Разоблачение http://mai1.pp.ru/ + ещё один общедоступный метод взлома @ mail

Discussion in 'Уязвимости Mail-сервисов' started by Dronga, 25 Feb 2007.

  1. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Очень часто при успешном взломе ящика он наблюдает попытки других сделать тоже самое. В последнее время количество "умников" резко возросло, поэтому он решил показать всё это изнутри. Возьмём недавний случай, с которым ему пришлось столкнуться в одном из ящиков принадлежащих домену mail.ru.

    [​IMG]

    Среди писем сразу обращает на себя внимание письмо от «Администрации Mail.Ru» с темой «Предупреждение». Он начал просматривать все сначала, ибо его интересовала вполне конкретная информация. И вот он дошел до письма от сервиса Открытки@mail.ru.

    [​IMG]

    Как видно, линк из письма ведёт вовсе не на открытку. Убогость способа просто потрясает. Если честно, затрудняюсь дать статистику успешности взлома этим методом, но лично я бы не повелся.

    [​IMG]

    Смотрим на адресную строку и всё понимаем. Второе письмо от «Администрации» даже улыбнуло.

    [​IMG]

    Кстати, если глядя на адрес фейка, предположить что там хитрый скрипт - сильное заблуждение =) Это физический адрес папки на сервере, как говорится, голь на выдумку хитра.

    Вот так произошло знакомство с http://mai1.pp.ru/. Имея полный доступ к почтовому ящику, некто заверил, что конкретно данный человек, хозяин ящика, не повелся на уловку. Однако, ещё более рассмешил другой факт. Проглядев мельком фейк-странички, я зашел на индекс сайта, где зашедших информируют, что данный сервис занимается взломом ящиков за деньги (!). Вот несколько цитат:
    • У нас самый гарантированный, эффективный, анонимный и быстрый взлом.
    • Берегитесь, сейчас открылась целая куча различных жалких подобий нашего сайта, берегитесь, они простые кидалы, мы уже работаем в этом бизнесе более двух лет.​

    А из фразы «взлом почтовых ящиков на mail.ru, rambler.ru, yandex.ru и других почтовых системах» я делаю вывод, что ребята просто гроза почтовиков, гранды и монcтры хака. Вот только у кого-то это получилось, а у них нет, какже так?? За работу товарищи просят 35 wmz, при этом вообще интересно обратить внимание на «прайс» http://mai1.pp.ru/service.html. Например, домен inbox.ru не имеет отношения к mail.ru, да и вообще его не существует, а взломать запароленный архив вам обойдется всего лишь 10-20 wmz. Интересно, как они планируют работать по корпоративным ящикам??

    Что мешает _любому_ человеку повторить теже самые действия?? Осматривая фейк, подметил, что бравые кулхацкеры поленились даже убрать счетчики со странички, это уже непрофессионализм. Сам факт того, что человека надо ещё «уговорить» перейти на заветный фейк, отношу к той же категории. Хотя, если уж так важно чтобы человек именно осознанно перешел на фейк, то я бы не поленился замаскировать кривой линк. Сперва из письма, примерно вот так:

    HTML:
    <a href="http://forum.antichat.ru/" 
    	onMouseOver="window.status= 'http://microsoft.com/'; return true;" 
    	onMouseOut="window.status='';">http://microsoft.com/</a>
    Исправно работает в IE, что уже не плохо. Можете попробовать, сильно удивитесь, полезная фича. Только вот беда, чтобы сделать это уже знания нужны. Во-первых, сам код весьма не тривиален, а во-вторых, существуют злостные фильтры которые обязательно обрежут лишнее. Чтобы осуществить задуманное потребуется XSS-уязвимость, а эти парни видимо даже не знаю что это такое, делаем выводы. Потом в самом фейке. Оставлять вот так адресную строку, совсем не дело. Как вариант, делать её очень длинной, тогда некоторые браузеры, например Опера, показывают только конец линка, в то время как домен остается далеко за экраном. Метод кривой, но хотя бы так =)

