1. Інструкція
2. 1 крок
3. 2 крок
4. 3 крок
5. 4 крок
6. 5 крок
7. 6 крок
8. 7 крок
9. 8 крок

У кожного користувача інтернету є електронний ящик. В основному його використовують для спілкування. Однак, що набагато важливіше - адреса e-mail використовується при реєстрації на інтернет ресурсах. І якщо раптом трапиться так, що ваш ящик зламають, то кракер (зломщик) отримує доступ не тільки до вашої листуванні, але і, що більш важливо - до ваших численних акаунтів в інтернеті. Тому основне правило - якщо вам треба зареєструватися на якомусь сайті, не використовуйте свій постійний ящик. Для кожного сайту не лінуйтеся завести окремий.

До речі поширена помилка - що ящики зламують хакери. Це не так. Істинний хакер ніколи не стане займатися шкідництвом і знищенням інформації. Хакери зламують заради спортивного інтересу. Зламавши, вони не змінюють паролі і не знищують інформацію, а просто повідомляють власнику мила про уразливості його ящика. Кракери - це люди, те саме що вандалам, які пишуть непристойні написи на стінах. Вони це роблять або що б показати які вони круті, або заради матеріальної вигоди.

Важливо усвідомити одну просту річ - на 100% захиститися від злому неможливо. Якщо досвідчений кракер поставив собі за мету зламати ящик він це зробить. Що ж ви можете зробити? Ви можете ускладнити його завдання. Протягнути час. Можливо, він здасться і відступить. Так чи інакше без бою здаватися не можна.

Інструкція

Рівень складності: Нескладно

1 крок

Пароль.

Як не дивно, більшість користувачів (і ще більше - користувачок) просто не усвідомлюють всю важливість цього терміна. Дуже часте оману, що круті кракери ні коли не стануть займатися таким пильним справою як підбір пароля. Дуже сильно на людей впливає кінематограф. У кіно кракер - це такий крутий чувак в шкіряній куртці який два рази стукнувши по клавішах зламує будь-яку систему. У реальному житті все набагато прозаїчніше - кракер тижнями вивчає свою жертву, її звички, інтереси, місце роботи. Кракер знає, що дуже часто пароль - це марка машини, назва компанії в якій працює людина і т.д. Часто кракер не використовує нічого крім методу підбору пароля. Тому найголовніше правило - пароль жодної буквою або цифрою не повинен бути пов'язаний з вашим життям.

Найлегший пароль - що складається з цифр. Такий пароль зламати найлегше. Примітивні цифрові паролі типу 123456 можна зламати навіть брутфорсом.

Буквений пароль - Трохи складніший і все ж його теж можна зламати

Найбезпечніший тип пароля - змішана абракадабра з латинських букв, цифр, спеціальних знаків, написаних малими і великими літерами. У паролі має бути не менше 8 знаків, в ідеалі - 16 символів. Злом такого пароля методом грубої сили часто взагалі неможливий.

Приклад - 4Р% Rк_ + hgJ (# 78Ge

Пароль для кожної системи повинен бути унікальний. Звичайно дуже зручно придумати собі один безпечний пароль, відпрацювати його введення до автоматизму, і користуватися ним по всіх усюдах. Але тим самим ви зводите свій захист до нуля.

І ще - ні в яким разі не зберігайте паролі в комп'ютері і тим більше в пам'яті браузера. Так, звичайно, це дуже зручно, але ризик не виправданий. Паролі взагалі не повинні зберігатися в електронному вигляді - їх легко вкрасти трояном. Скиньте всі ваші паролі в один текстовий файл, роздрукуйте його і видаліть з пам'яті комп'ютера. Роздрукований листок зберігайте тільки вдома. Нікуди не беріть цей листок з собою.

2 крок

Але є куди більш важлива річ - система відновлення забутого пароля. Дізнавшись ваш ящик, кракер тисне на кнопку "Забули пароль". А там питання - "Кличка собаки?". Кракер заходить на який-небудь сайт (наприклад ВКонтакте), знаходить фото жертви з його песиком і шле йому повідомлення "Ой який песик!)) А як звуть?))". Ну господар собаки ясна річ, гордо називає кличку свого вихованця. Ну от і все. Ваш ящик зламаний.

Що б цього не сталося, ставте собі найлегший питання типу "Дата мого народження" і придумуйте собі ще один пароль за інструкцією №1, який не має навіть близько нічого спільного з датою народження. По-перше ви підвищите захист, по-друге зіб'є кракера з пантелику.

