Безопасность во vkontakte.ru. Способы «взлома» — кражи ваших аккаунтов и паролей.
 |
Автор: shullers
Опубликовано: 1072 дня назад (13 июня 2009)
Блог: Безопасность в сети
Рубрика: Без рубрики
|
0 Голосов: 0 |
На «ВКонтате.ру» и «Одноклассниках» сейчас зарегистрировано множество неопытных пользователей, которые могут легко стать жертвой злоумышленников. Если вы читаете этот блог, то вам наверняка уже известно многое из того, о чем я напишу ниже. Но не помешает проинформировать ваших менее осведомленных друзей и знакомых, ведь из-за кражи их аккаунтов можете пострадать и вы.
Итак, каковы самые распространенные способы «взлома» учетных записей, кражи паролей, почтовых ящиков, как их избежать и как действовать, если это все-таки случилось?
Для начала объясню, почему я пишу слово «взлом» в кавычках. Дело в том, что 99% так называемых «взломщиков» в действительности ничего не взламывают, то есть не пользуются уязвимостями на вконтакте.ру или вашей почте. Их там мало, они не общеизвестны, а тем, кто их находит, неплохо платят. Тот же Паша Дуров, по слухам, выдает несколько сотен баксов за найденные уязвимости на вконтакте.ру.
Так как же тогда крадут аккаунты социальных сетей, электронной почты? Да очень просто: вы сами отдаете свой пароль злоумышленнику. Итак, как это происходит.
1. Старый добрый фишинг.
Фишинг (англ. phishing, т.е. fishing — ловля рыбки) означает следующее: создается сайт, выглядящий точной копией другого сайта и имеющий похожий адрес (например, вконтатке.ру).
Тем или иным способом вас заманивают на этот поддельный сайт, и вы вводите там свой пароль. Вам, например, может прийти письмо, которое выглядит в точности как уведомление от ВКонтакте.ру о поступлении комментария к вашей фотографии. Но ссылка на комментарий в письме будет выглядеть примерно так: http://vkontakte.ru/блаблабла. Обратите внимание, что эта ссылка ведет вовсе не туда, куда вы думаете, а на google.com. Итак, вы заходите на поддельный сайт со схожим адресом, вводите свой пароль. Вас перенаправляют на настоящий сайт, а пароль остается у злоумышленника.
Мораль: прежде чем вводить пароль, внимательно изучите адрес в адресной строке браузера. Там действительно должно быть написано vkontakte.ru, а не vkontatke.ru.
2. Письмо от «администрации»
Вам приходит письмо или сообщение от администрации ресурса. В письме говорится о том, что произошла потеря данных на сервере, или производится перепроверка учетных записей, или что-то еще. Поэтому вас просят ввести свой пароль в форму ниже или отправить его в ответном письме.
При этом адрес отправителя похож на настоящий (administeration@mail.ru) или подделан. Действительно, проще простого отправить такое письмо, чтобы в поле «От кого» стояло «bill_gates@microsoft.com» или «medved@kremlin.ru».
Мораль: никто и никогда не спрашивает ваших паролей в письмах и не просит их куда-то ввести. Никогда.
3. «Вставьте этот код в адресную строку браузера и нажмите Enter»
Злоумышленник присылает вам некий код, который начинается с «javascript:document.write(”…», просит вас вставить его в адресную строку браузера и нажать Enter.
Легенда может быть разная, например, «Ваш аккаунт подозревается в массовой рассылке сообщений. Чтобы подтвердить, что вы не робот, вставьте этот код…». Или сообщение от друга: «На сайте есть классная фишка, такой хитрый прием, чтобы его сделать, вставляй этот код…». Сообщение может отправляться от имени вашего друга, чей аккаунт был украден.
Смысл в том, что этот код на самом деле является мини-программой на языке JavaScript, которая отправляет ваши cookies злоумышленнику. Эту программу можно вставить в адресную строку браузера или в ссылку. Пример: нажав сюда, вы отправите мне свой пароль к тому сайту, с которого вы сейчас читаете этот текст.
Мораль: видишь «javascript:» и длинный непонятный текст — не нажимай.
4. «Секрет Полишинеля» — не очень-то секретный секретный вопрос.
