Письма в редакцию. О взломе почты.

Как это не парадоксально, но одним из самых популярных сообщений в моем блоге (т.е сообщений, собравших максимум просмотров) является моя заметка, посвященная тому, какие методы используют взломщики электронной почты (ссылка). 

Мне периодически даже приходят сообщения с предложением либо взломать чью-то почту, либо разместить у себя в блоге рекламу сервиса по взлому электронной почты :)  Такие сообщения, естественно остаются без ответа.  Но бывает и по-другому.

Вот какое сообщение я недавно получил от одного из пользователей (письмо публикую специально по двум причинам, во-первых для обсуждения поднятых вопросов публично, во-вторых потому, что отправитель сообщения видимо указал не правильный адрес электронной почты и поэтому направить ему свой ответ я не смог):

Добрый день, Александр.С интересом прочитал вашу заметку о взломе почты. Вы, правда, описываете, один частный случай. А бывают и другие частные случаи.
Мне необходимо завести электронную почту для работы с платежными системами (PerfectMoney, Payza и т. д.) на стационарном компьютере (с проводным подключением интернета VPN).
При изучении этого вопроса (выбора наиболее защищенной почты) обнаружил не только Ваш блог, но и огромное количество ресурсов, предлагающих "взлом" за небольшие деньги (сопоставимые со стоимостью переустановки операционной системы - !) большинства web-почт:
http://nova.rambler.ru/search?query=взлом+электронной+почтыЯ понимаю, что часть таких предложений - заведомое мошенничество, когда после выплаты аванса заказчик получает письмо якобы со "взломанного" ящика, отправляет оставшуюся сумму платежа, но никакого пароля уже в обмен не получает. Но есть и множества таких, которые предлагают в качестве доказательства полученного доступа снимок экрана почтового ящика "жертвы" или данные из почтового ящика (часть контактов из адресной книги, текст "контрольного" письма и т. п.) 
Судя по этим фактам, небольшому количеству нареканий на такие сервисы и частые взломы почтовых ящиков моих знакомых, которые вдумчиво относились к соблюдению норм безопасности, сложилось представление, что сегодня получить доступ к любой web-почте стало настолько же несложно, как и переустановить windows.
Подтверждением подозрения стала ситуация у знакомого, счёт которого в международной платежной системе обнулили, запросив смену пароля. Каким образом обошли очень сложные ответы на 2 секретных вопроса и как узнали пароль к почте - остается непонятным (в почту вошли с первого раза судя по login log), так как человек пользуется виртуальной клавиатурой и лицензионным антивирусом ежедневно сканирует всю систему; cache, cookies броузера (FireFox 14) вычищает после каждого сеанса связи с почтовым сервером и платежной системой. Пользуется динамическим IP и делает winsock reset.после каждой сессии. Пароль к почте, разумеется, нигде на носителях не хранится и очень нетривиальный. Варианты "социальной инженерии", фишинга и пр. методы на малоопытного пользователя тоже не подходят...
В связи с этим прошу Вас как специалиста посоветовать (в форме ответа на 4 вопроса для облегчения задачи и экономии времени):
1). К какому из видов электронной почты более сложно получить несанкционированный доступ ("взломать"), т. е. какая более защищенная:
предоставляемая провайдером
web-почта (gmail.com, mail.com, yahoo.com и т. п.)
почта, предоставленная хост-провайдером для сайта.
2). Уменьшает ли возможность перехвата пароля такая процедура: пароль копируется в буфер, лишь после этого устанавливается соединение с интернетом, запускается броузер и пароль вставляется из памяти (после чего память сразу заполняется каким-то содержимым).
3). Правильно ли я понимаю, что виртуальная клавиатура - более надёжная защита, чем та, что встроена в саму платёжную систему.
4). Имеет ли смысл использовать различные proxy-серверы при каждом новом соединении?
Заранее вам благодарен, желаю успехов,
Олег.

А вот собственно мой ответ:

Олег, здравствуйте !

Отвечаю на Ваши вопросы:

1) К какому из видов электронной почты более сложно получить несанкционированный доступ ("взломать"), т. е. какая более защищенная: предоставляемая провайдером web-почта (gmail.com, mail.com, yahoo.com и т. п.) почта, предоставленная хост-провайдером для сайта.

Не готов сравнивать провайдеров. Я бы рекомендовал Gmail по причине того, что он предоставляет возможность подключения по шифрованному каналу для получения и отправки почты.

2). Уменьшает ли возможность перехвата пароля такая процедура: пароль копируется в буфер, лишь после этого устанавливается соединение с интернетом, запускается броузер и пароль вставляется из памяти (после чего память сразу заполняется каким-то содержимым).