3 крок

І так ось ви і убезпечили свій ящик. Але ви не убезпечили себе. Практика показує, що найчастіше для злому ящика не потрібно нічого крім як "ввічливо" попросити сказати пароль. Цей метод злому отримав назву Соціальна інженерія (скорочено СІ).

Принцип соц. інженерії полягає в правильному психологічному підході до людини, від якого ви власне і збираєтеся щось отримати. Найпримітивніший спосіб такого підходу з'явився ще на зорі інету. Користувачеві посилали лист нібито від адміністрації поштового сервісу з проханням підтвердити свої персональні дані, і багато підтверджували. Навіть зараз в мережі можна зустріти приблизно такі оголошення:

"Здрастуйте, це Адміністрація сервісу http: //бла-бла-бла.ru Ми проводимо масову (далі йде свехсложное, незрозуміле слово) користувачів. Вам необхідно просто пройти за цим посиланням і ввести свої анкетні дані ... ". Звичайно дуже багато вже на таку "халяву" не попадаються. Але фантазія людини безмежна. І способів соц. інженерії безліч - раджу просто вбити в пошуковик "Соціальна інженерія" і почитати про це більш детально - про це повинен знати кожен!

Захист - ніколи не посилайте свої логін-пароль, у відповідь на листи прийшли від "адміністрації" будь-якого ресурсу, де ви зареєстровані (не зареєстровані). А краще взагалі на них не відповідайте. Якщо вже сильно сумніваєтеся, надішліть листа адміністрації сервісу, а до листа додайте текст прийшов вам листи (без пароля природно), і тільки на той e-mail, що вказано на сервері. Пам'ятайте головне правило - вводите ваші дані тільки в одному місці, на головній сторінці поштового сервера. Ніколи не клікайте по посиланнях в листі, якщо у вас немає 100% довіри до його відправнику і вмісту. Краще натисніть на посиланні правою кнопкою миші, і виберете пункт "Зберегти об'єкт як ..." (для браузера Internet Explorer), а потім в офлайн перегляньте документ. Документи HTML, або просто звичайні Web сторінки, можуть бути небезпечні при перегляді їх онлайн.

доповнення:
Особливо популярна форма СІ - створення фейковий (помилкових) сторінок. Ці сторінки зазвичай копіюють сторінку з формою введення логіна і пароля на будь-якому сайті. Припустимо користувач бачить оголошення: "ось тут на youtube виклали прикольне відео, я довго іржав ...". Користувач клацає на посилання і потрапляє на помилкову сторінку, точнісінько копіює сайт youtube.com. При цьому адреса сторінки відрізняється найчастіше незначно (наприклад youtube.com і його фейковий сайт-близнюк з адресою наприклад youtude.com) Але відео йому не доступно так як його просять авторизуватися. Користувач, вводить свій логін і пароль від свого аккаунта на youtube.com, фейковий сайт записує введені дані і відсилає користувача на справжній сайт youtube.com де користувач дійсно може подивитися відео.
Нещодавно за допомогою цього способу яким - то умільцям вдалося отримати паролі від декількох тисяч акаунтів Вконтакте. Схема була проста - користувач встановлював додаток Вконтакте до себе на сторінку і запустивши його, йому відкривалася сторінка нібито сайту вконтакте з проханням повторно авторизуватися. Користувач вводив пароль і втрачав недоторканність свого аккаунта.
буває навіть і так що користувача заражають спеціальним вірусом-трояном який відкриває помилкові сторінки авторизації, коли користувач саморучно вводить правильну адресу сайту

Захист - авторізіруясь на сайтах, уважно перевіряйте що адреса правильний, що в ньому немає сторонніх слів і знаків.