    Более продвинутые товарищи идут дальше. Переход на фейк принимает скрипт, который определяет точную версию браузера. После этого окно разворачивается на весь экран или просто делается всплывающее окно, главное скрыть родные панели браузера, включая адресную строку, а в контент странички выводят _РИСУНКИ_ панелей и рисунок адресной строки с вроде как правильным значением. В край, хотя бы просто текстовое поле с подмененным адресом. Это для тех, кто легких путей не ищет, создание неоправданно трудоёмко, а если жертва использует свои скины или меняет значение User-agent, то вообще безжалостно палит задумку. Пожалуй, лучше просто скрыть адресную строку.

    Для самых любопытных могу сказать, что вроде как есть способ, позволяющий именно _менять_ адресную строку, оставаясь в совсем другом месте. И добиваются этого при помощи Flash-технологий и ActionScript.

    Вот теперь давайте посмотрим, за что же эти ребята просят деньги?? Фактически, ни за что. Я не вижу здесь абсолютно ничего не доступного простому смертному, например, моей девушке =) Нет применения каких-то особых методов или технологий, требующих определенных знаний или умений. Поэтому, призываю быть бдительными прибегая к услугам подобных «контор». Такое письмо сразу выдаст намерения отправителя, а определиться с заказчиком/целью не всегда трудно. Вспомним рекламу на главной сайта «самый гарантированный метод», «эффективный», «быстрый взлом». Это всё иначе как пафос не называется. Теперь вы знаете, как работают бравые хакеры с сайта http://mai1.pp.ru/. Конечно, кидалами я их назвать не могу, но халтурщики 100%.

    К счастью, на этом предложения подобного рода услуг не заканчиваются. Есть действительно спецы и их не так мало, они не нуждаются в создании отдельного сайта для афиширования своей деятельности, лучше всего _искать самим_ по рекомендациям друзей/знакомых, а _не оставлять просьбы_ на всевозможных форумах, досках.

    Однако, не каждый возьмётся за заказ от первого встречного. Кто-то просто боится огласки своей деятельности, ведь каждый удачный взлом это нарушение закона. Но чаще всего, человек отказывает из-за незнания того с кем связывается, в последнее время участились случаи, когда исполнителя просто кидают!! Некто очень умный и думающий что он умнее всех, не исключаю что контора http://mai1.pp.ru/ относится к таким же, регистрирует ящик вида veronika_2002@mail.ru и сразу же заказывает его, после чего просто внимательно наблюдает, что же происходит с ящиком. В любом случае, после получения результата заказчик просто исчезнет, зачастую с информацией о том, что именно вы делаете и как. Кто-то таким образом оценивает силы конкурента, пытается выведать приватные уязвимости… Ещё раз повторю, таких случаев сейчас становится всё больше и больше, поэтому не удивляйтесь если в скором времени проверенный спец повысит стоимость оказания услуг или попросит предоплаты.

    В свою очередь, если прочитав это у вас как у заказчика появились какие-то позывы/желания, то спешу предостеречь. Во-первых, воровать методы/технологии это низко и нечестно. Если вы признаёте необходимость того, что вам нужен чей-то ящик, имейте достоинство признать необходимость обратиться к спецу и иметь уважение к нему. Этот человек бережет вашу тайну, как может, и рассчитывает, что его усилия будут оценены. Мне доподлинно известны случаи, когда кидал вычисляли и жестоко наказывали в реале, хотя территориально было не близко.

    Если так нужна уязвимость или методика, то и ищите человека, который продаст именно её, будьте готовы честно отдать за неё затребованное.

    Цена это тема отдельного разговора и каждый в праве сам её устанавливать, однако есть неписанные правила. В данном примере, халтурщики просили 35 wmz за честно проделанную работу. Если просят меньше, то к вам или хорошо относятся (возможно друг, знакомый или очень давний постоянный клиент, для которого действуют старые «тарифы»), либо вы имеете дело с новичком, который ещё не всё понял и осознал. Ну и конечно, вариант, что, вас, кинувшегося на дешевизну, в итоге кинут.