На многих сайтах, в т.ч. в электронной почте вы можете восстановить свой пароль, если вы его забыли, введя ответ на секретный вопрос.
Примеры очень неудачных секретных вопросов: «Моя любимая футбольная команда» — решается простым перебором из нескольких десятков вариантов. «Мой любимый телефонный номер», «номер моего паспорта», «мое любимое блюдо» — вы же не думаете, что эта информация секретна? Сейчас любой школьник может легко узнать номер вашего паспорта, цвет вашей машины и когда вас в последний раз задерживали за распитие распиточных материалов в общественных местах.
Ответы на другие вопросы можно банально выспросить у ваших друзей, завладев, например, вашим аккаунтом на вконтакте: «Что-то я подозреваю, что твой аккаунт взломали. Сейчас всех ломают. Докажи, что ты — это ты! Ну-ка скажи, какое мое любимое блюдо?».
Мораль: ответ на секретный вопрос должен быть действительно известен только вам, и никому больше. Даже вашему бойфренду — вдруг он захочет почитать вашу почту или отомстить? Удачная идея — писать вопрос «Какая девичья фамилия у моей матери?», а ответ — «двенадцать миллионов сорок две тысячи».
5. Мой компьютер — моя крепость.
Никто и никогда не должен получать доступ к вашему компьютеру. Поставьте пароль в BIOS на включение компьютера, на вход в вашу учетную запись Windows. Создайте отдельный аккаунт «Гость» с очень ограниченными правами и давайте его тем, кто хочет посидеть за вашим компьютером.
Чтобы украсть ваши пароли, достаточно просто заглянуть в браузер (в Firefox в окне настроек можно посмотреть все сохраненные пароли). А можно просто запустить с флэшки программу, которая за несколько секунд соберет вообще все пароли, какие только есть на вашем компьютере.
Когда даете кому-то свой компьютер настраивать и чинить, всегда стирайте все сохраненные пароли из браузеров, почтовых клиентов и т. п. Получив доступ к электронной почте своей знакомой, я с удивлением увидел, что кто-то другой регулярно просматривает ее емэйл — вероятно, какой-то друг, который зашел в гости и утянул пароль, или любовник.
Мораль: за компьютер никого не пускать, а если пускать, то только как «гостя». Даже если отходите на минутку, нажимайте клавиши Win+L, чтобы заблокировать экран. Прежде чем отдать компьютер для настройки или в ремонт, удаляйте все сохраненные пароли. Пользуйтесь почтой Google — внизу страницы там есть ссылка «Last account activity», где можно посмотреть, кто, когда и откуда заходил в вашу почту.
6. Мойте руки после посещения туалета.
Если вы пользуетесь Интернетом в интернет-кафе или у знакомых, обязательно меняйте пароль и секретный вопрос сразу же, как только у вас появится доступ к безопасному Интернету.
При входе в почту гугла пишите не http://mail.google.com, а https://mail.google.com — пароль будет передаваться в зашифрованном виде. Но это нисколько не спасает вас от программ, которые незаметно записывают все нажатия на клавиши (т.н. «кейлоггеры», например, безобидный, казалось бы, Punto Switcher).
Помните, что люди, работающие в Интернет-кафе — это нередко одинокие и асоциальные компьютерщики, у которых почитать чужую почту или позабавиться от чужого имени — одно из немногих развлечений в жизни. Поэтому они рады будут заполучить ваш пароль.
Сюда же относится и пользование флэшками на общественных компьютерах. Вставив ее в компьютер в университете или центре печатных услуг, вы можете получить на нее «весь букет вирусных заболеваний». Вставляя флэшку, побывавшую в чужом компьютере, немедленно проверяйте ее на вирусы. Никогда не открывайте флэшку двойным щелчком по ней — этим вы автоматически запустите вирус.
Мораль: засветив свой пароль в общественном месте, немедленно поменяйте его, как только будет доступ к безопасному Интернету. Бойтесь общественных компьютеров и флэшек, побывавших в них.
7. Пароли должны быть разные. Хотя бы для вконтакте.ру.
На vkontakte.ru вопиюще небезопасным образом организована работа с паролями. Поэтому обязательно ставьте на этом сайте другой пароль, не такой, как на вашей почте. Почему?
