Не важливо з яких причин, у вас з'явилася необхідність зламати пошту. Не будемо розмазувати сопливий текст забитими фразами про те, що, можливо, вам потрібно дізнатися, чи зраджує вам друга половинка або що-небудь типу планів конкурентів по бізнес. Нам абсолютно все одно. Якщо ви хочете отримати результат в короткі терміни, якісно виконану роботу, замовте злом поштової скриньки у професіоналів.
>>> ЗАМОВИТИ ЗЛОМ ПОШТИ
Припустимо, ящик, пароль якого ви хочете отримати, знаходиться на сервісі mail.ru. Відзначимо, що ящики виду @ bk.ru, @ list.ru, @ inbox.ru так само відносяться до сервісу mail.ru.
Отже, вам відомий логін ящика. З чого почати?
Для початку варто перевірити, чи існує взагалі цей ящик, а так само використовується він.
Є два способи:
Перший - забиваємо пошту в «Додати контакт» в програмі Mail.ru Агент, якщо пошта існує, ми побачимо реєстраційні дані власника ящика - Ім'я, Прізвище, псевдонім, дату народження, країну, місто. Mail.ru люб'язно надає нам ці дані без всяких обмежень (зверніть на це увагу при реєстрації власної пошти).
Ця інформація відображається не завжди, тому що може бути прихована власником облікового запису настройками безпеки, але за замовчуванням інформація є відкритою. Перше, що варто зробити, спробувати в якості пароля дату народження власника ящика. На сьогоднішній день комбінація пароля з дати народження зустрічається рідше, ніж кілька років тому (це пов'язано з введенням заборони на установку простих паролів при реєстрації на mail.ru), але все ж використовується значним числом користувачів пошти. Спробувати підібрати пароль до пошти можна кількома комбінаціями. Наприклад, вказана дата народження 14 грудня 1985. Пробуємо авторизуватися під наступними комбінаціями паролів: 14121985, 141285, 14.12.85, 14.12.1985, 14/12/1985 і т.д. Хоч і не великий, але шанс є.
Другий спосіб, дізнаємося, чи відвідує власник, потрібний нам ящик. Заходимо на http://e.mail.ru/cgi-bin/passremind і вводимо необхідний логін. Якщо система пропонує нам відповісти на секретне питання, і поле для введення відповіді є, це означає, що в останні 3 доби ящик ніколи не відвідували. Тим не менш, це ще не означає, що ящик зовсім занедбаний, може власник поїхав на триденний пікнік і йому не до пошти зараз.
Якщо ящик відвідували за останні три дні, то ми побачимо про це повідомлення, замість пропозиції відповісти на секретне питання. Злом пароля пошти через секретне питання ми не розглядатимемо, тому що тут все зрозуміло - згадуємо, як звуть собаку цієї людини, крадемо його документи, що б з'ясувати номер паспорта або дівоче прізвище матері. Це варварський метод, тому що пароль на ящику зміниться і господар пошти, природно, зрозуміє, що у нього зламали пошту. Наша мета - зламати пароль на пошті не змінюючи пароль, тобто отримати пароль електронної пошти, яким користується її власник.
Отже, нам відомо, що на пошту заходять хоча б зрідка.
Розглянемо актуальні на сьогоднішній день способи злому пошти .
Злом пошти фішингом (фейком).
Найдієвіший спосіб дізнатися пароль електронної пошти - це фішинг (phishing). Це вид шахрайства в мережі інтернет, метою якого є вивудити з користувача необхідну конфіденційну інформацію, в нашому випадку логін і пароль поштової скриньки. При фішинговою атаці користувач потрапляє обманнним шляхом на фейковий (підроблену) сторінку, своїм зовнішнім виглядом повністю ідентичну сторінці авторизації в пошті. Як тільки користувач вводить пароль на цій сторінці, дані тут же пересилаються в нашу базу. Зробити таку сторінку не складає труднощів, досить зберегти на свій хостинг оригінал сторінки авторизації поштового сервісу і модифікувати форму обробки вводяться на сторінці даних.
У більшості випадків фішинг використовується спільно з методом соціальної інженерії. Адже, що б користувач потрапив на фейковий сторінку і ввів там дані, його потрібно на неї заманити, природно, обманним шляхом. Соціальна інженерія має на увазі під собою психологічну атаку на користувача комп'ютера, власника поштової скриньки. Наприклад, людина отримує лист від служби підтримки поштової системи з інформацією про те, що його пошта заблокована з деяких причин (надійшли скарги на спам, неправомірні дії, закінчилося місце для зберігання файлів і т.д.). Психологічно грамотно складений текст, розстановка слів, постановка фраз, поставлені в потрібному місці логотипи та інші моменти можуть ввести навіть досвідченого користувача в оману і навести на нього паніку, і він не замислюючись клацне по посиланню в листі, що б уникнути, як йому здається, втрати або блокування поштової скриньки. І ось, користувач вже фейковий сторінці вводить свій пароль. Після, потрібно заспокоїти користувача і показати йому повідомлення, що тепер все в порядку, пошту ніхто видаляти не буде, і можна спокійно далі нею користуватися.