Никак это не решает проблему. В первую очередь надо понимать шифруется ли сам канал связи, по которому передаётся пароль доступа (особенно если вы пользуетесь, например, в дороге каким-нибудь бесплатным wifi-ем) и кукисы, которые используются после авторизации. Если вы говорите о защите от кейлоггера, то это конечно может помочь, но возможно что в вашем случае вирус просто дождется авторизации в почте и после этого запустит определённые действия (например, смену пароля)

3) Правильно ли я понимаю, что виртуальная клавиатура - более надёжная защита, чем та, что встроена в саму платёжную систему.

Нет, так как уже давно созданы вирусы которые воруют пароль, набранный на виртуальной клавиатуре, просто делая скриншоты при каждом нажатии на виртуальную клавишу.

4). Имеет ли смысл использовать различные proxy-серверы при каждом новом соединении?

Не совсем понимаю зачем Вы вообще используете прокси ? Прячетесь от кого-то ?


А что порекомендуете Олегу вы, коллеги ?

Как я заказал взлом электронной почты

Не секрет что на большинстве хакерских (и не только) форумах разного рода "специалисты" предлагают взломать практически любой почтовый ящик за считанные минуты. Я решил опробовать этот сервис "на себе" и рассказать о том, как это происходит. Если вы не хотите стать жертвой взлома почты, прочитайте эту статью.

Большинство убеждено, что их почтовый ящик никому не нужен и взламывать его никто не будет. Да, скажу сразу, для 95% это действительно так, но кто может гарантировать, что вы не попадете в список оставшихся 5% ?

Кому нужен ваш почтовый ящик ? Ревнивой жене/мужу/другу/подруге (в данном случае речь будет конечно идти просто о просмотре, а не блокировании), недоброжелателям (коллеги по работе, конкуренты, даже соседи :) ), преступникам, которые либо используют его для рассылки спама (и тогда ваш ящик может быть вообще удален за нарушение правил), либо заблокируют доступ и будут вымогать у вас деньги (примеры тому есть).

Представьте себе на секунду, что ваш почтовый ящик стал для вас недоступным! Все, его больше нет ! Представили ? Сколько важных контактов, фотографий, писем останется в нем ?

Способ номер 1 получить доступ к ящику - угадать пароль. Чаще всего в качестве пароля используются имя на латинском языке и день рождения в виде «ддммгггг», другой вариант просто какой-то набор цифр (телефон, код домофона, почтовый индекс и проч.), и третий вариант — простое латинское слово или русское слово латинскими буквами (например, macho :) )

Другой очевидный способ быстро получить доступ к почтовому ящику — воспользоваться функцией восстановления пароля. Помните, когда вы создавали себе ящик вас просили выбрать секретный вопрос и ввести ответ на него ? Это как раз и используется для восстановления пароля, если вы знаете ответ на секретный вопрос — у вас есть доступ к почтовому ящику. А теперь, внимание :) Какой «секретный вопрос» и главное ответ вы выбрали ? Девичью фамилию матери ? Кличку собаки ?
Если что-то подобное, то знайте что получить такую информацию в современном мире проще простого. Для этого либо посмотрят ваш профиль в социальной сети, либо воспользуются поиском по различным базам в интернете, либо банально спросят вас же (разумеется не влоб, а завуалированно). Ну, например, чтобы узнать кличку собаки достаточно вступить с вами в переписку (в социальной сети, например), поболать о животных, рассказать о выдуманном своем питомце и мимоходом расспросить какая порода и как зовут вашего любимца.

Ну это все было лишь вступление. Итак я решил заказать взлом своего почтового ящика, чтобы понять как действуют хакеры. Указанные выше способы против меня бы не сработали, а эти ребята обещали 100% гарантию :).

Итак, я отобрал 3х наиболее "опытных" специалистов на одном из хакерских форумов. Обещали взломать быстро и так что "жертва" ничего не заподозрит. Заказ принимают по почте или ICQ, работают без предоплаты.

Сделав заказ я был уверен, что сейчас в ящик начнут сыпаться зараженные письма, в одноклассниках появятся сисястые незнакомки, интересующиеся особенностями моей жизни, но все оказалось намного прозаичнее. Ребята применили три способа:

1) Способ № 1. Утерянное сообщение

На почтовый ящик пришло письмо следующего содержания:










Письмo, oтпрaвлeннoe Вaм 25.03.2011 не былo дoстaвлeнo в Вaш пoчтoвый ящик пo причинe пeрeгрузки почтового сeрвeрa. Для тoгo, чтoбы прочитать письмo,пройдите по ссылке, рaспoложeнной ниже

Переход по ссылке приводит на подложный сервер, представлящий собой точную копию окна авторизации сервиса Mail.Ru, только вот адрес у него:

http://win.mail.ru.id562315880session84jfm3idmailjossessionid74349fkm4rgf3fvf335g.id083461session84jfm3idmailjossessionid74349fkm4rgf3fvf335g.id083461session84jfm3idmailjossessionid74349fkm4rgf3fvf335g.auth.pro/?login=bond_a_v&domain=@inbox.ru&?http://mail.ru/

(внимательный пользователь поймет, что это сервер в доменной зоне .pro)











или еще один вариант был: http://win.mail.ru.servicelogins.org/cgi-bin_/login.html?AuthLog=mail&passive=true&rm=false&continue/

(здесь совсем все просто, видно что это не mail.ru, а сервер в зоне .org)

Вводите логин-пароль и все... хакер выполнил свою задачу.

