ДОРОГИЕ ДРУЗЬЯ! В последнее время участились случаи взлома паролей на
сайтах. Многие из Вас так же, как и я, получали нелепые и неожиданные
предложения вроде бы как от Ваших друзей. Все это - работа спамеров и хакеров. Как себя защитить - делюсь присланной мне информацией.
НИНА Ш. 08-12-2009 21:00 Предлагаю Вам ознакомиться с моим руководством по борьбе со взломами страничек и спамом. Уверен, что для многих из Вас эта информация может оказаться полезной.Сначала давайте познакомимся с видами атак на Ваши странички, механизмами и стоящими за ними целями. Как Вы понимаете,ничто в нашем мире не происходит просто так, а предупрежден- значит вооружен.
Вот далеко не полный список атакующих посланий, которые относятся к разряду "социальной инженерии", то есть попросту говоря, имеют цель ввести Вас в заблуждение и принудить к некоторым действиям:
1). Привет! Ты уже знаешь про акцию мэйла??? Они пополняют на халяву деньги на сотовом, и мне уже пришло 271 руб, зайди в этой ссылке.
2). Привет недавно нашел в мире ссылку, открыл и увидел, что про тебя там такую фигню наплели и выложили не самые лучшие фотки, можешь мне это объяснить? Нажми Сюда и увидишь, честно говоря я ужаснулся(((
3). Здорова, тут на сайте бесплатно стикеры раздают, уже 16438 человек получило, и я тоже))) просто Сюда щелкни и увидишь!
4). Привет! Скачай вип агент новый, очень много смайликов и мультов! не пожалеешь!!! (ссылка)
5). Привет! посмотри это фото, меня впечатляет!!! (ссылка)
6) Это админ мэйлру, с вашего адреса рассылается спам, подтвердите свою регистрацию при помощи СМС.
Как Вы понимаете, пароль напрямую своровать у Вас из компьютера не возможно, он хранится в зашифрованном виде в формате MD5? и чтобы раскодировать его требуется работа примерно 30 компьютеров в течении 30ти дней.. Естественно, что никто этим заниматься не будет - не выгодно. Следовательно, нужно заставить Вас самих его отдать. Известно два самых распространенных способа хищения пароля.
1. Вы вводите его сами на подставном сайте, который может выглядеть как угодно - это же интернет.
2.Переходите по специально подготовленной ссылке с вложенным яваскриптом,который передает содержимое кеша Вашего компьютера на почтовый ящик злоумышленника. Если Вы ставите на своем компьютере галочку "запомнить меня на этом сайте", то в кукисах остается хеш Вашей сессии связи с сервером от Вашего имени. Именно этой сессией потом и пользуется злоумышленник, чтобы разослать с Вашей странички сообщения, якобы от Вас.
Для этого и применяются все ранее описанные письма. То есть. Важно понять:НЕ ВАС ВЗЛАМЫВАЮТ, а вы сами добровольно отдаете свои данные в руки мошенников.
Теперь немного о целях и механизмах мошенничества в целом. Цель, как Вы сами понимаете, проста - Ваши деньги. Как у Вас их взять? Достаточно легко - заставить отправить СМС на определенный номер или совершить звонок. Само собой, под самым благовидным предлогом: пополнить Ваш счет на телефоне, прислать бесплатные стикеры, рейтинг в контакте и т.д. Самое подлое, на мой взгляд, следующее:
НУЖНА КРОВЬ ОЧЕНЬ РЕДКАЯ ГРУППА ПОМОГИТЕ, НЕ НАЗВАНИЙ НАСЕЛЕННОГО ПУНКТА НЕ НОМЕРА БОЛЬНИЦЫ И ФАМИЛИИ НУЖДАЮЩЕГОСЯ РЕБЕНКА. Телефон - обычная телефонная ловушка, звоните туда и с Вашего счета списывается крупная сумма.
Следующий пункт, как Вам такое сообщение прислать? Для этого используются странички Ваших друзей, чтобы их авторитет не вызвал у Вас сомнения. Расскажу на примере: Вы захотели новый ВИП агент, и авторизировались на подставном сайте вип . бонус. мэйл или как-то так. Теперь у злоумышленников есть логин и пароль от Вашей странички. Далее, злоумышленник посылает Вашему другу Васе сообщение, типа деньги раздают, мне баланс пополнили. Но Вася-то думает, что это Вам пополнили, и Вы ему врать не будете. Далее, остается бедный Вася, с солидным минусом на телефоне, и очень злой на Вас! И правильно между прочем злой, ведь это Вы отдали свой пароль злоумышленникам, думая, что Вам подарят крутой ВИП агент. Кого теперь винить, как не себя?