Звичайно, на такі листи вже «клюють» далеко не всі користувачі, тому що за останні роки подібного роду метод обману широко використовувався для злому акаунтів. Поштові сервіси попереджають своїх користувачів, про подібні прийоми, та й з розвитком інтернету люди стають більш грамотні і обізнані про основи мережевої безпеки.
Однак, завжди можна знайти спосіб приспати пильність і відвернути користувача. Фішингову посилання можна замаскувати під лист від сервісу, який часто використовується людиною, або зробити лист повністю ідентичне письму, до якого нібито прикріплені документи, файли, зображення. Клікнувши на прикріплений документ користувач потрапляє на фейковий сторінку, де повідомляється про обрив сесії, необхідності авторизуватися повторно для скачування документів.
Головне, що б всі елементи атаки були максимально схожі на справжні, які нічим не відрізняються лист і сторінки авторизації від оригінальних, виглядали правдиво, не викликали підозр. Важливо, що б після введення пароля користувач отримав те, чого він чекав, а саме отримав можливість завантажити ці самі документи, або потрапив на сторінку сайту, від якого отримав лист, а потім закрив його і продовжив займатися своїми справами.
Це все теорія. Розглянемо докладніше, як зламати пошту на майл або Яндексі за допомогою фішингу.
Для початку нам потрібен свій хостинг і домен. Хостинг можна купити найдешевший за 50-100 рублів, головне що б він підтримував php. Домен потрібно підібрати зовні схожий на адресу, що атакується поштової системи. Якщо ми хочемо зламати mail ru пошту, то потрібен буде домен, схожий на адресу e.mail.ru, наприклад, e.rnail.ru, e.mail-login.ru.
Що б зламати яндекс пошту потрібен буде домен, схожий на адресу Яндекса, відповідно.
Далі потрібно залити на хостинг готову фейковий сторінку. Можна зробити її самому або знайти вже готовий фейк на хакерських форумах.
Тепер нам потрібно скрипт анонімної відправки пошти, щоб відправити лист від служби підтримки або від будь-якого користувача. Лист потрібно скласти без граматичних помилок і максимально схоже на справжнє, розмістити посилання на фейк сховавши її під тегом «a href», видавши за справжню. Надіслати лист і чекати, коли користувач прочитає.
Все вищеописане, звичайно, наводиться в загальних рисах, адже, що б виконати злом пароля пошти майл ру, яндекс і будь-який інший, потрібно провести аудит поштової системи, знайти вразливі моменти в безпеки сервісу, що б наш лист не потрапило в папку «спам» , не було відфільтровано, правильно відображалося в ящику. Поштові сервіси активно борються з фішингом і всіляко перешкоджають розсилці подібних листів, попереджають користувача про перехід по замаскованим посиланнях, блокують вміст листів. Якщо у вас немає часу або можливості вивчати ці моменти, шукати методи обходу, замовити злом пошти краще компетентних фахівців, які анонімно і без слідів виконають злом.
>>> Замовити злом поштової скриньки <<<
Злом пошти за допомогою xss. 
Xss розшифровується, як Сross Site Sсriрting - «межсайтінговий скриптинг». Суть атаки полягає у впровадженні в видається користувачеві сторінку шкідливого коду, який виконає зазначені нами дії. Xss це вразливість в коді поштової системи, що дозволяє запустити і виконати java script код. За допомогою нього ми можемо отримати сесію авторизованого користувача, а саме cookies файли, в яких міститься інформація, скориставшись якою можна потрапити в пошту навіть не маючи пароль на скриньку. Це можливо тільки, якщо пошту перевіряють через браузер. При авторизації в поштовій скриньці, сервером генеруються cookies файли, які зберігаються в браузері, даючи йому зрозуміти, що ми авторизовані в пошті, і браузер не запитує пароль при відкритті кожної наступної сторінки або листи в поштовій скриньці. Отримавши ці файли, і підмінивши їх в своєму браузері ми можемо потрапити в пошту жертви, як ніби ми в ній вже авторизовані, хоч і пароля у нас немає.
Існує два типи xss атак - пасивні (відображені) xss і активні (стійкі, зберігаються) xss.
Пасивна xss спрацьовує, коли користувач клацає на спеціально сфабриковану посилання, наприклад стара xss на mail.ru
http://wap.lordmancer.mail.ru/index.php?p='>script type = text / javascript src = url> / script
тобто клікнувши по такому посиланню, у користувача запуститься необхідний вам код. Xss, найчастіше, непомітно вбудовують за допомогою iframe в відвідувані користувачем сайти, і ніхто не помічає, як спрацьовує xss. Користувач просто відкриває сторінку сайту або ваше спеціально соформірованное лист, а його cookies пішли на ваш скрипт.
