И, скорее всего, он сам же помог злоумышленнику в этом, а хакер использовал прием из пункта 1 или комбинацию приемов 1 и 3. Потому такого сценария, как «взломали соцсети», пользователю можно не опасаться, зато стоит быть внимательнее к собственным действиям.

Как понять, что был совершен взлом?

Чаще всего это становится ясно по результатам атаки, когда цель злоумышленников достигнута – пропали деньги со счета, «засыпало» спамом, кто-то изменил пароль от учетки. Другое дело, когда атака была успешно проведена, но преступники пока никак это не использовали. В случае атаки по сценарию 1, стоит проверить все устройства, с которых идет коммуникация качественными антивирусами (они анализируют не только ПО, но и исходящий траффик). Если антивирус не нашел подозрительной активности – остается надеяться, что так и есть.

Это интересно:  Уголовная ответственность за мелкое взяточничество

Если антивирус обнаружил угрозу, он, конечно, ее нейтрализует, но не ответит, успела она отправить учетные данные, или еще нет. Кстати, порекомендую при обнаружении антивирусом угроз не полениться поискать ее описание и разобраться, чем она грозит – многие разработчики дают детальное описание по каждой «сработке».

Кроме антивируса есть профессиональные инструменты, которые используют ИБ-эксперты, но они довольно сложны, дороги и без профессионального обучения – бесполезны.

  • В случае атаки с помощью сниффера траффика – к сожалению, постфактум ее никак не определить.
  • В случае MITM нужно внимательно следить за сертификатами, которые используются для подключений к сайтам. По крайней мере, проверять сертификаты критичных ресурсов (например, при онлайн-оплате).
  • В случае социальной инженерии остается быть бдительным и прекращать подозрительные контакты.
  • Для четвертого вида атаки способов ее обнаружения нет — если она произошла, то в подавляющем большинстве случаев это утечка изнутри, а не взлом снаружи.

Как при взломе действовать юридически грамотно? Полиция поможет?

Да, это преступление и наказание предусмотрено законом. Есть масса тонкостей, которые невозможно охватить в одной статье. Основной момент – украдены просто личные данные или персональные, есть ли в деле финансовая составляющая, а также был ли факт публичного разглашения полученных сведений.

Дело в том, что персональные данные часто путают с личными, однако они определяются федеральным законом 152.

Простой пример: если злоумышленник получил серию и номер паспорта, то есть персональные данные – это серьезное правонарушение и регулируется ФЗ 152. Если хакер получил доступ к приватной переписке – ситуация, кончено, пикантная, но такие сведения не являются персональными данными.

Если вы обнаружили свои персональные данные в публичном доступе, то первым делом свяжитесь с администрацией ресурса, где они размещались. Ссылайтесь на закон «О персональных данных», который запрещает использование персданных без разрешения субъекта этих данных. Укажите, что в случае отказа вы обратитесь в суд. Чтобы убрать информацию из результатов поиска, нужно обратиться в техподдержку поискового сервиса и заполнить специальную форму.

Если определить источник распространения информации не удается или не получается связаться с ним напрямую, вы можете обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или в прокуратуру.

Кроме ФЗ 152 привлечь к ответственности злоумышленников можно с помощью Кодекса об административных правонарушениях, Уголовного и Трудового кодекса. Ведь в зависимости от конкретной ситуации преступление может быть квалифицировано как неправомерный доступ к компьютерной информации, нарушение неприкосновенности частной жизни или нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.

Крайне важно собрать максимально возможные доказательства – скриншоты, видеозаписи, описание ваших наблюдений – чем больше деталей, тем лучше. Если очевидно, что взломано конкретное устройство, прекратите любую активность на нем, выключите его — скорее всего, его придется на время отдать на экспертизу.

Что касается паролей, эксперты по безопасности говорят, что они должны быть сложными, с цифрами и вообще непохожи на слова. А сами эксперты могут запомнить такие пароли?