    Достаточно широкую огласку получил случай, который произошел на http://forum.xakep.ru/ пару месяцев назад, когда кул-хацкер входил в контакт с человеком, чей ящик заказывали, в обмен на скриншоты папки входящих писем вводил жертву в курс дела (кто заказывал и когда), впоследствии предоставлял скриншоты заказчику и после оплаты исчезал для обеих сторон. С заказчика брал 25 wmz. После того как обман раскрылся, он просто сменил ник и сейчас продолжает свою деятельность на другом форуме (не на forum.antichat.ru, у нас с этим тьфу тьфу тьфу), однако точно известно его местоположение и люди, чью деятельность он ставит под угрозу уже его предупредили. Обойдемся без ников.

    Также частенько встречаю совсем глупые предложения о взломе за 5 wmz на любых почтовых серверах… No comments.

    Поэтому, сперва важно самому для себя оценить важность той информации, которую вы хотите получить и самому предложить цену. В любом случае, за ящик, взлом которого сопровожден большим риском/ответственностью (например, если на ящике хранится финансовая информация фирмы), будьте готовы выложить больше обычного, это закономерно. Не гонитесь за дешевизной, гонитесь за качеством работы, ориентируясь на отзывы других людей, это самая правильная политика.

    Надеюсь, эта статья-обзор более или менее сформировала для вас правила игры в этом деле и немного приоткрыла тайну над «самым гарантированным, эффективным, анонимным и быстрым» методом взлома почтового ящика.

    PS. В последнее время у гринов появилась устойчивая тенденция говорить о себе во 2-3 лице =)
     
    #1 Dronga, 25 Feb 2007
    Last edited: 27 Feb 2007
    24 people like this.
  2. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    151
    Это как??? Просто окно? Дык видно его и закроют.

    Абсолютно верно. Поэтому приходиться заказчиков искать самому (а не кто стукается в личку), и работать со старыми заказчиками. Отсюда и цены не 5 уе.
     
    _________________________
    1 person likes this.
  3. Undernative

    Undernative DesigneR

    Joined:
    16 May 2006
    Messages:
    325
    Likes Received:
    272
    Reputations:
    14
    Хм....очень понравилось...я так разоблачил как то одного кидалу :) он ломал,брал деньги ,и не давал пасс....

    Честно говоря способ тут убог .... и сервисы дрянные за которые слишком много просят...Все мои мыльники стоят по 100 уе,но я ворую только забугорные и платные.

    Ps пожалйста не надо пытаться меня разоблачить =)
     
    1 person likes this.
  4. Abra

    Abra Member

    Joined:
    17 Sep 2005
    Messages:
    278
    Likes Received:
    51
    Reputations:
    29
    А как тебе такой шедевр:
    "Зджравсвуйте! Вышли новые обновления для почтового ящика mail.ru. В целях безопасности вашего ящика, настоятельно рекомендуем их установить."
    Отправитель: sacurity_mail_ru@mail.ru
    В письме аттач с пинчем.
    Повелось ТРИ человека из 10ти.
    Хотя казалось бы - кол-во ляпов и бессмыслицы в таком письме просто неизмеримы. Опечатка в первом же слове, совершенно корявый ящик, предложение скачать апдейт, когда люди пользуются браузером :\

    Так что даже самые бредовые методы во многих случаях работают против самых бредовых ламеров, которые ежедневно впервые подключаются к интернету. Кстати один из этих 3оих на тот момент имел стаж в интернете - 2 года. Но он уникум. До сих пор использует пароль исключительно 123456 и 654321.
     
