Email: Ключ хакера ко всей вашей онлайн-жизни

Новости

Взломать чью-то электронную почту – лучший путь к установлению контроля над сетевой активностью этого человека. Согласно новому исследованию, сделать это пугающе легко.

Недавний анализ, проведенный Лукасом Лундгреном (Lucas Lundgren) из компании IOActive, занимающейся безопасностью компьютеров, показывает, что лучший метод доступа к чужой почте – хорошо изучить способы, которыми веб-сайты обрабатывают запросы на смену забытого пароля. Затем нужно набраться  терпения, чтобы, покопавшись в социальных сетях и других публичных источниках, найти нужные факты из жизни жертвы. Вот и все. Любой, кто получает на личную почту выписки из банка или рабочие документы – не говоря уже о другой частной информации, скажет, что это пугающая перспектива.

Пытаясь взломать учетную запись друга на Gmail (в целях эксперимента, спросив разрешения у «жертвы»), Лундгрен начал с попытки сбросить якобы забытый пароль. Это позволило узнать, что у приятеля есть запасной почтовый адрес на Hotmail, хотя определить адрес целиком не удалось. Тогда Лундгрен создал на Facebook поддельную учетную запись, имитирующую старого друга жертвы, и послал запрос на добавление в друзья. Получив одобрение, он увидел в личных данных нового друга искомый адрес на Hotmail.

Чтобы войти в чужую почту, нужно лишь понимать, как устроен процесс смены пароля на веб-сайтах, и покопаться в соцсетях, находя нужную вспомогательную информацию о жертве.

Чтобы сменить пароль на Hotmail, Лундгрен изучил все записи жертвы в Facebook и смог найти ответ на «защитный вопрос», установленный на Hotmail, – девичью фамилию матери. Дальше дело за малым – запросить у Gmail новый пароль и получить его через свежевзломанный ящик на Hotmail.

Имея доступ к данным, хранящимся у жертвы в Gmail, Лундгрен смог также взломать Facebook своего приятеля и получил доступ к платежам в нескольких интернет-магазинах, включая iTunes.

Конечно, Gmail имеет защитный инструмент в виде двухэтапной авторизации, и пользователи с помощью мобильного приложения должны получать одноразовые пароли, используемые в дополнение к обычному паролю. Но это только опция, многие ей не пользуются. И на значительном количестве сайтов подобных мер защиты просто нет.

Поскольку информацию, нужную для взлома онлайновых учетных записей, найти пугающе легко, Лундгрен советует очень сдержанно относиться к публикации данных о себе онлайн. Особенно это касается Facebook. В качестве дополнительной меры защиты он советует не хранить важные данные в электронном почтовом ящике, а сразу распечатывать документы наподобие банковских выписок, удаляя затем онлайн-копии.

Конечно, безопасности не бывает слишком много.