От перечисленных мной способов атак длинный пароль не спасет. Сложные пароли помогут только против брутфорса (brute force – атака с перебором паролей). Но на деле такая атака работает далеко не всегда и не для всего. Но в любом случае пароль стоит использовать длинный и сложный, хотя бы для защиты от того же brute force. И конечно, нужно регулярно менять все пароли.

Пошаговое руководство по взлому страницы ВКонтакте

В статье приводится несколько возможных способов взлома ВКонтакте, ориентированных на людей, недалёких в компьютерной безопасности.

Иными словами, при взломе будут использоваться не машинные, а человеческие уязвимости. Естественно, приведённые методы не универсальны (и слава богу!), и у кого-то может хватить мозгов на то, чтобы не поддаваться на ваши провокации. Но таких не так уж много, поверьте. Итак, начнём. Прежде всего, перед началом вам понадобятся страница, которую вы собираетесь «хакнуть», свободное время и безопасный доступ к ВКонтакте. Сам процесс взлома разделим на несколько шагов.

1. Сбор информации

Прежде всего, нужно собрать как можно информации со страницы потенциальной жертвы, а именно:

    1. URL страницы.
      Сохраняем себе ID или, если там имеется буквенная замена, то ее. Аккаунты и другую нужную нам информацию, всякого рода твиттеры и тому подобное.
    2. Неплохо было бы заиметь почту цели.
      Если человек не только попал в сеть, вы сможете найти почту путем простого гугления. К примеру, особо удобно отыскивать почту на mail.ru. Также можно попробовать поискать Ф.И.О. цели и дату рождения. Или же другого рода такие комбинации. Если жертва имеет Мой Мир на mail, то почта будет в коде страницы или же в URL.

    В том случае, когда имеется почта без соц.сети от mail’a, почту можно выяснить, создав себе подставную почту на этом сервисе и поискав в мессенджере от мэйла. Как ещё один из способов, можно попробовать найти что-нибудь дельное с помощью аккаунтов цели в других социальных сетях. Например, попытаться пробить никнеймы из всех найденных аккаунтов по всем известным почтовым сервисам. Как вариант, можно попробовать использовать импорт почтовых контактов и предложение добавить этих людей в друзья. Регистрируем очередную фальшивую почту и получаем дополнительные аккаунты. Как альтернатива, можно попытать счастье, используя форму восстановления в Twitter’е, таким образом узнав часть почты. В FaceBook’е можно напрямую поискать аккаунт, введя почту в поиск.

  1. Телефон.
    Так, URL и почту узнали, осталось достать номер телефона. Не считая тех случаев, когда номер висит в открытом доступе на странице в соц. сетях или в каких-то проектах (Avito/HeadHunter/Покупка или продажа недвижимости/Свой сайт/Другое), остаётся только один метод. Имеется почта пользователя на mail’е. Вводим ее в форму восстановления в ВКонтакте, и приходит часть номера. А теперь то же самое, но на mail. И если номер там привязан, то вы увидите уже другую, вторую часть номера. Если почта не привязана, то тогда там есть секретный вопрос. Перебираем его и заставляем юзера привязать мобилку на сервис. Отлично, осталась всего пара цифр от почты. Чтобы их узнать, достаточно перебрать форму восстановления ВКонтакте уже с помощью номера. Всего-то 99 раз. Можно и автоматизировать. Также в некоторых случаях люди любят публиковать свой номер на странице, но закрывать часть номера звездочками, черточками и прочей ерундой, что также может упростить процесс взлома. Если повезет, то вам будут видны именно те цифры, которые недоступны в форме восстановления вк.

2. Взлом ВКонтакте страницы

На данном этапе мы будем пробовать получить доступ к аккаунту цели. Рассмотрим самые простые приёмы:

1) «Социнженер»

Здесь сразу нужно оговориться, что этот способ годиться только для тех, кто мало что знает об интернете, но решил по каким-либо причинам зарегистрироваться в соц.сети. Как правило, это либо старики, либо дети.