  5. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,610
    Likes Received:
    1,410
    Reputations:
    611
    Их ящики никому не нужны, чтобы их заказывать
     
  6. Abra

    Abra Member

    Joined:
    17 Sep 2005
    Messages:
    278
    Likes Received:
    51
    Reputations:
    29
    Не согласен. Заказывают ведь. Причем заказывают такие же "бредовые ламеры" с совершенно неизвестно целью - типа "насолить другу", "он написал про меня плохое в ЖЖ" и "хочу проверить не изменяет ли мне девушка". Ведь были всегда такие мотивы, и будут, имхо.

    upd:
    Прчем заказывают у таких же лолегов пример которых в первом посте. И они такими же бредовыми методами их ломают ))
    Помоему это весьма даже естесственно. Есть люди которые занимаются профессиональным взломом за хорошие деньги, а есть лолеги которые ломают на заказ всякую мелочь. Пищевая цепь типа :\
     
    #6 Abra, 25 Feb 2007
    Last edited: 25 Feb 2007
  7. ToxoT

    ToxoT New Member

    Joined:
    29 Oct 2006
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    Блин просят такие, сразу лесом посылаю, один правда достал.... скинул ему ссылку на пинч, долго меня благодарил, незнаю правда освоил или нет...

    ЗЫ Развод довольно таки грамотный, только если все делать по уму...
    Авторы представленного сайта вообще поражают - амбиций #опой жуй а толку как мне кажется NULL.
     
  8. Abra

    Abra Member

    Joined:
    17 Sep 2005
    Messages:
    278
    Likes Received:
    51
    Reputations:
    29
    так не обязательно они будут это говорить и озвучивать. Потом тех кто ломает за деньги в большинстве своем причины не интересуют. Я имею ввиду что это реальный мотивации которые заставляют людей платить за взлом совершенно не интересных мыльников....
     
    #8 Abra, 25 Feb 2007
    Last edited: 25 Feb 2007
    1 person likes this.
  9. ground_zero

    ground_zero Elder - Старейшина

    Joined:
    11 Oct 2006
    Messages:
    398
    Likes Received:
    85
    Reputations:
    5
    забавная статья читал с интересом в некоторых местах с умилением =)))
     
  10. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Кстати, незабвенный http://mai1.pp.ru/ уже сутки как лежит =))) Интересно, абуза от агентов мейла пришла, сами поняли что больше им нечего не светит или из наших кто прошелся?? =)

    На seclab.ru сегодня очень интересная тема была про подмену адрессной строки, Elekt показал, там на основные браузеры есть темы с живыми примерами.
     
    3 people like this.
  11. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    151
    Вообще, если внимательно изучить маил_ру - то у него существует редирект. Дополнив его своей ссылкой - будет редиректить на ваш фейк-сайт.
    Т.е. в начале адреса будет светиться mail.ru, а дальше уже хвост с вашим сайтом.
    ...
    По статье на секлабе - пример пока видел, но еще практически не тестил (получиться или нет). А так - эх, жалко что на паблик =(
     
    _________________________
    #11 censored!, 26 Feb 2007
    Last edited: 26 Feb 2007
    1 person likes this.
  12. alextoun

    alextoun Вылет с Трассы

    Joined:
    7 May 2006
    Messages:
    563
    Likes Received:
    216
    Reputations:
    96
    тока что лазил, всё ок пашет

    хм, дронга разоблочатель наш, читал с удовольствием)))) вот до чего докатились угонщики
     
    1 person likes this.
  13. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    >> в последнее время участились случаи, когда исполнителя просто кидают!! Некто очень умный и думающий что он умнее всех, не исключаю что контора http://mai1.pp.ru/ относится к таким же, регистрирует ящик вида veronika_2002@mail.ru и сразу же заказывает его, после чего просто внимательно наблюдает, что же происходит с ящиком.

    ну это не стоит называть кидаловом, это прием СИ..

    >> Во-первых, воровать методы/технологии это низко и нечестно.

    ага, а воровать чужие ящики для кого-то за деньги это высоко и честно??
     
  14. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,610
    Likes Received:
    1,410
    Reputations:
    611
    так же как и продавать чужие программы?)
    тут понимаешь... как кража у своих. все таки одним делом люди занимаются, зачем так делать?
     