4 крок

Крадіжка cookie і сесії користувача

Cookie (в перекладі печиво) - це текстові файли зберігаються на вашому комп'ютері в спеціальному місці, і містять будь-яку службову інформацію. Що нам треба знати про Cookie. Багато веб сервіси при заході користувача на їх ресурс, пхають йому "печеньку" з його персональними даними. Наприклад якщо ви в налаштуваннях на сервісі вкажете виводити в таблиці на сторінці 50 стовпців з даними, то ця інформація запишеться в Cookie, і при наступному заході на цей сервіс вам відразу покажуть 50 стовпців. Але найголовніше, прочитати дані з Cookie може тільки той web сайт, який вам цю Cookie поставив. Тобто куки поставлені на yandex.ru, не можуть бути прочитані Рамблер, або яким-небудь superhack.com. Тепер переходимо до головного. Коли ми на сайті проходимо авторизацію, при вході на свою поштову скриньку сервер вішає нам Cookie, куди записує номер сесії користувача, або набагато рідше зашифрований пароль (зазвичай алгоритмом md5), або ще рідше (іноді зустрічається на невеликих і древніх сервісах) - ваш пароль записаний у відкритому вигляді. Просто бери і користуйся! Навіщо це треба? Просто в іншому випадку, при переході з однієї сторінки на іншу, нам довелося б щоразу заново проходити авторизацію (вводити логін-пароль). А так сервер читає з Cookie нашу сесію і порівнює з сесією призначеної авторизованому користувачеві. Якщо все окей, ви читаєте свою пошту. Якщо з паролем до пошти все ясно, то в чому його відмінність від сесії. Сесія - це просто набір з цифр і букв випадково згенерували сервером (як би тимчасовий пароль). Одна копія записана у вас в куках, інша зберігається на сервері. Причому сесія має "час життя" (від декількох хвилин, до декількох годин), яке залежить від налаштувань сервісу. Після закінчення цього часу, копія сесії користувача розташована на сервері видаляється. І сесія, записана у користувача виявиться неробочий (необхідна нова авторизація). Ось приклад сесії на поштовому сервісі rambler.ru:
http://mail.rambler.ru/Session/3112538-ru3lUHY9oFag9n79p4...
Тепер думаю суть зрозуміла. Отримавши свіжі призначені для користувача Cookie з якого-небудь lаmer@yаndеx.ru або lаmer@mаil.ru, ми зможемо без проблем потрапити на чужий ящик, навіть якщо користувач вже давно вийшов з нього.

Користувачеві надсилається лист в HTML форматі, в яке вставляється спеціальний java-скрипт читає зміст його Cookie і відсилає цю інформацію своєму господареві. Досить відкрити такий лист для перегляду в режимі online, і ви можете втратити свій ящик назавжди.

Але для злому даний спосіб не придатний, тому що для отримання сесії (Cookie) треба потрапити в поштову скриньку. В реальній ситуації надходять так: JavaScript вставляється в сам лист, при цьому лист повинен бути в HTML форматі. Код виглядає як невинна посилання, але клікнувши по ній ваші куки будуть відправлені спеціальному скрипту, який їх запише і пошле листом кракеру (варіантів багато). Щоб змусити користувача клікнути посилання, досить небагато соціальної інженерії.

Звичайно даний код може фільтруватися сервером. Але ж можна вбудувати скрипт в теги показу картинки. Користувач побачить картинку, а хакер отримає куки. Зазвичай такі скрипти пролітають на ура.

Захист. Ви помічали на поштову скриньку кнопку "Вихід", "Exit" і т.д. А знаєте навіщо вона потрібна? Вона закриває вашу сесію! Так-так, саме ту сесію, про яку писалося вище. Закривши ящик "як годиться", ніхто вже не зможе на нього потрапити без пароля, крадіжка Cookie стає марною. По можливості, ніколи не читайте листи "онлайн". Збережіть листи на комп, а вже потім, відключившись від Інету, читайте. У цьому випадку ніякої вбудований скрипт і інша гидота вам не страшні. І обережніше клікайте по посиланнях в листах. Текст посилання і її справжнє призначення можуть бути різними!

5 крок

Протрояніваніе комп'ютера

Якщо у зловмисника є фізичний доступ до потрібного комп'ютера, то він 100% може отримати не тільки пароль до вашої пошти, але і стежити за всіма діями користувача на ньому (дуже актуально для офісів, комп'ютерних клубів і інтернет кафе). При відсутності такого доступу можна послати шпигуна прямо в аттаче до листа. Звичайно запускати невідомий EXE -шнік навряд чи хто стане. А що якщо використовувати вже знайомий нам спосіб соціальної інженерії? Зробимо іконку у програми як у текстового документи або JPEG малюнка, перейменувати файл в Foto.jpg або в Info.txt, заповнити спец-поля при компіляції і запхати в архів. При цьому дане вкладення не повинно бути несподіваним. Наприклад ви на сайті знайомств познайомилися з дівчиною. Після кількох днів листування, вона навряд чи запідозрить недобре в черговий фотке. Та й що до того ж, при запуску програми заважає показати їй справжнє фото (склеєне з програмою), запустити шпигуна, а потім видалити його тіло з запущеного файлу. При грамотному підході не врятує і антивірус. Шанси зловмисника виростуть у багато разів.