Во-первых, получив доступ к вашей почте (при этом, может быть, даже не зная вашего пароля к ней!), злоумышленник нажимает на vkontakte.ru ссылку «я забыл пароль», и ваш пароль приходит на емэйл в открытом виде. Пускай эта дикость будет на совести Дурова.
Во-вторых, пароль сохраняется в cookies в таком виде, который легко расшифровывается. Если кто-то все же украдет ваши cookies, где пароль хранится в немного зашифрованном виде, его, вероятно, все же узнают. (Для специалистов: «несоленый» хэш MD5, которому во многих случаях легко найти соответствие: из хэша 4ba37aa02fedc3d42fbb517ad6725484 получить пароль 96evgen30, например).
Мораль: на каждый сайт — свой пароль. Или хотя бы на vkontakte.ru. Дурню Павлову — настучать по башке за то, что не заботится о безопасности своих пользователей.
8. Бесплатный вайфай. Бесплатная мышеловка.
Поставив точку бесплатного беспроводного (Wi-Fi) доступа к Интернету, особенно в каком-нибудь популярном или густонаселенном месте, можно очень быстро собрать кучу паролей тех, кто этой халявой воспользуется. То же касается анонимной сети Tor (если не знаете, что это, то и не надо).
Мораль: правила те же, что и с интернет-кафе: меняйте пароль при первой же возможности, пользуйтесь HTTPS.
9. Файлообменные сети.
Когда вы устанавливаете себе программу для обмена файлами, например, eMule или DC++, вас просят указать те папки, которые будут доступны другим участникам. Нужно указать, например, папки с музыкой и фильмами. Но у вас на компьютере большая файлопомойка, и выбирать все папки лень, поэтому вы просто ставите галочку на диске C: и делаете его доступным всему интернету.
Запустите такую программу обмена файлами, введите в поиске, например, wand.dat — и вы сможете скачать файлы, в которых хранятся пароли нерадивых пользователей. Расшифровываются программой unwand.exe.
Мораль: пользуясь файлообменными сетями, делайте общедоступными только отдельные папки, а не весь диск.
10. Если ваша страница скрыта, это не значит, что никто не может просмотреть ваши фотографии и заметки.
Даже если вы скрыли свою страницу на vkontakte.ru от посторонних глаз, поставив доступ «только для друзей» или вообще «не показывать никому, удалить страницу», то все ваши фотоальбомы, заметки, друзей, группы, приложения и т. д. все равно можно будет посмотреть. (Кстати, удобно делать это с помощью браузера Firefox с дополнением Greasemonkey и скриптом vkPatch.)
Особенно опасно показывать всем ваш список друзей — злоумышленник может воспользоваться этим для выманивая сведений, денег, выяснения ваших данных и т. п.
Мораль: в настройках каждого фотоальбома выставляйте «только для друзей», в общих настройках приватности — не показывать список друзей никому.
11. Если у вас несколько емэйлов, не пользуйтесь функцией «мой дополнительный адрес».
Пример: в настройках одного емэйла вы указываете ваш другой емэйл. Завладев ящиком 1, злоумышленник нажимает «я забыл пароль» в ящике 2, получая на первый ссылку для изменения пароля ко второму.
Мораль: не вводите дополнительные адреса. На почте Яндекса укажите в настройках свой сотовый, и тогда злоумышленник, даже зная правильный ответ на секретный вопрос, будет бессилен — Яндекс пришлет код восстановления вам в виде СМС.
Что делать, если пароль от вконтакте.ру или почты все же украли?
1. Не кормите тролля. Не общайтесь со злоумышленником, не пишите угроз и гневных писем — это лишь еще больше его раззадоривает.
2. Немедленно предупредите ваших знакомых и родственников о том, что ваш аккаунт был скомпрометирован. Злоумышленник, пользуясь вашими данными, может обмануть ваших близких, занять у них деньги или попросить пополнить счет от вашего имени, позвонить родителям и сказать, что с вами что-то случилось и нужно срочно заплатить, и т. д. Это не шутки, могут серьезно пострадать ваши знакомые.
3. Если вы видите, что аккаунт вашего знакомого украли — удалите из друзей, чтобы злоумышленник не получил доступа к телефонам и другим сведениям на вашей странице.