  15. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    >> так же как и продавать чужие программы?)

    вот, ты сразу переводишь мотивацию того, что Dronga назвал кидаловом, на деньги, а ты не думал, что кому-то просто интересно узнать существующие способы кражи ящиков? (например, чтоб обезопасить себя самого от этого) не всех же одни тока деньги интересуют..
     
    1 person likes this.
  16. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    censored! Верно и редирект там даже в нескольких местах =)

    Пускай те кого интересуют способы ищут/узнают своей головой, в край, если найдут людей, то своим кошельком. И по-моему, на античате в той или иной форме вспомнили обо всех методах. Спец из статьи не ставил цели разоблачить, он просто делал свою работу, просто заказали не только у него... Это относительно честная борьба.

    А вот когда кто-то доводит и оттачивает свои методы до полного автоматизма и совершенства, месяцами, сидит пишет, пробует, постоянно что-то подправляет, слидит за каждым изменением... а кто-то не имея такого опыта/знаний просто ворует это в считанные минуты. При этом изначально заказывает, просит доказательства.. А потом говорит что сейчас только за картой сбегает и исчезает. Логи есть очень интересные, когда вчерашний заказчик просто открыто издевается.

    А сайт http://mai1.pp.ru/ и вправду возобновил свою работу, правда смысла я не понимаю =)
    + там появилась новость от 20.02.2007 =)))) Линк что-ли на тему у них в гостевой оставить... ;)

    На pp.ru вообще реальные сайты паркуются, например http://astarta.pp.ru/ Тоже экземпляр из этой серии =) Все записываемся на услугу снятия негатива =)
     
    #16 Dronga, 27 Feb 2007
    Last edited: 27 Feb 2007
  17. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    лол.. что-то, я не понял что тут честного..
    "спец из статьи" попросту подсмотрел чужой способ воровать ящики, увидел, что он ламерский и решил выставить на посмешище своих конкурентов.. при этом в самой статье он пишет, что узнавать чужой способ - это кедалово (хотя сам по сути это и делает)..

    конечно, заказывать у человека ящик лично, а потом еще обосрать по асику - это засранство, и за это грех по ***лу не дать (если есть возможность),
    но когда выкладуешь на форуме объяву с предложением сломать ящик (а его наврядли кто сломает - потому и платить не за что) и наблюдаешь за действиями хакиров - то это СИ..

    поэтому очень правильно, в принципе делают люди, которые имея хороший способ тырить ящики аккуратно отбирают заказчиков, не кидаясь на что попало..
     
  18. Ksander

    Ksander Elder - Старейшина

    Joined:
    21 Jun 2006
    Messages:
    527
    Likes Received:
    262
    Reputations:
    138

    Это на главной красуется =)
     
  19. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Digimortal

    То что делают они, это реальное ламерство и халтура. Ты просто не знаешь как они подосрали и кому. Добавляем сюда всю их крутизну и то что только они не кидают, а остальные обязательно кинут. Так что поаккуратнее в высказываниях.
    Мне почему-то кажется скоро на их главной будет висеть дефейс =)
     
    #19 Dronga, 27 Feb 2007
    Last edited: 27 Feb 2007
  20. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    >> То что делают они, это реальное ламерство и халтура.

    согласен

    >> Ты просто не знаешь как они подосрали и кому.

    да мне это и не надо знать, я высказал свое мнение об одной маленькой вещи в статье с которой в общем то не согласен, а их я вообще не касался..

    >> Добавляем сюда всю их крутизну и то что только они не кидают, а остальные обязательно кинут.

    опять же, мне на них пофиг.. таких "контор" полно и каждый пишет, что только он один единственный не кидает и выполняет работу со 100% гарантией.. лолеги ))..

    >> Так что поаккуратнее в высказываниях.

    а разве я неаккуратен в них?
     
    #20 Digimortal, 27 Feb 2007
    Last edited: 27 Feb 2007
Loading...