Если вы хотите просто попрактиковаться, то новички ВКонтакте могут быть найдены здесь.
В данном случае, применяется один из законов психологии: человек, который не разбирается в чем-то, подсознательно доверяет тому, кто более опытен в конкретной области, и принимает его слова на веру.
Тут можно создать аккаунт представителя техподдержки, создать «официальную» почту администрации и прочее. И создать какую-нибудь легенду. Что новые пользователи обязаны проходить проверку после регистрации и дать, например, ссылку на некий тест, по итогу или для входа которого требуется логин-пасс от вк. Самое важное, чтобы вы действовали осторожно. Следует убедить пользователя, что он в безопасности. Этот приём хорошо сочетается с фейком. Кроме того, продвинутые социнженеры могут, узнав номер юзера, позвонить (анонимно, используя sip) и развести напрямую. Кроме того, вся указанная вами информация (номер телефона/упоминание фактов с указанием дат/другое) также помогает установить контакт с жертвой и косвенно говорит о том, что вы из техподдержки.

2) «Умный» перебор

Метод, рассчитанный на среднестатистических пользователей. Для него нам надо будет специальный словарь, заточенный под конкретного человека. Давайте разберёмся со структурой нашего словаря:

  • Личные данные. Сюда входят дата рождения (17.11.1992 = 1711, 1992, 17111992), возраст (1992, 2017 = 2017, 1992, 24), имя (Стас = stas, ctac) и фамилия (Иванов = ivanov).
  • Аккаунты из других соц. сетей и почтовые сервисы (twitter.com/stasik_ku , facebook.com/stasss1992, [email protected] = stasik_iv, stasss1992, stasss92).
  • Увлечения (футбол, плавание, молодежка = football, swimming, molodejka, molodegka).

Также есть страница вк, на которой написано, какие пароли следует указывать, какие символы возможны и самые частые пароли.
Получился лист из 14 строк. Но из него еще нужно создать комбинации паролей, которые могла бы создать наша жертва.
Представляю вам мой небольшой скрипт на python, который этим и занимается.

Как взломать «Одноклассников»: методы и последствия

Взлом — занятие отнюдь не безобидное, особо ретивым пользователям за него светит до двух лет

Многие семейные конфликты начинаются с социальных сетей. Стоит послушать какую-нибудь душещипательную передачу по телевизору про разрыв, там, скорее всего, всплывет история про то, как один супруг нашел какой-нибудь компромат в профиле другого. Взлом социального акаунта родственника кажется чем-то простым и банальным, а мотивация «очевидной» — я же должен знать, что он «там» делает. Но это занятие отнюдь не является безобидным — особо ретивым пользователям за него светит до двух лет тюрьмы. И прецеденты уже были.

Так легко взломать

Одна барышня взломала профиль возлюбленного, чтобы ему отомстить. Узнала пароль от его почты, запросила восстановление пароля от «Одноклассников», а затем от души повеселилась в его профиле, оставив в качестве последнего статуса обидное признание, которое тот якобы о себе сам написал. Другая девушка взломала «Одноклассники», чтобы подтвердить свои подозрения об измене мужа. Она включила в программе Punto Switcher ведение дневника, эта функция (для благих, между прочим, целей) фиксирует все, что набирается на компьютере, а заодно сохраняет и логины-пароли. Ей осталось только ввести их на сайте и прочитать всю переписку.

Третья акаунты никому не взламывала, наоборот, была под постоянным контролем со стороны мужа. С помощью специальных программ он взламывал и ее почту, и Skype, и ЖЖ, и соцсети. Девушка об этом знала, но сделать ничего не могла, компьютер у них был один на двоих.

Таких историй немало, хотя сами социальные сети редко фиксируют их на своих радарах, им видны массовые взломы со стороны спамеров, которые делают это для рассылки рекламы. А частные случаи так и остаются в рамках одной квартиры.

