sobota 5. května 2012

Hacknutí e-mailu je stále velmi jednoduché

Možná jste někdy také zatoužili mít možnost nahlédnout do e-mailové konverzace nebo třeba do konverzace na Facebooku někoho jiného. Například vašeho partnera/partnerky nebo někoho, kdo vás nějakým způsobem naštval. Pokud jste byli vytrvalí, zřejmě se vám to i podařilo. Tzv. hacknutí e-mailového, facebookového či jiného účtu je bohužel stále velmi jednoduché.
Ze strany provozovatelů jsou tyto služby poměrně dobře zabezpečeny. Ze strany uživatele je situace zcela opačná. Jak se říká: „nejslabším místem každého systému je jeho uživatel.“
Důkazem toho je článek uveřejněný na serveru soom.cz, k jehož použití jsem dostal souhlas autora. V článku je v postatě popsáno použití sociotechniky za účelem získání hesla přímo od uživatele. Uživatel je „oblbnut“ a dokonce nemá ani tušení, že svoje heslo vyzradil. Důležité je, že článek popisuje pouze jednu možnost z desítek možností založených na stejném principu!

Článek:
Jak hacknout e-mail? Nazval bych to věčnou otázkou, která nedává spát mnoha začínajícím útočníkům. V tomto článku bych vás proto chtěl seznámit s variantou phishingového útoku, při které by útočník mohl využít on-line služeb, které poskytuje server soom.cz.
Nejprve si v bodech řekneme, co by takový útočník potřeboval:
uživatelský účet na serveru soom.cz
alespoň minimální znalost HTML
službu Administrativ HTML pages
službu GET2MAIL
Fake mailer
Nyní si detailně popíšeme jednotlivé body:
SOOM.cz
Vytvořit si na serveru soom.cz uživatelský účet zvládne snad každý. Uvedu tedy pouze, že je možno tak učinit odkazem Registrace dole v levém sloupci.
HTML
Znalostí HTML rozumějte zcela minimální znalost, kterou dnes již běžně získá každý žák základní školy.
Administrativ HTML pages
Pro vytvoření jakékoliv fake stránky poskytuje server soom.cz vynikající on-line nástroj Administrativ HTML pages, který udělá téměř veškerou práci za útočníka. Tento nástroj je k dispozici na adresehttp://admin.administrativ.cz, případně je možné využít odkaz v sekciSubdomény v pravém sloupci. Nyní si popíšeme, co webové rozhraní tohoto nástroje umí. Do okna HTML kód stránky může útočník zkopírovat zdrojový HTML kód stránky, jejíž kopii chce vytvořit. Daleko jednodušší pro útočníka ale je, když zadá odkaz na tuto stránku do pole URL pro download kódu a klikne na tlačítko Načti HTML kód z URL stránky. Celý HTML kód požadované stránky se pak již sám načte a zobrazí v oblasti pro HTML kód. V případě, že bude chtít útočník sám vytvořit celou stránku přímo v HTML, může použít také tlačítko Předvyplň HTML kostru, které naplní okno s kódem standardními hlavičkami a tagy. Tlačítko Doplň relativní adresypřevede relativní odkazy na absolutní jejich rozšířením o hodnotu uvedenou v poli pro zadání URL. Vytvořenou stránku je samozřejmě možné uložit a následně zobrazit její náhled, na kterém je možné otestovat její funkčnost. HTML kód uložených stránek je možné později editovat zadáním jejich názvu a hesla v panelu Načtení uložené stránky.
Teď k samotným úpravám HTML kódu stránky, jejíž fake kopii by útočník vytvářel. Jako příklad si vezmeme přihlašovací stránku českého poskytovatele freemailové služby Atlas.cz. Přihlašovací stránku Atlas.cz nalezneme na adrese https://auser.centrum.cz. Výše zmíněným postupem si útočník může načíst její zdrojový kód pomocí služby Administrativ HTML pages.
GET2MAIL
V dalším kroku by útočník mohl využít službu GET2MAIL. Odkaz na ni je k dispozici na serveru soom.cz v sekci projekty. Jak služba funguje si můžete přečíst v nápovědě k této službě (rozhodně doporučuji přečíst!).
Nyní se ale vrátíme ke službě Administrativ HTML pages, kde má útočník načten HTML kód přihlašovací stránky. V tomto HTML kódu by útočník musel nahradit u tagu form obsah atributu action, který směřuje na adresu https://auser.centrum.cz. Tuto hodnotu by nahradil adresou jeho GET2MAIL klienta, která má tvar podobný tomuto:http://www.soom.cz/projects/get2mail/redir.php?id=kód-našeho-klienta&url=http://amail.atlas.cz. V této adrese si všiměme proměnných urla id. Hodnotu id získá přidělenu projektem GET2MAIL po stisku tlačítkaRegistrovat nové id, hodnota proměnné url obsahuje adresu, na kterou bude uživatel po krádeži jeho přihlašovacích údajů přesměrován.
Fake stránka útočníka je nyní hotová. Pokud si ji útočník zatím neuložil, nějak ji pojmenuje, zvolí si heslo pro její následnou editaci a klikne na tlačítko save. Tím se jeho fake stránka uloží a bude od této chvíle přístupná na adrese: http://www.administrativ.cz/Název-pod-kterým-jsme-si-stránku-uložili.
Název stránky může útočník volit tak, aby svým tvarem napomohl přesvědčit, že se jedná o stránku, ke které přihlašovací formulář skutečně patří, například atlas, atlas.cz, nebo atlas.jpg.
Fake Mailer
Na fake e-mailu poměrně dost záleží. Právě tento e-mail má za úkol přesvědčit uživatele, že mu skutečně píše poskytovatel e-mailové služby a ne někdo jiný. Obsah fake zprávy si musí útočník vymyslet sám, v závislosti na tom, na jakou e-mailovou schránku útočí. Jak už bylo výše zmíněno, útočil by v této ukázce útočník na schránku od Atlasu. Fake e-mail by pro tento účel mohl vypadat třeba takto:

Vážený uživateli,
v důsledku aktuálních technických problémů by se mohlo stát, že váš účet bude za serveru vymazán.
Pokud si přejete svůj účet nadále využívat, přihlaste se znovu ke svému účtu přes odkaz https://auser.centrum.cz/ z tohoto e-mailu.
Pokud bude vše v pořádku, budete automaticky přesměrováni do své e-mailové schránky, v opačném případě se řiďte instrukcemi, které se budou dále zobrazovat.
Děkujeme za pochopení
Team Atlas.cz

Právě při tvorbě fake e-mailu by útočník využil svou znalost HTML. V tomto formátu jde totiž vytvořit daleko působivější e-mail, než kdyby napsal pouze obyčejný text. Povšiměte si také této části v textu fake e-mailu: https://auser.centrum.cz
Právě díky ní, by při zobrazení e-mailu byla útočníkem skryta skutečná adresa jím vytvořené fake stránky (tedyhttp://www.administrativ.cz/Název-pod-kterým-jsme-si-stránku-uložili.) Namísto toho by se uživateli zobrazil daleko důvěryhodnější odkazhttps://auser.centrum.cz, který se tváří, že směřuje na skutečnou přihlašovací stránku Atlasu. Samozřejmě by si útočník mohl s fake e-mailem vyhrát daleko více. Vždy, než by útočník odeslal svůj fake e-mail oběti, poslal by jej určitě nejprve sám sobě, aby jej zkontroloval, zda skutečně vypadá tak, jak měl v plánu, nebo jestli jsou potřeba ještě nějaké úpravy.
Pro posílání fake e-mailů je opět ideální využít Fake Mailer z dílny serveru soom.cz, který je také k naleznení v sekci projekty. Výhodou tohoto fake maileru by bylo, že by si útočník mohl jakýkoliv údaj ve zprávě vymyslet. On-line Fake Mailer by mu k tomu všemu poskytl navíc ještě jakousi anonymitu.
Nyní k samotnému Fake Maileru. První položku, tedy from name by útočník mohl ponechat prázdnou. Druhá položka from e-mail by pro něj ale byla extrémně důležitá. Právě e-mailová adresa odesílatele slouží pro oklamání oběti a dokáže značně podpořit důvěryhodnost fake zprávy. Vymyslet by si útočník mohl opravdu cokoliv, například heslo@atlas.cz, záleží pouze na jeho fantazii a důvtipu.
Další důležitou položkou by byl subject, tedy předmět e-mailu. Ten by útočník mohl opět zvolit zcela libovolně, třeba Atlas.cz, nebo Expirace účtu. V neposlední řadě by pak musel útočník vyplnit pole text, do kterého by vložil obsah své fake zprávy, který vytvořil. Protože je fake e-mail z ukázky ve formátu HTML, bylo by nutné přepnout ještě položku Content-Type na volbu text/html, a tím zajistit, že se příjemci e-mail zobrazí správně. Útočníkovy by již zbývalo jen opsat kontrolní kód a zprávu odeslat tlačítkem send.
Pokud by útočník útočil na e-mailovou schránku uživatele, kterého vůbec nezná, musel by počítat s tím, že uživatel e-mailovou schránku navštíví třeba jen jednou za měsíc a že mu tak jeho heslo nedorazí obratem ihned po odeslání fake zprávy. Pokud by útočil na schránku uživatele, kterého zná, mohl by ho v návštěvě jeho e-mailové schránky nenápadně podpořit.
Závěr
Údaje odeslané nachytanými oběťmi by zachytával projekt GET2MAIL, ve kterém by si je útočník mohl pohodlně prohlížet, nebo by si je mohl od tohoto projektu nechat zasílat e-mailem. Pokud by útočník zvolil tento typ útoku, měl by v tuto chvíli již vše hotové a jen by se radovat ze zaslaných hesel a kroutit hlavou nad naivitou oklamaných uživatelů.
Závěrem zdůrazním, že pokud by útočník skutečně jednal podle výše uvedeného scénáře, dopustil by se tak hned několika trestných činů, za které by mohl být stíhán.