Ви можете виконати будь-який код, найпопулярніше, це вкрасти cookies session (Mpop) користувача і увійти в пошту не маючи пароля. Однак, в даний момент все не так просто, служба безпеки mail.ru всіляко намагається захистити своїх користувачів від подібних загроз. Деякий час назад для успішної авторизації в пошті mail.ru було досить лише одного запису куки Mpop, і дістати її не складає проблем, маючи в арсеналі xss вразливість на mail. Однак, на сьогодні, що б зайти в пошту по cookie, потрібні додаткові cookies (HttpOnly), які неможливо отримати за допомогою javascript, тобто за допомогою xss тепер немає можливості отримати необхідні для авторизації cookies.
Але все одно xss в т.ч. пасивні несуть велику загрозу, маючи широкі можливості в застосуванні. Можна, наприклад, запустити exploit-code, який, використовуючи вразливості браузера і встановленого на комп'ютері користувача софта, може приховано і непомітно для користувача встановити троянську програму, шпигуна, що завгодно. Це стосується і власників смартфонів, особливо Android, вони найбільш уразливі до подібних атак.
Активна xss може зберігатися на вразливою сторінці сайту і спрацьовувати кожного разу, коли користувач відвідує цю сторінку. У разі електронної пошти активні xss несуть в собі велику загрозу для безпеки користувача і великі переваги для атакуючого. Якщо виконати xss scipt в листі, то для викрадення cookies нам буде достатньо, щоб споживач просто відкрив наш лист в браузері і нічого більше. Подібна вразливість дає великий простір для дій хакера, зламати пошту навіть дуже обережного і досвідченого користувача стає в рази простіше. Можна запустити скрипт, який при відкритті листа видасть користувачеві відразу нашу фейковий сторінку авторизації, причому адреса в адресному рядку буде справжній, а сторінка підроблена. Активні xss в поштових сервісах зустрічаються не часто і є вкрай цінними уразливими, тому виявити їх досить таки складно. Поштові сервіси встановлюють фільтри, які забороняють виконанні будь-якого java коду в тілі листа, суть актівкі полягає в обході цього фільтра.
3. Злом пошти Брут (брутфорс, bruteforce)
Суть методу в тому, що б підібрати пароль до пошти. Метод перебору ( «грубої сили»). Для атаки використовується спеціальна програма для злому пошти - брутфорс. Програма використовує заздалегідь підготовлений вами словник слів, цифр, поєднань, вообщем словник паролів. Програма бере кожен пароль зі словника і пробує авторизуватися з цим паролем в заданий поштову скриньку. Даний метод стає менш результативним і популярний у зв'язку із забороною поштовими сервісами встановлювати на електронну пошту простий пароль. Такі паролі, як qwerty, sanek123, дати народження та подібні легко підібрати брутфорсом, тому що такі поєднання в паролі легко запам'ятовуються користувачем і є дуже популярними паролями, їх легко зламати. Такий пароль, як SanEk03n підібрати брутфорсом нереально, тому що використовується випадкове поєднання верхнього і нижнього регістра букв, а так само випадкові цифри, такого пароля просто не може бути в словнику.
Ще однією серйозною складністю для здійснення атаки Брут є заборона поштових сервісів на множинні спроби авторизації одного і того ж облікового запису або з однієї IP адреси. Тобто, наприклад, після 10-20 спроб залогінитися з різними паролями, поштові сервіс забанити ваш IP, або буде видавати капчу (captcha), картинку, вміст, якій потрібно буде вводити в специално поле при наступній спробі авторизації. Для уникнення бана по IP адресою при Брута пошти часто використовують великий список проксі (proxy) серверів, в деяких випадках це допомагає вирішити проблему бана, однак брут пошти відстежується і прісекается службою безпеки поштового сервісу, що атакується ящик можуть заблокувати або, знову ж таки, може з'являтися капча.
Однак, все одно можна знайти спосіб як зламати пошту методом перебору пароля. Знайти вразливість в авторизації поштового сервера на сьогоднішній день цілком реально, знайдені помилки в безпеці дозволяють успішно і швидко виконати злом пошти майл або майл ру брутфорсом, навіть без використання проксі. Зламати яндекс пошту методом перебору складніше, ніж маїл, без проксі не обійтися.
Спосіб злому пошти Брут є ефективним, в разі, якщо поштова скринька покинутий власником, і немає можливості виконати фішингову або xss атаку. Але, якщо пароль складний, ймовірність розкрити пароль поштової скриньки зводиться до нуля.
Php?