Разумеется, очевидно, что на вашем компьютере не должно быть вирусов и ваш пароль должен быть не из 6-7 символов — как минимум 10, лучше 12-14 цифр, букв и знаков (обязательно, иначе легко будет расшифровать/подобрать!).
И помните: если у вас нет паранои, это не значит, что за вами не следят. Если вам кажется, что ваши пароли и ваши данные никому не нужны, вы жестоко ошибаетесь.
Итак, каковы самые распространенные способы «взлома» учетных записей, кражи паролей, почтовых ящиков, как их избежать и как действовать, если это все-таки случилось?
Для начала объясню, почему я пишу слово «взлом» в кавычках. Дело в том, что 99% так называемых «взломщиков» в действительности ничего не взламывают, то есть не пользуются уязвимостями на вконтакте.ру или вашей почте. Их там мало, они не общеизвестны, а тем, кто их находит, неплохо платят. Тот же Паша Дуров, по слухам, выдает несколько сотен баксов за найденные уязвимости на вконтакте.ру.
Так как же тогда крадут аккаунты социальных сетей, электронной почты? Да очень просто: вы сами отдаете свой пароль злоумышленнику. Итак, как это происходит.
1. Старый добрый фишинг.
Фишинг (англ. phishing, т.е. fishing — ловля рыбки) означает следующее: создается сайт, выглядящий точной копией другого сайта и имеющий похожий адрес (например, вконтатке.ру).
Тем или иным способом вас заманивают на этот поддельный сайт, и вы вводите там свой пароль. Вам, например, может прийти письмо, которое выглядит в точности как уведомление от ВКонтакте.ру о поступлении комментария к вашей фотографии. Но ссылка на комментарий в письме будет выглядеть примерно так: http://vkontakte.ru/блаблабла. Обратите внимание, что эта ссылка ведет вовсе не туда, куда вы думаете, а на google.com. Итак, вы заходите на поддельный сайт со схожим адресом, вводите свой пароль. Вас перенаправляют на настоящий сайт, а пароль остается у злоумышленника.
Мораль: прежде чем вводить пароль, внимательно изучите адрес в адресной строке браузера. Там действительно должно быть написано vkontakte.ru, а не vkontatke.ru.
2. Письмо от «администрации»
Вам приходит письмо или сообщение от администрации ресурса. В письме говорится о том, что произошла потеря данных на сервере, или производится перепроверка учетных записей, или что-то еще. Поэтому вас просят ввести свой пароль в форму ниже или отправить его в ответном письме.
При этом адрес отправителя похож на настоящий (administeration@mail.ru) или подделан. Действительно, проще простого отправить такое письмо, чтобы в поле «От кого» стояло «bill_gates@microsoft.com» или «medved@kremlin.ru».
Мораль: никто и никогда не спрашивает ваших паролей в письмах и не просит их куда-то ввести. Никогда.
3. «Вставьте этот код в адресную строку браузера и нажмите Enter»
Злоумышленник присылает вам некий код, который начинается с «javascript:document.write(”…», просит вас вставить его в адресную строку браузера и нажать Enter.
Легенда может быть разная, например, «Ваш аккаунт подозревается в массовой рассылке сообщений. Чтобы подтвердить, что вы не робот, вставьте этот код…». Или сообщение от друга: «На сайте есть классная фишка, такой хитрый прием, чтобы его сделать, вставляй этот код…». Сообщение может отправляться от имени вашего друга, чей аккаунт был украден.
Смысл в том, что этот код на самом деле является мини-программой на языке JavaScript, которая отправляет ваши cookies злоумышленнику. Эту программу можно вставить в адресную строку браузера или в ссылку. Пример: нажав сюда, вы отправите мне свой пароль к тому сайту, с которого вы сейчас читаете этот текст.
Мораль: видишь «javascript:» и длинный непонятный текст — не нажимай.
4. «Секрет Полишинеля» — не очень-то секретный секретный вопрос.
На многих сайтах, в т.ч. в электронной почте вы можете восстановить свой пароль, если вы его забыли, введя ответ на секретный вопрос.
Примеры очень неудачных секретных вопросов: «Моя любимая футбольная команда» — решается простым перебором из нескольких десятков вариантов. «Мой любимый телефонный номер», «номер моего паспорта», «мое любимое блюдо» — вы же не думаете, что эта информация секретна? Сейчас любой школьник может легко узнать номер вашего паспорта, цвет вашей машины и когда вас в последний раз задерживали за распитие распиточных материалов в общественных местах.
