Инновации от технически продвинутых взломщиков

Вместо введения

В продолжение темы о взломе почты на заказ.

Примерно в июне 2012-го года на один из адресов, заказанных когда-то ранее, при проведении экспериментов по взлому почты, пришло письмо, которое заставило меня крепко задуматься.

Письмо явно содержало какой-то подозрительный, хотя и не видимый «невооруженным глазом» компонент, который приводил к прерыванию сеанса связи, или достаточно профессиональной имитации прерывания. Вот небольшой видео-репортаж, записанный с монитора моего компьютера в процессе первичного исследования этого явления (репортаж несколько эмоциональный, так как с подобным явлением я столкнулся впервые, и мне было реально интересно и «не скучно» 🙂

Конечно, в начале вопросов было больше, чем ответов, и я не скрою, что был впечатлен… Итак, «первая часть марлезонского балета».

Почему у меня практически не было изначально сомнений, что всё это — происки хорошо подготовленных в техническом отношении хакеров? Прежде всего — потому что более детальное исследование (на видео этого нет, но это было все же замечено мною уже на первом этапе экспериментов) показало, что после «прерывания сеанса» никакой пароль — ни правильный, ни неправильный — не возвращает жертву в почтовый ящик сразу, в то время как простой «откат» в браузере приводит как раз-таки к возврату в аккаунт, что наводит на мысль, что никакого прерывания сеанса в реальности не происходит, но имеет место именно очень ловко устроенная имитация, причем имитация, воспроизведенная в окне браузера, не покидая аккаунта пользователя. Последнее не позволяет вычислить происки злоумышленника по адресной строке и является очень неплохой хакерской находкой.

Второй подозрительный момент: При введении любого пароля происходит настоящее прерывание и пользователь повторно попадает на страницу входа,  — на этот раз уже настоящую, — откуда он уже действительно может войти в свой аккаунт снова. При этом надо заметить, что, хотя маскировка «отхода» выполнена намного более профессионально, чем во всех предыдущих описанных мною ранее случаях, все же мне не понятно — почему нельзя было сымитировать повторный вход в аккаунт в ситуации, когда из него по сути никто и не выходил…

В-третьих, тот факт, что что вводимый при имитации прерывания сеанса пароль не маскируется, то есть представлен в открытом виде, а не «звездочками» выглядит довольно подозрительно — возможно, что это технически сложно сделать при такой имитации, но тем не менее…

Подробности технической реализации (и доказательства того, что мои подозрения оказались полностью обоснованными) приведены далее. Впрочем, для защиты от подобных «поползновений» это уже не так важно. Главное — знать признаки такого типа вторжения и понимать — чем это грозит, своевременно приняв соответствующие меры в случае малейших подозрений. Но, тем не менее, все, кого интересуют подробности, могут ознакомиться с ними в следующем разделе этой заметки.

А как они это делают? Вторая часть «марлезонского балета»

Посмотреть это вы можете в представленном ниже репортаже:

Для тех, кому интересно покопаться в коде, описанном выше, я приведу здесь его скрин-шот:

фрагмент хакерского кода

 

Для остальных, кому в кодах разбираться не интересно, приведу еще пару скрин-шотов, сделанных в процессе проведения экспериментов, подтверждающих справедливость сделанных выводов, а также дающих несколько дополнительных намеков о симптомах взлома.

дополнительная иллюстрация о взломе почты

 

Из этой иллюстрации, к примеру, видно, что при вводе пароля форма хотя и находится формально в доменной зоне почтовой машины mail.ru, все же взаимодействует с хакерским сайтом micro-in-world.ru (смотрите левый верхний угол). Подобные симптомы можно наблюдать обычно либо в строке состояния, либо во временно открывающемся дополнительном окне браузера. Их может, конечно, и не быть вовсе — это зависит от используемого браузера и его настроек.

Еще одна иллюстрация, на которой хакерам не удалось грамотно замаскировать подобный код, и «ослиные уши» торчат прямо в теле письма:

дополнительная иллюстрация к докладу о взломе почты

Подобные признаки должны настораживать: Во-первых это еще одна причина не открывать письмо, сколь соблазнительным ни казался бы его анонс (тема). Во-вторых, это повод задуматься о том, что именно тот почтовый ящик, на который получено подобное письмо, подвергается попытке вторжения, и возможно он кем-то заказан.

Однако, какие выводы можно сделать из этого дополнительного материала?

Выводы

Конечно, надо признать, что технические методы, которыми пользуются хакеры, стремительно совершенствуются. Кстати, у меня есть все основания предполагать, что и в этом случае я имел дело с отнюдь не профессиональными программистами-хакерами, но всего лишь с чуточку «более продвинутыми перцами», использующими чужие наработки, в сути которых они разбираются поверхностно. Возможно, я и ошибаюсь, но этот вывод я делаю на том основании, что ко второму — более удачному варианту реализации своей идеи, мои «подопытные» шли несколько месяцев. О том, что «уши растут» из того же места, свидетельствует один и тот же «базовый» хакерский сайт micro-in-world.ru.

Вывод второй: несмотря на значительное техническое продвижение, хакеры по-прежнему не могут достичь цели в случае, когда имеют дело с грамотным, подготовленным пользователем, который знаком с новыми «приемчиками» и не поддается на провокации. То есть украсть пароль без помощи самого владельца пароля по-прежнему могут не многие, и среди моих «подопытных» таких не встречалось… Пока не встречалось… Но эксперименты продолжаются…