Как взломать аккаунт в социальных сетях?

В сети есть плохо скроенные видеоролики про то, как взломать чужой профиль, например, с помощью внесения изменений в код страницы. Пользуется спросом и возможность добавить себе баллов в соцсети, и набрать голосов для оплаты чего-нибудь, и шутки, вроде изменения в чужом профиле анкетных данных, наращивание френдомассы и т.д.

Существуют интернет-магазины шпионского оборудования, где можно купить все — от прослушивающих устройств до отмычек замков. Есть там и программы для соцсетей. Например, кейлоггеры. Они позволяют получать информацию обо всех действиях на контролируемых ПК. Программа способна не только фиксировать каждое нажатие на клавиши клавиатуры, но и позволяет отслеживать включение и выключение компьютера, запуск и завершение программ, вести наблюдение за перепиской посредством большинства современных мессенджеров, контролировать содержание электронной почты, отслеживать посещенные веб-страницы, и многое другое.

Программа-шпион за компьютером способна автоматически делать снимки событий на экранах пользователей. Полученные данные отправляются по сети на контролирующий компьютер. Эти программы позиционируются, как инструмент для работодателей и родителей. Стоимость такой программы в интернете — 6-8 тысяч рублей.

USB-устройство для наблюдения за компьютером через интернет можно купить больше, чем за 10 тысяч рублей. Нужно будет вставить его в USB-порт компьютера, который необходимо контролировать, установить шпионскую программу, и у вас появится возможность вести скрытое наблюдение за компьютером через интернет. Само устройство в компьютере больше находиться не должно. Это если вы хотите вести наблюдение самостоятельно. А можно отдать такую услугу на аутсорс. Взлом чужих профилей в соцсетях похож на бизнес. Правда, объявления о своих услугах умельцы публикуют на сомнительных страничках, оставляя в качестве контактов e-mail или ICQ. Обещают при взломе не менять пароль, чтобы жертва не поняла, что за ней следят. Говорят, что сохранят полную конфиденциальность, предоставят любые доказательства, что нужный профиль действительно взломали, и только потом возьмут деньги. Обычно они же обещают взломать и почту на разных сайтах. На выполнение заказа просят от одного до четырех дней. Берут от 1800 руб. до 4000 руб. Оплату принимают электронными деньгами.

Взлом во имя любви?

«Взлом аккаунтов в соцсетях делается по тому же принципу, что и взлом почты, — рассказывает хакер Валера, — Используется красиво оформленное фейк-письмо, цель которого — чтобы пользователь перешел по ссылке и ввел свои данные. Данные он вводит на фишинговом сайте, похожем на сайт почты или соцсети, например. То есть человек уверен, что заходит в свой настоящий аккаунт, а на самом деле он в данную минуту отправляет свои логин-пароль мошеннику. Тот в свою очередь пересылает их заказчику, и последний беспрепятственно в любое время заходит в нужный акаунт или почту и делает там, что хочет. Есть еще варианты с куками (то есть пароли тогда вообще не нужны, главное успеть воспользоваться куками)».

Забавно, но такие мелкие хакеры, как и организаторы DDoS-атак, о которых мы однажды писали, тоже жалуются на кидал в своем «бизнесе», мол, вот они-то работают честно, а многие берут деньги, а чужую переписку заказчику так и не отдают. «Вообще взлом сетей (а точнее кража паролей) — это самое простое, что может быть из хакинга, — уверен Валера, — И заниматься этим может любой, кто имеет общие понятия, как это делается. Основная масса заказчиков — это мужчины и женщины, которые очень сильно ревнуют своих половинок. Я бы даже сказал, любят. И делают это, чтобы убедиться, что их половинка им не изменяет».