Ответы на другие вопросы можно банально выспросить у ваших друзей, завладев, например, вашим аккаунтом на вконтакте: «Что-то я подозреваю, что твой аккаунт взломали. Сейчас всех ломают. Докажи, что ты — это ты! Ну-ка скажи, какое мое любимое блюдо?».
Мораль: ответ на секретный вопрос должен быть действительно известен только вам, и никому больше. Даже вашему бойфренду — вдруг он захочет почитать вашу почту или отомстить? Удачная идея — писать вопрос «Какая девичья фамилия у моей матери?», а ответ — «двенадцать миллионов сорок две тысячи».
5. Мой компьютер — моя крепость.
Никто и никогда не должен получать доступ к вашему компьютеру. Поставьте пароль в BIOS на включение компьютера, на вход в вашу учетную запись Windows. Создайте отдельный аккаунт «Гость» с очень ограниченными правами и давайте его тем, кто хочет посидеть за вашим компьютером.
Чтобы украсть ваши пароли, достаточно просто заглянуть в браузер (в Firefox в окне настроек можно посмотреть все сохраненные пароли). А можно просто запустить с флэшки программу, которая за несколько секунд соберет вообще все пароли, какие только есть на вашем компьютере.
Когда даете кому-то свой компьютер настраивать и чинить, всегда стирайте все сохраненные пароли из браузеров, почтовых клиентов и т. п. Получив доступ к электронной почте своей знакомой, я с удивлением увидел, что кто-то другой регулярно просматривает ее емэйл — вероятно, какой-то друг, который зашел в гости и утянул пароль, или любовник.
Мораль: за компьютер никого не пускать, а если пускать, то только как «гостя». Даже если отходите на минутку, нажимайте клавиши Win+L, чтобы заблокировать экран. Прежде чем отдать компьютер для настройки или в ремонт, удаляйте все сохраненные пароли. Пользуйтесь почтой Google — внизу страницы там есть ссылка «Last account activity», где можно посмотреть, кто, когда и откуда заходил в вашу почту.
6. Мойте руки после посещения туалета.
Если вы пользуетесь Интернетом в интернет-кафе или у знакомых, обязательно меняйте пароль и секретный вопрос сразу же, как только у вас появится доступ к безопасному Интернету.
При входе в почту гугла пишите не http://mail.google.com, а https://mail.google.com — пароль будет передаваться в зашифрованном виде. Но это нисколько не спасает вас от программ, которые незаметно записывают все нажатия на клавиши (т.н. «кейлоггеры», например, безобидный, казалось бы, Punto Switcher).
Помните, что люди, работающие в Интернет-кафе — это нередко одинокие и асоциальные компьютерщики, у которых почитать чужую почту или позабавиться от чужого имени — одно из немногих развлечений в жизни. Поэтому они рады будут заполучить ваш пароль.
Сюда же относится и пользование флэшками на общественных компьютерах. Вставив ее в компьютер в университете или центре печатных услуг, вы можете получить на нее «весь букет вирусных заболеваний». Вставляя флэшку, побывавшую в чужом компьютере, немедленно проверяйте ее на вирусы. Никогда не открывайте флэшку двойным щелчком по ней — этим вы автоматически запустите вирус.
Мораль: засветив свой пароль в общественном месте, немедленно поменяйте его, как только будет доступ к безопасному Интернету. Бойтесь общественных компьютеров и флэшек, побывавших в них.
7. Пароли должны быть разные. Хотя бы для вконтакте.ру.
На vkontakte.ru вопиюще небезопасным образом организована работа с паролями. Поэтому обязательно ставьте на этом сайте другой пароль, не такой, как на вашей почте. Почему?
Во-первых, получив доступ к вашей почте (при этом, может быть, даже не зная вашего пароля к ней!), злоумышленник нажимает на vkontakte.ru ссылку «я забыл пароль», и ваш пароль приходит на емэйл в открытом виде. Пускай эта дикость будет на совести Дурова.
