Итак из первой части статьи о защите аккаунта мы уже знаем, что почтовые ящики и разного рода другие аккаунты вскрываются в основном не какими-то хитроумными хакерскими программами, а обычными людьми без применения каких-то специальных программ. В первой части мы рассматривали как правильно выбрать пароль, чтобы защититься от подбора пароля, и где его надо хранить. А в этой части рассказывается, как пользователи сами сообщают злоумышленникам свои пароли.
Если считать, что пароль, это ключ от квартиры, то в первой части рассматривалось как выбрать замок со сложным ключем, чтобы нельзя было подобрать ключ, и где хранить этот ключ, чтобы его не могли найти под ковриком у двери..
Тогда в этой части статьи рассматривается, как сделать так чтобы самим добровольно не отдать свой ключ от квартиры.
Кажется очень невероятным, что можно вот так добровольно сообщить свой пароль какому-то постороннему лицу. Однако это так. По статистике взломов аккаунтов на втором месте (после подбора простых паролей) идет выдача своих паролей. Оказывается, что гораздо проще заставить пользователя самому сообщить свой пароль, чем глубоко изучать программирование и искать уязвимости в защите почтовых серверов.
Самая примитивная вещь, на которую ловится немалое количество новичков в Интернете состоит в следующем. Злоумышленник пишет жертве письмо, в котором от имени администрации почтового сервера сообщает, что на сервере началась перерегистрация всех почтовых ящиков пользователей с целью закрытия брошенных почтовых аккаунтов. Пользователю предлагается в течении трех дней (недели, месяца) подтвердить свой аккаунт, иначе его почтовый ящик будет навсегда закрыт без права восстановления. Для подтверждения своего аккаунта надо ответить на это письмо и в письме указать свой логин и текущий пароль.
Как ни странно, но на эту примитивную вещь ловятся некоторые начинающие пользователи Интернета. Они тут же отвечают на это письмо и в ответе сообщают свой пароль. При этом они даже не смотрят на адрес отправителя письма. Но в принципе злоумышленник может зарегистрировать адрес похожий на адрес администрации или подделать чужой адрес хакерскими методами. Поэтому, в общем случае, адрес письма не является показателем его "чистоты".
Более распространено, когда злоумышленник в подобном письме для солидности просит для подтверждения аккаунта перейти по ссылке. После такого перехода пользователь оказывается на каком-нибудь сайте, который не имеет никакого отношения к почтовому серверу. Часто дизайн той страницы, на которую попал пользователь чем-то напоминает дизайн главной страницы почтового сервера. Там пользователю предлагается заполнить форму, в одно из полей которой он должен вбить свой пароль. Для напускания "пыли в глаза" там бывает нужно поставить галочку против фразы "Я хочу сохранить свой ящик" или фразы "Прошу удалить мой ящик" и набрать цифры показанные на "кривой картинке". (На самом деле пароль отошлется в любом случае, даже если Вы не поставите галочку и не наберете цифры, а форма для маскировки будет просить Вас повторить попытку.)
Проект otvet.mail.ru злоумышленники используют для отслеживания таких пользователей. Как правило, это Ученики у которых трудности при входе в аккаунт и которые не могут вразумительно объяснить характер этих трудностей. Так распознается новичек в Интернете, который психологически готов поверить, что сейчас с ним будет общаться кто-то из администрации и расскажет ему, что там происходит на сервере.
Чтобы не попадаться на подобные уловки надо всегда помнить, что никогда и ни при каких условиях администрация бесплатных почтовых серверов не просит пользователей сообщать свои пароли.
Ну а для тех, кто помнит об этом, но не слишком внимателен, придуманы более изощренные ловушки для добровольного сливания своего пароля. Один из методов выглядит следующим образом.
К Вам приходит письмо, в котором сообщается, что к Вам пришла открытка. Письмо имеет точно такой же дизайн, как и письма от проекта "Открытки" на портале mail.ru. Вы, как обычно, нажимаете на ссылку, которую принимаете за ссылку перехода на проект "Открытки". И в этот самый момент Вас выбрасывает на авторизацию. Вы вводите свой пароль и нажимаете на кнопку "Войти". Для полной подставы Вам покажут какую-нибудь невзрачную открытку с окружающим ее дизайном под проект "Открытки". Все равно Вы не заметите, что находитесь не на сайте открыток, если перед этим Вы не заметили, что форма авторизации была не на mail.ru.
Способы заставить Вас слить свой пароль злоумышленникам могут быть и другими, но суть та же самая, это отправить Вас на сайт, который имитирует своим стилем и дизайном какие-нибудь официальные страницы портала mail.ru, чтобы ввести Вас в заблуждение и заставить отправить форму с паролем.
Нужно внимательно смотреть, на какие сайты Вы переходите по ссылкам в приходящих к Вам письмам и на каком сайте происходит процесс авторизации.
Злоумышленники используют проект otvet.mail.ru для отслеживания тех пользователей, которых часто выбрасывает на авторизацию.
...
Итак, в первой и во второй частях этой статьи рассказывается о том, как происходит взлом аккаунта пользователя по вине самого пользователя, а не по вине программистов почтовых серверов, которые просматрели какие-то уязвимости в защите.
...
Май 2009г
...