2) Способ № 2. Ваш ящик будет заблокирован !

На ваш ящик приходит письмо следующего содержания:

Здравствуйте.

В связи с поступившими жалобами на рассылку рекламных писем (спам) с вашего почтового адреса, администрация вынуждена заблокировать Вашу учетную запись.

Ваш профиль будет заблокиро­ван, в связи с жалобой поступившей к администрации 28.03.2011.

Согласно пункту 11.3 пользовательского соглашения, Mail.ru оставляет за собой право временно приостановить либо прекратить предоставление услуг, своевременно уведомив об этом пользователя.

Для пр­одолжения пользо­вания учетной записью, и подтверждения, что Ваша учётная запись не используется спам-ботом, Вам необходимо авторизоваться на сервере.

Чтоб­ы авторизов­аться на се­рвере нажмите авторизоваться. После удачной авторизации, в течении суток Вам будет выслано письмо с инструкциями как защитить свой электронный адрес от нежелательной корреспонденции.

Если заявка не будет отклонена в течении 3 дней, ваш почтовый аккуант будет заблокирован.

Ей присвоен номер 2011854185215025.

Чтобы подробней узнать об у­слуге — посетите Службы Mail.ru.

Эти меры принимаются в связи с возросшим количеством нежелательных писем, получаемых пользователями Mail.ru.

Администрация вынужденна ужесточить политику борьбы со спамом. Принос­им свои извинения.

С уважением, Администрация Mail.ru.

Указанная ссылка в письме как и в предыдущем случае вела на подложный сервер, ввод логина и пароля на котором приводит к хищению пароля.

3) Способ № 3. Письмо с вложением

На ваш ящик приходит письмо, якобы содержащее либо выписку из банковского счета, либо чьи-то реквизиты, либо что-то еще привлекающее внимание. Попытка открыть файл опять же переводит на страницу авторизации (как в первом и втором случае), расположенную на подложном сервере.

Вот собственно и все, я ждал что мне начнут засылать вирусы, действовать через какие-нибудь хитрые приемы (XSS, воровство кукисов и проч.), но этого не было. Видимо эти ребята привыкли что указанные выше приемы срабатывают и на что-то более серьезное за указанные деньги браться не готовы.

Наверное это и хорошо, т.к. означает что все что нужно это толика осторожности при чтении подозрительных писем от неожиданных адресатов и тогда ваш электронный ящик будет только вашим. Удачи !

Взломан блог С.Мавроди !

"Я взломал Великого Мавроди! пишите на arxwolf2010@mail.ru"

Такая фраза некоторое время назад появилась в блоге Сергея Мавроди, посвященном его новой инициативе под названием "МММ-2011". Благодаря прошлому своего автора блог довольно быстро сыскал себе скандальную популярность и как оказалось еще и внимание компьютерных хулиганов.

Зачем это было сделано и что собирается делать взломщик с доступом к блогу непонятно. Думается мне, что "взломал" он его банально подобрав пароль. А пароль наверное был "mmm-2011" или "illbeback" :) шутка конечно.... так что не забывайте друзья о том, что не следует использовать легко угадываемые пароли (вот, например, список из 500 наиболее популярных паролей), а лучше всего пользуйтесь специальной программой для их хранения, чтобы не держать в голове комбинации вида LItbksha*$56^j ... Лично я рекомендую KeePassX.

Взлом ChronoPay - обзор ситуации

Чего доктор Вам не скажет – завтра вскрытие покажет !

Сразу скажу, что по итогам изучения всей доступной на настоящий момент информации картина получается какая-то неоднозначная.

ChronoPay (Хронопэй) — международная процессинговая компания. Штаб-квартира находится в Амстердаме, королевство Нидерланды (ChronoPay B. V.). ChronoPay специализируется в области обработки платежей по банковским картам и иным платёжным инструментам в сети Интернет. ChronoPay является связующим звеном между банками-эквайрами и интернет-торговцами, обеспечивая последним доступ к приёму платежей с использованием пластиковых карт.