Z článku jasně plyne, že získat cizí přihlašovací údaje není vůbec těžké. Kdyby měl však uživatel např. freemailové služby potřebné informace, zřejmě by útoku nepodlehl a o svoje přihlašovací údaje nikdy nepřišel. Uživatel však neví na co si dávat pozor, protože mu to nikdo neřekl.
A kdo by mu měl potřebné informace poskytnout? Podle mě by to měli být právě poskytovatelé různých freemailových služeb, Facebooku atd. To by pro ně ovšem znamenalo výdaje navíc. Místo toho, aby udělali něco pro svoje uživatele díky kterým mají zisk, snaží se pro sebe „vytřiskat“ maximum peněz a na bezpečnost nehlední. Typickým přikladem je právě Facebook.
Místo reklam na Google a Seznam.cz, které jsou u nás v televizi stále častější a ze kterých se dozvídáme pouze to jak dobří jsou, by měla být nějaká kampaň zaměřená na bezpečnost samotných uživatelů. Všechny tyto služby bez uživatelů nemají smysl a jejich majitelům nemohou přinášet zisk. Proto by si měli uživatelů daleko více vážit a starat se o ně.
Sociotechnika je v současné době mezi hackery velmi oblíbená a obrana proti ní je velmi těžká. Alespoň nějaké informace o sociotechnice a o tom, jak se jí bránit poskytují svým zákazníkum banky.
Bohužel například Seznam.cz pro svoje uživatele v této oblasti nedělá vůbec nic. Je otázkou, zda o tomto nebezpečí vůbec vědí.
Hackeři tedy mají zatím zcela neomezené možnosti a účinnost použití sociotechniky je kolem 95%. Těch 5% neúspěšných tvoří amatéři, kteří to třeba jen zkouší, ale nemají z toho žádný zisk.
jak hacknout e-mail, jak hacknout mail, hacknutí e-mail, hacknutí facebooku, jak hacknout facebook, hackování účtu na seznam, jak hacknout účet, hacking, hacknutí mailu, hacknutí icq, hackování za použití phishingu, phishing, fake přihlašovací stránka, falešná přihlašovací stránka, jak vytvořit falešnou přihlašovací stránku, jak získat heslo, hackování mailu, hackování e-mailu
Pokud vám můj blog pomohl či vám byl jakkoliv jinak užitečný, můžete mě podpořit libovolnou částkou prostřednictvím PayPalu. 


5 komentářů:

  1. Nechceš to líp vyhodnotit? :D

    OdpovědětVymazat
  2. Tento článek je zavádějící, hacknout facebook rozhodně jednoduché v dnešní době není! Na phishing se jentak někdo nechytí (tak 1 z 7 lidí), takže ty procenta úspěšnosti 'sociotechniky' nejsou pravdivé. Předpokládám, že autoři článku nemají zkušenosti s hackovnáním, protože by jinak věděli, že phishing není tak úspěšný, a že hackování není tak uplně štastným názvem.. S pozdravem. Jinak vcelku zajímavý článek ;)

    OdpovědětVymazat
  3. já to nechápu X"D ani by mi to nešlo jak jsem blbá :/ potřebuji hacknout jeden email :D

    OdpovědětVymazat