Захист. Незрозуміло чому, але багато користувачів вважають головним гарантом своєї безпеки в мережі - антивірус. Ніякої антивірус з найсвіжішою базою не врятує вас від грамотно написаної і добре упакованої шпигунської програми, яка йому незнайома. Трояни типу Смерть Ламера і використовують ламери. Людина досвідчена напише своє, або в крайньому випадку знайде приватний софт. В даному випадку, вам набагато корисніше фаєрвол. Якщо ви ще не знаєте що це таке, закрийте інет з'єднання, і не виходьте в мережу поки його собі не поставите. Звичайно досвідчений зломщик його може обійти, але від головних проблем він вас врятує. Виходьте в мережу тільки під обліковим записом з обмеженими правами. Для инета вам адмінських права не потрібні, а от багатьом шпигунам для своєї маскування навіть дуже. Багато без них навіть не запустяться. І ставте свіжі заплатки від MICROSOFT. Не заводьте чужі аттачі до листів. Пам'ятайте, що програму можна замаскувати під картинку, або навіть текстовий документ. Ніколи не використовуйте файли надіслані вам незнайомими людьми.

6 крок

Злом поштового сервера

Не секрет, що в будь-яких великих проектах завжди існують баги. Питання тільки в тому, наскільки вони небезпечні, і як оперативно адміністрація сервісу стежить за безпекою. Що вже говорити про поштових сервісах середньої руки, коли свого часу помилки в безпеці були знайдені навіть на гігантах начебто MAIL .RU. Найпоширеніші помилки полягають у можливості инжектировать в виконувані скрипти свого коду, що призводять до тієї або іншої дії. Наприклад, за допомогою знайденої помилки, хакер може змінити код HTML документа на сервері, вмонтувавши свій.

Захист. Від злому поштового сервера вас не захистить ніщо. Раджу вибирати для своєї пошти лише великі поштові служби. Вони своєчасно оновлюють свій серверний софт і стежать за безпекою поштової системи. Зараз багато хто користується поштою через Web інтерфейс. Та не сперечаюся - це "красиво і зручно". Але! Забирати пошту по протоколах POP3 або IMAP за допомогою того ж The Bat - швидше, і головне безпечніше.

7 крок

Програми для злому пошти

Єдиними представниками програм подібного роду є т.зв. брутфорсер паролів. Брутфорс (від англ. Brute force) - програма заснована на методі «грубої сили» Така програма простим перебором або по словнику намагається авторизуватися на поштовому сервері. Принцип їх роботи гранично простий. Якщо пароль не підходить, програма пробує новий пароль, і так до тих пір, поки вірний пароль не буде знайдений. Проте, реальність далека від ідеалу. Швидкість перебору цілком залежить від ширини каналу. При виділенка вас чекає величезний Інтернет трафік. Якщо пароль складний, і не менше 6 символів, ціна у випадку удачі виявиться занадто високою. Плюс до цього зараз практично скрізь використовуються системи, що роблять брутфорс паролів неможливим в принципі. Після кількох невдалих спроб авторизації, вас просто пошлють лісом. Такі програми використовують лише в тих випадках, коли підбирається пароль хоча б частково відомий, або ви приблизно знаєте його довжину і зміст.

Захист від брутфорса - описана в інструкції №1.

8 крок

Існує ще безліч різних способів, які можуть застосувати проти вас - але все це комбінації різних варіантів описаних вище.

І так, давайте узагальнимо, і коротко повторимо що потрібно знати, для захисту ящика:

1) Для кожного сайту або ящика придумуйте унікальний, як можна більш складний пароль.
2) Ніколи не відкривайте в онлайні листи від незнайомих людей. Збережіть цей лист у вигляді html документа, вимкніть з'єднання з інтернетом і перегляньте його вміст.
3) Чи не завантажуйте файли, не переходьте за посиланнями отриманим від незнайомих людей.
4) Завжди завершуйте свою сесію кнопкою "вихід"
5) Не відповідайте на листи від "адміністрації проводить масову переорганізаціонноіндіфікаціонную обробку користувачів, і вимагає вашої реактивації". Нікому не кажіть і не посилайте свої паролі. Пам'ятайте - адміністрація без всякого пароля може змінити дані вашого облікового запису.
6) Використовуйте перевірені поштові сервіси.

І ще - может случиться так, что все ж кракер доб'ється свого. Тільки Уявіть - стороння людина отрімує доступ до Вашої особістої лістуванні. Я рекомендую, відаляті всі листи зі своєї поштової скриньки. Прийшов вам лист від одного - прочитали, якщо воно важливе зберегли в вигляді html документа і видаліть з самого ящика. Також видаляйте всі листи активації. У них містяться не тільки посилання на сайт де ви зареєстровані, але і паролі до акаунтів. Тільки уявіть, що замучений зломом кракер домагається своєї мети, дізнається пароль, заходить в поштову скриньку в надії "почитати що-небудь цікаве", а там зовсім порожній ящик. Облом, і важка форма психічного розладу йому забезпечена :)