Клиентами/партнерами ChronoPay являются такие компании как MTC, Sky Express, Softkey, re:Store, Ростелеком, Комстар, SpaceWeb, Мосэнергосбыт и многие-многие другие.

Итак, сама история: в период с 25 по 26 декабря группе неизвестных (пока) хакеров удалось увести домен chronopay.com, создать поддельный сайт и разместить на его главной странице вот эту картинку:

27 декабря в живом журнале пользователем chronofail (якобы стоящим за этим взломом) создается журнал (в настоящий момент журнал не доступен для просмотра, но кеш googl'а помнит все :) ) в котором он выкладывает небольшой объем номеров кредиток и их cvv, а также сертификаты приватных SSL-ключей chronopay. Указанный взломщик утверждает, что в его руки попала база транзакций хронопей за период 2009 — 2010 г. со всеми необходимыми данными по кредиткам пользователей.

Пока мне удалось найти только одно подтверждение того, что данные кредитных карт, указанных в файле подлинны. А вот SSL-сертификаты действительно не поддельные, что подтверждает проверка в удостоверяющих центрах их выдавших.

В настоящий момент Chronopay удалось вернуть домен обратно и сегодня даже появилась возможность получить доступ к клиентским сервисам (SSL-сертификат выдан сегодняшним числом). На сайте компании опубликовано следующее официальное объяснение ситуации. Помимо этого удалось найти живой журнал с (не очень внятным на мой взгляд) объяснением ситуации от одного из сотрудников ChronoPay.

По версии CNews одной из причин атак на Chronopay может быть передел на рынке онлайн-платежей: в июле атаке была подвергнута другая платежная система - «Ассист», вследствие чего она лишилась своего крупнейшего клиента - «Аэрофлот». Другая возможная причина – противостояние между Павлом Врублевским и его бывшим партнером Игорем Гусевым. В отношение последнего возбуждено уголовное дело в связи с нелегальной деятельностью Glavmed - партнерской сети по продаже фармпрепаратов в интернете. Сам Гусев говорил CNews, что за его преследованием стоит Врублевский.

На мой взгляд все действия хакеров (в т.ч. их публичность и провокационность) скорее говорят именно в пользу того, что вся эта акция направлена именно на то, чтобы испортить имидж ChronoPay, и "взломщикам" вряд ли удалось спереть всю базу, как они утверждают, НО есть все же 1 аспект, который нельзя списать - приватные SSL-ключи ! Бог с ним, с угоном домена, это действительно может быть проблема безопасности у регистратора, но ведь в результате угона удалось не просто создать поддельный сайт, а еще и поддельную платежную страницу с реальным SSL-сертификатом (!), в результате чего у 600-800 бедняг угнали номера их кредиток (на кешированной странице chronofail (см. выше) есть ссылки на архив с номерами кредиток, если вы нашли свою карту там или производили оплату через ChronoPay в период 26-27 декабря, то думаю вам стоит подумать о блокировке своей карты). А вот это уже проблемы как раз таки Chronopay. И тут может быть на мой взгляд 2 сценария:

1)взломщикам таки удалось взломать сервера Chronoapy и получить доступ к приватным ключам (но не доступ к логам транзакций, поэтому у них нет всей базы, а есть только часть перехваченных за пару дней кредиток)

2)у взломщиков был сообщник — инсайдер, который и слил им приватные ключи (и может быть много чего еще)

И тот и другой сценарий в любом случае свидетельствует о недостатках в обеспечении информационной безопасности, а ведь ChronoPay якобы прошел сертификацию по PCI DSS.

Почему «якобы» ? Дело в том, что VISA и Master Card регулярно публикуют списки сервис-провайдеров, подтвердивших свое соответствие PCI DSS. Список VISA за 18 декабря 2010 г. не содержит упоминания о ChronoPay. В списке Master Card за 29 ноября 2010 г. Chronopay есть, но дата подтверждения соответствия указана в 2009 г. (хотя QSA-аудит должен проводится каждый год), а в качестве QSA — малоизвестная немецкая контора Security Research & Consulting GmbH. Так что это еще вопрос, выполняет ли ChronoPay требования PCI DSS.

Чтож, посмотрим, расследование инцидента покажет что к чему. Вот только узнаем ли мы всю правду ….

Важное обновление 18.01.2011 (!) На еще одном живом журнале обнаружилась информация о еще одном взломе chronopay и в этот раз в инет выложили уже гораздо большее количество кредиток. Журнал уже заморожен, но кеш googl'a по-прежнему помнит все.

Кстати на некоторых форумах наткнулся на призывы использовать выложенные сведения для личного обогащения, не советую, т.к. за такие "шутки" можно отправиться в места не столь отдаленные, а вот проверить нет ли в файле собственной кредитки пожалуй стоит