Как воруют пароли

22.07.2015

14637

Как хакеры крадут пароли и похищают личные данные. Социальная инженерия. Кража cookie. Клавиатурные шпионы. Брутфорс.

Как взламывают и воруют пароли в интернете

На какие только ухищрения не идут злоумышленники, чтобы выкрасть у пользователя пароли к всевозможным сетевым ресурсам — страничкам в соцсетях, играм-онлайн, платёжным системам. Статистика кражи личных данных в сети пестрит тревожными цифрами. Чтобы не оказаться в числе жертв, потерявших свои аккаунты, давайте рассмотрим основные методы воровства паролей, которые используют хакеры — социнженерию, подбор паролей перебором (брутфорс), внедрение клавиатурных шпионов и перехват куки. Имея представление об этих зловредных «технологиях», им можно достаточно эффективно противостоять, соблюдая должный уровень безопасности и конфиденциальности личных данных.

Расписная малюра — маленькая птичка из семейства воробьиных — защищает своё драгоценное потомство от подброшенных кукушек-паразитов, ни много ни мало, с помощью пароля. Как только её птенцы появляются на свет, она тут же учит их воспроизводить уникальную трель. Естественно отпрыски нахальной родительницы-кукушки ничего об этой «песне» не знают, так как вылупляются на 2-3 дня позже.

Торжество справедливости и отмщения наступает в период кормёжки. Птенчики малюры, завидев приближающихся к гнезду родителей с вкусняшками в клюве, начинают, что есть силы трезвонить, ту самую трель, которую их научили петь в первые дни жизни. Получают еду, только исполнители «родного мотива» — законные наследники, а птенцы кукушки остаются ни с чем и вскоре умирают от голода.

На первый взгляд животрепещущая картина природы, но как она похожа на бескрайние просторы цифровых джунглей Интернета: и тут есть пароли; и тут есть персонажи — злые и добрые — хакеры и обычные пользователи.

Итак, уважаемый читатель, чтобы сберечь свои заветные логины и пароли, от подлых людишек, конечно трели вам разучивать не придётся. Но вот ознакомиться со способами похищения личных данных, совсем не будет лишним... Хотите мира? Готовьтесь к войне!

Социальная инженерия

Главные орудия злоумышленника в этом способе - наивность и чрезмерное любопытство пользователя. Никаких изощрённых программных методов, коварных вирусов и прочих хакерских технологий.

Злодей, зная только логин от почтового ящика, вводит его в форму входа на сервис. А затем сообщает системе, что забыл пароль. На мониторе высвечивается контрольный вопрос — взломщик не знает на него ответ, но уже знает его содержание. Вот тут-то и начинается самое «интересное»: на основе темы вопроса он отправляет жертве «хитрое письмо», в котором в завуалированной форме пытается выведать правильный ответ. Коварное послание может выглядеть примерно так: «Добрый день! Мы, кулинарный сайт такой-то, ..... и т.д. А какое ваше любимое блюдо?» И это лишь отдельный пример. Ухищрений такого рода «гуляет по сети» великое множество. Подробнее о социальной инженерии мы писали в этой статье. Так что смотрите в оба, читая письма!

Кража куки (cookie)

Куки (от англ. «cookie» — печенье) — файл с данными сессии, которые веб-сайт сохраняет в браузере пользователя. В нём, в захешированном виде, хранятся логин, пароль, id и прочая информация, к которой в процессе онлайн-работы периодически обращается ресурс.

Хакер, зная уязвимости конкретного сайта (форум, почтовый сервис, соцсеть), пишет специальный скрипт, который «вытягивает» куки из браузера жертвы и отправляет ему. Без участия владельца аккаунта, это «чёрное дело» не обходится, так как именно он должен запустить зловредный скрипт. Поэтому код, перед отправкой, оборачивается в специальную «приманку»: в картинку, завлекающее письмо, просьбу и т.д. Главная задача — чтобы жертва перешла по предложенной ссылке. И если это всё-таки случается, хакерский скрипт куки из браузера передаёт снифферу (перехватчику сетевого трафика), установленному на стороннем хостинге. И только потом направляет пользователя, куда ему было обещано в сообшении — на сайт знакомств, видеохостинг, фотогалерею и пр. Естественно, владелец аккаунта об этих манипуляциях ничего не подозревает — вероломная процедура занимает всего 5 секунд.

Используя украденные куки, хакер может завладеть сессией пользователя: вставить их в свой браузер и зайти в аккаунт жертвы с правами владельца. Ну, а если не получится, также может попытаться расхешировать пароль, сохранённый в файле куки. И если он (пароль) состоит из 5-6 символов, наверняка этому ему удастся. Хакеров не останавливает то, что алгоритм хеширования MD5 является односторонним, то есть его невозможно раскодировать. В данном случае они используют метод подбора: на специальных сервисах-онлайн ищут совпадения в словарях с готовыми результатами (парами). Например: MD5 «a865a7e0ddbf35fa6f6a232e0893bea4 » — это нечто иное, как «my_password».

Не ленитесь составлять длинные, сложные пароли! И вас эта беда минёт стороной.

Клавиатурные шпионы (кейлоггеры)

Программы, которые записывают в свой журнал клавиши, нажатые пользователем. Делают они это незаметно, ничем не выдавая своего присутствия в системе: ни в трее, ни в системных процессах, ни в реестре. Искусно написанный кейлоггер, и не каждый антивирус способен распознать.

Пользователь на инфицированном ПК, удобно расположившись у дисплея, мирно и размерено вводит с клавиатуры логин... , а затем и пароль - на одном сайте, затем на другом и т.д. А в это время кейлоггер «трудится в поте лица»: фиксирует данные, сохраняет их, шифрует, а затем отправляет ~~«хозяину»~~ злоумышленнику.

Противодействовать этому маленькому, но злому шпиону можно с помощью виртуальной клавиатуры и специальных утилит, заполняющих формы входа на сайты автоматически.

Брутфорс

Брутфорс - метод подбора пароля посредством перебора потенциально возможных вариантов из специального словаря. Брутфорс очень эффективен, когда длина пароля не превышает 5-6 символов, или он является простой последовательностью («11111») или словарным словом («monkey»). Подробно о брутфорсе мы писали в этой статье.

Чтобы оставить взломщика, использующего брутфорс, с носом, создавайте сложные пароли, пользуйтесь генераторами паролей.

Рассмотренные методы кражи и взлома - это лишь крохотная вершина опасного айсберга. На самом деле их куда больше. И более того, каждый день в сети появляются «новые решения», коварней и опасней прежних. Но все эти злодеяния, в той или иной степени, может остановить сложный пароль, а всем дочитавшим до конца эту статью дарим бонус - ссылку на полезнейший сервис Генератор случайных профилей и личностей:

Генератор профилей и случайных личностей.

С его помощью можно упростить процесс регистрации и авторизации на любых сайтах, форумах и соц. сетях. Для этого при регистрации на каком-либо сайте генерируем профиль, копируем из него нужные поля на сайт, удаляем ненужные поля в профиле, скачиваем и сохраняем на компьютере созданный профиль с пометкой названия сайта, где его использовали. Готово.

В следующий раз при авторизации на этом ресурсе достаточно открыть (с помощью ворда) файл с нужным названием и вуаля - вся необходимая информация о входе в аккаунт в одном месте.

Кроме этого, с его помощью можно придумать себе интересное фото на аватар для инстаграмма, Вконтакте и других соц.сетей.

Сохраняем в закладки, пользуемся и делимся в соцсети с друзьями!

Безопасности много не бывает, оставайтесь с нами!

Читать дальше: