68 ответов в этой теме

[rcuj1.6]

Приветствую. Началась эта проблема уже давно, но я только сейчас осмыслил масштаб. Масштаб огромный.

Суть проблемы - на некоторых форумах , выкладывают сбрученные email адреса. Чаще всего, идут адреса на mail.ru и её вариациях (bk,inbox и проч.) и yandex.ru . Gmail очень редко, видимо защита хорошая и переборщик паролей не так просто написать. Еще проблема - авторегеры. Регается автоматически куча аккаунтов, потом с них спам рассылается.

Цель взлома почты у тех людей состоит в том, чтобы украсть steam аккаунт, вебмани аккаунт, яндекс деньги, origin аккаунт и прочее. Сейчас очень часто аккаунты World of Tanks воруют, благодаря взломанной почте. Еще есть такие люди, которые потом торгуют краденными аккаунтами. Они превращаются в кидал. Ты ему деньги за акк - он в ответ ''Этот пользователь добавил вас в бан лист'' и подобное.

И возникает вопрос, почему у российских почтовых сервисов такая слабая защита? Почему к ним брутфорс программы пишут, чекеры разные и прочее.

Нужно с этим бороться. Как это сделать?

Я вижу следующее решение. Нужно написать письмо в эти почтовые сервисы с просьбой усилить их защиту. Например, изменить так, чтобы все сегодняшние брутфорс программы стали не рабочими.

Можно сделать следующую защиту:

1. При заходе на сайт, вначале вводим только логин. Если он есть в базе, то переходим к пункту 2. Если нету, то ошибка.
2. На следующей странице нас требуют ввести капчу + еще какой нибудь вопрос типа : Напишите сколько будет 2+2, или , Скопируйте выделенное слово в строку ниже. Если вводим правильно, то переход к пункту 3. Неверно - ошибка.
3. И только тут вводим пароль.
4. Запрос опять ввести капчу.
5. Получаем доступ к почте

Можно и по другому как - нибудь усилить защиту, например, обязательно : пароль не меньше 10 символов, включая обязательно буквы разного регистра , цифры и символы.

Цель - сделать так, чтобы вопросы безопасности компании yandex и mail пересмотрели в лучшую сторону.

[Aleksandra]

Все это конечно похвально, но нормальные люди уже давно не пользуются почтовыми сервисами Mail.ru и Yandex.ru.

[rcuj1.6]

Все это конечно похвально, но нормальные люди уже давно не пользуются почтовыми сервисами Mail.ru и Yandex.ru.

Но не все же знают, какой сервис безопасней. Яндекс и Маил.ру я уверен, могут усилить защиту, там очень много умных людей работает. Нужно, чтобы кто-то именитый им намекнул на это. Обычного юзера врядли они всерьез воспримут. Но компания Доктор Веб могла бы это сделать, всё таки лидер по технологиям в плане безопасности. Если яндекс и маил серьезно займутся этим, то наверняка даже недели хватит, чтобы всё поправить и усилить защиту. Можно проанализировать те брутфорсы и чекеры, сделать защиту против них. Еще ведь есть способы подбирать через перебор ответы на секретный вопрос (с помощью словаря) . Она работает если POP или IMAP включены на аккаунте. Вроде так, точно не знаю.

[rcuj1.6]

Вот какую историю нашел:

Однажды мне понадобилось взломать мыло на mail.ru. Перво-наперво, конечно, забил "мыло" во все формы на Яндексе, Рамблере, Гугле и т.п. Вышло много инфы: и тебе имя, и тебе интересы, и дата рождения, и даже гражданство (да-да, представьте себе!). Ну и что с этим делать? Итак, найти: пароль или ответ на секретный вопрос (последнее не удалось найти никак). Дано: всё остальное. Решение задачи: восстановление "забытого пароля" через особую форму на mail.ru .
Пошёл я за "восстановлением". Ввёл всё правильно: ФИО, дата рождения, место жительства, короче - всё, кроме "пароля как Вы его помните" и "ответа на секр.вопрос как Вы его помните" - там я написал всякую лабуду. По идее, суть этой мэйловской формы заключается в том, что если вдруг "забыл" и пароль, и ответ на вопрос, то пароль можно восстановить, если знаешь хотя бы, как тебя зовут)). А я знал о владельце гораздо больше.
Отправил форму, и что же? Приходит сообщение: "данных, представленных Вами, недостаточно для восстановления пароля". При этом ВСЁ, кроме самого пароля и секретного вопроса, я указал 100% верно! Вопрос: зачем же тогда нужна эта форма? И решил поэкспериментировать.
Завёл себе "левый" ящик на mail.ru. Ввёл там регистрационные данные и решил "восстановить" забытый пароль через расширенную форму mail.ru . Зная, конечно, пароль и ответ на вопрос, предусмотрительно заполнил всю форму правильно, кроме пароля и ответа на вопрос. Через 3 часа приходит письмо: "данных недостаточно". Это меня очень взбесило, но я повторил свой запрос на "восстановление". И меня привлекло пояснение возле графы с паролем и ответом на вопрос: "напишите что помните, возможно просто не совпадает написание". Так-так, уже лучше!
При повторном запросе ввёл правильно свои рег. данные, а в графе "пароль" сделал следующее. У меня был истинный пароль hacker. А в форме для восстановления я указал частично совпадающее значение: HaCKoff. Два часа спустя - о чудо! приходит долгожданное письмо: Ваш запрос на восстановление пароля удовлетворён! Значит, делаем вывод: критерий для админов mail.ru при восстановлении пароля - наличие существенных совпадений в графах с паролем или ответом на вопрос с истинным паролем или ответом на вопрос.
Послал третий запрос на "восстановление" пароля. При этом указал заведомо неправильные рег. данные. Так и написал: Вася Пупкин, город Урюпинск, дата рождения - 1924 год (Тогда ещё Ленин жил). А в поле "пароль" оставил HaCKoff, частично совпадающий с истинным паролем hacker. И что Вы думаете? Мне, несмотря на все неправильные рег. данные, введённые в форме, только по частичному совпадению "пароля как я его помню" с истинным паролем - только по этому критерию!- "восстановили" забытый пароль.
Эксперименты привели к следующим выводам. При "восстановлении" пароля к чужому мылу через расширенную форму на mail.ru админы не смотрят на совпадение регистрационных данных пользователя вообще, а только оценивают степень совпадения данных в полях "Пароль как помните" и "ответ на вопрос как помните" реальной информации, и если степень совпадения достаточно велика, они "восстанавливают" пароль. Вы спросите: а зачем тогда вводить ФИО, дату рождения в этой форме? Да незачем, никто на эти данные не смотрит!
Появляется другой вопрос: какая степень совпадения "пароля и ответа как помните" в мэйловской форме будет достаточной для "восстановления"? Ещё несколько запросов я послал, и у меня получилось, что если пароль примерно на 50% по символам совпадает, админы высылают новый пароль, а если меньше - облом! В общем, безрадостная, господа, ситуация! Спрашивается: зачем нужна форма для восстановления пароля на mail.ru, если по правильно введённым рег. данным пользователя(ФИО, дата рождения и т.п.) нельзя получить пароль? Значит, плёвое это дело!

[Konstantin Yudin]

Вы забываете, что эти сервисы БЕСПЛАТНЫ. а значит пользователь остается один на один со своими проблемами по дизайну. никто никому ничем не обязан. Не нужно использовать их для серьезных дел.

[rcuj1.6]

Konstantin Yudin, а что еще платные есть почты?

[userr]

Вот какую историю нашел:

попахивает от этой истории.

Еще есть такие люди, которые потом торгуют краденными аккаунтами. Они превращаются в кидал. Ты ему деньги за акк - он в ответ ''Этот пользователь добавил вас в бан лист'' и подобное.

Ты ему деньги за краденый акк - я правильно понял?
Весело сегодня на форуме...

[account has been deleted]

Konstantin Yudin, а что еще платные есть почты?

Есть! гугл Apps for Business.

[ezzo]

но нормальные люди уже давно не пользуются почтовыми сервисами Mail.ru и Yandex.ru.

конечно Mail.ru я не использую, но Яндекс (для домена) юзаю постоянно. Получается полу-нормальный человек?

Есть! гугл Apps for Business.

Удобная штука, использую бесплатный вариант

[rcuj1.6]

Ты ему деньги за краденый акк - я правильно понял?

Да, только ты не знаешь, краденный он или его личный. Может он краденный, а он говорит что личный. В стиме тоже перекупщики есть. Пару дней назад в стиме одного продавца забанили. http://forums.steampowered.com/forums/showthread.php?t=2804705 , еще на нескольких уже нашли данные, скоро и они будут забанены. Надо развернуть масштабную борьбу в стиме с перекупщиками.

[EvgenWL]

Нужно, чтобы кто-то именитый им намекнул на это.

НапишИте Путину.

[rcuj1.6]

НапишИте Путину.

Смеетесь что ли. Дайте отдохнуть ему

[Пол Банки]

Все это конечно похвально, но нормальные люди уже давно не пользуются почтовыми сервисами Mail.ru и Yandex.ru.

использую и то и другое - пока ничего не взломали...
а какие из бесплатных наиболее безопасны с точки зрения кражи/взлома?

[rcuj1.6]

лукакич, Gmail похоже, остальное дерьмо.

Кстати, если с последний страницы только того форума (с 14 июля по сегодня) скопировать все емаил адреса, что там указанны например в ворд и посмотреть, сколько получилось, оказывается, что страниц получилось 2125 , а строк (то есть получается емаилов) - 44 957 ! Почти 50 тысяч.

[GeoJ]

то есть получается емаилов) - 44 957 ! Почти 50 тысяч.

А сколько из них одноразовых? Тот же мейлру активно использовался спамерами для массовых рассылок. После первой же рассылки адрес отправителя попадает в черный список. Но он больше и не нужен, для следующей рассылки регистрируется новый ящик. Я рассылками не занимался, но тем не мене приходилось заводить одноразовые ящики, когда на каких-либо сомнительных ресурсах для регистрации обязательно требовали адрес электронной почты.

Сейчас у меня два почтовых ящика на мейлру. Основному уже лет 10. И никто его не взломал. Второй ящик -- левый -- для регистрации в сомнительных местах. Этому всего несколько лет. Ни одни из ящиков не взломан. Но, заметим, что я не использую в качестве паролей дату рождения, а в качестве секретных вопросов -- девичью фамилию матери

[rcuj1.6]

Может , если в маил ру отправить весь список, тогда они очухаются?

[GeoJ]

Может , если в маил ру отправить весь список, тогда они очухаются?

При чем тут майл ру? Пусть у нас есть производитель стальных дверей, который ставит прочные двери с надежными замками. А пользователь ключ от замка по привычке держит у двери под ковриком
С другой стороны, если мне нужен левый одноразовый ящик, я хочу иметь право задать на него пароль типа qwe или asd. И был бы очнь огорчен, если бы мне это запретили.

[rcuj1.6]

При чем тут майл ру?

Да при том, что даже старинные брутфорс программы работают до сих пор, чекеров тоже куча публичных. Они могли бы смотреть и улучшать защиту. Если сделают так, что при регистрации нужно обязательно указывать номер телефона, то всё. Взломов бы не было. И авторегеры не работали

если мне нужен левый одноразовый ящик

Можно использовать 10minutes mail и прочие сервисы на подобие этого

[rcuj1.6]

Только что на рабочий маил пришло письмо , акт сверки какой то, архив открыл а там exe файл Написанно Все файлы проверены, вирусов нет. Залил на вирустотал , отчет тут Detection ratio: 5 / 42 https://www.virustotal.com/file/89419dc9176bed3106b2f0fcaa2dc96b054eae84af7ca79e803a4e0bca3bab74/analysis/1342427860/

[GeoJ]

Да при том, что даже старинные брутфорс программы работают до сих пор

Бртуфорс программы работают потому, что пароль слабый. Пароль слабый потому, что пользователь его таким задал.

Они могли бы смотреть и улучшать защиту.

То есть запретить использование слабых паролей, так? Я против. И уже описывал, почему именно.

Если сделают так, что при регистрации нужно обязательно указывать номер телефона, то всё.

Против вдвойне. Тут после очень долгого перерыва вдруго потребовалось войти в контактик. Оп-ля! Теперь требуется указывать номер мобильника. Извините, но это идет на пользу не пользователям, а владельцам ресурса: так как теперь не получится регистрировать бесплатные аккаунты для тех же спамерских рассылок. Извимните, но я не увидел ни едтного момента выгоды указания мобильника для меня, так что отказался от контакта. Потребуют то же на мейлру, откажусь от мейлру. Пока у меня нет левого номера мобильного телефона для сомнительных мест, я не буду указывать номер при регистрации.

А защита от брутфорса реализуется очень просто: не используйте слабые пароли.

Можно использовать 10minutes mail и прочие сервисы на подобие этого

Зачем? Меня и майлру вполне устраивает.