Во-вторых, пароль сохраняется в cookies в таком виде, который легко расшифровывается. Если кто-то все же украдет ваши cookies, где пароль хранится в немного зашифрованном виде, его, вероятно, все же узнают. (Для специалистов: «несоленый» хэш MD5, которому во многих случаях легко найти соответствие: из хэша 4ba37aa02fedc3d42fbb517ad6725484 получить пароль 96evgen30, например).
Мораль: на каждый сайт — свой пароль. Или хотя бы на vkontakte.ru. Дурню Павлову — настучать по башке за то, что не заботится о безопасности своих пользователей.
8. Бесплатный вайфай. Бесплатная мышеловка.
Поставив точку бесплатного беспроводного (Wi-Fi) доступа к Интернету, особенно в каком-нибудь популярном или густонаселенном месте, можно очень быстро собрать кучу паролей тех, кто этой халявой воспользуется. То же касается анонимной сети Tor (если не знаете, что это, то и не надо).
Мораль: правила те же, что и с интернет-кафе: меняйте пароль при первой же возможности, пользуйтесь HTTPS.
9. Файлообменные сети.
Когда вы устанавливаете себе программу для обмена файлами, например, eMule или DC++, вас просят указать те папки, которые будут доступны другим участникам. Нужно указать, например, папки с музыкой и фильмами. Но у вас на компьютере большая файлопомойка, и выбирать все папки лень, поэтому вы просто ставите галочку на диске C: и делаете его доступным всему интернету.
Запустите такую программу обмена файлами, введите в поиске, например, wand.dat — и вы сможете скачать файлы, в которых хранятся пароли нерадивых пользователей. Расшифровываются программой unwand.exe.
Мораль: пользуясь файлообменными сетями, делайте общедоступными только отдельные папки, а не весь диск.
10. Если ваша страница скрыта, это не значит, что никто не может просмотреть ваши фотографии и заметки.
Даже если вы скрыли свою страницу на vkontakte.ru от посторонних глаз, поставив доступ «только для друзей» или вообще «не показывать никому, удалить страницу», то все ваши фотоальбомы, заметки, друзей, группы, приложения и т. д. все равно можно будет посмотреть. (Кстати, удобно делать это с помощью браузера Firefox с дополнением Greasemonkey и скриптом vkPatch.)
Особенно опасно показывать всем ваш список друзей — злоумышленник может воспользоваться этим для выманивая сведений, денег, выяснения ваших данных и т. п.
Мораль: в настройках каждого фотоальбома выставляйте «только для друзей», в общих настройках приватности — не показывать список друзей никому.
11. Если у вас несколько емэйлов, не пользуйтесь функцией «мой дополнительный адрес».
Пример: в настройках одного емэйла вы указываете ваш другой емэйл. Завладев ящиком 1, злоумышленник нажимает «я забыл пароль» в ящике 2, получая на первый ссылку для изменения пароля ко второму.
Мораль: не вводите дополнительные адреса. На почте Яндекса укажите в настройках свой сотовый, и тогда злоумышленник, даже зная правильный ответ на секретный вопрос, будет бессилен — Яндекс пришлет код восстановления вам в виде СМС.
Что делать, если пароль от вконтакте.ру или почты все же украли?
1. Не кормите тролля. Не общайтесь со злоумышленником, не пишите угроз и гневных писем — это лишь еще больше его раззадоривает.
2. Немедленно предупредите ваших знакомых и родственников о том, что ваш аккаунт был скомпрометирован. Злоумышленник, пользуясь вашими данными, может обмануть ваших близких, занять у них деньги или попросить пополнить счет от вашего имени, позвонить родителям и сказать, что с вами что-то случилось и нужно срочно заплатить, и т. д. Это не шутки, могут серьезно пострадать ваши знакомые.
3. Если вы видите, что аккаунт вашего знакомого украли — удалите из друзей, чтобы злоумышленник не получил доступа к телефонам и другим сведениям на вашей странице.
Разумеется, очевидно, что на вашем компьютере не должно быть вирусов и ваш пароль должен быть не из 6-7 символов — как минимум 10, лучше 12-14 цифр, букв и знаков (обязательно, иначе легко будет расшифровать/подобрать!).
И помните: если у вас нет паранои, это не значит, что за вами не следят. Если вам кажется, что ваши пароли и ваши данные никому не нужны, вы жестоко ошибаетесь.
Нет комментариев. Ваш будет первым!