А вот другой хакер, не назвавший своего имени, признался, что давно не ломает соцсети, ибо это слишком проблематично. «Пользователи соц сетей настолько запуганы спамерами, что боятся собственной тени. Игра не стоит свеч», — уверен он. Его специализация сейчас — взлом почтовых ящиков, дело, по его словам, более благодарное.

Штраф или тюрьма?

Представители социальных сетей предупреждают — взлом акаунтов в соцсетях — дело не только аморальное и противозаконное, но и опасное для самого взломщика. Например, если речь идет о специальных программах для взлома. «Это обман, — уверен Александр Изряднов, директор по маркетингу и стратегическим коммуникациям бизнес-подразделения Социальные сети Mail.Ru Group, — При скачивании такой программы происходит установка на компьютер пользователя какого-либо вируса, который незаметно отправляет мошенникам ваши пароли и прочую ценную информацию».

Хотя некоторая справедливость в этом есть — тот, кто решил взломать чужую анкету, может потерять пароль от собственной.

«Взлом аккаунта в социальных сетях, в том числе его изменение, копирование из него информации, или выдавание себя за взломанного пользователя образует состав преступления, предусмотренного статьей 272 УК РФ частью первой, —говорит Михаил Салкин из Московского правозащитного центра, — Наказание — от штрафа до 200 тысяч рублей до лишения свободы на срок до двух лет».

Михаил вспоминает случай из реальной судебной практики — в Волгограде была осуждена на 100 часов исправительных работ женщина, которая из ревности взломала акаунт бывшего возлюбленного и размещала там сведения о нетрадиционной ориентации последнего. В процессе расследования было установлено, что женщина осуществляла свою преступную деятельность с домашнего компьютера, который был изъят при обыске, а впоследствии уничтожен как орудие преступления.

Рассказы женщины на суде о том, что ее действия были шуткой, на приговор не повлияли, так как такие действия нарушают УК РФ и подлежат наказанию.

Житель Ижевска взломал акаунт знакомой и разместил там эротическое фото. За совершение преступления ему было назначено наказание в виде лишения свободы на 1 год условно с испытательным сроком 8 месяцев, а также штраф в сумме 20 тысяч рублей.

«Преступлением будет также считаться и получение пароля от социальных сетей обманным путем, например, путем предоставления пользователю своего компьютера на время с запущенной на ней программой key logger.

Важно отметить, что к уголовной ответственности за данное преступление может быть привлечено любое лицо, достигшее 16-ти лет. Дети до 16 лет к уголовной ответственности не привлекаются, но к ним могут быть применены меры дисциплинарного воспитания, в том числе и помещение в специальную школу-интернат, а родители оштрафованы за неисполнение обязанностей по воспитанию несовершеннолетнего, — говорит Михаил Салкин, — Кроме того, в результате привлечения к ответственности за данное преступление у гражданина возникает судимость, которая погашается через год после исполнения наказания, и, хоть формально считающаяся погашенной, все равно доставляет гражданину неудобства. Это и отказ в получении кредитов, и проблемы с получением виз иностранного государства, и проблемы с трудоустройством».

Как понять, что взломали ваш акаунт? «Чаще всего друзья пользователя жалуются, что от него приходят сообщения, которых он не посылал, или появляются статусы, которые он сам не ставил, — говорит Александр Изряднов, — В этом случае следует проверить компьютер антивирусом, поменять пароль, нажав кнопку «Выход», и залогиниться снова».

Расследованием таких преступлений занимаются органы МВД, так что можно сразу обратиться с заявлением в органы полиции в ближайшее отделение. Для профилактики не мешает установить хороший антивирус и регулярно его обновлять, придумать сложные пароли, разные для почты и соцсетей, и менять их, например, раз в месяц, а по возможности еще и не пользоваться чужими устройствами для выхода в интернет. Даже если это компьютер любящего мужа или жены.

Статья написана по материалам сайтов: www.lookatme.ru, okeygeek.ru, rb.ru, proglib.io, www.aif.ru.

»

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий

Adblock detector