Дыры в безопасности почтовых сервисов

Дыры в безопасности почтовых сервисов

Даже максимально защищенный почтовый ресурс от разнообразных методов взлома обладает уязвимостями. Последние нередко оказываются заложенными в программную часть сервисов и этим пользуются хакеры с неодинаковой подготовкой. Вот несколько очевидных моментов, которые могут использовать взломщики:

  • на странице настроек видны все данные учетной записи (их можно просто подсмотреть, у предварительно отвлеченного пользователя);
  • возможность замены пароля без ввода действующего (это большая редкость, но все еще встречается);
  • подсмотреть password, используя javascript, этим же способом меняют альтернативный ящик;
  • украсть ответ на секретный вопрос и получить настоящий пароль не на почте, а прямо в строке набора.

Это наиболее очевидные возможности, которые предоставляют сервисы потенциальным взломщикам по умолчанию.

Защищенность почтовых сервисов, неужели все так плохо

Разработчики программ для взлома почты не дремлют, находят и более серьезные бреши практически на всех доменах Рунета, в том числе защищенных с помощью патентованных систем Microsoft Exchange Server, Lotus Domino, postfix.

Некоторые детали вскрытия упираются в сам принцип передачи данных и используемых при этом вариаций таких параметров:

  • протоколов;
  • операционных систем;
  • установленных режимов аутентификации (только пароль, звонок, смс, меняющая последовательность действий).

Работая над софтом, который должен защищать информацию от взлома, в том числе и почтовых ящиков, программисты неизбежно сталкиваются с уязвимостями. Это необходимость синхронизировать данные, вероятность доступа к одному ящику сразу нескольких лиц.

Например, протоколы IMAP4 и POP3. Последний, допускает к использованию только одного клиента, при этом значительно снижает риск успешного хакинга, во всяком случае не каждая программа подберет ключи к Bat! или Outlook. Однако наличие всех возможностей первого протокола иногда настолько важно для пользователей даже в масштабах корпоратива, что становится приоритетным независимо от величины риска применения.

Брешь, без которой не может существовать мир

Решение о выборе протокола обычно принимается из соображений того, что наибольшей уязвимостью всех почтовых сервисов считается человеческий фактор.

Открывая электронный ящик, пользователь берет на себя обязательство не передавать данные учетной записи третьим лицам. При этом не уточняется, что делать если логин и пароль были украдены злоумышленниками. Сегодня это легко осуществить с использованием всплывающих окон, отправкой писем и приглашением посмотреть открытки. При переходе по ссылке, только проснувшийся пользователь, молчаливо вводит данные учетной записи, которые прямиком отправляются в руки хакеров или становятся добычей программ для взлома почтовых ящиков.

Программа Stormohacker также использует такие методы, когда в ее алгоритме отображается, что это простейший путь к получению учетной записи жертвы.

Приглашение специалиста не всегда ведет к успеху, скорее к разоблачению

Обращаясь к профессиональным хакерам, клиенты сильно рискуют быть раскрытыми. Ведь формально взлом любого аккаунта, даже собственного рассматривается, как уголовное преступление. Однако на рынке кибер услуг есть спрос и предложение в этом направлении.

Обычно хакер интересуется наличием доступа к чужому компьютеру, где в основном используется почтовый ящик, который хочется взломать. Расчет идет на заброс кейлоггеров, считывающих информацию с наиболее часто нажимаемых клавиш, их комбинаций. Также есть утилиты, считывающие информацию из памяти компьютера в считанные секунды. Они позволяют получить целую базу данных, составленную по самым посещаемым страницам, в том числе банковским.

Но эти методы становятся не эффективными, если на телефоне или компьютере установлена антипрослушка или вовсе используются скремблер. После этого хакеры пробуют использовать собственные методы без привлечения к участию оборудования жертвы. Однако при серьезной защите программного обеспечения, хотя бы с помощью той же программы Stormohacker, гарантирующей полную анонимность в сети, поиск уязвимостей, которыми реально можно воспользоваться, не даст положительного результата.