Новости
Статьи
Как воруют пароли
Опубликовано: 01.09.2018
На какие только ухищрения не идут злоумышленники, чтобы выкрасть у пользователя пароли к всевозможным сетевым ресурсам — страничкам в соцсетях, играм-онлайн, платёжным системам. Статистика кражи личных данных в сети пестрит тревожными цифрами. Чтобы не оказаться в числе жертв, потерявших свои аккаунты, давайте рассмотрим основные методы воровства паролей, которые используют хакеры — социнженерию , подбор паролей перебором (брутфорс) , внедрение клавиатурных шпионов и перехват куки . Имея представление об этих зловредных «технологиях», им можно достаточно эффективно противостоять, соблюдая должный уровень безопасности и конфиденциальности личных данных.
Расписная малюра — маленькая птичка из семейства воробьиных — защищает своё драгоценное потомство от подброшенных кукушек-паразитов, ни много ни мало, с помощью пароля. Как только её птенцы появляются на свет, она тут же учит их воспроизводить уникальную трель. Естественно отпрыски нахальной родительницы-кукушки ничего об этой «песне» не знают, так как вылупляются на 2-3 дня позже.
Как воруют пароли в Steam?
Торжество справедливости и отмщения наступает в период кормёжки. Птенчики малюры, завидев приближающихся к гнезду родителей с вкусняшками в клюве, начинают, что есть силы трезвонить, ту самую трель, которую их научили петь в первые дни жизни. Получают еду, только исполнители «родного мотива» — законные наследники, а птенцы кукушки остаются ни с чем и вскоре умирают от голода.
Как сделать ФЛЕШКУ-СТИЛЛЕР для кражи паролей(КУКИ)
На первый взгляд животрепещущая картина природы, но как она похожа на бескрайние просторы цифровых джунглей Интернета: и тут есть пароли; и тут есть персонажи — злые и добрые — хакеры и обычные пользователи.
Итак, уважаемый читатель, чтобы сберечь свои заветные логины и пароли, от подлых людишек, конечно трели вам разучивать не придётся. Но вот ознакомиться со способами похищения личных данных, совсем не будет лишним... Хотите мира? Готовьтесь к войне!
Главные орудия злоумышленника в этом способе - наивность и чрезмерное любопытство пользователя. Никаких изощрённых программных методов, коварных вирусов и прочих хакерских технологий.
Злодей, зная только логин от почтового ящика, вводит его в форму входа на сервис. А затем сообщает системе, что забыл пароль. На мониторе высвечивается контрольный вопрос — взломщик не знает на него ответ, но уже знает его содержание. Вот тут-то и начинается самое «интересное»: на основе темы вопроса он отправляет жертве «хитрое письмо», в котором в завуалированной форме пытается выведать правильный ответ. Коварное послание может выглядеть примерно так: «Добрый день! Мы, кулинарный сайт такой-то, ..... и т.д. А какое ваше любимое блюдо?» И это лишь отдельный пример. Ухищрений такого рода «гуляет по сети» великое мн ожество . Подробнее о социальной инженерии мы писали в этой статье. Так что смотрите в оба, читая письма!Кража куки (cookie)
Куки (от англ. «cookie» — печенье) — файл с данными сессии, которые веб-сайт сохраняет в браузере пользователя. В нём, в захешированном виде, хранятся логин, пароль, id и прочая информация, к которой в процессе онлайн-работы периодически обращается ресурс.
Хакер, зная уязвимости конкретного сайта (форум, почтовый сервис, соцсеть), пишет специальный скрипт, который «вытягивает» куки из браузера жертвы и отправляет ему. Без участия владельца аккаунта, это «чёрное дело» не обходится, так как именно он должен запустить зловредный скрипт. Поэтому код, перед отправкой, оборачивается в специальную «приманку»: в картинку, завлекающее письмо, просьбу и т.д. Главная задача — чтобы жертва перешла по предложенной ссылке. И если это всё-таки случается, хакерский скрипт куки из браузера передаёт снифферу (перехватчику сетевого трафика), установленному на стороннем хостинге. И только потом направляет пользователя, куда ему было обещано в сообшении — на сайт знакомств, видеохостинг, фотогалерею и пр. Естественно, владелец аккаунта об этих манипуляциях ничего не подозревает — вероломная процедура занимает всего 5 секунд.
Используя украденные куки , хакер может завладеть сессией пользователя: вставить их в свой браузер и зайти в аккаунт жертвы с правами владельца. Ну, а если не получится, также может попытаться расхешировать пароль, сохранённый в файле куки. И если он (пароль) состоит из 5-6 символов, наверняка этому ему удастся. Хакеров не останавливает то, что алгоритм хеширования MD5 является односторонним, то есть его невозможно раскодировать. В данном случае они используют метод подбора: на специальных сервисах-онлайн ищут совпадения в словарях с готовыми результатами (парами). Например: MD5 «a865a7e0ddbf35fa6f6a232e0893bea4 » — это нечто иное, как «my_password».
Не ленитесь составлять длинные, сложные пароли! И вас эта беда минёт стороной.
Клавиатурные шпионы (кейлоггеры)
Программы, которые записывают в свой журнал клавиши, нажатые пользователем. Делают они это незаметно, ничем не выдавая своего присутствия в системе: ни в трее, ни в системных процессах, ни в реестре. Искусно написанный кейлоггер, и не каждый антивирус способен распознать.
Пользователь на инфицированном ПК, удобно расположившись у дисплея, мирно и размерено вводит с клавиатуры логин... , а затем и пароль — на одном сайте, затем на другом и т.д. А в это время кейлоггер «трудится в поте лица»: фиксирует данные, сохраняет их, шифрует, а затем отправляет «хозяину» — злоумышленнику.
Противодействовать этому маленькому, но злому шпиону можно с помощью виртуальной клавиатуры и специальных утилит, заполняющих формы входа на сайты автоматически.
Метод подбора пароля посредством перебора потенциально возможных вариантов из специального словаря. Брутфорс очень эффективен, когда длина пароля не превышает 5-6 символов, или он является простой последовательностью («11111») или словарным словом («monkey»).
